Закон 152-ФЗ О персональных данных касается владельцев всех сайтов.

Далее мы расскажем, что нужно сделать на сайте, чтобы он соответствовал требованиям Закана. И какие документы нужно подготовить в компании при проверке вашей фирмы органами Прокуратуры и Роскомнадзора

Готовим сайт и компанию к проверке по закону 152-ФЗ О персональных данных

Введение

Ещё год назад никто и подумать не мог, что Закон о Персональных данных доберётся и до сайтов. Однако наши чиновники не собираются делать нам жизнь проще.

  Свежая история о том, что Суд оштрафовал фирму за отсутствие согласия на обработку персональных данных в СТАНДАРТНОЙ форме контактов ( обратной связи).

 Ошибочно думать и надеяться, что заполнение Ф.И.О. без паспортных данных на сайте не попадает под действие 152-ФЗ. Это не так ... смотрите понятие - косвенные персональные данные. Исходя из их определения - любое сочетание данных о клиенте попадает под действие закона. Суды стали относить данные о поведении пользователя на сайте, cookie, сведения о его геопозиции и IP-адрес к персональным данным. Роскомнадзор в списке запрашиваемой информации у проверяемых организаций добавил трактовку того, что он относит к пользовательским (персональным) данным.

 

Роскомнадзор получил право выносить административные дела по вышеперечисленным статьям нарушений без Прокуратуры. То есть теперь от штрафа точно не отделаться.
Помимо этого, ещё с 1 сентября 2015 года проверки по соответствию закону «О персональных данных» вышли из под действия закона 294-ФЗ «О защите бизнеса при проверках».

К чему это привело:

• Роскомнадзор теперь не уведомляет о плановых проверках коммерческих организаций и ИП Прокуратуру, поэтому в сводном плане проверок на сайте Прокуратуре не найти проверок по персональным данным;
• закон защищал бизнес от частых проверок и «маски шоу». Теперь при проверках Роскомадзор регулирует свою деятельность только своим внутренним административным регламентом;
• Роскомнадзор может блокировать сайты, которые незаконно собирают персональные данные (случай с Linkedin — явный тому пример).

Что нужно сделать, чтобы не попасть под штраф?

1. Составить политику конфиденциальности (Политику обработки персональных данных)  и разместить её на сайте и в офисе компании.
2. В каждой форме ввода информации на сайте нужно разместить чекбокс с текстом о согласии на обработку персональной информации. Другими словами: При сборе данных брать согласие с посетителей сайта.
3. Уведомить Роскомнадзор, что вы собираете персональные данные.
4. Перенести базы данных сайта в РФ.

Как не попасть под действие 152-ФЗ?

Вам не нужно размещать политику конфиденциальности на сайте и общаться с Роскомнадзором, если вы собираете только обезличенные данные — те, по которым нельзя определить пользователя на сайте. Поэтому, если не хотите проблем - исправьте или переделайте формы и т.д. на сайте.
Например, измените форму комментирования, чтобы пользователь сайта вводил только своё имя .. и больше ни чего.
Для социальных сетей и сообществ брать согласие на обработку данных тоже необязательно. У социальных сетей есть своя политика конфиденциальности.

Почему мы?

Компания "Тех-Инвест" уже прошла плановую проверку на соответствие 152-ФЗ "О персональных данных".  Мы - в реестре.

Разработанный нами пакет документов, устроил специалистов "Роскомнадзора".

Проверка прошла без наложения штрафов на фирму и ответственное лицо.

 

Какие дополнения к закону о персональных данных планируются?

Компании, обрабатывающие персональные данные, должны будут сообщать МВД, Роскомнадзору и пользователям о хакерских взломах и утечках персональных данных. За сокрытие информации об инцидентах компании будут привлечены к административной ответственности - штраф до 100 тыс. руб.

Можно ли размещать сайт зарубежом? - ( Юрисдикция ФЗ-242 )

Зависит от того, собираются и хранятся ли на этом сайте персональные данные. Если не хранятся - можно!
Размещать можно, конечно. Прямой запрет на размещение сайтов за рубежом действует только в отношении государственных организаций, муниципальных образований и т.п. При этом есть закон о персональных данных по которому персональные данные резидентов РФ должны храниться на территории РФ. Это не означает, что их нельзя хранить за границей. Нужно всего лишь иметь согласие клиента и копию этих данных на территории РФ - этого достаточно для большинства случаев. Официально зарегистрированные операторы ПНД имеют другие обязанности, но большинству сайтов, магазинов регистрация в качестве оператора ПНД не требуется.

Исходя из определения: Персона́льные да́нные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)

Сегодня передача этих данных на зарубежный сервер российской компании не подпадает под ограничения, существующие для трансграничных операций. Но планируется новые изменения в Закон и, в недалеком будущем, заграничные серверы российских компаний станут «зарубежьем»

 

 чек-лист по приведению сайта в соответствие  с новыми поправками в  152-ФЗ, вступающими в силу с 1 июля 2017 года.

СКАЧАТЬ

 

Отдельная тема – это внутренние документы и регламенты в компании. Эти документы понадобятся только если у вас будет выездная или плановая проверка.
В большинстве случаев проверяться будет только ваш сайт.

 

Вся необходимая информация для начала работы у Вас уже есть.

Мы можем взять на себя подготовку всей документации для сайта и компании, сделать нужные работы на вашем  сайте.
Подробнее смотрите на сайте ...
В любом случае, работы нужно провести!
С нашей помощью или самостоятельно – решайте сами.

 

Изменения в законе о персональных данных  с 30 мая 2025

Повышение штрафов по уже существующим пунктам Закона

 

Если раньше за обработку ПД «не по правилам» можно было отделаться 60 — 100 тыс. рублей (для юрлиц), то теперь:

1. за первое нарушение — от 150 000 до 300 000 ₽;
2. за повторное — до 500 000 ₽;
3. для ИП — также до 500 000 ₽;
4. для должностных лиц — до 200 000 ₽.

Речь идёт о случаях, когда:

• нет согласия на обработку ПД;
• цель обработки не соответствует заявленной;
• нет политики конфиденциальности в открытом доступе;
• нарушены сроки реагирования на запрос пользователя о блокировке или удалении его данных.

Многие компании до сих пор не публикуют политику на сайте или копируют чужую, не соответствующую их целям — за это теперь можно получить до 300 000 рублей штрафа.

Новые штрафы за утечки Персональных данных

Ранее ответственность за утечку ПД в Кодексе об административных правонарушениях (КоАП) почти не регулировалась. Теперь появилось 6 новых составов нарушений, связанных с масштабом утечки:

• Утекли данные от 1 000 до 10 000 человек или до 100 000 идентификаторов (например, имя, email, телефон) — до 5 млн ₽.
• Утечка от 10 000 до 100 000 человек или до 1 млн идентификаторов — до 10 млн ₽.
• Утеря данных более 100 000 человек или более 1 млн идентификаторов — до 15 млн ₽.

Пример: если у вас CRM на 5 000 клиентов, и кто-то похитил данные через плохо настроенный API, последствия — до 5 млн рублей штрафа.

Штраф за повторную утечку ПД — до 3% от годовой выручки

Если вы уже были оштрафованы за утерю данных, и ситуация повторится — штраф может составить:

от 20 до 500 млн ₽, или
от 1 до 3% от всей выручки компании за прошлый год
Да, от выручки (валового дохода). Даже если у вас нет прибыли, и всё съели расходы.

Особые категории персональных данных под пристальным вниманием проверяющих.

Штрафы сильно увеличены, если «утекла» чувствительная информация:

Специальные ПД: здоровье, политические взгляды, религия, судимость — до 15 млн ₽.
Биометрия: фото для пропуска, отпечатки пальцев, голос, сетчатка — до 20 млн ₽.
Даже если фото «утекло» случайно — это всё равно нарушение.

Обязанность уведомлять Роскомнадзор.

Если у вас случилась утечка ПД, вы обязаны сообщить об этом в Роскомнадзор. Не сообщили — штраф для юрлиц и ИП до 3 млн ₽.

Также нужно заранее подавать уведомление о намерении обрабатывать ПД. Многие это игнорируют — теперь за это тоже штраф до 300 000 ₽.