Любой сайт, который собирает ФИО, ИНН, дату рождения или адрес электронной почты, обязан соблюдать требования Федерального закона № 152-ФЗ, в частности, положения, изложенные в статье 1 этого закона — «Сфера действия настоящего Федерального закона». Это требование касается не только крупных компаний, но и индивидуальных предпринимателей, а также начинающих бизнесменов.
Если вы осуществляете обработку персональных данных, у вас должны быть два документа: Политика конфиденциальности и Соглашение об обработке персональных данных. Эти документы — не формальность. Они подтверждают, что вы соответствуете требованиям федерального закона и уважаете права субъекта персональных данных. Без них вы рискуете получить штраф или проверку Роскомнадзора.
Часто встречающиеся ошибки
Многие компании просто скачивают готовые образцы или типовые тексты этих документов из интернета. Такие шаблоны не учитывают специфику вашей деятельности и целей обработки. В результате документ не соответствует реальным процессам сбора и хранения персональных данных.
Часто забывают указать правовые основания обработки. Без них согласие пользователя теряет юридическую силу. Также часто отсутствуют конкретные сроки хранения персональных данных и не прописано уничтожение персональных данных по истечении срока хранения.
Или не упомянуты организационные и технические меры безопасности, которые вы применяете. Не все указывают, кому и при каких условиях могут передаваться данные третьим лицам.
Некоторые игнорируют требование о локализации баз на территории РФ. Это особенно важно для иностранных компаний, работающих с российскими клиентами. Также часто отсутствует информация о предоставлении доступа к данным по запросу пользователя.
Ответственность за нарушения
Оператор персональных данных — это вы, если вы собираете и используете чужие данные. За нарушение 152-ФЗ Роскомнадзор назначает штрафы.
Для юридических лиц — от 150 000 до 300 000 рублей за первое нарушение и от 300 000 до 500 000 рублей или выше за повторное нарушение, для ИП — от 50 000 до 100 000 рублей, а за повторное — могут доходить до 200 000 рублей и выше. Повторные нарушения могут привести не только к штрафам, но и к блокировке сайта.
Государственный орган вправе провести проверку в любой момент. Субъект персональных данных может подать жалобу, если не получит ответы на запрос. Штрафы применяются с момента выявления нарушения. Игнорирование предписаний влечёт за собой последствия. В худшем случае возможна приостановка деятельности на срок до 90 суток, блокировку сайтов и иные санкции в случае игнорирования требований надзорных органов. Закон прямо возлагает на оператора ответственность за совершаемые нарушения.
Гарантии и сопровождение
Хорошая политика обработки содержит чёткие правила и определения. Она определяет права и обязанности всех сторон: оператора и субъекта данных. Такой документ снижает риски и укрепляет доверие клиентов. Политика должна соответствовать действующим нормам федерального закона. При изменении направлений бизнеса, технологий или инструментов сбора данных требуется обновление текста. Новые формы на сайте, в CRM или рассылках — повод пересмотреть документ.
Пользователь имеет возможность в любой момент отозвать согласие. Вы обязаны обеспечить удаление или уничтожение персональных данных. Предоставление доступа к информации осуществляется бесплатно и в разумные сроки.
