Чем ближе лето, тем чаще на форумах и в СМИ вспоминают закон «О персональных данных». Он принят больше десяти лет назад, но с июля наказание за его нарушение значительно ужесточается. Проще говоря, опасность нарваться на штраф в десятки тысяч рублей становится вполне реальной для каждого, кто держит веб-сайт — от отдельных граждан до юридических лиц.

Но вот что осталось незамеченным, так это то, что и должностные лица тоже под ударом. А пострадать они могут прежде всего за муниципальные сайты, не соответствующие требованиям закона в плане обработки персональных данных посетителей. Поэтому давайте разберёмся, где может крыться проблема и как не предотвратить наказание.

Прежде всего: что такое персональные данные? Федеральный закон 152-ФЗ (последняя редакция от февраля текущего года) причисляет к таким данным любые сведения о физическом лице, позволяющие его идентифицировать. Цитирую по тексту: «фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, и другая информация».

Формулировка, как видите, незавершённая, поэтому (на всякий случай) сюда принято добавлять ещё и фотографию, и адрес страницы в социальной сети, либо адрес персонального сайта.


Почему с такими данными следует обращаться осторожно? Потому что их утечка чревата последствиями для того самого лица. Завладев ими, например, злоумышленник может попытаться выдать себя за другого человека: это весьма распространённое в развитых странах преступление, называемое «кражей личности». Но и предприниматели, если их не ограничивать, начнут использовать такие сведения к своей выгоде: скажем, для рекламы.

В общем, в информационную эпоху персональные данные — взрывоопасный материал. И чтобы предотвратить взрыв, нужен закон, регулирующий их употребление. Таким и стал №152-ФЗ. Вот самые важные его пункты. Сторона, собирающая персональные данные (ПД), обязана:

Явно описать, как именно будут использоваться полученные от гражданина ПД. Спросить разрешения гражданина на обработку, хранение и (возможно) передачу его ПД третьей стороне. По запросу гражданина предоставлять ему сведения о том, какие ПД собраны и как использованы, а также корректировать их или уничтожать. Защищать ПД от несанкционированного доступа. Не использовать их не по назначению. Обезличивать при необходимости.

Собственно, закон требовал этого и раньше, но в контроле за его исполнением были слабые места: штрафы были небольшими, а контроль возлагался на прокуратуру, ограниченную во времени. Однако нынче зимой были приняты поправки к Кодексу об административных правонарушениях, сильно изменившие механизм контроля за исполнением 152-ФЗ.

Принципиальных перемен две. Во-первых, штрафы резко (в разы!) увеличены. Во-вторых, право фиксировать нарушения получил ещё и Роскомнадзор, у которого есть и время, и силы, и опыт, и, главное, стимул преследовать нарушителей. Поэтому появилась реальная угроза того, что как только поправки вступят в силу (а случится это 1 июля 2017 года), штрафы, особенно на интернет-предпринимателей, посыплются как из рога изобилия.


Впрочем, повторюсь, для нас важно, что и государственные и муниципальные служащие тоже закону подчинены. И суммы фигурируют серьёзные: за нарушение каждого из озвученных выше пунктов ответственное должностное лицо может быть оштрафовано на сумму вплоть до двадцати тысяч рублей. Так что сейчас самое время вспомнить, строили ли вы муниципальный сайт и если да, проверить, удовлетворяет ли он следующим условиям.

1. На сайте должно иметься ясное описание того, какие персональные данные и с какой целью собираются. При этом важно, чтобы вы написали именно про те данные, которые собираетесь накапливать. Не используйте описание, скопированное у коллег: у них может быть своя специфика.

2. Перед тем, как сообщить вам персональные данные, пользователь должен явно подтвердить согласие на их сбор и обработку. То есть как минимум поставить «галочку» напротив предложения «Даю согласие на обработку своих персональных данных». Можно включить этот пункт в пользовательского соглашение, предъявляемое на этапе регистрации.

3. Перепроверьте, действительно ли собираемые вами пользовательские данные необходимы для заявленных вами целей? Например, информация о доходе гражданина не нужна, чтобы допустить его на форум, где обсуждаются новости.

4. Оцените, как хранятся пользовательские данные: как минимум они не должны быть доступны посторонним. Возможно, разумным будет привлечь подрядчика, который специализируется на безопасном хранении данных.

5. Будьте готовы по запросу пользователя сообщить ему, как данные на него собраны и как используются. Будьте готовы корректировать их или удалять по требованию того же пользователя.

Перечисленного здесь должно хватить, чтобы не налететь на штраф с ходу. Но правильным вариантом будет всё-таки привлечь штатного юриста: изучить закон 152-ФЗ и уточнить рекомендации конкретного для вашего муниципального сайта. Не недооценивайте проблему и не сомневайтесь: персональные данные уже стали и навсегда останутся одной из самых болезненных точек в интернет-проблематике. Внимание им должно уделяться соответствующее.

P.S. Использована графическая работа Лео Идальго.

Если вам понравилась статья - порекомендуйте ее своим друзьям, знакомым или коллегам, имеющим отношение к муниципальной или государственной службе. Нам кажется, что им это будет и полезно, и приятно.
При перепечатке материалов обязательна ссылка на первоисточник.