Рабочая система КПИ и штрафов
Показать полностью
2
0 просмотренных постов скрыто
Сделал рекламную рассылку и получил штраф 300 000 рублей - последствия неподачи уведомления в Роскомнадзор
С 30 мая 2025 года для многих предпринимателей это, к сожалению, может стать реальностью. В формате "вопрос - ответ" разобрал: кому не надо подавать уведомление, как избежать штрафов и что важно учесть при работе с персональными данными.
Меня зовут Михаил, я юрист и маркетолог, который больше 4 лет занимается юридическим сопровождением бизнеса и делюсь практическим советами в своем канале и здесь. Кстати, недавно опубликовал статью, которую каждый из вас может использоваться как чек-лист для юридической проверки своего бизнеса.
Но с ней можете ознакомиться потом, а сейчас возвращаемся к нашей теме.
1. Как понять, что я обрабатываю персональные данные?
К персональным данным относится любая информация, которая позволяет идентифицировать человека (статья 2 Конвенции, п.1 ст.3 ФЗ №152). К ней, как правило, относится: ФИО, дата и место рождения, адрес регистрации, образование, сведения о доходе, username.
Любая анонимная или обезличенная информация не является персональным данными. Например, сведения об автомобиле человека не относятся к персональным данным. Или указание адрес проживания без указания ФИО не является персональными данными, потому что не позволяют идентифицировать конкретного человека
Если у вас есть информация, которая позволят установить определенного человека - вы оператор персональных данных и обязаны подать уведомление.
2. Кому не надо подавать уведомление?
Если вы собираете персональные данные вручную, например, на бумаге вместо автоматизированных систем (сайт, CRM и т.п) - уведомление подавать не надо (пп.8 п.2 ст.22 ФЗ №152)
Есть еще два случая, которые предусмотрены в законе, но они относятся к государственным структурам, а не предпринимателям.
3. Считается ли автоматизацией, если сбор данных идет через формы?
Да. Если собираете данные через собственные формы, либо через Яндекс, через ботов и платежных форм - это все считается средствами автоматизации.
4. А если я продаю товары на маркетплейсах, надо ли подавать уведомление?
Да, надо. Вы как продавец заключаете с Wildberries оферту, по которой поручаете ему заключение договоров купли-продажи с покупателями, а также обработку их персональных данных в соответствии с соглашением.
При этом, несмотря на то, что обработкой занимается Wildberries - оператором персональных данных являетесь вы.
5. Будет ли проверка моего сайта после подачи уведомления?
Да, будет. Роскомнадзор проверяет соответствие данных указанных в уведомлении данным, которые содержатся у вас в Политике конфиденциальности.
Особое внимание будут уделять тому, было ли явно выражено согласие на обработку персональных данных или нет.
6. Как оформить согласие на обработку персональных данных?
Как правило, в платежной форме на сайте, интернет-эквайринг уже предусматривает чек-бокс с согласием на обработку. Согласие должно содержать все пункты, которые являются обязательными с точки зрения закона. Их можно посмотреть здесь - пункт 4 статьи 9 ФЗ №152
Но помните, что согласие на обработку персональных данных ≠ согласие на получение рекламной рассылки
Для каждой цели (обработка данных, направление рассылки) должно быть отдельное согласие.
Согласие может быть выражено в устной форме, либо путем направления вам персональных данных (например, для оказания консультации в личной переписке).
7. Где расположить согласие на получение рекламных рассылок?
Любое согласие должно быть конкретным, предметным, информированным и выражать свободную волю лица. Поэтому размещать следует на видном месте.
Как правило, в чек-боксе платежной формы, либо в отдельных формах, где указывают персональные данные (ФИО, адрес электронной почты, номер телефона)
8. Что надо сделать перед подачей уведомления, чтобы не получить дополнительные штрафы?
Проверьте свой сайт или политику конфиденциальности. Обязательно укажите цели и способы обработки, срок хранения и порядок уничтожения персональных данных.
В политике конфиденциальности укажите способы с помощью которых клиент может отозвать, изменить или удалить свои персональные данные из обработки.
Проверьте чек-боксы в формах обратной связи на наличие согласия с ознакомлением с Пользовательским соглашением и Политикой конфиденциальности.
Укажите на сайте ваши реквизиты (ИП, ООО, самозанятый) и всю необходимую документацию (оферта, политика конфиденциальности, согласия, лицензии)
9. Нужна ли политика обработки персональных данных (политика конфиденциальности), если все данные получаю только в переписке?
Да, нужна. Как правило, она является приложением к договору с Клиентом, либо отдельным разделом.
Единственное, что поскольку данные не собираются с помощью автоматизированных систем, то подавать уведомление в РКН не надо
10. Надо подавать одно или несколько уведомлений, если на сайте много форм обратной связи?
Уведомление подается одно, потому что с помощью него вы встаете лишь в реестр операторов. В самом уведомлении указываете просто разные цели обработки (для каждой формы) и правовое основание.
11. Как подать уведомление?
В электронной форме через сайт РКН
В бумажном виде предварительно заполнив форму уведомления на сайте и распечатав ее.
Главные ошибки при заполнении уведомления
Цели обработки не соответствуют тем, для которых вы ее фактически осуществляете. Например, пишете, что для ведения кадрового учета, но фактически еще делаете информационную рассылку клиентам
Не указывают в правовых основаниях оферту, политику конфиденциальности
Указывают не полный перечень персональных данных
Отсутствует адрес нахождения базы данных, где хранятся персональные данные. Если основной сбор происходит через платежную форму - адрес дата центра интернет-эквайринга, либо других систем через которые осуществляете продажу (например, getcourse)
Что делать сейчас?
Проведите полный юридический аудит своего бизнеса и документации для минимизации рисков и штрафов.
Для этого предлагаю сохранить статью и еще раз ознакомиться с юридическим чек-листом, который я составил для вас - 5 юридических ошибок из-за которых вы потеряете весь онлайн-бизнес
Показать полностью
Штрафы за утечку персональных данных
Депутаты Государственной Думы приняли в первом чтении поправки в Кодекс об административных правонарушениях и Уголовный кодекс об усилении ответственности за утечку персональных данных.
«Информационные технологии вошли в нашу жизнь, касаются уже каждого человека, каждой семьи. Вместе с этим возросли и риски: участились случаи, когда персональные данные попадают в руки мошенников. К нам обращаются граждане с просьбой решить эту проблему. Проводил опрос на эту тему в своем ТГ-канале — абсолютное большинство высказалось за необходимость усиления наказания за утечку персональных данных», — сказал Председатель ГД Вячеслав Володин.
«Принятые сегодня законопроекты вводят оборотные штрафы для компаний, допустивших утечку личной информации граждан. Они будут составлять до 3 % выручки. Кроме того, предусмотрена уголовная ответственность», — сказал Вячеслав Володин.
«За нарушение, допущенное впервые, должностных лиц могут оштрафовать на сумму до 2 млн рублей, юридических — до 15 млн. Размеры штрафов дифференцированы в зависимости от масштаба утечек, — пояснил Председатель ГД. — Одновременно вводится уголовная ответственность за использование, передачу, сбор и хранение персональных данных, полученных незаконным путем, а также за создание информационных ресурсов, распространяющих такие данные. Максимальный срок лишения свободы — до 10 лет. Справедливое наказание за преступление, которое может в буквальном смысле разрушить жизнь человека».
Появится административная ответственность за отказ заключать и исполнять договоры, а также предоставить государственные или муниципальные услуги, если гражданин не хочет проходить идентификацию или аутентификацию с помощью биометрических данных.
Вступает в силу с 30 мая 2025.
Показать полностью
Кнопка добра на светофоре :-)
Показать полностью
1
Лей, не жалей. Всё больше персональных данных в свободном плавании
В России пытаются оценить количество слитых персональных данных за 2024 год. Цифры от разных источников отличаются кардинально.
Компания T.Hunter предполагает, что за девять месяцев года могло быть скомпрометировано около 1,5 млрд строк информации, из которых 96% составляют персональные данные россиян.
InfoWatch насчитали 370 утечек, содержащих 860 млн записей.
Эксперты F.A.C.C.T. сообщают о 210 крупных инцидентах, затронувших 250 млн строк.
Самые скромные оценки у Роскомнадзора - 110 зафиксированных случаев. Впрочем, ведомство включает в свои отчёты только те инциденты, по которым были начаты расследования.
С прошлого года в Госдуме завис закон об ужесточении наказания за утечку персональных данных. В первоначальной редакции он предполагал весьма суровые штрафы, вплоть до 500 млн рублей с оборота для юрлиц и до 15 млн для ИП за особо крупные утечки.
Однако такие штрафы были признаны слишком большими и в новой редакции закона уже уменьшены в разы.
(Запрещенный на территории РФ Facebook со своим штрафом в 5 млрд долларов от FTC США с нежной тоской смотрит на «огромные» российские штрафы).
Показать полностью
Эффективные менеджеры постарались
Показать полностью
3
Что делать, если руководство пытается ввести систему штрафных баллов?
Показать полностью
7
AutoCAD сломался в РФ; штрафы (?) для элетросамокатчиков
Посмотрели мы командой статистику по новостым постам и стало грустно. Поэтому держите эксперимент -- подборка коротких новостей, раз длинные тексты не заходят.
Затравочка - AutoCAD сломался в РФ. Наслденик Узи Ниссана вернул Nissan.com и Nissan.net. Компьютерный клуб у РЖД. Количество компьютерных клубов превысило число кинотеатров. Штрафы (?) для элетросамокатчиков.
1. AutoCAD сломался в РФ.
Сломались и лицензионные, и пиратские версии AutoCAD с 2019 по 2022. Компания в одностороннем порядке удаленно отключила все лицензии на территории РФ. Решение блокируем доступ к сайту genuine-software2.autodesk.com.
2. Суд вернул доменные имена Nissan.com и Nissan.net наследникам Узи Ниссана.
Узи начал судиться с Nissan с 1999 и потратил более $3 млн. Суд встал на его сторону из-за фамилии. В 2020 Узи умер от COVID 19. Его наследники подали иск в 2023 году, сообщив, что доменные имена похитили. И выиграли его.
3 РЖД открыл игровой клуб на Павелецком вокзале.
Прекрасно, теперь можно убить время, пока ждешь поезд.
4 Количество компьютерных клубов превысило число кинотеатров.
В догонку к РЖД. Клубов стало 2700, а кинотеатров 2294. Думаю, это связано с удорожанием комплектующих для пк. Больно уж кусаются цены на видеокарты.
5 Штрафы (?) для элетросамокатчиков.
В Госдуму внесен законопроект о введении штрафов за различные нарушения при управлении велосипедами, электросамокатами.
Пока только внесен, а не принят, поэтому пропускаем и ждем принятия. Но предлагают штрафы за превышение скорости, нарушение ПДД, ДТП. Сразу вопрос, как они будут фиксировать и выписывать штрафы.
Пока все на сегодня.
Показать полностью