Не спешите закрывать статью. Вы наверняка мысленно задались вопросом — «А при чем здесь я?» — отвечаю, данный закон может коснуться и вас в том числе, а вы даже можете этого и не подозревать. Давайте по порядку.
Вступление
7 февраля 2017 года были внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Вступят в силу эти поправки уже скоро — 1 июля 2017 года.
Федеральный закон от 07.02.2017 N 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» — с полным текстом можете ознакомиться здесь
Что такое персональные данные?
Под персональными данными можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу (субъекту персональных данных) – пункт 1 статьи 3 Федерального закона от 27 июля 2006 № 152-ФЗ. Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д.
Что изменится 1 июля 2017 года?
Новый Федеральный закон от 07.02. 2017 № 13-ФЗ значительно расширил перечень оснований для привлечения лиц к административной ответственности в области защиты персональных данных, а также увеличил размеры административных штрафов.
Что интересно, выписывать протоколы о правонарушении в этой области будет не прокуратура, как раньше, а Роскомнадзор. А это значит, что дела пойдут гораздо быстрее и штрафы будут рассылаться пачками, если не упаковками.
Причем тут мы
Наверное большая часть моих читателей все еще не понимает, как все это относится к ним. Но грань тут очень тонкая, как понять, являетесь ли вы оператором персональных данных?
Если с помощью вашего блога, сайта, портала, интернет-магазина вы получаете какие-либо персональные данные от пользователя (какие именно, смотреть выше) — то вы автоматически попадаете под этот закон. Элементарно, на вашем сайте можно зарегистрироваться, вводя свое имя, эл.почту, адрес? Поздравляю, вы уже попали под закон.
Это вас касается если:
Ваш сайт позволяет производить регистрацию пользователей (даже с минимальным набором данных «имя + e-mail»). Примеры:
- форумы;
- социальные сети;
- многие новостные сайты;
- интернет-магазины;
- блоги;
- сайты с частными объявлениями;
- и так далее.
Ваш сайт позволяет вносить в формы персональные данные пользователей, которые впоследствии публикуются на сайте или отправляются по e-mail. Например, если на сайте есть функция «перезвонить мне», возможность отправить быстрый заказ или подписаться на рассылку и тому подобное.
Ваш сайт просто уже содержит реальные персональные данные граждан.
Ваша компания (юридическое лицо или индивидуальный предприниматель) на постоянной основе занимаются обработкой персональных данных граждан. Это справедливо для:
- большинства юридических фирм;
- абсолютно всех регистраторов (в смысле компаний, занимающиеся регистрацией юрлиц и ИП, изменениями, ликвидацией и так далее);
- реестродержателей;
- бухгалтерских компаний, оказывающих услуги по аутсорсингу бухгалтерии и кадрового делопроизводства;
- банков, МФО и других компаний финансового сектора, работающих с данными граждан;
- медицинских учреждений;
- магазинов, салонов красоты и других подобных организаций с персональными клубными картами (это особенно популярно у сетевых магазинов косметики);
- образовательных организаций и учреждений (в том числе проводящих краткосрочные курсы или разовые тренинги);
- ТСЖ и управляющих компаний в сфере ЖКХ;
- турагентств;
- третейских судов;
- и так далее.
Ваша компания активно работает с внештатными сотрудниками (по гражданско-правовому договору).
Ваша компания использует CRM или аналогичные системы.
Что делать?
Нужно уметь правильно работать с персональными данными.
Как минимум нужно:
- получить письменное согласие с каждого пользователя, клиента или подписчика на обработку, хранение и распространение персональных данных;
- публиковать в открытом доступе информацию обо всём, что касается персональных данных пользователя;
- запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
- использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
- сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
- удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
- хранить базы данных в надежном месте, защищать их от взлома и утечки;
- научить сотрудников работать с персональными данными;
- зарегистрироваться в Роскомнадзоре.
Исключения
Вас это не касается в следующих случаях, так как на них ФЗ «О персональных данных» не распространяется:
- Обработка персональных данных производится физическими лицами исключительно для личных и семейных нужд, но если при этом не нарушаются права субъектов персональных данных;
- Обработка персональных данных производится при работе с документами Архивного фонда Российской Федерации и аналогичных документов;
- Персональные данные, отнесены к сведениям, составляющим государственную тайну;
- Персональные данные относятся к публичной информации о деятельности судов в РФ.
К сожалению, я не юрист в этой области и я не смогу дать вам точных ответов что именно нужно сделать чтобы обезопасить себя на 100%. Что уж там, даже сами профи не могут дать однозначных ответов, так как существует очень много нюансов и неточностей, не говоря уже про то, что закон не вступил в силу. В любом случае, цель моего поста была именно предупредить Вас о том, что такая «хрень» существует. Ну а дальше, как говорится, предупрежден — значит вооружен 