«О персональных данных» при размещении информации в сети «Интернет»
Определение из закона 152-ФЗ «О персональных данных»:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1. Обработка персональных данных.
Обработка персональных данных - любое действие или совокупность действий, совершаемых с персональными данными (Далее – ПД). Например, когда на сайте организации собираются и записываются ПД граждан при регистрации в личном кабинете, записи на прием или при подаче обращения через специальную форму, то вы тоже занимаетесь обработкой персональных данных.
В связи с этим, необходимо на сайте организации опубликовать:
- документ, определяющий политику в отношении обработки персональных данных;
- сведения о реализуемых требованиях к защите персональных данных;
- обеспечить возможность доступа к указанному документу на сайте.
Кроме того, на сайте должна быть реализована функция, позволяющая гражданам подтвердить получение согласия на обработку ПД и обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД. При этом согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.
При сборе ПД с использованием форм необходимо учитывать, что объем ПД должен соответствовать заявленным организацией целям обработки ПД.
2. Размещение баз данных сайта.
При сборе ПД, организация обязана обеспечить обработку ПД граждан Российской Федерации с использованием баз данных, находящихся на территории РФ. Адрес серверных мощностей вашего сайта должен находится на территории Российской Федерации.
Определить территориальное местоположение серверных мощностей возможно, в частности с помощью сервисов: 2ip.ru, Whois-Service.ru и иные.
3. Соблюдение требований Закона о персональных данных при использовании метрических программ на сайте оператора.
Обязательными условиями при использовании сервиса Яндекс. Метрика и Google Analytics, как самых распространенных метрических программ, позволяющих определить уникального посетителя сайта, сформировать сведения о его предпочтениях и поведении на сайте, что указывает на обработку персональных данных, являются:
- необходимость получения владельцем сайта согласия на обработку персональных данных посетителей сайта;
- информирование о факте обработки персональных данных с использованием интернет-сервисов.
Документ, определяющий политику владельца сайта в отношении обработки персональных данных, должен содержать в себе следующие положения:
- ведения о факте использования интернет-сервисов (Яндекс. Метрика и Google Analytics);
- перечень обрабатываемых персональных данных, с использованием (Яндекс. Метрика и Google Analytics);
- сведения об осуществлении трансграничной передачи персональных данных, обрабатываемых с использованием Google Analytics.
4. Наличие правовых оснований обработки персональных данных, распространение (при наличии).
Если предполагается распространение ПД в сети "Интернет" неограниченному кругу лиц (например, размещены персональные данные сотрудников в объеме: фотография, фамилия, имя, отчество, должность и др.), то такая обработка должна осуществляться только с согласия субъекта персональных данных. Она оформляется отдельно от иных подобных согласий физического лица. Требования к содержанию согласия утверждены приказом Роскомнадзора от 24.02.2021 №18.
5. Выполнение обязанности уведомления Роскомнадзора об обработке персональных данных.
Все, кто обрабатывает персональные данные, являются операторами персональных данных.
Определение из закона 152-ФЗ «О персональных данных»:
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Такие организации отправляют в Роскомнадзор уведомление о сборе персональных данных и уведомление об изменении представленной информации.
С 1 марта 2023 года этот срок отправки уведомлений увеличен: не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения в ПД. При представлении используется форма из приложения № 2 приказа Роскомнадзора от 28.10.2022 № 180.
Наличие организации в Реестре операторов, осуществляющих обработку персональных данных, проверяется на портале Роскомнадзора. Поиск осуществляется либо путем введения ИНН, либо его наименования.
6. Административная ответственность за нарушение в области персональных данных
К административной ответственности за нарушение правил обработки организацию и ее должностных лиц могут привлечь (ч. 1 ст. 13.11 КоАП РФ):
- в не предусмотренных законом случаях;
- в целях, несовместимых с целями сбора;
Максимальный штраф для должностных лиц - 20 000 руб., для организации - 100 000 руб. За повторное нарушение правил обработки персональных данных максимальный штраф составит: для должностных лиц - 50 000 руб., для ИП - 100 000 руб., для организации - 300 000 руб.
- за использование баз данных, находящихся за пределами Российской Федерации;
Максимальный штраф за неисполнение этой обязанности для должностных лиц - 200 000 руб. (за повторное нарушение - 800 000 руб.), для организации либо ИП - 6 000 000 руб. (за повторное нарушение - 18 000 000 руб.).
Административная ответственность за невыполнение требований по защите персональных данных
- если организация не опубликует необходимые документы о политике в отношении обработки персональных данных и о том, какие требования по их защите реализуется, или не будет обеспечен иным образом неограниченный доступ к ним (ч. 3 ст. 13.11 КоАП РФ);
Максимальный штраф для должностных лиц - 12 000 руб., для организации - 60 000 руб., для ИП - 20 000 руб.
- если организация не выполнит требование Роскомнадзора об уточнении, блокировании или уничтожении персональных данных, если они неполные, неточные, устарели, были незаконно получены или не являются необходимыми для целей обработки (ч. 5 ст. 13.11 КоАП РФ);
Максимальный штраф для должностных лиц – 20 000 руб.; на индивидуальных предпринимателей – 40 000 руб.; на юридических лиц – 90 000 руб.
- за повторное совершение административного правонарушения, предусмотренного ч. 5 ст.13.11.;
Максимальный штраф для должностных лиц - 50000 руб.; на ИП – 100 000 руб.; на юридических лиц – 500 000 руб.