11 апреля 2017. Источники: Федеральный закон № 152-ФЗ, Федеральный закон № 13-ФЗ
Всем, у кого есть сайт! С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей
В феврале внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Они вступят в силу 1 июля 2017 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные.
Штрафы разделили по видам нарушений и увеличили в десятки раз. Например, если не разместить на сайте политику конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а компанию — на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юрлица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч. Если нарушений несколько, то и штрафов будет несколько.
Нужно срочно привести в порядок свои сайты. Проверки уже идут
Сейчас протоколы о нарушениях может выписывать только прокуратура. Штраф не зависит от вида нарушения и составляет для ИП или директора максимум 1000 рублей, а для юрлица — 10 тысяч рублей. Процедура занимает много времени, штрафы маленькие, поэтому проверяют редко и не всех.
С 1 июля выписывать протоколы будет Роскомнадзор — дело пойдет быстрее.
Как узнать, являюсь ли я оператором персональных данных?
Персональные данные — это любые данные о человеке, по которым его можно идентифицировать. В законе нет перечня таких данных, поэтому приходится догадываться самим. Например, по имени или логину нельзя понять, что это за человек, а по имени и телефону или имени и электронной почте — можно.
Основные понятия в законе о персональных данных
Скорее всего, вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:
· фамилию,
· имя,
· отчество,
· какой-то физический адрес,
· электронную почту,
· телефон,
· дату или место рождения,
· фотографию,
· ссылку на персональный сайт или соцсети,
· профессию,
· образование,
· уровень доходов,
· семейное положение.
Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, — это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения — это тоже обработка персональных данных.
А если я записываю телефон друга или электронную почту девушки на сайте знакомств, мне нужно соблюдать этот закон?
Нет, не нужно. На данные для личных и семейных нужд закон не распространяется. Но если передать телефон друга коллекторам или опубликовать объявление с почтой девушки на форуме женоненавистников — это уже нарушение.
Что регулирует закон и когда он не действует
Как правильно работать с персональными данными, чтобы не нарушить закон?
Как минимум нужно:
· получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
· публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
· запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
· использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
· сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
· удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
· хранить базы данных в надежном месте, защищать их от взлома и утечки;
· научить сотрудников работать с персональными данными;
· зарегистрироваться в Роскомнадзоре.
Условия обработки персональных данных
Что? Я должен еще где-то зарегистрироваться?
Да, по закону операторы персональных данных должны уведомить Роскомнадзор. Причем сделать это нужно до начала обработки данных или как можно скорее. Роскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу.
Реестр операторов персональных данных
Уведомление можно не подавать, если:
· обрабатываются только данные сотрудников;
· персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более — распространяться;
· человек сам опубликовал эти данные в общем доступе;
· у вас есть только ФИО клиента и больше ничего.
Уведомление на сайте Роскомнадзора
У меня есть сайт, и я получаю персональные данные. Что мне делать?
Если вы до сих пор ничего не сделали, то вы уже нарушаете закон и вас уже сейчас могут оштрафовать. Даже если ваш сайт обслуживает веб-студия или удаленный айтишник, штраф всё равно выпишут на ту компанию или ИП, которые указаны на сайте.
Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны на всех страницах. Это может быть пользовательское соглашение, как у «Ламоды», правила продажи, как у «Читай-города», официальное уведомление,как у «М-видео», политика конфиденциальности, как у «Рестора», «Адидаса» или«Озона». Можно прописать условия обработки персональных данных в обычном договоре или оферте, как это делает Сбербанк.
Не используйте чужие документы. Их можно взять для ориентира, но список данных и цели использования нужно прописывать свои. То, что нужно банку для оформления кредита или интернет-магазину для доставки товара, не понадобится для электронной рассылки или доски объявлений. Запрашивать ненужные данные — нарушение закона и повод для штрафа.
Реализуйте решение, которое позволит четко установить, что человек согласился на обработку персональных данных. Это может быть галочка в форме регистрации или предупреждение при оформлении заказа. Для надежности заверьте веб-страницы у нотариуса.
Подготовьте внутренние документы о хранении персональных данных и ответственности сотрудников, которые с ними работают. Приказы, регламенты и должностные инструкции не нужно выкладывать в общий доступ.
Если нужно, отправьте уведомление в Роскомнадзор. Если уверены, что уведомление отправлять не нужно, оформите документы так, чтобы это было понятно при проверке. Например, пропишите в политике, что используете персональные данные только для исполнения конкретного договора. Или укажите, что создаете ресурс, на котором данные размещаются в общем доступе по желанию пользователя.
Если не знаете, нужно ли вам отправлять уведомление, лучше отправьте.
Требования ФСТЭК к безопасности данных
Постановление правительства о защите данных
Это правда, что хранить персональные данные можно только на российских серверах? Если у меня хостинг в Европе, я нарушаю закон?
В законе много непонятного по этому поводу. С одной стороны, собирать, обрабатывать и хранить базы данных нужно на российских серверах. Но при этом есть отдельная статья про трансграничную передачу данных. На сайте Минкомсвязи опубликованы разъяснения по этому поводу, но в них тоже много противоречий.
ииИСами делайте выводы, где хранить данные. Если не знаете, что делать, отправьте запрос в Роскомнадзор или Минкомсвязи. Еще можно обратиться к своему хостеру: чаще всего у таких компаний есть готовые решения.
Кассовая техника должна быть на сайтах, принимающих онлайн-платежи!
С 1 июля 2017 вступают в силу поправки к ФЗ-54, в связи с чем у владельцев интернет-магазинов и всех тех сайтов, которые принимают электронные деньги за оплату товаров или услуг (будь то яндекс.деньги, вебмани, пейпал, оплата с помощью пластиковых карт и т.п.), могут возникнуть серьезные проблемы.
Напомним, поправки к 54-ФЗ предписывают онлайн-бизнесу начать использовать специальную кассовую технику (сокращенно ККТ) для отправки фискальных данных в налоговую в момент оплаты покупки. Даже если оплата идет через интернет!
И нет, платежные агрегаторы вроде Яндекс.Касс, Робокасс, Единых касс и любые другие, а также отдельно взятые системы электронных платежей, вроде Яндекс.Денег, вебмани и даже банки, через которые идет оплата по картам, и другие системы приема платежей за вас это не делают и не станут делать.
Прежде всего, определимся с терминологией
Онлайн-касса (ККТ) — специальный кассовый аппарат с фискальным накопителем, подключается к интернету, постоянно находится в онлайн и передает данные чека в ОФД.
ФН — фискальный накопитель — это устройство для шифрования и защиты фискальных данных. А фискальные данные – это сведения о расчетах, проводимых контрольно-кассовой техникой. Фискальный накопитель нужен, чтобы записывать и хранить фискальные данные, производить сверку документов, подтверждающих факт передачи фискальных данных в ОФД и обеспечивать конфиденциальность передаваемой информации. Меняется ФН каждые 13-36 месяцев, хранится после этого 5 лет.
ОФД — оператор фискальных данных — посредник между онлайн-кассами и налоговой, в задачи которого входит получение от ККТ пользователя каждого оформленного им чека в электронном виде и передача его в ФНС России. Поэтому теперь всем пользователям ККТ нужно будет обязательно заключить договор и с ОФД.
КЭП — квалифицированная электронная подпись, нужна для регистрации онлайн-кассы в налоговой через личный кабинет.
С 1 февраля 2017 ФНС ставит на учет лишь ККТ нового образца, которые должны быть подключены к интернету и соединены с ОФД. Т.е. владельцам офлайн бизнеса просто-напросто надо модернизировать кассы или купить новые онлайн-ККТ. Плюс обязательно приобрести новый фискальный накопитель ФН-1 (на сегодняшний день только он внесен в реестр разрешенных накопителей) и заключить договор с ОФД (лично мы советуем Первый ОФД).
Для успешного приема онлайн платежей владелец интернет-магазина должен приобрести фискальный накопитель. Зарегистрировать ФН через личный кабинет на сайте налоговой службы. Осуществить оплату аренды ККТ. Заключить договор на обработку фискальных данных с ОФД, интегрировать кассу с интернет-магазином.
Кто и в каких случаях обязан использовать ККТ?
|
Способ оплаты на сайте |
Использование ККТ |
Комментарии |
|
Яндекс.деньги, вебмани, qiwi, paypal, альфа-клик, сбербанк.онлайн, master.pass, оплата картой на сайте, rbkmoney, paymer, даже в том числе если оплата идет через платежный агрегатор |
Необходима ККТ нового образца, интегрированная с сайтом |
ККТ нужна, даже если платежи идут через Яндекс.Кассу, Platron, PayAnyWay, NetPay, Payture, PayKeeper, Payler, PayMaster, PayOnline, Единая касса Wallet One, CloudPayments, Робокассу или другой платежный агрегатор. |
|
Наличные, банковской картой курьеру (ваша служба доставки) |
Необходима ККТ нового образца (подключенная к интернету, взаимодействующая с ОФД), мобильные кассы |
Яндекс.Кассы (в случае, когда внедрен этот платежный агрегатор) советует выбирать Модуль.Кассы, если помимо этого способа есть другие, требующие интеграции с сайтом |
|
Наличные, банковской картой курьеру (сторонняя служба доставки) |
ККТ не нужна, чек пользователю и в ФНС выдает оператор при вручении товара |
Деньги за товар переводит курьерская служба на ваш счет по безналичному переводу |
|
Наложенный платеж при получении товара |
ККТ не нужна, чек пользователю и в ФНС выдает почта России или другой оператор при вручении товара |
Оператор переведет вам средства безналичным способом |
|
Безналичный расчет организациям и оплата по квитанции для частных лиц |
ККТ не нужна |
Безналичные переводы не требуют наличия ККТ. |
|
Терминалы, банкоматы, системы денежных переводов (связной, contact, евросеть) |
ККТ не нужна, в случае, если вам переведут деньги по безналу |
|
|
C баланса телефона |
Необходима ККТ нового образца, интегрированная с сайтом |
|
С 1 февраля 2017 ФНС ставит на учет лишь ККТ нового образца, которые должны быть подключены к интернету и соединены с ОФД. Т.е. владельцам офлайн бизнеса просто-напросто надо модернизировать кассы или купить новые онлайн-ККТ. Плюс обязательно приобрести новый фискальный накопитель ФН-1 (на сегодняшний день только он внесен в реестр разрешенных накопителей) и заключить договор с ОФД (лично мы советуем Первый ОФД).