С 1 июля вступил в силу закон 13-ФЗ от 07.02.2017. С этого дня нарушения правил сбора, обработки и хранения персональных данных будут караться штрафами до 75 тысяч рублей. До этого сумма штрафа не превышала 10 тысяч и дел таких заводилось немного.
Учтите это при сборе персональных данных на сайте и в приложении
1. Большинство сайтов и мобильных приложений предполагает сбор персональный данных пользователей. Бизнесу выгодно развивать долгосрочные отношения с клиентами. Отсюда необходимость собрать и сохранить контакты пользователя (чтобы связаться с ним), историю взаимодействия с пользователем (чтобы предложить нужные услуги в нужный момент), имя пользователя (чтобы быть вежливым), другие специфические данные, которые помогут бизнесу быть более эффективным. Без сбора и хранения данных клиентов у бизнеса нет обозримой перспективы. Поэтому не стоит отказываться от форм обратной связи и регистрации пользователей.
2. Некоторые владельцы сайтов и приложений не видят за персональными данными живых людей. И в этом основная ошибка, которая сегодня может повлечь большие штрафы. Персональные данные сами по себе бездушны и не имеют ценности. Люди же обладают законными правами и частной жизнью. Теперь соедините людей и их персональные данные. Человек не отделяет свою личность от данных о себе: имени, контактов, паспортных данных. А значит, пользуясь чьими-то персональными данными, вы фактически пользуетесь… живым человеком. Его персональные данные — ценность для него. И относиться к этим данным стоит с уважением, осторожно и внимательно отслеживая реакцию субъекта данных.
3. Бизнес, который не дает клиенту уместного выбора, редко бывает прибыльным. Клиенты чувствуют, что ими «пользуются». Растет недоверие и раздражение. В итоге клиенты уходят к более лояльному конкуренту. Как нам видится, ужесточение закона о персональных данных не ограничивает владельцев сайтов и приложений, а наоборот, подталкивает их к разумному маркетингу, который позволит выстраивать долгосрочные отношения с клиентами на доверии и взаимной выгоде. А не путем безальтернативных уловок и ультиматумов.
4. Не все понимают, что такое персональные данные. Даже юристы расходятся во мнениях. Однако можно сделать некоторые выводы исходя из актуальных решений судов. Итак, к персональным данным, без сомнения, относятся контакты, фамилия-имя-отчество, паспортные данные, город проживания, место работы, специальность и т.д.
Так же персональными данными суд может признать IP-адрес, cookie, геопозицию, сведения о поведении пользователя на сайте или в приложении. То есть, по идее, владелец ресурса должен запрашивать разрешение на использование этой информации и прописывать цели ее сбора в политике конфиденциальности.
А еще в суде могут счесть за персональные данные любые комментарии, которые пользователь оставляет лично вам в форме на сайте. Значит, вы должны хранить эти комментарии и никому не показывать (пока это единичный прецедент, но все же вполне реальный).
Рассмотрим, какие правила сбора, хранения и обработки персональных данных на сегодня диктует нам законодательство.
Кого касаются изменения в законе о персональных данных?
1. Интернет-сервисы, сайты и мобильные приложения.
Владельцы таких ресурсов должны иметь и предоставлять по требованию Роскомнадзора следующие документы: договоры с разработчиками и администраторами ресурсов; справки о функционале ресурсов, касающегося персональных данных пользователей; перечень собранных данных о посетителях и зарегистрированных пользователей ресурсов; сведения о базах данных (где находятся и кому принадлежат); копии договоров с третьими лицами, которые занимаются рекламными услугами и используют персональные данные пользователей ресурса, даже в обезличенном виде.
2. Рекламные агентства.
Должны заключить с клиентом договор, где прописаны условия использования персональных данных пользователей ресурса, механизмы и цели такого использования. Отклонения от договора являются нарушением закона о персональных данных. Также нужно учитывать, что передача персональных данных третьим лицам без согласия владельца данных неправомерна.
3. Разработчики интернет-сервиса, сайта или мобильного приложения.
Если разработчик занимается техподдержкой ресурса, то и он несет ответственность по закону о персональных данных. Необходимо взять у разработчика техническую документацию по сайту и мобильным приложениям, где указан функционал сбора, обработки и хранения персональных данных.
В общем, из закона следует, что в любой момент владелец интернет-сервиса, сайта или мобильного приложения должен предоставить документацию по функционалу, касающемуся персональных данных. Естественно, документация должна подтвердить, что делаете вы все законно, используете данные по согласию и только в оговоренных целях, а также не допускаете утечки данных.
Изменения в законе персональных данных с 1 июля 2017 года
| Ошибка | Размер штрафа | Как исправить? |
|---|---|---|
| Вы совершаете сбор и обработку персональных данных, не указав цели. | От 30 до 50 т.р. | Создайте Политику конфиденциальности, укажите в ней ясные цели сбора и обработки персональных данных. Также кратко укажите цель в самой форме сбора данных. |
| Недоступность политики конфиденциальности (или пользовательского соглашения) на сайте и в приложении. | От 15 до 30 т.р. | Разместите Политику на главной странице сайта, дайте ссылку на нее в приложении. Политика конфиденциальности должна быть доступна для ознакомления любому пользователю, и он не должен выискивать ее по сайту. Идеально, когда ссылка на Политику дана в самой форме сбора персональных данных, а также предусмотрена возможность поставить галочку разрешения на обработку данных. |
| Сбор и обработка персональных данных в случаях, не предусмотренных законом, или когда это избыточно. Например, для совершения покупки в интернет-магазине пользователь вынужден зарегистрироваться, и у него нет возможности не отдавать свои данные на хранение. | От 30 до 50 т.р. | Маркетинговые цели часто толкают нас на неоправданно завышенные требования к пользователям. Но не всегда цели оправдывают средства, особенно, когда мы начинаем докучать пользователям, теряя их доверие. Необходимо давать пользователям как можно больше добровольного выбора. Стимулировать регистрацию и отдачу дополнительных данных стоит маркетинговыми механизмами. То есть, не кнутом, а пряником. |
| Игнорирование требования пользователя удалить либо исправить полученные персональные данные. | До 45 т.р. | Если пользователь отписывается от рассылки, необходимо удалить его адрес из всех рассылок, какие у вас есть. Если пишет в поддержку с просьбой удалить Личный кабинет или стереть и забыть все данные о нем, нужно это выполнить. Это человек, с эмоциями, и, если пренебречь его законными правами, он обратится в суд. Для упрощения работы с такими заявками следует сделать отдельный email по вопросам о персональных данных и указать его на видном месте сайта или приложения. |
| Хранение баз персональных данных за пределами территории Российской Федерации. | Угроза блокировки ресурса. | Проверить расположение сайта, хостинг-провайдера и самого сервера. Все должно находиться на территории России. |
Тенденции свидетельствуют, что требования к владельцам интернет-ресурсов и мобильных приложений со временем будут ужесточаться. Прошли те времена, когда Интернет казался зоной свободы и вседозволенности.
Сегодня мы все больше зависим от Интернета, и доверяем ему все больше информации о себе. А значит, возрос и риск нарушений наших прав, материальных и моральных. Так что, ужесточение законов, регулирующих Интернет, вполне логично. Остается только следовать им.
Вам нужна наша помощь?
Читайте также
ООО "Паникапп СЕ", Новосибирск, 630055, Разъездная, 14, Центральный вход, 5 этаж, офис 501
ОГРН 1165476058990, ИНН 5408008372, КПП 540801001. Punicapp © 2019
