ВХОД РЕГИСТРАЦИЯ
База знаний

Закон о персональных данных для всех, у кого есть сайт

personalnye-dannye

С 1 июля 2017 года вступили в силу изменения закона о персональных данных. Закон касается всех, кто собирает, обрабатывает и хранит любые персональные данные. Давайте разберёмся, что такое персональные данные и чем грозит несоблюдение этого закона.

Что такое персональные данные?

Персональные данные — это данные о человеке, по которым можно установить его личность. Под категорию персональных данных попадают:

  • ФИО
  • электронная почта
  • телефон
  • физический адрес
  • дата или место рождения
  • фотография

Это означает, что владельцы сайтов, на которых стоит форма обратной связи или подписка на рассылку, — это операторы персональных данных.

Что нужно делать?

  1. Узнайте адрес вашего сервера у хостинг-провайдера. По закону сервер должен быть в России. Если вы не уверены, что это требование относится к вам, отправьте запрос в Роскомнадзор или Минкомсвязи.
  2. Составьте «Политику обработки персональных данных» согласно законодательству и подходящую для вашего сайта.
  3. Составьте локальные акты, регулирующие действия с персональными данными.
  4. Добавьте во все формы обратной связи на сайте кнопку или галочку с текстом «Нажимая на кнопку, вы даёте согласие на обработку своих персональных данных».
  5. Предоставьте посетителям сайта возможности по распоряжению своими персональными данными через обращения по электронной почте. Для этого укажите email-адрес в «Политике обработки персональных данных» и опубликуйте его на сайте для общего доступа, чтобы каждый посетитель мог ознакомиться с правилами.
  6. Зарегистрируйтесь в Роскомнадзоре и подайте уведомление.

Чем грозит нарушение закона?

Нарушителей закона ждут штрафы. Например, если не разместить на сайте политику конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а компанию — на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юрлица составит до 75 тысяч рублей. Если нарушений несколько, то и штрафов будет несколько. То же касается и физических лиц.

Более того, уже и раньше штрафовали за нарушение закона о персональных данных. Один из самых интересных кейсов произошёл в октябре 2016 года, когда Тамбовская городская юридическая компания была оштрафована за сбор персональных данных. Уже тогда суд занял позицию Роскомнадзора, приравнял электронную почту и номер телефона к персональным данным и обязал компанию выплатить административный штраф в размере 1 тысячи рублей.

Что делать с партнёрской формой Travelpayouts?

Здесь вы можете быть спокойны. Единственное место, где идёт сбор электронных адресов, — это виджет подписки и подписка на White Label. Там уже появилась необходимая надпись о принятии правил. Обновлять код для этого не нужно.

В поиске Aviasales эта форма выглядит, например, вот так:

aviasales-form

А ссылки ведут на Соглашение об обработке персональных данных пользователей Сайта Aviasales.ru и Правила использования Сервиса поиска авиабилетов Aviasales.

Yulia Domracheva

Рекомендуем почитать:

  • JohnD

    А подскажите кто знает. Я нарушаю что то если

    1. Мой сервер не в России, чтобы соблюсти закон я зарегистрировал домен почтовыйсайт.ру, установил на нем почту для домена от Яндекс и в контактах, обратной связи и т.п. указываю его?
    2. На сайте установлена подписка FeedBurner и т.п.?
    3. С сайта убрал все формы обратной связи, а в качестве контактов указал соцсети? Общение в мессенджерах и ЛС соцсетей- это же не сбор данных?
    4. Убрал все формы обратной связи и поставил кнопку типа jivosite? (опять же в настройках и контактах jivosite указан домен почтовыйсайт.ру)

    это 4 варианта для разных случаев, а не для одного сайта 🙂

    • aabortsov

      выгрузи все данные в эксель на домашний комп — вот и соблюден закон. тем более к тебе не прийдут с проверкой — куда приходить? на домашний адрес?

  • Не дергались бы Вы со своими блогами))) Тут компании не соблюдают этот закон еще: https://www.ozon.travel/feedback/ пример один из сотни тысяч))

  • А вот еще персонажи с Минкомсвязь России
    Предупреждают о законе: http://minsvyaz.ru/ru/personaldata/
    Но сами ложат на него) http://minsvyaz.ru/ru/subscription/

    • aabortsov

      напиши на них , кстати жалобу — пусть впаяют им штраф

    • Нет, не мое жалобы писать. Так чисто привел пример супер мега блогерам, что нет сейчас смысла беспокоиться))

  • Pavel Kiselev

    1. Закон в части требований к персональным данным не изменился. Просто повысились штрафы. То есть требования соблюдать нужно было и раньше.
    2. персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Ник kiska или 10.07.1956 — это не персональные данные. Так же как и pusik@tutsi.ru — НЕ персональные данные, потому что на основании этой информации нельзя определить конкретное физическое лицо. Только сочетание некоторых данных может являться информацией о конкретном лице. Например, ФИО и адрес или номер телефона. Иначе говоря, важно не то, есть форма на сайте или нет, а то, какие данные вводятся в эту форму.
    3. зарегистрируйтесь в Роскомназоре и подайте уведомление. Звучит здорово, конечно. Особенно для тех, кто этого еще не делал. Цитата из закона: «уведомление должно содержать: описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации».
    Несколько лет назад обеспечить соблюдение этих самых требований, установленных Правительством, стоило несколько сотен тысяч р. Сейчас, подозреваю, не меньше. Само уведомление без специальных знаний составить будет тоже очень непросто. Но о своей причастности к закону такой бумагой вы Роскомнадзору непременно заявите. Кстати и самом фактом наличия «Политики» тоже. С моей точки зрения сбор почтовых адресов или формы обратной связи с опят же мылом и ником — не есть обработка персональных данных.

  • Вот интересно как действовать в моем случае. Я не гражданин РФ, сайт на российских серверах (случайно), из персональных данных разве что комментарии (имя и адрес почты).

    Стоит ли вообще что-то делать? Или можно спокойно себе работать дальше? Думаю, это распространенный случай, когда из форм ввода персональных данных — только коментарии.

    • Pavel Kiselev

      комментарии к этому закону вообще никак не относятся. Закон регулирует автоматизированную обработку ПД, то есть создание баз данных пользователей, которых можно впоследствии идентифицировать

    • Не уверен. Имя + email это разве не персональные данные. Если я правильно понял закон — они самые.

  • Харченко Константин

    А ничего, что законе указанно, что от пользователя нужно получить согласие в ПИСЬМЕННОЙ ФОРМЕ??? И получается что даже, сделав все то, что вы указали выше — закон останется нарушенным 🙂 ???