ФЗ 152 о персональных данных: суть, комментарии, требования

Стратегия

ФЗ 152 о персональных данных: суть, комментарии, требования

Кратко о федеральном законе 152 о защите персональных данных. Каковы требования закона к сбору ПД? Последние редакции содержания закона. Общая суть и примеры.

Поделиться
Запинить
Отправить

Федеральный закон о персональных данных (№152)

Вступивший в силу в 2007 году Федеральный закон № 152-ФЗ о защите и использовании персональных данных наделал много шума. Как и любой закон, касающийся сбора, использования и передачи личных сведений, 152-ФЗ называли как спасением, так и всадником апокалипсиса рунета.

Прошло уже 13 лет и по итогам мы можем сказать, что практически все опасение противников закона не подтвердились. Впрочем, как и восторженные ожидания сторонников. По сути, 152-ФЗ стал еще одной формальностью, которую владельцы бизнеса вынуждены соблюдать и которой официальные ведомства могут пользоваться в своих нуждах.

Суть и цель 152-ФЗ

Суть очень простая: нельзя собирать, обрабатывать и использовать личные сведения без согласия их владельца. Цель 152-ФЗ защита персональных данных. Примечательно, что защищать их должны операторы. При этом оператором признается любая компания, в которой есть хотя бы один сотрудник и даже частные лица.

Что значит «защищать персональные данные»? Нужно получить от пользователей согласие на сбор и обработку информации, уведомить уполномоченный орган о том, что вы являетесь оператором, и сообщить пользователям, когда их сведения будут удалены.

Изменения в последней редакции 152-ФЗ

Самые важные изменения, разделенные для операторов по классам, коснулись ответственности за невыполнение закона, аттестации и требований безопасности.

Вкратце: разместить всплывающее окно с информацией о cookies и форму согласия на сбор и обработку данных недостаточно. Для того, чтобы деятельность полностью соответствовала 152-ФЗ, надо разработать индивидуальную политику использования, в которой отражены все возможные варианты применения личных данных пользователей, защитить эти сведения от кражи и взлома, размещать сайт только на российском хостинге. При этом провайдер хостинга тоже должен соблюдать 152-ФЗ.

Зато система наказания за невыполнение стала гораздо проще, но не для бизнеса. Теперь Роскомнадзор самостоятельно, без участия прокурора, проверяет сайты, анализирует и выносит решение. Вы можете оспорить его в суде, но это займет время.

Требования 152-ФЗ

Закон не един: требования 152-ФЗ будут отличаться для операторов в зависимости от того, ИСПДн какого класса они используют.

ИСПДн — это информационная система персональных данных.

Все последние требования 152 ФЗ наглядно отражены в таблице:

Требования

1 класс

2 класс

3 класс

4 класс

Перечень мероприятий по защите персональных данных определяется оператором (в зависимости от возможного ущерба)

-

-

-

+

Декларирование соответствия или обязательная аттестация по требованиям безопасности информации

-

-

+

-

Получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации

+

+

+

-

Обязательная аттестация по требованиям безопасности информации

+

+

-

-

Должны быть реализованы мероприятия по защите персональных данных от ПЭМИН

+

+

-

-

Сбор персональных данных

Какие данные можно собирать? По закону, любые, которые разрешает пользователь.

152-ФЗ определяет 4 категории обрабатываемых персональных данных:

Категория

Расшифровка

1

Касающиеся расы и национальности, здоровья, личной жизни, философии и религии

2

Которые позволят идентифицировать и получить любую дополнительную информацию, кроме общедоступной

3

Позволяющие идентифицировать пользователя

4

Обезличенные, общедоступные

Что это значит на практике? Если вы задаете в блоге компании вопрос: «Чьи философские взгляды вам ближе — Канта или Макиавелли?» — вы собираете персональные данные, причем первой категории. 152-ФЗ фактически накладывает табу на любые манипуляции с данными без выполнения требований закона, даже с открытыми и обезличенными.

Обработка персональных данных в соответствии с ФЗ

Как обрабатывать персональные данные и не нарваться на штраф? В таблице выше мы рассмотрели необходимые требования для операторов в зависимости от класса ИСПДн. В обычной системе все должно быть очень просто — специальные организации проводят аттестации и выдают соответствующие Разрешения. В других случаях все сложнее. Например, процесс декларации соответствия, которой теоретически можно заменить процедуру обязательной аттестации, до сих пор не регламентирован.

Что делать? Самый простой и надежный выход — воспользоваться услугами провайдера, который уже прошел все необходимые аттестации и обеспечивает необходимые требования безопасности. По сути, это любые облачные провайдеры, которые работают в соответствии с 152-ФЗ. Главное, чтобы компания не только была зарегистрирована в РФ и состояла в реестре операторов обработки персональных данных, но и физически размещала свои серверы в ЦОД на территории России.

Что значит обработка персональных данных?

Как узнать, что вы обрабатываете персональные данные? Все просто: если бизнес, исследовательская работа или даже личная страница размещены в интернете, вы обрабатываете именно личные сведения. Если вы в принципе существуете в интернете, можете быть уверены, 152-ФЗ — это про вас.

Что официально входит в цикл обработки по 152-ФЗ:

Сбор — запись — систематизация — хранение — накопление — изменение и дополнение — извлечение — использование — передача, в том числе предоставление доступа — обезличивание — блокировка и удаление — окончательное уничтожение.

152-ФЗ в интернете

Рассмотрим подробнее, что значит соблюдение 152-ФЗ в интернете. Если вы собираете персональные данные, нужно уведомить об этом посетителей сайта, получить от них согласие, и дать возможность потребовать удалить их сведения. Как это реализовать?

Для автоматического сбора данных

Если ваш сайт собирает данные автоматически с помощью CRM, нужно прописать реквизиты в специальный раздел и в форму согласия. Убедитесь, что согласие подключено везде, в том числе в настройках активных форм. На последнем этапе укажите специальный e-mail, на который посетители смогут присылать запрос на удаление персональной информации. Лучше, если это будет отдельный ящик, письма в котором будут регулярно просматриваться, а запросы выполняться.

Для кого это пригодится: интернет-магазины и инфоресурсы.

Кому можно передавать данные? Третьим лицам, без которых деятельность компании невозможна. Например, передать персональные сведения службе доставки или Почте России — это нормально. Предоставить телефоны покупателей другому интернет-магазину — это преступление.

Если у одного владельца два магазина с общей ЦА, можно использовать данные, полученные с одного сайта, для продвижения другого? Да, можно. Для этого добавьте второй магазин в список третьих лиц в соглашении.

Для чат-ботов

Популярность чат-ботов для бизнеса переживает спад, но это ненадолго. Совсем скоро эта сфера перестанет напоминать инфоцыганство и чат-боты вернутся, обновленные и полезные. Убедитесь, что ваш соблюдает закон.

Как это сделать? Достаточно внедрить в структуру бота фразу «Продолжая этот чат, вы даете свое согласие на обработку персональных данных». Одна фраза, и 152-ФЗ не нарушен.

Что делать, если пользователь не продолжил чат? Нужно удалить его данные из всех источников, например, если бот завязан на CRM, новую сделку, созданную в начале чата, надо удалить.

Для страниц в соцсетях

Бизнес-страницы размещают во всех социальных сетях: Вконтакте, Facebook, Instagram, Twitter, даже в Тиндере некоторые создают бизнес-профиль. Как быть с законом о персональных данных? Кто должен соблюдать 152-ФЗ: ваша компания или площадка?

В этом случае социальные сети являются поставщиками услуг, в том числе и для вас. Поэтому соблюдение законодательства полностью лежит на площадках. Чтобы убедиться, что данные ваших клиентов защищены, можно зайти в раздел «О Компании» на каждом ресурсе, скопировать ИНН и проверить, внесен ли он в специальный реестр операторов, осуществляющих обработку персональных данных.

Наказание за неисполнение

Что будет, если не выполнить требования закона 152- ФЗ? Пока что нарушителей наказывают только штрафами:

  • 15 000- 75 000, если обрабатывать данные без согласия пользователей;

  • 15 000-30 000, если не разместить на сайте политику обработки данных;

  • 30 000-75 000, если держать сайт на зарубежном хостинге.

Также Роскомнадзор может закрыть сайт за несоблюдение 152-ФЗ.

Штраф до 100 тысяч рублей — это небольшая потеря для юридического лица. Все так, но есть нюанс: согласно последним изменениям, Роскомнадзору не нужно привлекать прокуратуру для того, чтобы инициировать проверку вашего сайта и выписать штраф. Сняты и ограничения по срокам проверки: вместо одной раз в три года проверять площадку на соответствие 152-ФЗ можно фактически постоянно. И взыскания назначать тоже можно по результатам каждой проверки. В итоге суммы могут оказаться миллионными.

Примеры нарушения 152-ФЗ

Федеральные службы статистики не собирают данные о том, насколько хорошо соблюдается 152-ФЗ. О том, как работает этот федеральный закон на практике, мы можем судить только по независимым исследованиям, проведенным в формате частных инициатив.

Например, исследование работы интернет-магазинов, которое проводили на сайте 152rf.ru, выявило, что только 48% интернет-магазинов предупреждают о том, что будут использовать персональные данные, и только 30% размещают на сайте политику конфиденциальности. Это очень маленький процент для подобного рода деятельности.

Компании, которые не считают необходимым соблюдать 152-ФЗ, могут быть оштрафованы не только после проверки Роскомнадзора: любой человек может подать жалобу на то, что данные используют без его согласия.

В 2016 году районный суд Новокузнецка признал банк «Русский Стандарт» виновным в незаконном использовании персональных данных. История очень простая: родители истца взяли кредит в банке, не смогли выплачивать его, и кредитная организация регулярно звонила по этому поводу сыну заемщиков. Суд вынес решение в пользу истца, обязав банк выплатить моральный ущерб и компенсацию судебных издержек.

Но есть нюанс: решение было вынесено в рамках статей 98, 100, 194-199 ГПК РФ и на основании статей Конституции 24 и 23. При этом 152-ФЗ, по мнению суда, ответчик не нарушил, так как на сайте соблюдались все нормы и требования закона.

Заключение

Что закон значит для бизнеса? Если соблюдать все его базовые требования — размещать политику использования данных, не забывать брать согласие на обработку и прочее, то доказать нарушение конкретно 152-ФЗ в суде будет практически невозможно.

Поделиться
Запинить
Отправить

Возможно вам так же будет интересно:

По прогнозу Gartner, к 2020 году люди будут больше общаться с чат-ботами, чем со своими супругами.

Как быть, если в компании нет e-mail-маркетолога? Заняться интернет-рассылками самостоятельно!

Что обещать профессионалам, если нет денег

Все говорят, что вашему стартапу нужен логотип, но никто говорит, как его сделать? Эта статья для вас!