Привести сайт в соответствие
с законом 152-ФЗ
«О персональных данных»

Владельцам сайтов: изменения в законе «О персональных данных» 152-ФЗ и статьи КоАП 13.11. Как избежать штрафов?

Нет времени читать? Оставьте заявку или позвоните:

C 1 июля 2017

Вступили в силу поправки к федеральному закону 152-ФЗ «О персональных данных» и статью КоАП 13.11. Поправки охватывают все персональные данные пользователей и значительно увеличивают штрафы.

Мы помогли уже 1000+ компаниям

Стоимость

Подготовка политики обработки персональных данных и соглашения на обработку персональных данных.

Приведение в соответствие 152-ФЗ одной формы сбора персональных данных.

Составление и отправка заявления в Роскомнадзор, регистрация в реестре операторов.

9 990 руб.

Оставить заявку

Срок работ — 4 дня

Возможно ускорение до 2-ух дней — стоимость увеличивается в 2 раза.

Оставить заявку

Для кого важен закон?

Всем у кого есть сайт и на сайтах которых посетители могут оставить любые данные, используя формы на сайте: сообщение в обратную связь, заявка на услугу, товар или обратный звонок, оформить заказ, оставить отзыв и т.п.

Комментарий к определению персональных данных в 152-ФЗ:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Как видно определение очень расплывчатое, однако исходя из позиции судов и Роскомнадзора даже информация о местоположении и IP-адресе без указания ФИО являются персональными данными. Например, LinkedIn заблокировали в том числе и за использование данных сведений. Таким образом, есть вероятность, что даже наличие на сайте Яндекс.Метрики может подпадать под 152-ФЗ - Яндекс.Метрика получает всю эту информацию (и даже более), а Вы косвенно им (то есть третьим лицам) передаёте.

Какой штраф?

до 295 000 руб

В данный момент в ст. 13.11 КоАП указано 6 частей за которые предусмотрены штрафы за одно нарушение для юридических лиц от 15 000 — 75 000 рублей. Совокупный штраф может составить 295 000 рублей. Например, отсутствие политики обработки персональных данных в общем доступе на сайте может обойтись юридическому лицу в 30 000 рублей.

Посмотреть штрафы

Номер статьи и текст	Сумма штрафа	В каких случаях накладывается штраф
ч.1 ст.13.11. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, если эти действия не содержат уголовно-наказуемого деяния	От 30 000 рублей до 50 000 рублей на юридических лиц	1. Когда через сайт собираются сканы паспортов и иных документов. Сканы документов являются избыточной информацией. 2. Обработка не в тех целях, когда это требуется (например, взяли для исполнения договора, но попутно рассылаем email-рассылки)
ч.2 ст.13.11. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных	От 15 000 рублей до 75 000 рублей на юридических лиц	1. Сбор, хранение и обработка специальных персональных данных (сведения о здоровье, о вероисповедании, политических взглядах и т.д.) на сайте без явного согласия на обработку таких данных. 2. Проведение онлайн-скоринга данных пользователя (включая IP, cookie и сведения из аккаунтов в соц.сетях) без явного согласия на обработку персональных данных в целях скоринга. 3. Отсутствие в согласии или оферте списка третьих лиц, кому могут передаваться персональные данные. 4. Неисполнение требований к форме согласия на обработку персональных данных, описанных в ч.4 ст.9 152-ФЗ.
ч.3 ст.13.11. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных	От 15 000 рублей до 30 000 рублей на юридических лиц	1. Отсутствие на сайте общедоступной ссылки на Политику организации в отношении обработки персональных данных.
ч.4 ст.13.11. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных	От 20 000 рублей до 40 000 рублей на юридических лиц	1. Игнорирование запросов физических лиц по поводу обработки и защиты их персональных данных. 2. Ответ на запрос в сроки, превышающие установленные законом. 3. Предоставление ложной информации.
ч.5 ст.13.11. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки	От 25 000 рублей до 45 000 рублей на юридических лиц	1. Игнорирование запросов физических лиц и Роскомнадзора по поводу прекращения обработки персональных данных и их уничтожении 2. Нарушение сроков предоставления ответов на поступившие запросы
ч.6 ст.13.11. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния	От 25 000 рублей до 50 000 рублей на юридических лиц	1. Отсутствие списка лиц, допущенных к обработке персональных данных 2. Отсутствие раздельного хранения данных

Распространяется ли на физ. лиц?

Так как на физ. лица налагаются меньшие штрафы, многие думают, что при проверке можно заявить, что сайт связан с физ. лицом, или ещё лучше - якобы их компания никакого отношения к сайту не имеет. Очевидно, что этого делать не рекомендуется. А так как если сайт посвящен коммерческой тематике, то Роскомнадзор сразу передаст данные Прокуратуре и это уже чревато уголовным делом, и еще более крупными штрафами.

Что делать если Вы физ. лицо и не имеете юр. лица, а работаете с коммерческой выгодой? В этом случае можно заключить договор с разработчиком сайта, чтобы компания разработчик взяла на себя обязанность хранить и обрабатывать данные Ваших пользователей согласно требованиям 152-ФЗ.

Чтобы избежать ответственности и полностью себя обезопасить необходимо:

Установить на все формы сайта возможность подтверждения пользователем своего согласия на обработку персональных данных.
Разработать политику обработки персональных данных, разместить её в доступном месте.
Удостовериться, что сервер, на котором расположен сайт, находится на территории Российской Федерации. Если нет, то перенести сайт на соответствующий хостинг.
Разработать соглашение о согласии на обработку данных.
Подать уведомление в Роскомнадзор. Зарегистрировать его на сайте и получить индивидуальный номер заявления.
Отправить заявление в местное отделение Роскомнадзора.