Многие каналы трубят о новом законе про персональные данные, который ужесточили в конце лета 2022 года.
Но под «новым законом» имеют в виду Федеральный Закон №266-ФЗ, который, на деле не новый, а обычные правки в уже имеющийся Федеральный закон №152-ФЗ.
Но правки в законе довольно серьезные, а за нарушение некоторых пунктов придется заплатить крупный штраф.
Если вы собираете, храните и используете персональные данные о ваших клиентах и трафике, то советуем прочитать материал, чтобы не оказаться потом в неприятной ситуации.
Какие данные считаются персональными?
Начнем с определения персональных данных, согласно закону — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. Фамилия, имя, отчество, число, месяц и год рождения, семейное положение, образование — все это ПД, которые нужно правильно собирать, передавать и хранить.
Кстати, номера телефонов, адрес проживания клиентов и электронная почта — это тоже персональные данные.
Собираете на лендинге ФИО и номер для звонка КЦ — закон про персональные данные для вас. Собираете на прелендинге дату рождения и имя, чтобы продать платный гороскоп? Поздравляем — этот закон тоже про вас.
Самые высокие ставки по RU, BY, KZ от прямого рекламодателя FONBET PARTNERS!
К заливам!
Пункт про согласие, обработку и хранение персональных данных, должны иметь все сайты, где есть сбор этих самых данных. Если вам сильно не повезет и кому-то, например, очень не понравится средство от потенции, то можно влететь на штраф, если покупатель пожалуется на вас в РКН.
Что изменилось в законе о персональных данных
Главное изменение — добавились случаи, когда информацию об обработке данных нужно подавать в Роскомнадзор. Теперь проще назвать, в каких случаях об этом писать в РКН не надо:
- Если вы работодатель и обрабатываете данные своих сотрудников;
- Если вы получили данные в рамках договора, где одна из сторон — субъект персональных данных. При этом вы не можете никуда передавать эти данные;
- Если вы собираете с пользователей только ФИО;
- Если данные нужны, чтобы оформить однократный пропуск на закрытую территорию;
- Если персональные данные обрабатываются вручную.
Во всех других случаях нужно уведомлять РКН. Даже если вы собираете адреса электронной почты в лид-магнитах, теперь по закону вы должны написать заявление в Роскомнадзор. (прим. с 2019 года номера мобильных телефонов и адреса электронной почты — это персональные данные).
Также у операторов персональных данных появились новые обязанности. Оператор должен:
- Взаимодействовать с государственной системой обнаружения с целью предупреждения и ликвидации последствий от хакерских атак;
- Сообщать об утечках ПД.
Причем сообщить об утечке нужно в течение 24 часов. Но нужно непросто написать, что данные были получены третьим лицам, но и сообщить о причинах утечки, людях, которые, возможно, получили данные и мерах, принятых для предотвращения последствий.
Кстати, политика обработки персональных данных теперь должна находиться на той же странице, где собираются ПД.
И это еще не все, с 2023 года будут действовать положения о трансграничной передаче ПД. Теперь РКН будет утверждать страны, которые обеспечивают адекватную защиту персональных данных. А оператор персональных данных должен уведомить РКН, что собирается передать ПД лицу, находящемуся в другом государстве. Роскомнадзор, в свою очередь, может запретить или ограничить передачу данных.
Зачем это все нужно?
Если верить данным аналитического центра InfoWatch, то лишь за первые полгода 2022 года в России насчитали 305 утечек персональных данных. Это на 45,9% больше, за первое полугодие 2021 года. При населении 145,5 миллиона человек только в этом году в открытом доступе оказались более 230 миллионов записей с персональными данными россиян.
Причем утечки были и у Яндекса, и у DNS, и у Delivery, и даже у банков — проще назвать фирмы, где ПД не попали в руки третьих лиц. Даже Госуслуги не смогли сохранить данные Россиян, и базу продают в даркнете.
Ужесточение закона должно привести к тому, что за данными пользователей будут следить лучше, а утечек должно стать меньше.
Ответственность за неправильный сбор, хранение, передачу и обработку персональных данных
Наказание по этой статье ужесточилось еще в 2017 году. Теперь за нарушения можно получить штраф до 500 000 рублей. Первые рейды уже начались, например, в Приморье провели проверку интернет-магазина и нашли нарушения.
Эксперты считают, что штрафы могут быть пересмотрены в сторону более жестких наказаний. Например, могут посмотреть на опыт западных стран, где за утечку персональных данных можно сесть в тюрьму.
Итог
Закон о персональных данных все еще касается маркетологов и арбитражников, которые собирают данные клиентов на своих лендингах и прелендингах. Будут ли штрафовать обычного арбитражника из Перми? Вряд ли, если кто-то целенаправленно не пожалуется на вас и ваш сайт.
Но тем, кто имеет крупные порталы, на которых собираются персональные данные, советуем внимательно изучить новые требования, чтобы избежать возможных проблем.
Подписывайтесь на наш Telegram-канал по ecommerce-нише, где мы делимся свежими новостями из сферы и публикуем интересные кейсы!
