Есть сайт? Знаете ли вы, что вы - оператор персональных данных?

У вас есть сайт? Да? Значит вы - оператор персональных данных! 
Скорее всего, что вы воскликните: "Как я оператор персональных данных? Вы о чём? Я не ничего такого не делаю!"

Но давайте не будем торопиться с выводами, а рассмотрим самый простой случай. 
Предположим, есть у вас несложный сайтик. С формочкой обратной связи ("напишите нам сообщение") и, к примеру, с формой подписки на e-mail рассылку. Случай довольно простой и распространённый. Вам, конечно, хочется, чтобы люди не только почитали бы статьи и новости на сайте, посмотрели бы каталог, но и сделали бы заказ или подписались бы на рассылку. Таким образом, скорее всего вы через сайт получаете от посетителей информацию: 

  •  Имя (или фамилию и имя)
  •  Телефон
  •  e-mail

Ведь вам же надо как то связаться с пользователем и предложить свои товары и услуги. 
 
И в соответствии с федеральным законом № 152-ФЗ "О персональных данных" - это уже является персональными данными. А вы, так как собираете и используете эти данные - являетесь оператором персональных данных. Ну подумаешь в Законе, назвали имя и e-mail "персональными данными", а вас - "оператором персональных данных". И всё бы было ничего, если бы не одно НО! За нарушение порядка работы с персональными данными предусмотрены штрафы. 

Вы можете возразить: "Ой... да ладно никого ведь не трогали и про это ничего не было слышно..."
И отчасти будете правы. Сам закон о персональных данных был принят в 2006м году. Штрафы за нарушение закона были маленькие, а рассматривать дела могла только прокуратура. У прокуратуры и кроме этого дел хватает, и случаи привлечения к ответственности были единичными. 
Поэтому про 152й закон успели забыть, а владельцы сайтов спокойно общались с клиентами не задумываясь является телефон и имя персональными данными или нет.

Первый тревожный звоночек прозвенел 04 октября 2016 года ,когда в Тамбовской области прокуратура оштрафовала юридическую компанию за заполнение формы обратной связи без согласия пользователя на обработку персональных данных. 
В январе 2017 года в Астраханской области стали штрафовать организации за формы обратной связи, где нет согласия на обработку персональных данных. 
Но самый существенный поворот был 7 февраля 2017 года, когда внесли изменения в Кодекс об административных правонарушениях. Данные изменения вступают в силу совсем скоро - 1 июля 2017 год. 

Давайте посмотрим, что изменилось? 

ДО 1 ИЮЛЯ: 
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

и ПОСЛЕ 1 ИЮЛЯ: 
1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, -
влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей.
2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, -
влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от пятнадцати тысяч до семидесяти пяти тысяч рублей.
3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных -
влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц - от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от пятнадцати тысяч до тридцати тысяч рублей.
4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, -
влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц - от двадцати тысяч до сорока тысяч рублей.
5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, -
влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до сорока пяти тысяч рублей.
6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния -
влечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до пятидесяти тысяч рублей.
7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных -
влечет предупреждение или наложение административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.

Как видим, во-первых, увеличилось число оснований для привлечения к ответственности, это означает, что могут оштрафовать по нескольким основаниям. Во-вторых, значительно увеличились штрафы. 
В-третьих, самое существенное, что протоколы о нарушении будет составлять Роскомнадзор, значит, дела пойдут гораздо быстрее...

Что делать?! 
Вариантов два: 

  1. Удалить все формы с сайта и от пользователя ничего не запрашивать. Подойдёт такой вариант только маленьким сайтам с низкой посещаемостью. Кроме того, есть нюанс: Роскомнадзор в свои разъяснениях, считает что cookie, данные о посещаемости и т.д. - тоже персональные данные. То есть, если вы используете Яндекс.Метрику, то уже есть сбор персональных данных... А без статистики посещаемости ни один сайт работать не может. 
  2. Готовить сайт к требованиям закона

В случае простого сайта с формой обратной связи, вам, как минимум, нужно сделать: 

  •  согласие на обработку персональных данных
  •  политику конфиденциальности
  •  на всех формах сделать чек-бокс "Я даю согласие на обработку персональных данных"

Если у вас более сложный сайт или интернет-магазин, то всё становится сложнее... 
 
Однако, нужно помнить, что обработка персональных данных, это не только сайт. И ваш внутренний порядок работы с ними. Поэтому у вас ещё должны быть внутренние документы, регламентирующие, обработку персданных.  

Как делать?! 
И здесь тоже два варианта: 

  1. Я сам! Конечно, практически всё можно сделать самому. Вопрос только, в том сколько у вас это займёт времени и сил, и что получится на выходе. Но, в любом случае, вы получите новый опыт и новые знания. Возможно, это ваш путь. 
  2. Нанять специалистов. Поручая подготовку сайта к требованиям по обработке персональных данных вы экономите время, силы и получаете гарантированную защиту от штрафов!
    Это выбор настоящих бизнесменов и предпринимателей! 

Почему мы? 
За 7 лет работы мы реализовали более 130 проектов. Имеем команду опытных профессионалов. 
Среди наших клиентов такие крупные предприятия как Независимая электросетевая компания, Энгельский резервуарный завод, Волгодонский завод резервуарного оборудования.
 
Оставьте нам заявку мы свяжемся с вами и составим точный расчет стоимости. Просто отправьте письмо на info@sapfir-7.ru или позвоните по телефону +7 (960) 346 44 71