Как понять, касается ли меня этот закон?
Касается, если вы получаете, храните, собираете или распространяете данные о пользователях, на основе которых можно провести их идентификацию.
Вы по умолчанию становитесь оператором персональных данных и несете за них ответственность, если на вашем сайте есть:- заполняемые поля при регистрации на сайте,
- подписка на e-mail,
- рассылка новостей и статей,
- форма для заказа звонка,
- форма для отправки сообщений
Кто меня может вычислить?
Все это время прокуратура проверяла сайты и выписывала протоколы за нарушения, но этот процесс был неактивным и многим легко удавалось не привлекать к себе внимания. Штрафы были мизерными (от 1 000 до 10 000 руб., а волокиты — уйма), поэтому и проверки были выборочными и нечастыми. Теперь все значительно строже — с 1 июля следить за соблюдением порядков будет Роскомнадзор, а значит штрафы будут раздавать налево и направо.Более того, Роскомнадзор и ФСБ хотят собрать базу никнеймов.
Что будет, если я оставлю все как есть?
Штраф, сумма которого варьируется в зависимости от вида нарушения и типа нарушителя (ИП, физ. лицо, юр.лицо). Так, к примеру, организация, собирающая данные пользователей, не получив их письменного согласия, заплатит 75 000 руб. ИП, который не разместит политику конфиденциальности, — от 10 000 до 15 000 руб. Штрафы за разные виды нарушений суммируются.Что мне нужно сделать, чтобы избежать наказания?
Если у вас есть сайт, на котором пользователи оставляют сведения о себе, ваш ресурс уже в зоне риска. И ответственность за несоблюдение законодательства будете нести именно вы, а не компания, обслуживающая ваш сайт. Вот пошаговый алгоритм.- Разработайте собственную политику конфиденциальности (использовать чужие документы можно лишь в качестве ориентира). Утвердите ее приказом, в котором указаны все лица, которые занимаются обработкой персональных данных, а также ответственное лицо, в обязанности которого входит контроль выполнения приказа и соблюдение закона. Ознакомьте с приказом и политикой конфиденциальности всех работников вашей компании под роспись.
- Разместите политику конфиденциальности в открытом доступе на сайте и в мобильных приложениях.
- Определите и реализуйте способ, который будет подтверждать, что пользователь согласился на обработку данных: галочка при регистрации или кнопка со ссылкой на политику конфиденциальности, либо предупреждение, которое отображается при оформлении онлайн-заказа.
- Подготовьте акт, основываясь на нормах законодательства об архивном деле: он должен содержать информацию о
бизнес-процессах хранения и уничтожении персональных данных. - Позаботьтесь о том, чтобы хостинг находился на территории РФ, узнайте точный адрес сервера (в том числе улицу и номер дома) — Роскомнадзор проявляет дотошность даже в таких мелочах.
- Опубликуйте электронный адрес, куда пользователь может написать с просьбой об удалении своих персональных данных.
- Заполните форму для Роскомнадзора, уведомляющую о том, что ваш сайт получает и обрабатывает данные от других пользователей. Писать в РКН не нужно, если ваша компания осуществляет сбор и обработку неавтоматизированно и только с целью заключения конкретного договора либо пользователь сам объявляет данные о себе общедоступными.
- Установите на сайте на видном месте и желательно во всех разделах уведомление о том, что здесь обрабатываются персональные данные посетителей и дальнейшее нахождение пользователей на ресурсе автоматически расценивается как согласие на обработку. При несогласии пользователь должен покинуть сайт.