ФЗ 152 о персональных данных: суть, комментарии, требования

Самые важные изменения, разделенные для операторов по классам, коснулись ответственности за невыполнение закона, аттестации и требований безопасности.

Вкратце: разместить всплывающее окно с информацией о cookies и форму согласия на сбор и обработку данных недостаточно. Для того, чтобы деятельность полностью соответствовала 152-ФЗ, надо разработать индивидуальную политику использования, в которой отражены все возможные варианты применения личных данных пользователей, защитить эти сведения от кражи и взлома, размещать сайт только на российском хостинге. При этом провайдер хостинга тоже должен соблюдать 152-ФЗ.

Зато система наказания за невыполнение стала гораздо проще, но не для бизнеса. Теперь Роскомнадзор самостоятельно, без участия прокурора, проверяет сайты, анализирует и выносит решение. Вы можете оспорить его в суде, но это займет время.

Закон не един: требования 152-ФЗ будут отличаться для операторов в зависимости от того, ИСПДн какого класса они используют.

ИСПДн — это информационная система персональных данных.

Все последние требования 152 ФЗ наглядно отражены в таблице:

Как обрабатывать персональные данные и не нарваться на штраф? В таблице выше мы рассмотрели необходимые требования для операторов в зависимости от класса ИСПДн. В обычной системе все должно быть очень просто — специальные организации проводят аттестации и выдают соответствующие Разрешения. В других случаях все сложнее. Например, процесс декларации соответствия, которой теоретически можно заменить процедуру обязательной аттестации, до сих пор не регламентирован.

Что делать? Самый простой и надежный выход — воспользоваться услугами провайдера, который уже прошел все необходимые аттестации и обеспечивает необходимые требования безопасности. По сути, это любые облачные провайдеры, которые работают в соответствии с 152-ФЗ. Главное, чтобы компания не только была зарегистрирована в РФ и состояла в реестре операторов обработки персональных данных, но и физически размещала свои серверы в ЦОД на территории России.

Что значит обработка персональных данных?

Как узнать, что вы обрабатываете персональные данные? Все просто: если бизнес, исследовательская работа или даже личная страница размещены в интернете, вы обрабатываете именно личные сведения. Если вы в принципе существуете в интернете, можете быть уверены, 152-ФЗ — это про вас.

Что официально входит в цикл обработки по 152-ФЗ:

Рассмотрим подробнее, что значит соблюдение 152-ФЗ в интернете. Если вы собираете персональные данные, нужно уведомить об этом посетителей сайта, получить от них согласие, и дать возможность потребовать удалить их сведения. Как это реализовать?

Для автоматического сбора данных

Если ваш сайт собирает данные автоматически с помощью CRM, нужно прописать реквизиты в специальный раздел и в форму согласия. Убедитесь, что согласие подключено везде, в том числе в настройках активных форм. На последнем этапе укажите специальный e-mail, на который посетители смогут присылать запрос на удаление персональной информации. Лучше, если это будет отдельный ящик, письма в котором будут регулярно просматриваться, а запросы выполняться.

Для кого это пригодится: интернет-магазины и инфоресурсы.

Кому можно передавать данные? Третьим лицам, без которых деятельность компании невозможна. Например, передать персональные сведения службе доставки или Почте России — это нормально. Предоставить телефоны покупателей другому интернет-магазину — это преступление.

Если у одного владельца два магазина с общей ЦА, можно использовать данные, полученные с одного сайта, для продвижения другого? Да, можно. Для этого добавьте второй магазин в список третьих лиц в соглашении.

Для чат-ботов

Популярность чат-ботов для бизнеса переживает спад, но это ненадолго. Совсем скоро эта сфера перестанет напоминать инфоцыганство и чат-боты вернутся, обновленные и полезные. Убедитесь, что ваш соблюдает закон.

Как это сделать? Достаточно внедрить в структуру бота фразу «Продолжая этот чат, вы даете свое согласие на обработку персональных данных». Одна фраза, и 152-ФЗ не нарушен.

Что делать, если пользователь не продолжил чат? Нужно удалить его данные из всех источников, например, если бот завязан на CRM, новую сделку, созданную в начале чата, надо удалить.

Для страниц в соцсетях

Бизнес-страницы размещают во всех социальных сетях: Вконтакте, Facebook, Instagram, Twitter, даже в Тиндере некоторые создают бизнес-профиль. Как быть с законом о персональных данных? Кто должен соблюдать 152-ФЗ: ваша компания или площадка?

В этом случае социальные сети являются поставщиками услуг, в том числе и для вас. Поэтому соблюдение законодательства полностью лежит на площадках. Чтобы убедиться, что данные ваших клиентов защищены, можно зайти в раздел «О Компании» на каждом ресурсе, скопировать ИНН и проверить, внесен ли он в специальный реестр операторов, осуществляющих обработку персональных данных.

Что будет, если не выполнить требования закона 152- ФЗ? Пока что нарушителей наказывают только штрафами:

• 15 000- 75 000, если обрабатывать данные без согласия пользователей;

• 15 000-30 000, если не разместить на сайте политику обработки данных;

• 30 000-75 000, если держать сайт на зарубежном хостинге.

Также Роскомнадзор может закрыть сайт за несоблюдение 152-ФЗ.

Штраф до 100 тысяч рублей — это небольшая потеря для юридического лица. Все так, но есть нюанс: согласно последним изменениям, Роскомнадзору не нужно привлекать прокуратуру для того, чтобы инициировать проверку вашего сайта и выписать штраф. Сняты и ограничения по срокам проверки: вместо одной раз в три года проверять площадку на соответствие 152-ФЗ можно фактически постоянно. И взыскания назначать тоже можно по результатам каждой проверки. В итоге суммы могут оказаться миллионными.

Федеральные службы статистики не собирают данные о том, насколько хорошо соблюдается 152-ФЗ. О том, как работает этот федеральный закон на практике, мы можем судить только по независимым исследованиям, проведенным в формате частных инициатив.

Например, исследование работы интернет-магазинов, которое проводили на сайте 152rf.ru, выявило, что только 48% интернет-магазинов предупреждают о том, что будут использовать персональные данные, и только 30% размещают на сайте политику конфиденциальности. Это очень маленький процент для подобного рода деятельности.

Компании, которые не считают необходимым соблюдать 152-ФЗ, могут быть оштрафованы не только после проверки Роскомнадзора: любой человек может подать жалобу на то, что данные используют без его согласия.

В 2016 году районный суд Новокузнецка признал банк «Русский Стандарт» виновным в незаконном использовании персональных данных. История очень простая: родители истца взяли кредит в банке, не смогли выплачивать его, и кредитная организация регулярно звонила по этому поводу сыну заемщиков. Суд вынес решение в пользу истца, обязав банк выплатить моральный ущерб и компенсацию судебных издержек.

Но есть нюанс: решение было вынесено в рамках статей 98, 100, 194-199 ГПК РФ и на основании статей Конституции 24 и 23. При этом 152-ФЗ, по мнению суда, ответчик не нарушил, так как на сайте соблюдались все нормы и требования закона.

Что закон значит для бизнеса? Если соблюдать все его базовые требования — размещать политику использования данных, не забывать брать согласие на обработку и прочее, то доказать нарушение конкретно 152-ФЗ в суде будет практически невозможно.