Это о персональных данных нужно знать всем (152-ФЗ)
В настоящее время статья 13.11 КоАП (Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)) предполагает штраф для физлиц от 300 до 500 руб., для должностных лиц – от 500 до 1 тыс. руб., для юрлиц – от 5 до 10 тыс. руб.
Минкомсвязи предлагает повысить штрафы за нарушение правил обработки персональных данных в 30 раз – с 10 тыс. руб. до 300 тыс. руб. При этом Роскомнадзор получит право самостоятельно, без привлечения прокуратуры, составлять акты по нарушениям, связанным с персональными данными россиян.
Так же стоит помнить о том что в начале июля 2014 года Госдума приняла поправки к закону О персональных данных, где прописан запрет на хранение любых персональных данных россиян за пределами России. Закон вступает в силу с 1 сентября 2016 года.
Законопроект обязывает интернет-оператора (им могут быть, в том числе, крупнейшие социальные сети, онлайн-магазины, сервисы по бронированию и т.д.) обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных россиян в базах данных информации, размещенных на территории России.
Тем временем многие владельцы проектов думают что это всё "не про нас", "да всем насрать" и тд.
30и кратное повышение штрафов - хороший стимул проверить соответствие проектов законодательству.
Персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу. Другими словами, это любая информация, которая позволяет уникально идентифицировать физическое лицо.
Например, номер телефона, ИНН позволяют уникально идентифицировать физлицо, в то время как ФИО не является персональными данными (152-ФЗ, ст.22 ч.2 п.5), т.к. не позволяет уникально идентифицировать физлицо, а вот ФИО+адрес уже является. Если конечно на адресе не проживает более одного физлица с идентичным ФИО.
Даже если твое имя уникально (есть уверенность) и ты подаешь иск в суд на кого-то, кто без согласия использует твое ФИО, суд попросит взять справку из всех возможных ФМС, дабы доказать уникальность ФИО ;-)
Если на сайте существует возможность регистрации и заполнение профиля клиента, вот что нужно сделать:
1. Добавить в свои правила использования сервиса положения о целях сбора персональных данных, а так же состав хранимых персональных данных. При этом нужно указать своё полное название, адрес, реквизиты, т.е. идентифицировать Оператора персональных данных;
2. При регистрации уведомить пользователя о том что регистрируясь он принимает условия использования сервиса. В соответствии со ст.6 ч.2 п.2 152-ФЗ в этом случае письменное согласие на обработку персональных данных не требуется;
3. Если нужно рассылать клиентам предложения товаров и услуг, нужно добавить пункт в правила "Подписанием настоящего Договора Заказчик подтверждает свое согласие на получение от Исполнителя рекламных материалов об услугах и акциях Исполнителя и его партнеров.";
4. Уведомить Роскомнадзор о намерении обрабатывать персональные данные:http://pd.rkn.gov.ru/operators-registry/notification/form/
5. Предоставить возможность клиенту запрашивать его хранимые персональные данные в удобной форме, а так же предусмотреть возможность уничтожения персональных данных по запросу клиента (например кнопка "Удалить мой аккаунт").
Эти простые действия позволят оставаться в правовом поле и дать аргументированный ответ на возможные запросы контролирующих органов.
Если ведется обработка специальных категорий персональных данных, нужно внимательно изучить 152-ФЗ, в частности, статью 10. Обратиться в специализированные компании за аудитом и получить акт соответствия требованиям 152-ФЗ.