152-ФЗ: как использовать формы и не попасть на штрафы?

Волки таки пришли

Помните пастушка, который кричал «волки, волки», пока его не съели? С законом «О персональных данных» вышла похожая сказка. Он был принят в 2006 году и напуганных бизнесменов неплохо подоили. Пакет документов «на соответствие 152-ФЗ» стоил по 2 миллиона рублей, бывало и дороже. Прошли 10 лет. Все убедились, что волков бояться нечего: ловят редко, штрафы копеечные, плюнуть и растереть. Закон «О персональных данных» перестали воспринимать всерьез.

И напрасно! Вступившая в силу 1 июля 2017 года редакция 152-ФЗ увеличила штрафы с 5 – 10 до 50 – 75 тысяч рублей. Количество проверок и штрафов вырастет на порядки. По новому закону Роскомнадзор имеет право «оформлять протоколы» без участия прокуратуры. Сейчас разворачивается пропагандистская кампания, побуждающая граждан активно жаловаться на телефонный и прочий спам. Заявителей заманивают возмещением морального вреда по статье 24 закона 152-ФЗ, агитируют сводить счеты через уголовные дела (ст. 137 УК РФ).

Защищать данные пользователей придется волей-неволей

Кто такой оператор?

Любой, кто собирает сведения о гражданах, подпадает под закон 152-ФЗ. Владелец сайта или мобильного приложения считается оператором персональных данных, если:

• Предлагает авторизованный доступ (сбор электронной почты);
• Принимает заявки через лид-формы (сбор телефонов, адресов электронной почты, паспортных данных);
• Сохраняет историю посещений, cookie (сбор личных интересов).

Что именно считать персональными данными, закон не уточняет. Юридическая практика относит к ним электронную почту, телефон, паспортные данные, сведения о семье и родственниках, имуществе и доходах, образовании, профессии, интересах, судимости.

Операторам персональных данных запрещается использовать зарубежные сервера для сбора и обработки данных. За это нарушение будут блокировать сайты.

Обложили меня, обложили!

Закон 152-ФЗ «О персональных данных» и статья 13 Кодекса РФ об административных правонарушениях устанавливает штрафы за 6 нарушений.

1. Нецелевая обработка данных. Оператору запрещено собирать данные, не требующиеся для оказания услуги (продажи товара). Например, нельзя спрашивать фамилию при подписке на рассылку, дату рождения при заказе в интернет-магазине. Штраф для юридических лиц – от 30 до 50 тысяч рублей, для должностных лиц – от 5 до 10 тысяч рублей.
2. Обработка данных без согласия пользователя. Оператор обязан получать согласие каждого пользователя на каждую передачу данных. И хранить их. Посетитель может ввести данные, не поставив «галочку»? Нарушение. Штраф для юридических лиц – от 15 до 75 тысяч рублей, для должностных лиц – от 10 до 20 тысяч рублей.
3. Политика обработки персональных данных недоступна. Оператор обязан публиковать на видном месте разъяснение, зачем он собирает данные и как их защищает. Если пользователь не сможет найти политику обработки персональных данных, виноват будет оператор. Штраф для юридических лиц – от 15 до 30 тысяч рублей, для должностных лиц – от 3 до 6 тысяч рублей.
4. Запросы пользователей об использовании их персональных данных игнорируются. Если пользователь спрашивает, как применяются его персональные данные, оператор обязан ответить. Пользователи пишут жалобы, не дождавшись ответа? Будут проверки. Штраф для юридических лиц – от 20 до 40 тысяч рублей, для должностных лиц – от 4 до 6 тысяч рублей.
5. Использование неверных или устаревших данных. Если пользователь или Роскомнадзор потребуют уточнить, блокировать или уничтожить неточные, незаконно полученные или нецелевые личные данные, оператор обязан выполнить требование. Штраф для юридических лиц – от 25 до 45 тысяч рублей, для должностных лиц – от 4 до 10 тысяч рублей.
6. Утечка данных. Оператор обязан обеспечить безопасность хранения данных, исключающую несанкционированный доступ, в том числе копирование, распространение, изменение. Штраф для юридических лиц – от 25 до 50 тысяч рублей, для должностных лиц – от 4 до 10 тысяч рублей.

По обращениям пользователей и решениям суда сайты могут вноситься в Реестр нарушителей прав субъектов персональных данных и блокироваться.

Малое предприятие такие штрафы просто раздавят

Правила безопасного опроса

Программа – минимум

Зарегистрируйтесь в Роскомнадзоре как оператор персональных данных. Это нужно было сделать еще вчера, поэтому датой начала обработки данных поставьте дату государственной регистрации предприятия (ИП). Заполните форму уведомления на сайте Роскомнадзора. Заполненную форму скачайте, распечатайте, поставьте подпись, печать и отправьте регулятору почтой. Иначе не зарегистрируют.

Уведомлять Роскомнадзор не обязательно в двух случаях. Во-первых, когда работодатель собирает персональные данные со своих сотрудников. И во-вторых, если данные используются оператором исключительно для исполнения договора. Не распространяются, третьим лицам не передаются, в спамерских базах не всплывают.

Встройте в каждую форму на сайте обязательный чек-бокс, подписанный «поставив галочку, Вы даете согласие на обработку своих персональных данных».

Подготовьте и опубликуйте документ, описывающий политику обработку персональных данных и меры безопасности по их защите. Ссылку на этот документ разместите под каждой формой. Крупную и легко читаемую.

Уберите нецелевые поля форм. Никаких телефонов на форумах, отчеств в интернет-магазинах и дат рождения нигде, кроме сайтов про алкоголь и фильмы с возрастными ограничениями.

Показывайте всем новым посетителям предупреждение о сборе метаданных. Предупреждайте сразу, что сайт собирает сведения о местоположении, IP-адресе, cookie. Пользователь должен будет дать согласие или покинуть сайт.

Программа-минимум спасет от штрафов на первых порах

Программа – максимум

Вышеперечисленного достаточно? Увы, нет. Программа – минимум снижает вероятность проверок Роскомнадзора. Но не сводит ее к нулю. В конце концов, регулятор проводит плановые проверки, а также реагирует на заявления граждан. Пожаловались на вас – встречайте проверяющих. Безопаснее внедрить программу-минимум, а затем требования закона в полном объеме.

1. Подать уведомление в Роскомнадзор;
2. Установить, какие подразделения и сотрудники собирают персональные данные. Это могут быть отдел продаж, маркетологи, юристы, бухгалтера, IT, редактора сайтов;
3. Установить, в каких информационных системах накапливаются и обрабатываются персональные данные. Это могут быть учетные системы (1С), CRM, CMS сайта;
4. Назначить приказом ответственного за обработку персональных данных;
5. Издать и утвердить документацию: политику оператора по обработке данных, детальные регламенты обработки и предотвращения нарушений закона «О персональных данных»;
6. Получить согласие на обработку персональных данных у всех сотрудников и других физических лиц, с которыми взаимодействуете;
7. Обучить персонал, осуществляющий обработку данных. Довести до сведения сотрудников требования законодательства, политики по обработке данных, регламентов;
8. Регулярно проверять, соответствуют ли реальные процедуры обработки данных требованиям закона 152-ФЗ, политике обработки данных и внутренним регламентам;
9. Регулярно выполнять оценку вреда, которую может причинить пользователям нарушение закона «О персональных данных»;
10. Внедрить систему технической защиты персональных данных;
11. Регулярно мониторить изменения законодательства о персональных данных. Вовремя корректировать политику, регламенты и бизнес-процессы.

Готовые решения от 1С-Битрикс

CMS «1С-Битрикс: Управление сайтом 17», а также коробочная и облачная версии CRM «Битрикс24» включают инструменты для быстрой перестройки каналов сбора данных под требования закона 152-ФЗ.

В главный модуль «1С-Битрикс: Управление сайтом 17.0.9» добавлен «Конструктор соглашений». На основе выверенного юристами шаблона, регистрационных данных компании и сценариев обработки в 4 шага создается уникальная политика обработки персональных данных. Там же настраиваются поля форм и контакты ответственного сотрудника. Одной процедурой можно привести в порядок все действующие и будущие формы. Например, регистрацию на сайте, оформление заказа, подписку на рассылки.

Запрос на обработку персональных данных при оформлении заказа

В «Битрикс24» теперь встроен шаблон «Согласие на обработку персональных данных» для CRM-форм и «Открытых линий».

При настройке шаблона в CRM-формах заполняются реквизиты компании и партнеров, получающих персональные данные для выполнения заказа. Чаще всего это бывают службы доставки и «Почта России». Чекбокс согласия можно выводить в двух вариантах: с заранее установленной галочкой или с пустым «квадратиком».

Сформированный из шаблона текст «Согласия»

Входя в чат «Открытых линий» «Битрикс24», посетитель сразу получает предупреждающее сообщение. Он видит, что продолжение разговора равносильно согласию на обработку персональных данных и может сразу же покинуть чат. Или начать общение, тем самым дав согласие.

Настройка «Битрикс24» под требования закона 152-ФЗ

«Битрикс24» хранит согласия на обработку и сами персональные данные в 2-х московских дата-центрах DataLine и Linxtelecom в соответствии с законом 152-ФЗ.

«WRP» решает проблему

Золотой сертифицированный партнер Битрикс, студия «WRP» предлагает легкую и быструю доработку сайта под требования закона «О персональных данных».

Закон требует, чтобы обработка персональных данных производилась на российской территории. «WRP» обеспечит миграцию сайта с зарубежного хостинга на российский. Эта услуга стоит от 10 000 рублей.

Сайты на студийном (самописном) движке или CMS с открытым кодом студия «WRP» поможет перенести на Битрикс. Миграция корпоративного сайта стоит от 70 тысяч рублей, интернет-магазина от 150 тысяч рублей.

Если администраторы сайта и CRM не справляются с настройкой форм и соглашений, то мы можем выполним эту работу удаленно или поможем консультациями. Стоимость техподдержки 3 000 рублей в час.

Берегитесь не грамотных специалистов !

Как обычно, объявилась масса охотников за легкими деньгами. Многие из них настолько некомпетентны, что даже на собственных сайтах не соблюдают закон. Например, вот лендинг из ТОПа рекламной выдачи Яндекса. Предлагает спасти от штрафов, подготовить сайт к 152-ФЗ. И что же?

Три нарушения закона «О персональных данных»

Хозяева сайта подставились под 3 штрафа сразу. Во-первых, предупреждение о сборе cookie не предлагает покинуть сайт в случае несогласия. Это обработка данных без согласия пользователя, штраф до 75 000 рублей. Во-вторых, форма неизвестно зачем содержит поле «телефон». Это нецелевая обработка данных, штраф до 50 000 рублей. В-третьих, не опубликована политика обработки персональных данных, штраф до 30 000 рублей. Итого 155 000 рублей.

Представляете, сколько проблем устроят своим клиентам такие «спасители»? Будьте внимательны и осторожны!