Как избежать штрафа по ФЗ 152
Несмотря на то, что закон о сборе и хранении персональных данных ФЗ 152 вступил в силу почти год назад, огромное количество сайтов по-прежнему не соответствуют его нормам. Тем временем, Роскомнадзор уже вовсю выписывает штрафы за его нарушение.
В Новосибирской области, пока массовых кампаний, по нашим данным, не проводилось. Ну, когда начнутся, то будет уже поздно, поэтому мы решили повторно рассказать, как на 100% защититься от штрафных санкций.
В законе есть несколько пунктов, нарушение которых влечет за собой наложение штрафа на сумму до 75 000 рублей.
Пункт первый, который не соблюдают более половины всех компаний малого и среднего бизнеса: отсутствие регистрации на сайте Роскомнадзора в качестве оператора персональных данных. Подавать заявку на регистрацию можно как от лица компании, так и от физического лица, которое владеет доменом. Форма и инструкция по заполнению есть на сайте ведомства.
Пункт второй. Нарушение норм и принципов обработки персональных данных. Если у вас интернет-магазин, то вы мы можете запрашивать у пользователя только те данные, которые вам нужны для оформления заказа: номер телефона, домашний адрес. Запросить паспортные данные, или номер водительского удостоверения нельзя.
Пункт 3 – использование персональных данных для целей не описанных в вашем «Соглашении о хранении и использовании персональных данных». К примеру, если вы используете базу собранных e-mail адресов, для рассылки посторонней рекламы, это нарушение закона.
Четвертое: сбор персональных данных без согласия пользователя. Многие компании ограничиваются тем, что просто размещают на своем сайте ссылку на «Положение о хранении персональных данных», забывая о том, что кнопка/чекбокс с текстом «Согласен на обработку персональных данных» нужно прикреплять к каждой форме обратной связи или заказа товара/услуги.
Пункт 5 – неправильное составление самого «Положения о хранении персональных данных». Например, отсутствие в нём информации о том, как пользователь может отозвать свое согласие. Напомню, что вы обязаны по первому требованию пользователя предоставлять ему доступ к его персональных данным, а также удалять и корректировать их в семидневный срок.
Самый загадочный пункт закона, «Обеспечить безопасность данных». Как добиться его полного выполнения не знает никто. Дело в том, что в законе предусмотрена ответственность оператора персональных данных за их утечку. Скопировать данные пользователей может любой сотрудник компании, имеющий доступ к админпанели сайта, специалист техподдержки, менеджер по продвижению сайта, работающие на аутсорсинге. И никакие регулярные смены пароля не помогут.
