Изменения в законе о персональных данных для сайтов и приложений

С 1 июля вступил в силу закон 13-ФЗ от 07.02.2017. С этого дня нарушения правил сбора, обработки и хранения персональных данных будут караться штрафами до 75 тысяч рублей. До этого сумма штрафа не превышала 10 тысяч и дел таких заводилось немного.

Учтите это при сборе персональных данных на сайте и в приложении

1. Большинство сайтов и мобильных приложений предполагает сбор персональный данных пользователей. Бизнесу выгодно развивать долгосрочные отношения с клиентами. Отсюда необходимость собрать и сохранить контакты пользователя (чтобы связаться с ним), историю взаимодействия с пользователем (чтобы предложить нужные услуги в нужный момент), имя пользователя (чтобы быть вежливым), другие специфические данные, которые помогут бизнесу быть более эффективным. Без сбора и хранения данных клиентов у бизнеса нет обозримой перспективы. Поэтому не стоит отказываться от форм обратной связи и регистрации пользователей.
2. Некоторые владельцы сайтов и приложений не видят за персональными данными живых людей. И в этом основная ошибка, которая сегодня может повлечь большие штрафы. Персональные данные сами по себе бездушны и не имеют ценности. Люди же обладают законными правами и частной жизнью. Теперь соедините людей и их персональные данные. Человек не отделяет свою личность от данных о себе: имени, контактов, паспортных данных. А значит, пользуясь чьими-то персональными данными, вы фактически пользуетесь… живым человеком. Его персональные данные — ценность для него. И относиться к этим данным стоит с уважением, осторожно и внимательно отслеживая реакцию субъекта данных.
3. Бизнес, который не дает клиенту уместного выбора, редко бывает прибыльным. Клиенты чувствуют, что ими «пользуются». Растет недоверие и раздражение. В итоге клиенты уходят к более лояльному конкуренту. Как нам видится, ужесточение закона о персональных данных не ограничивает владельцев сайтов и приложений, а наоборот, подталкивает их к разумному маркетингу, который позволит выстраивать долгосрочные отношения с клиентами на доверии и взаимной выгоде. А не путем безальтернативных уловок и ультиматумов.
4. Не все понимают, что такое персональные данные. Даже юристы расходятся во мнениях. Однако можно сделать некоторые выводы исходя из актуальных решений судов. Итак, к персональным данным, без сомнения, относятся контакты, фамилия-имя-отчество, паспортные данные, город проживания, место работы, специальность и т.д.

Так же персональными данными суд может признать IP-адрес, cookie, геопозицию, сведения о поведении пользователя на сайте или в приложении. То есть, по идее, владелец ресурса должен запрашивать разрешение на использование этой информации и прописывать цели ее сбора в политике конфиденциальности.

А еще в суде могут счесть за персональные данные любые комментарии, которые пользователь оставляет лично вам в форме на сайте. Значит, вы должны хранить эти комментарии и никому не показывать (пока это единичный прецедент, но все же вполне реальный).
Рассмотрим, какие правила сбора, хранения и обработки персональных данных на сегодня диктует нам законодательство.

personal_data

Кого касаются изменения в законе о персональных данных?

1. Интернет-сервисы, сайты и мобильные приложения.

Владельцы таких ресурсов должны иметь и предоставлять по требованию Роскомнадзора следующие документы: договоры с разработчиками и администраторами ресурсов; справки о функционале ресурсов, касающегося персональных данных пользователей; перечень собранных данных о посетителях и зарегистрированных пользователей ресурсов; сведения о базах данных (где находятся и кому принадлежат); копии договоров с третьими лицами, которые занимаются рекламными услугами и используют персональные данные пользователей ресурса, даже в обезличенном виде.

2. Рекламные агентства.

Должны заключить с клиентом договор, где прописаны условия использования персональных данных пользователей ресурса, механизмы и цели такого использования. Отклонения от договора являются нарушением закона о персональных данных. Также нужно учитывать, что передача персональных данных третьим лицам без согласия владельца данных неправомерна.

3. Разработчики интернет-сервиса, сайта или мобильного приложения.

Если разработчик занимается техподдержкой ресурса, то и он несет ответственность по закону о персональных данных. Необходимо взять у разработчика техническую документацию по сайту и мобильным приложениям, где указан функционал сбора, обработки и хранения персональных данных.

В общем, из закона следует, что в любой момент владелец интернет-сервиса, сайта или мобильного приложения должен предоставить документацию по функционалу, касающемуся персональных данных. Естественно, документация должна подтвердить, что делаете вы все законно, используете данные по согласию и только в оговоренных целях, а также не допускаете утечки данных.

Изменения в законе персональных данных с 1 июля 2017 года

ОшибкаРазмер штрафаКак исправить?
Вы совершаете сбор и обработку персональных данных, не указав цели.От 30 до 50 т.р.Создайте Политику конфиденциальности, укажите в ней ясные цели сбора и обработки персональных данных. Также кратко укажите цель в самой форме сбора данных.
Недоступность политики конфиденциальности (или пользовательского соглашения) на сайте и в приложении.От 15 до 30 т.р.Разместите Политику на главной странице сайта, дайте ссылку на нее в приложении. Политика конфиденциальности должна быть доступна для ознакомления любому пользователю, и он не должен выискивать ее по сайту. Идеально, когда ссылка на Политику дана в самой форме сбора персональных данных, а также предусмотрена возможность поставить галочку разрешения на обработку данных.
Сбор и обработка персональных данных в случаях, не предусмотренных законом, или когда это избыточно. Например, для совершения покупки в интернет-магазине пользователь вынужден зарегистрироваться, и у него нет возможности не отдавать свои данные на хранение.От 30 до 50 т.р.Маркетинговые цели часто толкают нас на неоправданно завышенные требования к пользователям. Но не всегда цели оправдывают средства, особенно, когда мы начинаем докучать пользователям, теряя их доверие. Необходимо давать пользователям как можно больше добровольного выбора. Стимулировать регистрацию и отдачу дополнительных данных стоит маркетинговыми механизмами. То есть, не кнутом, а пряником.
Игнорирование требования пользователя удалить либо исправить полученные персональные данные.До 45 т.р.Если пользователь отписывается от рассылки, необходимо удалить его адрес из всех рассылок, какие у вас есть. Если пишет в поддержку с просьбой удалить Личный кабинет или стереть и забыть все данные о нем, нужно это выполнить. Это человек, с эмоциями, и, если пренебречь его законными правами, он обратится в суд. Для упрощения работы с такими заявками следует сделать отдельный email по вопросам о персональных данных и указать его на видном месте сайта или приложения.
Хранение баз персональных данных за пределами территории Российской Федерации.Угроза блокировки ресурса.Проверить расположение сайта, хостинг-провайдера и самого сервера. Все должно находиться на территории России.

data

Тенденции свидетельствуют, что требования к владельцам интернет-ресурсов и мобильных приложений со временем будут ужесточаться. Прошли те времена, когда Интернет казался зоной свободы и вседозволенности.

Сегодня мы все больше зависим от Интернета, и доверяем ему все больше информации о себе. А значит, возрос и риск нарушений наших прав, материальных и моральных. Так что, ужесточение законов, регулирующих Интернет, вполне логично. Остается только следовать им.

Вам нужна наша помощь?

Pomegranate Square

Читайте также