Здравствуйте, уважаемые читатели. В этой статье мы рассмотрим цели 152-ФЗ и покажем штрафы за его несоблюдение. Объясним, какие компании обязаны следовать этому закону, покажем практику на примере производителей канцелярских товаров. Расскажем простыми словами о том, какие условия должны быть реализованы на сайте каждой российской компании, чтобы соответствовать 152-ФЗ.
Федеральный закон № 152-ФЗ «О персональных данных» вступил в силу на территории России еще в 2006 году. За прошедшие 18 лет этот нормативный акт значительно расширился, а новые требования и изменения вносятся почти ежеквартально.
Соблюдать положения данного закона обязаны все организации (операторы), которые занимаются сбором или хранением персональных данных. Это касается всех компаний в России, имеющих веб-сайты, сотрудников или клиентские базы. Таким образом, под действие закона попадает подавляющее большинство организаций.
Основная задача 152-ФЗ заключается в защите персональной информации физических лиц от несанкционированного доступа, предотвращения ее неправомерного использования, хранения и обработки. Закон также обеспечивает соблюдение прав граждан на конфиденциальность их частной жизни, личную и семейную тайны.
Выполнение требований этого закона помогает решить одну из актуальных проблем современности — незаконное использование личных данных людей.
Надзор за соблюдением положений 152-ФЗ и штрафные санкции.
За правильным выполнением всех процедур, связанных с обработкой персональных данных согласно 152-ФЗ, следит Роскомнадзор. С марта 2021 года ответственность за нарушение норм законодательства в этой сфере была ужесточена, а штрафы даже для крупного бизнеса не кажутся малыми:
- от 2 до 100 тысяч руб. для физического лица
- от 6 до 800 тысяч руб. для должностного лица
- от 5 тысяч до 18 миллионов руб. для ИП
- от 30 тысяч до 18 миллионов руб. для юридического лица
Штрафы за несоблюдение закона о персональных данных зависят от характера нарушения. Если оператор (компания) не обеспечил должную защиту персональных данных, и они стали доступны третьим лицам, будь, то преднамеренный или случайный доступ, он будет привлечен к ответственности.
Закон предусматривает защиту интересов тех, чьи личные данные были утрачены оператором. В случае, если физическому лицу причинен вред вследствие утечки информации, компания, допустившая такую ситуацию, обязана возместить ущерб пострадавшей стороне в соответствии с законом о защите персональных данных.
Практические примеры для производителей канцелярских товаров в отношении 152-ФЗ.
Производители канцелярской продукции, как правило, работают с персональными данными своей целевой аудитории, но верно ли исполняются требования 152-ФЗ? Рассмотрим 4 типовых примера из практики:
1. Онлайн-магазин производителя
Многие крупные производители канцелярии имеют собственные интернет-магазины, где покупатели могут заказывать продукцию. В процессе оформления заказа целевой аудитории предлагается ввести свои персональные данные, такие как ФИО, адрес доставки, телефон и электронная почта. В данном случае производитель становится оператором обработки персональных данных и обязан соблюдать требования 152-ФЗ, включая:
— Получение согласия на обработку данных.
— Обеспечение безопасности данных (шифрование, защита паролей).
— Предоставление права на удаление и изменение данных.
2. Программы лояльности
Некоторые производители используют программы лояльности, в рамках которых конечные покупатели регистрируются и получают бонусы за покупки. При регистрации в программе лояльности также собирается ряд персональных данных: ФИО, дата рождения, контакты. Здесь тоже необходимо соблюдать нормы 152-ФЗ.
3. Участие в выставках и мероприятиях
На различных выставках или мероприятиях производители могут собирать контактные данные посетителей для последующего общения или рассылки рекламных материалов. Сбор таких данных также регулируется 152-ФЗ. Необходимо получить явное согласие участников на обработку их данных и отдельное согласие на отправку рассылки?.
4. Сбор отзывов и анкетирование
Производители могут проводить опросы среди своих клиентов для улучшения качества продукции или изучения спроса. В таких случаях также происходит обработка персональных данных. Например, если в анкете просят указать ФИО, возраст или контактные данные, то компания обязана соблюдать правила 152-ФЗ и гарантировать безопасность собранной информации.
Основные требования 152-ФЗ «О персональных данных» для сайта каждой российской компании:
1. Политика конфиденциальности.
Каждая компания в России обязана разместить на своем сайте документ, который описывает политику обработки персональных данных пользователей. Этот документ должен содержать информацию о том, какие данные собираются, для каких целей они используются, каким образом защищаются и кому могут передаваться. Политика конфиденциальности должна быть доступна пользователям сайта без необходимости регистрации или дополнительных действий.
2. Уведомление Роскомнадзора о сборе Персональных данных.
При сборе персональных данных у покупателей необходимо направить уведомления в Роскомнадзор, после чего вы должны зарегистрироваться в качестве оператора персональных данных. Эти уведомления можно подать онлайн через официальный сайт Роскомнадзора.
Это касается даже небольших компаний, имеющих сайты с формами обратной связи или онлайн-магазины. Организации, которые не сообщают контролирующему органу о сборе персональных данных, нарушают законодательство и подлежат административной ответственности, включая наложение денежных штрафов.
3. Сбор cookie и использованием Яндекс. Метрики.
Любой сайт использует cookie-файлы, также большинство сайтов собирает метрические данные о его пользователях, например, с помощью сервиса Яндекс. Метрика. При этом компании обязаны разместить проинформировать посетителей сайта о сборе файлов cookies и сборе данных метрическими программами Как правило, эту информацию выносят во всплывающее при первом посещении сайта окно.
4. Получение согласия на обработку персональных данных.
Перед тем как начать собирать и обрабатывать персональные данные пользователей, компания обязана получить явное согласие этих пользователей. На практике это может выражаться через чекбоксы («галочки») рядом с полями ввода данных, где пользователь подтверждает свое согласие с политикой конфиденциальности и условиями обработки данных. Часто такие галочки (предустановленные галочки) уже стоят по умолчанию в формах обратной связи — этот момент рассматривается проверяющим органом, как нарушение закона.
5. Безопасность персональных данных.
Сайт компании обязан обеспечивать безопасность персональных данных. Для этого применяются технические меры защиты, такие как шифрование данных, защита паролей, регулярное обновление программного обеспечения и контроль доступа к данным. Также важно обеспечить физическую защиту серверов и других систем, обрабатывающих персональные данные.
6. Минимизация сбора данных.
Собирать следует только те персональные данные, которые необходимы для выполнения конкретных задач. Например, если сайт предлагает подписку на рассылку новостей, достаточно запрашивать только имя и адрес электронной почты, но не требовать паспортные данные или номер телефона.
7. Право на удаление и изменение данных.
Пользователи имеют право запросить удаление своих персональных данных или изменить их. Компания обязана предоставить возможность сделать это через интерфейс сайта либо по запросу пользователя. Важно, чтобы пользователи могли легко найти контактную информацию для связи с компанией по вопросам обработки персональных данных.
8. Уведомление об изменениях политики конфиденциальности.
Если компания меняет свою политику конфиденциальности, она обязана уведомить об этом пользователей. Это может быть сделано через электронную почту, уведомление на самом сайте или другим способом, доступным для пользователей.
9. Обработка данных несовершеннолетних.
Особенное внимание уделяется защите персональных данных детей. Компании, собирающие данные от несовершеннолетних, должны получать отдельное согласие родителей или законных представителей на обработку таких данных.
Подведем итоги.
Соответствие сайта любой российской компании требованиям 152-ФЗ является важным условием соблюдения прав пользователей на защиту их персональных данных. Это включает в себя прозрачность политики обработки данных, получение согласия на их обработку, обеспечение безопасности и предоставление возможности управления своими данными. Соблюдение 152-ФЗ остается важной задачей, в том числе и для производственных компаний, взаимодействующих с клиентами через цифровые каналы.
Если эта статья стала для вас полезной, пожалуйста, оцените её. Таким образом мы поймем, что тему законодательства и сайтов можно раскрывать для вас еще шире. Задавайте вопросы в комментариях, мы разберем ваши кейсы в следующих статьях.