відомості про професії, рівень освіти і доходів, сімейний стан;
отримані елементи cookie та інші метадані.
Виходить, поправки торкнуться всіх, хто збирає, записує, накопичує, зберігає, використовує і обробляє будь-які персональні дані користувачів.
Хто стежить за виконанням закону?
Чим загрожує порушення?
Сума штрафу може бути різною в залежності від конкретного порушення і від того, на кого накладається стягнення (ІП, фізична особа, юридична або посадова). Наприклад, якщо організація отримує дані користувача без його письмового дозволу, штраф за це для неї може становити до 75 000 рублів. Якщо не надати користувачеві інформацію про обробку його даних, то з ІП зажадають стягнення в розмірі від 10 000 до 15 000 рублів, а з організації - від 20 000 до 40 000.
Що потрібно зробити власнику сайту?
Встановити кнопку «Я згоден на обробку персональних даних» з посиланням на вашу політику конфіденційності, без натискання на яку користувач не зможе відправити свої дані.
Затвердити наказом політику конфіденційності. У цьому наказі повинен бути наведений перелік осіб, які безпосередньо займаються обробкою персональних даних, і вказано відповідальну особу, яка контролює виконання наказу і закону. З обома документами - наказом і політикою - потрібно ознайомити всіх співробітників компанії під розпис.
Прийняти внутрішній розпорядчий акт, в якому, грунтуючись на нормах законодавства про архівну справу, повинні бути розроблені і описані ваш бізнес-процес зберігання і передачі персональних даних, призначені відповідальні за цією справою особи, визначені їх обов'язки та повноваження. Тут же потрібно визначити терміни обробки персональних даних, терміни і порядок їх зберігання і знищення.
Надіслати повідомлення в Роскомнадзор (за цією формою) про те, що ваш сайт обробляє персональні дані користувачів. Не потрібно повідомляти РКН в тому випадку, якщо користувач оголошує свої дані загальнодоступними, якщо компанія збирає їх виключно для укладення та виконання громадянського договору, а також якщо збір і обробка даних не автоматизовані. Інших винятків немає.
Якщо компанія має доступ до персональних даних, власнику потрібно укласти з нею угоду, де буде зазначено, які дані, як і навіщо компанія обробляє і як захищає.
Поставити дисклеймер (найкраще на видному місці і в кожному розділі), який повідомить відвідувачів сайту, що для нормальної роботи сайту їх персональні дані обробляють, і якщо користувач залишиться на цьому сайті, то це автоматично вважається його згодою на обробку. Щоб не допустити цього, користувач повинен покинути сайт.
Цей список - тільки частина вимог РКН до компаній. З повним переліком можна ознайомитися тут.
Отже, резюмуючи вищесказане:
Щоб не отримувати штрафи, розробіть політику конфіденційності, покажіть її користувачеві і запитайте, чи згоден він з нею, поставивши для цього кнопку.