Закон 152-ФЗ «О персональных данных»

06.07.2017

С 1 июля 2017 года вступают в силу поправки к федеральному закону 152-ФЗ «О персональных данных» и статью КоАП 13.11. Поправки охватывают все персональные данные пользователей и значительно увеличивают штрафы.

Для кого важен закон?

Всем у кого есть сайт и на сайтах которых посетители могут оставить любые данные, используя формы на сайте: сообщение в обратную связь, заявка на услугу, товар или обратный звонок, оформить заказ, оставить отзыв и т.п.

Роскомнадзор
Комментарий к определению персональных данных в 152-ФЗ:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Как видно определение очень расплывчатое, однако исходя из позиции судов и Роскомнадзора даже информация о местоположении и IP-адресе без указания ФИО являются персональными данными. Например, LinkedIn заблокировали в том числе и за использование данных сведений. Таким образом, есть вероятность, что даже наличие на сайте Яндекс.Метрики может подпадать под 152-ФЗ - Яндекс.Метрика получает всю эту информацию (и даже более), а Вы косвенно им (то есть третьим лицам) передаёте.

Ответственность

В данный момент в ст. 13.11 КоАП указано только одно нарушение со штрафом для юридических лиц от 5 000 — 10 000 рублей. В новой редакции их будет семь, а совокупный штраф может составить 300 000 рублей. Например, отсутствие политики обработки персональных данных в общем доступе на сайте может обойтись юридическому лицу в 30 000 рублей.

Штраф до 75 тыс. руб.

Как избежать штрафов?

Так как на физ. лица налагаются меньшие штрафы, многие думают, что при проверке можно заявить, что сайт связан с физ. лицом, или ещё лучше - якобы их компания никакого отношения к сайту не имеет. Очевидно, что этого делать не рекомендуется. В так как если сайт посвящен коммерческой тематике, то Роскомнадзор сразу передаст данные Прокуратуре и это уже чревато уголовным делом, и еще более крупными штрафами.

Обязателен ли переезд на https с учетом поправок в 152-ФЗ?

В законе нет конкретного обозначения о том, как владелец сайта должен обезопасить личные данные пользователей. Среди практических рекомендаций встречается трактовка «защита информации при ее передаче по каналам связи (например, шифрование персональных данных при их отправке за "периметр" ИСПДн)».

Также на вопрос подключения сертификата шифрования данных влияет категория персональных данных. Согласно совместному приказу ФСТЭК/ФСБ/Мининформсвязи предусмотрено 4 класса ИСПДн - от К4 до К1.

Критически необходимо переходить на новый протокол всем сайтам, где есть информация первой и второй категории (К1-К2), которую могут перехватить (платежные данные, например). То есть для интернет-магазинов переход на https — в списке обязательных рекомендаций.

Читать про https подробнее: переход на безопасный протокол https.

Оформите заявку на сайте, мы свяжемся с вами в ближайшее время и ответим на все интересующие вопросы.

Вернуться к списку