Рубрикатор |
Все новости | Новости отрасли |
Гузель КУЛИКОВА | 16 ноября 2017 |
«Рано или поздно Роскомнадзор проверит и ваш сайт»
Как не попасть под санкции регулятора за неправильную обработку персональных данных, рассказал основатель и руководитель отдела консалтинга сервиса «Б-152» Максим Лагутин.
Вопросы, связанные с обеспечением защиты персональных данных в российских компаниях, все больше волнуют владельцев интернет-сервисов.
Напомню, что 1 июля вступили в силу поправки в КоАП РФ, значительно изменившие ситуацию с ответственностью за нарушения положений Федерального закона «О персональных данных» № 152-ФЗ. Юристы предупреждают, если раньше сумма штрафов в большинстве случаев не превышала 10 тыс. руб., то теперь она может достигать и 300 тыс. рублей. Помимо этого, изменения затрагивают и порядок возбуждения дел об административных правонарушениях. Поправки касаются практически всего бизнес-сообщества, взаимодействующего с персональными данными физических лиц (например, владельцев сайтов, которые собирают информацию о посетителях).
По словам руководителя отдела консалтинга сервиса «Б-152» Максима Лагутина, закон содержит четыре группы требований к бизнесу. «Во-первых, нужно составить внутреннюю документацию в области обработки и защиты персональных данных, назначить ответственных лиц: специалиста по безопасности и менеджера по обработке персональных данных. Во-вторых, подписать необходимые документы с физическими лицами: работниками, кандидатами на вакантные должности, клиентами, которые заходят на сайт компании и оставляют свои данные. Подать уведомление в Роскомнадзор о том, что вы обрабатываете персональные данные. В-третьих, локализовать базы персональных данных на территории РФ. И четвертое – реализовать техническую защиту персональных данных», – рассказал эксперт во время форума RIW 2017.
В зависимости от требований проверять компанию могут разные инстанции: Роскомнадзор, ФСТЭК и ФСБ России. Наиболее часто риски для владельцев интернет-ресурсов исходят от Роскомнадзора, именно по его линии штрафы увеличены кратно.
Руководитель отдела консалтинга отметил, что список запрашиваемой регулятором информации занимает порядка шести страниц. Ознакомиться с ним можно по ссылке: https://b-152.ru/proverka_152fz.pdf. Если проверка выявит нарушения, то регулятор может заблокировать сайт, наложить штрафы и в редких случаях приостановить деятельность компании.
«Многие думают, что Роскомнадзор будет проверять только ваш сайт и ничего более. На самом деле ведомство проверяет всю деятельность компании, связанную с обработкой персональных данных», – уточнил специалист.
Отдельно регулятор прослеживает интернет-сервисы, сайты и мобильные приложения, а также договоры и взаимоотношения с разработчиками сайта и рекламными агентствами.
Максим Лагутин «разоблачил» основной миф, касающийся выполнения данного закона. Часто сотрудники компаний утверждают, что они только хранят данные, но никак их не используют, они не операторы, а значит и закон их не касается. Однако хранение персональных данных относится к понятию обработки такой информации.
«Вы их храните, имеете к ним доступ, потенциально вы уже обязаны выполнять все требования закона», – убежден руководитель сервиса.
Важно, чтобы посетитель сайта сразу увидел предупреждение об обработке его данных. В частности, уведомление должно содержать информацию о том, что продолжая использовать интернет-ресурс компании, человек дает согласие на обработку файлов cookie, пользовательских данных (сведения о местоположении; тип и версия ОС; тип и версия браузера; тип устройства и разрешение его экрана; источник, откуда пришел на сайт пользователь, с какого сайта или по какой рекламе; язык ОС и браузера; какие страницы открывает и на какие кнопки нажимает пользователь; IP-адрес) в целях правильного функционирования сайта, проведения ретаргетинга и статистических исследований и обзоров. И если он возражает против сбора этих данных, то должен покинуть сайт. Иначе компании грозят штрафы в десятки тысяч рублей.
Владельцу сайта также необходимо утвердить документ, который называется «Политика в отношении обработки персональных данных», и обязательно разместить его в общем доступе.
«Я был на дне открытых дверей в Роскомнадзоре. Один из представителей регулятора сообщил, что они проверяют именно наличие документа с таким названием», – рассказал эксперт.
Вместе с тем чтобы избежать санкций во время проверок, необходимо собирать согласия на обработку персональных данных с каждой формы, включая сбор email. Прописывать реальные цели получения информации. Если компания передает персональные данные со своего сайта другой организации, требуется составить договор о том, что в соответствии со ст. 19 № 152-ФЗ партнер обязуется обеспечивать безопасность персональных данных при их обработке.
«Разработайте все документы. Подайте уведомление в Роскомнадзор. Он проверяет все компании и рано или поздно дотянется и для вас», – добавил Максим Лагутин. В документе о политике необходимо также указать адрес электронной почты и телефон, по которым посетители сайта могли бы обращаться по поводу обработки своих персональных данных.
На вопрос, а не возрастет ли интерес регулятора к компании в случае подачи уведомления, Максим Лагутин ответил: «Это миф. У Роскомнадзора существует план проверок. Но если вы подаете этот документ, то у проверяющих не возникнет вопроса, почему вы этого не сделали».
Читайте также:
Кабмин поддержал законопроект о праве РКН вводить блокировку «зеркал» запрещенных сайтов
Объем «слитых» персональных данных в РФ вырос на 60%
44% операторов персональных данных поддерживают введение оборотных штрафов за утечки
Принят законопроект об усилении ответственности за утечку персональных данных
Три региональные площадки CloudMTS прошли аттестацию для размещения персональных данных
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.