«Гайки» будут закручивать все сильнее — Дмитрий Затона об ужесточении Закона «О персональных данных»
С 1 июля вступили в силу нововведения в Федеральный Закон «О персональных данных». С какой стороны ждать беды и как соблюсти новые требования, 1rnd.ru разбирался вместе с директором СПЕЦ61. Многим ростовчанам Дмитрий Затона известен, как компьютерный криминалист, популярный «житель» facebook и директор СПЕЦ61.
- Дмитрий, в связи с нововведениями по ФЗ-152 накопилось много вопросов у администраторов информационных порталов, Интернет-СМИ. Вы можете нам человеческим языком вкратце рассказать об этих нововведениях?
- Да, конечно. С 1 июля 2017 года вступила в силу новая редакция 152-ФЗ «О персональных данных». З акон распространяется как на сайты, так и на оффлайн-составляющую бизнеса. Давайте разберемся, что это значит. Если у вас (или вашей организации) есть веб-сайт, на котором присутствуют:
Обратная связь; Форма обратной связи; Заказ обратного звонка; Форма любой заявки; Функционал продаж; Корзина; Оплата онлайн; Доставка; Пользователи; Регистрация; Авторизация (в том числе и посредством соцсетей),
в этом случае вы являетесь ОПД (Оператором Персональных Данных) и обязаны привести свой сайт (а также внутренние нормативные документы вашей компании (о них далее)) в соответствие с требованиями 152-ФЗ.
В любых формах, упомянутых выше, где осуществляется обработка и последующее хранение персональных данных граждан РФ, должна стоять так называемая «галочка согласия» — способ, которым посетитель вашего сайта должен в однозначно трактуемой форме выразить свое согласие на обработку его персональных данных. Закон не указывает на форму и содержание текста этой «галочки», поэтому достаточно написать, например, так: «Я даю свое согласие на обработку моих персональных данных в соответствии с политикой обработки персональных данных». При этом, фраза «политикой обработки персональных данных» должна быть ссылкой непосредственно на саму политику.
Мы рекомендуем размещать политику в виде автоматически открываемого PDF -документа, который является сканом утвержденной руководителем предприятия политики обработки ПД (с подписью и печатью).
Особо хотелось бы подчеркнуть, что замена «галочки согласия» на надпись «Нажимая на кнопку я даю свое согласие на обработку моих персональных данных» — это достаточно распространенная ошибка, которая приведет к штрафу, так как при отправке формы не происходило однозначно выраженного согласия с политикой обработки ПД. То есть, «галочка» должна быть размещена в каждой форме, где осуществляется сбор персональных данных всегда.
Вторая наиболее распространенная ошибка заключается в том, что форму можно отправить даже в том случае, если «галочка» не проставлена. Это также приведет к штрафу при проверке контролирующим органом.
Вернемся к политике. Это документ, который содержит в себе методы, способы и цели сбора, обработки и хранения персональной информации, информацию об Операторе, сведения об обеспечении безопасности персональных данных и прочую информацию. Несмотря на то, что, опять же, закон однозначно не указывает на форму и содержание такой политики, контролирующая инстанция (Роскомнадзор) имеет свое видение по поводу этого документа, в частности, относительно целей сбора ПД и места их физического хранения. И в случае, если в политике эта информация будет отсутствовать, - снова штраф.
К слову, штрафы с 1 июля выросли и теперь могут быть в пределах от 5 000 до 75 000 рублей в отношении юридического лица, нарушающего 152-ФЗ.
Политика регулирует процессы, связанные с обработкой и хранением персональных данных не только посетителей вашего сайта, но и клиентов, с которыми вы можете взаимодействовать физически (например, при продажах в оффлайне), а также ваших сотрудников, официально трудоустроенных на вашем предприятии. Здесь мы плавно переходим к оффлайновой составляющей требований 152-ФЗ.
- Роскомнадзор и туда «щупальца» запустит?
- Проверка Роскомнадзора может (и будет) касаться не только онлайн-составляющей (вашего сайта и соответствия его требованиям закона), но оффлайн. Кратко перечислю основные документы, которые должны быть разработаны, утверждены и внедрены на предприятии:
Акт определения уровня защищенности данных
Акт оценки потенциального вреда субъектам
Журнал регистрации нарушения и восстановления
Журнал учета обращений субъектов
Журнал учета прав доступа
Журнал учета проверок гос. органами
Журнал учета средств защиты
Инструкция по антивирусной защите
Инструкция по заполнению уведомления в РКН
Инструкция по порядку уничтожения и обезличивания данных
Инструкция по проведению внутреннего контроля
Инструкция по проведению инструктажа
Инструкция по рассмотрению запросов субъектов
Инструкция по резервному копированию и восстановлению
Инструкция по учету и хранению съемных носителей
Инструкция по учету лиц, допущенных к обработке
Инструкция пользователя информационной системы
Инструкция пользователя при нештатной ситуации
Матрица доступа к информационной системе
Политика в отношении обработки данных
Положение о порядке доступа в помещения
Положение об обработке данных без использования средств автоматизации
Положение об обработке данных
Приказ о допуске к обработке данных
Приказ о назначении ответственных
Приказ об определении границ контролируемой зоны
Приказ об утверждении перечня данных
Приказ об утверждении перечня информационных систем
Приказ об утверждении перечня помещений
Форма дополнительного соглашение на поручение обработки
Форма согласия на обработку данных
Форма соглашения о неразглашении информации
После того, как все работы, связанные с приведением документации в порядок завершены, наступает пора переходить к регистрации вашей организации в реестре Операторов Персональных Данных (Роскомнадзор). Регистрация носит уведомительный порядок, однако сама ее процедура не столь тривиальна, как нам бы того хотелось.
Хочу обратить внимание на то, что в настоящий момент не существует (и не может существовать) никакого «шаблона», который можно было бы скопировать и вставить на свой сайт, надеясь на то, что ответственность нести не придется. Придется.
В завершение пояснений по этому вопросу хотелось бы сказать, что в настоящее время существует огромное количество статей на предмет того, «что делать, чтобы избежать ответственности по 152-ФЗ». Настоятельно не рекомендую следовать инструкциям из этих статей, поскольку они являются поверхностными и фактически не обеспечивают соблюдения 152-ФЗ. Обратитесь к профессионалам.
- Каков необходимый минимум, чтоб не стать нарушителем законодательства?
- К сожалению, закон не предусматривает понятия «необходимого минимума». Требования 152-ФЗ необходимо выполнять в полной мере - «от и до».
- Когда РКН приступит к карательным мерам и как надзорное ведомство вообще будет отслеживать нарушения этого закона?
- По имеющейся у нас информации, ведомство уже приступило к карательным мерам. Первое время, насколько я понимаю, будет сохраняться достаточно лояльная тенденция (вместо штрафов будут выписываться предписания на устранение), что, впрочем, никак не умаляет необходимости приведения сайта и документов в соответствие с требованиями 152-ФЗ. В дальнейшем «гайки» будут закручивать все сильнее — то есть, вполне реальна перспектива вместо предписания получить сразу штраф. Отслеживание нарушений определяется просто — открываем сайт, если на нем есть формы, но нет «галочек согласия» и/или политики — нарушение в явном виде. Дальше может быть назначена выездная проверка, и если она покажет частичное либо полное отсутствие документов внутри организации — однозначно оштрафуют.
- К кому в Ростове можно обратиться за квалифицированной помощью при создании, к примеру, формы обратной связи на сайте, политики обработки персональных данных, справочнике фирм и предприятий?
- Обратиться можно к нам, в компанию СПЕЦ61.
В рамках оказания соответствующей услуги мы: разработаем полный комплект документов, упомянутый выше; Доработаем сайт, либо дадим инструкции по его доработке для текущего подрядчика, либо штатного специалиста компании; Окажем содействие в процессе регистрации компании в РКН.
Связаться с нами можно по телефону в Ростове-на-Дону: +7 (938) 111-6669. С нашими услугами можно ознакомиться на сайте.