При посещении сайтов, регистрации на них, оформлении покупок в интернет-магазинах пользователи оставляют свои персональные данные. Их хранение и недопущение передачи третьим лицам – вопрос не только репутации сайта. За разглашение персональных данных и ненадлежащую их защиту законодательство РФ предусмотрена административная и гражданско-правовая ответственность. Разберем поэтапно, что относится к персональным данным, как и где их хранить, чтобы избежать штрафов и репутационных издержек. |
| | Что включают в себя персональные данные |
| | Персональными данными клиентов (ПДК), в соответствии с действующим законодательством, является любая информация, которая прямо или косвенно относится к конкретному физическому лицу: - ФИО физического лица;
- адрес проживания;
- дата рождения;
- биометрические персональные данные;
- социальный статус;
- сведения о семье;
- данные банковских карт;
- контактные данные и т.д.
То есть все сведения, которые клиент оставляет на сайте при заполнении форм, покупке товара или регистрации, относятся к персональным данным и попадают под действие Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных». Также надзорные органы к ПДК относят геолокацию, IP адрес, сведения о поведении пользователя на сайте и др. Если сайт получает и хранит данные, которые относятся к ПДК, он автоматически становится оператором персональных данных, на его владельцев возлагается обязанность их защиты и хранения в соответствии с законом №152-ФЗ. |
| | Где хранятся и как обрабатываются данные |
| | Персональные данные хранятся на серверах. Сервера крупных интернет-компаний находятся не только в России, но и за рубежом. В большинстве случаев это США, Финляндия, Нидерланды. Но появление нового закона, который обязывает компании хранить персональные данные россиян на территории России, призвано изменить ситуацию. Стоит ожидать, что они будут переведены на российские серверы. Работа в этом направлении активно ведется. Одна из ведущих IT-компаний России “Яндекс” построила крупный дата-центр на территории Рязанской области. Ведется строительство новых дата-центров. Эксперты сходятся во мнении, что их количество на территории РФ значительно вырастет. Что касается зарубежных интернет-компаний, то здесь ситуация пока неясна. Многие из них не комментируют, как они будут работать в России. При этом периодически появляется информация, что власти ведут переговоры с транснациональными IT-гигантами, такими как Google, Facebook и др. |
| | Законодательство, регулирующее защиту персональных данных |
| | Как было сказано выше, основной закон, который регулирует защиту ПДК – закон №152-ФЗ. Еще один документ, который дает расшифровку, какая информация относится к персональным данным – Указ Президента РФ от 06.03.97 № 188. Кроме того, данный вопрос регулируют Постановления правительства №152, №687, №1119, а также методические материалы Роскомнадзора, ФСТЭК РФ, ФСБ и другие нормативно-правовые акты. |
| | Ответственность за несоблюдение требований |
| | Если компания осуществляет какие-либо действия с персональными данными (хранит, систематизирует, уничтожает и т.д.), она обрабатывает их, а значит – является их оператором и подпадает под действия вышеупомянутых законодательных актов. Оператор ПДК до начала их получения и обработки обязан уведомить об этом Роскомнадзор, который является надзорным органом. В некоторых случаях уведомление можно не отправлять: - обрабатываются данные сотрудников самой компании;
- данные обрабатываются для разового пропуска человека на объект;
- данные используются для заключения договоров;
- работа с данными проводится вручную человеком, а не является автоматизированной.
После получения уведомления об обработке ПДК, в течение 30 дней Роскомнадзор вносит информацию о компании в единый реестр. За нарушение законодательства, регулирующего защиту персональных данных, компания и должностные лица компании могут быть привлечены к административной или гражданско-правовой ответственности. Периодически Роскомнадзор проводит плановые проверки. В случае жалоб от покупателей может быть проведена внеплановая проверка.Нередки случаи, когда жалобу подают и конкуренты. Если при проверке были выявлены нарушения, к должностным лицам компании и самой компании применяются меры взыскания в виде штрафа: - максимальная сумма для физических лиц может достигать 50 тыс. рублей;
- максимальная сумма для должностных лиц компании может достигать 200 тыс. рублей;
- максимальная сумма для юридических лиц может достигать 6 млн рублей.
Если было допущено повторное нарушение, сумма штрафов будет увеличена. Также штрафы суммируются за совершение нескольких правонарушений в сфере защиты персональных данных клиента. |
| | Как пользователю защитить свои данные |
| | Государство ужесточает требования к операторам ПДК и ответственность за нарушение норм и правил действующего законодательства. Но законы – это формальная защита. Во многом безопасность персональных данных зависит от пользователя. Оставлять свои данные следует только на проверенных сайтах. Предварительно необходимо изучить политику конфиденциальности, ссылка на которую должна обязательно быть размещена на сайте. Если человек больше не планирует работать с интернет-магазином или сайтом (в том числе online чате на сайте) в будущем, он может потребовать удалить свои персональные данные. Таким образом можно защититься от случайной утечки и хакерских атак. Ведь даже если компания придерживается законодательства о защите ПДК и защищает их, нет гарантии, что она использует защиту высокого уровня, и информация о человеке не станет добычей интернет-взломщиков. Пользователь сам определяет, какому сайту доверять информацию, какому нет. В этом вопросе важно постоянно совершенствоваться, изучать новости, знакомиться с методами защиты персональных данных, учиться отличать мошенников от надежных компаний. Владельцам интернет-магазинов и других сайтов необходимо изучить требования законодательства по защите ПДК. Если получать, хранить, обрабатывать персональные данные в соответствии с установленным порядком (а он не сложный), можно обезопасить свою компанию и избежать штрафов Роскомнадзора. |
|