Со 2 декабря 2019 года вводятся серьёзные штрафы за невыполнение требований хранения персональных данных в Российской Федерации.
С учетом нововведения все интернет-ресурсы, на которых хранятся и обрабатываются персональные данные, должны быть расположены на территории Российской Федерации. С учётом того, что контролирующие органы считают персональными данными не только ФИО, адрес, религиозную принадлежность и т.п., а также и данные о поведении пользователя на сайте, то это касается практически любого интернет-ресурса.
Если раньше за нарушение этого требования Роскомнадзор их блокировал или за непредставление информации о хранении данных внутри страны выставлял штраф до 5 000 рублей, то с 2 декабря 2019 года вводятся более серьёзные штрафы.
Требование законодательства — хранение информации, содержащей данные о физических лицах, на серверах в РФ. Таким образом хостинг, на котором расположен ваш сайт, должен находиться на территории нашей страны. Под расположением хостинга подразумевается физическое местонахождение серверов, на котором размещен ваш сайт. То есть, если хостинг-провайдер зарегистрирован в России, а его серверы расположены, к примеру, во Франции, вы нарушаете закон и попадаете под штраф.
Теперь к новым штрафам. Кодекс РФ об административных правонарушениях (КоАП) дополняется нормой, согласно которой вводятся штрафные санкции для операторов (т.е. тех, кто обрабатывает ПДн).
За невыполнение требования при сборе персональных данных россиян, в том числе через интернет, предусмотренное законом требование о систематизации и хранении информации в базах данных исключительно на территории РФ, то есть использовавших хранилища за рубежом устанавливаются административные штрафы для граждан в размере от 30 тыс. до 50 тыс. рублей, для должностных лиц — от 100 тыс. до 200 тыс. рублей, для юридических лиц — от 1 млн до 6 млн рублей.
В случае повторного нарушения штрафы увеличатся. Для граждан они составят от 50 тыс. до 100 тыс. рублей, для должностных лиц — от 500 тыс. до 800 тыс. рублей, для юридических лиц — от 6 млн до 18 млн рублей.
Таким образом, необходимо проверить, где находится хостинг вашего сайта. Как узнать, на каком хостинге находится сайт? Для этого вы можете воспользоваться данным сервисом: https://2ip.ru/
Дополнительные требования при работе с персональными данными в сети интернет (для напоминания):
• Документ, определяющий политику оператора в отношении обработки персональных данных
При сборе и обработки личной информации необходимо в открытом доступе публиковать правовую информацию. За неисполнение данного требования предусмотрено административное наказание.
Итак, если на вашем сайте размещены виджеты обратного звонка, предложения подписаться на электронную рассылку, формы регистрации на мероприятия, формы обратной связи и другие, если установлены метрики по сбору данных с пользователей в виде их поведения на сайте (Яндекс Метрика, GoogleAnalytics и другие), от вас требуется выполнить рекомендации, о которых будем говорить дальше.
Первая рекомендация — разместить на сайте политику в отношении обработки персональных данных.
На официальном сайте Роскомнадзора размещены рекомендации по составлению политики по обработке ПДн (или как его называет РКН: документ, определяющий политику оператора в отношении обработки персональных данных). Рекомендации в виде документа в формате .doc можно скачать по ссылке: https://rkn.gov.ru/personal-data/p908 /
Потратьте время и создайте свою политику, не копируйте просто с других сайтов. (Часто даже наименование организации не меняют.) Важно, что она должна быть доступа на всех страницах сайта! Оптимальный вариант разместить в футере интернет-ресурса.
• Сбор согласия на обработку персональных данных
Согласно ч. 1 ст. 9 ФЗ «О персональных данных» оператор должен взять согласие с пользователя, который заполняет формы по сбору ПДн:
Субъект принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой, позволяющей подтвердить факт его получения, форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
Разъяснение Роскомнадзора, как получить согласие на обработку ПДн на сайте:
Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Исключения: биометрические и специальные ПДн, передача ПДн на территорию государства, не обеспечивающего адекватную защиту ПДн (данные ПДн могут обрабатываться и передаваться только при наличии согласия в письменной форме субъекта персональных данных).
Галочка в чек-боксе по умолчанию не рекомендуется. Пользователь должен сам ее поставить, тем самым давая согласие с документами.
• Cогласие на обработку файлов Cookies
Данные пользователей сайта, которые собираются в автоматическом режиме (cookie; информация о поведении посетителя, его браузере, операционной системе, устройстве; сведения о местонахождении и др.) считаются персональными данными.
Чтобы избежать штрафа до 50 тыс. рублей по ч.1 ст.13.11 КоАП за обработку персональных данных пользователей, необходимо установить на сайте дисклеймер (предупреждение об обработке и передаче данных в системы аналитики). Пример текста для предупреждения: Продолжая использовать наш сайт, вы даете согласие на обработку файлов Cookies и других пользовательских данных, в соответствии с Политикой конфиденциальности.
