5 наиболее частых и серьёзных ошибок:
- Неуведомление Роскомнадзора о сборе персональных данных.
За редкими исключениями, вы должны уведомить Роскомнадзор в случае сбора вами персональных данных. Если у вас на сайте есть форма обратной связи, то вы уже оператор персональных данных и рискуете попасться на нарушении в случае неуведомления. Штраф за отсутствие уведомления для юр.лиц от 3 до 5 тыс. рублей.
- Отсутствие на сайте политики конфиденциальности
Первое, на что обращают внимание проверяющие органы, это наличие на сайте политики конфиденциальности — документа, который описывает общие принципы и подходы к обработке персональных данных в вашей компании.
Политика должна описывать цели сбора и обработки персональных данных, условия и место хранения этих данных, способы и методы защиты данных ваших пользователей и клиентов. В политике нужно указать ответственного за работу с персональными данными.
За отсутствие такой политики предусмотрен штраф от 10 до 20 тыс. рублей для ИП и от 30 до 60 тыс. рублей для юр.лиц.
Политику можно составить самостоятельно, либо воспользоваться готовыми шаблонами. Также рекомендации по составлению политики можно найти на сайте Роскомнадзора https://rkn.gov.ru/personal-data/p908/
- При отправке контактных данных через форму обратной связи на сайте не собирается согласие субъекта на обработку его персональных данных
Согласие на обработку персональных данных должно быть оформлено в виде отдельного документа и должно содержать в себе цели и задачи обработки предоставляемых данных, сроки обработки и список 3-х лиц, кому эти данные передаются. Согласие должно быть получено в прямой и понятной форме.
За обработку персональных данных без согласия субъекта юр.лицам придётся заплатить штраф от 30 до 150 тыс. рублей, а за повторное нарушение уже от 300 до 500 тыс. рублей для юр.лиц и от 100 до 300 тыс. рублей для ИП.
- Не ведётся реестр получения согласий
Довольно часто на сайте есть «галочка» или ссылка на согласие, но при нажатии на кнопку «отправить» факт получения согласия никак не фиксируется и через какое то время уже нельзя восстановить информацию, когда, с какого адреса и к какой версии документа было дано согласие. Это чревато риском невозможности доказать надзорному органу, что такое согласие было получено, а в случае обращения субъекта с вопросом «на основании чего вы мне шлёте рекламу?» будет сложно дать ему юридически грамотный ответ. За отсутствие своевременного ответа на запрос субъекта относительно его персональных данных можно получить штраф от 40 до 80 тыс. рублей для юр.лиц и от 20 до 30 тыс. рублей для ИП.
- Невыполнение требований к сбору персональных данных в интернете
Если вдруг окажется, что вы собираете и обрабатываете данные на серверах, хранящихся заграницей, например в Google таблицах или на серверах Amazon, то штраф за это может достигать от 1 до 6 млн рублей для юрлиц, а за повторные нарушения доходить и до 18 млн рублей. Лучший способ обезопасить себя от такого риска это хранение данных в ЦОД, которые имеют аттестат на соответствие требований приказа ФСТЭК. В 1opd.ru все данные хранятся в ЦОД Яндекс облако, что обеспечивает их качественное и безопасное хранение.
Очень важный момент про штрафы. Если вам вдруг пришлось столкнуться с проверкой Роскомнадзора или с жалобой субъекта, то штраф не означает, что вы можете после его оплаты расслабиться и забыть о факте нарушения. После штрафа вы получите предписание на исправление нарушений, выполнение которого будет контролироваться надзорным органом. Таким образом, выполнять требования закона всё равно придётся. Зачем же доводить до нарушений, если можно сразу всё сделать правильно и не беспокоиться о возможных рисках и ущербах. С помощью сервиса 1ОПД вы сможете быстро настроить качественную работу с персональными данными ваших пользователей и клиентов в течение 5 дней.
Информация о штрафах
