Как избежать штрафов по 152-ФЗ при сборе фан-базы исполнителя

Антонина Дворецкая — о том, зачем и как регистрироваться в качестве оператора персональных данных, чтобы избежать штрафов при сборе фан-базы.

Автор: Егор Ревенга
7 лет Ago

152 фз для музыкантов, 152-фз для музыкантов, 152-фз для музыкальных групп, 152 фз регистрация в роскомнадзоре, 152 фз кому регистрироваться, 152-фз для исполнителей, как избежать штрафов по 152-фз, избежать штрафов по 152-фз, регистрация в качестве оператора персональных данных, как зарегистрироваться как оператор персональных данных, оператор персональных данных инструкция по регистрации, 152фз инструкция по регистрации, надо ли регистрироваться по 152-фз, надо ли регистрироваться как оператор персональных данных

1 июля 2017 года в силу вступают поправки к Федеральному закону «О персональных данных» 152-ФЗ. Обновленный закон вводит новые нормы работы с персональными данными, обязует владельцев сайтов зарегистрироваться в Роскомнадзоре, а также изменяет сумму штрафов для тех, кто не соблюдает законодательство.

Основательница посвященного продвижению музыкантов сообщества «Реклама концертов. Продвижение артистов» Антонина Дворецкая рассказывает, как поправки к закону затронут музыкальные коллективы и как избежать штрафов.

Антонина Дворецкая (фото — страница Антонины в «ВКонтакте»).

Поправки к закону 152-ФЗ «О персональных данных», вступающие в силу с 1 июля 2017 года, регулируют ответственность в области сбора, хранения и обработки персональных данных. Новая редакция затрагивает владельцев всех сайтов и Интернет-площадок — если ваш ресурс в каком-либо виде собирает персональные данные пользователей через формы регистрации, подписки и обратной связи, то вы обязаны зарегистрироваться в качестве оператора персональных данных.

Может сложиться впечатление, что поправки к закону никак не затрагивают деятельность музыкантов, но это не так. Любой музыкальный коллектив или отдельный исполнитель, на сайте которого есть возможность регистрации, подписки на рассылку или покупки музыки, также обязан зарегистрироваться в реестре Роскомнадзора. Несоблюдение закона обернется штрафами, чей размер может составлять до 290 000 рублей.

Как было раньше:

Штраф могли взять только один раз;
Для физических лиц максимальный штраф составлял 500 рублей, для юридических лиц — 10 000 рублей;
Протоколы составляла прокуратура, не проявлявшая в этом никакой особой инициативы.

Как будет теперь:

Штрафы разделили по видам нарушений, теперь за каждое нарушение накажут отдельным штрафом;
Если на сайте нет «Политики конфиденциальности», в форме подписки нет фразы о согласии на обработку данных и нет ссылки на «Политику конфиденциальности» — это три разных нарушения, каждое наказывается штрафом;
Для физических лиц максимальный совокупный штраф может составить 15 500 рублей, для юридических — 290 000 рублей;
Протоколы будет составлять Роскомнадзор, известный своей кипучей активностью.

Считает ли вас закон оператором персональных данных?

Если вы разместили на сайте форму подписки на рассылку и собираете адреса почты для своей фан-базы — да, вы оператор персональных данных.

А также:

Если на вашем сайте нужно зарегистрироваться, чтобы написать комментарий к статье — вы оператор персональных данных;
Если на вашем сайте есть форма обратной связи или кнопка заказа обратного звонка — вы оператор персональных данных;
Короче говоря, если вы имеете дело с информацией, позволяющей прямо или косвенно идентифицировать конкретного человека, вы — оператор персональных данных.

Что нужно сделать

Составить правила

Составить и опубликовать на своем сайте правила, которыми вы руководствуетесь при обработке персональных данных («Политика конфиденциальности»). Вы можете взять за образец примеры с других сайтов или воспользоваться моим шаблоном для музыкальных коллективов.

Для юридических лиц: выпустить приказ о назначении ответственного за работу с персональными данными сотрудника

Если вы юридическое лицо — выпустить приказ о назначении конкретного сотрудника ответственным за работу с персональными данными и составить регламент.

Разместить текст о согласии с обработкой данных

Разместить под каждой формой ввода данных на сайте и в мобильном приложении текст «Нажимая на кнопку (тут название кнопки), я даю согласие на обработку персональных данных в соответствии с „Политикой конфиденциальности“», где «Политика конфиденциальности» является активной ссылкой на страницу, где размещен этот документ.

Уведомить Роскомнадзор о том, что вы обрабатываете персональные данные

В подготовленной основателем блога yaroslavmiroshnikov.ru Ярославом Мирошниковым инструкции отмечается, что процедура регистрации довольно проста. При этом Мирошниченко говорит, что порядок действий получен им от одного из сотрудников Роскомнадзора.

Как и налоговая с 54-ФЗ, так и Роскомнадзор с новым законом не знает как его реализовать на практике, и как все должно быть организовано правильно (особенно что касается передачи данных за рубеж). Ясно лишь одно — если не зарегистрироваться, то будут штрафы.

— Ярослав Мирошников, yaroslavmiroshnikov.ru

Что нужно сделать, чтобы зарегистрироваться в качестве оператора персональных данных

Для подачи заявления можно воспользоваться сайтом Роскомнадзора или порталом Госуслуг. Подать заявление можно как от юридического лица (ООО или ИП), так и физического.

Подача заявления через сайт Роскомнадзора

Зайти на страницу подачи заявления на сайте Роскомнадзора;
Заполнить заявление и отправить его;
Распечатать и подписать заполненное заявление;
Отравить заполненное заявление в ближайший филиал Роскомнадзора обычной почтой;
Ждать приглашения от Роскомнадзора для внесения в реестр.

Подача заявления через Госуслуги

Зайти на Госуслуги (если у вас нет аккаунта, то его нужно завести);
Вбить в поиск слово «Роскомнадзор», выбрать предложенный государственный орган;
Выбрать строчку «Ведение реестра операторов, осуществляющих обработку персональных данных»;
Выбрать «Внесение сведений об операторе в реестр операторов, осуществляющих обработку персональных данных»;
Выбрать «Электронная услуга»;
В первом пункте пошаговой инструкции сайта выбрать «Заполнить заявление»;
Заполнить заявление;
Отправить заявку и ждать ответа.

Форма подачи заявления на сайте Роскомнадзора

Что писать в полях заявления на внесение в реестр операторов персональных данных?

Заявление на регистрацию большое. Помимо собственных данных (ФИО, серия и номер паспорта, СНИЛС и т.д.), в тексте нужно рассказать о том, как и для чего собирается информация, и куда она отправляется.

Правовое основание обработки персональных данных

В этом пункте заявки нужно рассказать, на основании каких законов вы собираетесь обрабатывать персональные данные.

Руководствуясь Конституцией Российской Федерации; Трудовым кодексом Российской Федерации (Федеральным законом от 30.12.2001 № 197-ФЗ); Гражданским кодексом Российской Федерации; Налоговым кодексом Российской Федерации; Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»; Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Юридические лица также должны дописать:

Федеральным законом от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»; Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»; Свидетельство о государственной регистрации физического лица в качестве индивидуального предпринимателя №ВАШ НОМЕР ОГРН/ОГРНИП от 10.03.2016

Цель обработки персональных данных

Для чего оператор персональных данных занимается их обработкой.

C целью обработки, регистрации сведений, необходимых для оказания услуг в области образования и маркетинга. Для информирования пользователей о рекламных предложениях и акциях. Для подготовки образовательных материалов, а также для индивидуальной подачи материалов в обучающей email-рассылке, информационной email-рассылке и в статьях на сайте. Для выполнения договорных обязательств (например: ФИО и адрес для доставки оплаченного товара).

Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»

В этом пункте необходимо указать, какие меры по защите персональных данных приняты будущим оператором. Прочитать о существующих мерах можно в статьях 18.1. и 19 152-ФЗ.

По Статье 18.1.

1) Ответственное лицо назначено; 2) Документация составлена, и издана; 3) Технические меры обеспечения подготовлены и применены (например использование Сертификатов Безопасности, для подключения к Сайту по https протоколу); 4) Внутренний контроль и аудит мер обеспечения безопасности проводится, и будет проводиться регулярно; 5) Вред в случае нарушения ФЗ — оценён, ущерб будет минимальный, меры предотвращения подготовлены; 6) Работники ознакомлены;

По Статье 19.

Угрозы определены; Меры противодействия нарушению закона определены и применены; Контроль и учёт машинных носителей ведётся; Меры обнаружения и контроля за безопасностью данных — применены; Хранение сведений (базы данных) организовано на электронных носителях с паролем, на бумажных носителях — в сейфе. Средства обеспечения безопасности: пароли, строгое разграничение доступа, использование средств антивирусной защиты.

Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ

В этом пункте нужно указать, какими методами осуществляется безопасность персональных данных.

Использование только легального лицензионного ПО; Использование подключений по защищённым протоколам к сайтам и базам данных; Хранение ключей-доступов к сайтам и базам данных в защищённом зашифрованном хранилище, с ограниченным доступом; Утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; В соответствии с постановлением Правительства от 15.09.2008 № 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, локальными актами установлены места хранения персональных данных и перечень лиц осуществляющих обработку персональных данных.

Дата начала обработки персональных данных

Здесь можно указать дату открытия сайта или примерную дату запуска информационной рассылки, то есть тот день, когда на сайте появилась форма подписки на рассылку.

Если заявка подается от имени юридического лица, можно поставить дату регистрации своего ИП или ООО.

Срок или условие прекращения обработки персональных данных

Если вы не планируете отказываться от рассылок и других видов взаимодействия с данными пользователей, пишите о прекращении деятельности или закрытии сайта. Также сообщите о возможности пользователей в любой момент отказаться от предоставления своих персональных данных.

Прекращение деятельности ИП/ООО (для юридических лиц); Удаление сайта; Закрытие сайта; Сообщение предоставившего персональные данные, отправленное по email, почте, в личные сообщения в социальной сети о том, что он не желает более предоставлять свою персональную информацию и хочет её удалить, или нажатие на специальную кнопку в письме отправленному по email, которое мгновенно приведет к удалению персональных данных в Базе Данных;

Сведения об информационной системе

Пункт подразумевает описание информационной системы, на которой работает сайт. В большинстве случаев можно написать «Своя» или же заполнить данные по подсказкам сайта Госуслуг.

Если сайт работает по протоколу HTTPS, укажите метод шифрования КС2 — он подходит лучше других.

Категории персональных данных

В этом пункте заявление предлагает выбрать, с какими пользовательскими данными вы работаете. Ставьте галочки или пишите те виды информации, которые пользователи могут оставлять на сайте: ФИО, адрес электронной почты, номера телефонов, платежных документов и т.д.

Выбор категорий персональных данных при заполнении заявления на сайте Роскомнадзора

Категории субъектов, персональные данные которых обрабатываются

При работе с поклонниками, достаточно написать «Физические лица (пользователи сайта)».

Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных

Пункт чем-то похож на описание целей обработки персональных данных. Укажите, что персональные данные нужны для информирования пользователей об акциях, рекламных материалах и ближайших мероприятиях через электронную почту.

Обработка вышеуказанных персональных данных будет осуществляться путем…

Если подписка автоматизирована (вы используете различные сервисы рассылок), ставьте «Автоматически». Если база собирается в файл или таблицу Excel, лучше указать, что обработка ведется вручную или смешанным путем.

Осуществление трансграничной передачи персональных данных

Трансграничная передача — это пересылка личных данных пользователей за территорию Российской Федерации. Тем, кто использует зарубежные сервисы рассылок, нужно указать, в какую страну отправляется информация. К примеру, пользователи популярного сервиса MailChimp могут смело указывать в графе «США». Если используете другой зарубежный сервис — укажите его страну-происхождения или место расположения серверов. Найти такую информацию можно в Интернете.

Если рассылку вы осуществляете самостоятельно, то заполнять пункт о трансграничной передаче не нужно.

Тем не менее, есть сведения, что Роскомнадзор пока что сам не разобрался в принципах работы и регулирования трансграничной передачи данных. Мирошников отмечает, что в Роскомнадзоре ему посоветовали заполнить пункт о трансграничной передаче стандартными сведениями. Со слов Мирошникова, сотрудники РКН, с которыми он консультировался по этому пункту, выразили надежду разобраться в вопросе в течение лета 2017 года, а затем оповестить молодого человека о том, как правильно внести данные по этому пункту.

Представитель Роскомнадзора сказал мне, что регулятор сам еще не определился с проведением по бумагам трансграничной передачи данных. Мне посоветовали отправить заявку на регистрацию, а затем позвонить после июля 2017, чтобы получить дополнительную информацию про трансграничную передачу данных.

— Ярослав Мирошников, yaroslavmiroshnikov.ru

Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ

Сложный пункт, в котором нужно рассказать, где хранятся базы данных с персональной информацией. Зайдите на сайт своего хостинга и узнайте, каким ЦОД (Центром Обработки Данных) пользуется компания. Укажите адрес дата-центра, а в тех графах, где нужно указать сведения о компании, связанной с ЦОД, укажите реквизиты своего хостинг-провайдера. Узнать эти сведения можно в службе технической поддержки вашего хостинга.

Что делать после подачи заявления?

Рассмотрение заявки происходит 2-3 дня. По окончанию этого срока вам или откажут в регистрации с указанием ошибок (можно подать повторно, исправив недочеты), или присвоят идентификационный номер оператора персональных данных.

Пометки о согласии на обработку персональных данных и ознакомление с Политикой конфиденциальности нужно разместить под каждой формой рассылки, обратной связи или регистрации.

Пока заявление рассматривается, не забудьте разместить на сайте пометки об использовании персональных данных под каждой формой рассылки, регистрации, обратной связи. При этом обязательно укажите ссылку на политику конфиденциальности.

Шаблон политики конфиденциальности для музыкальных коллективов и исполнителей

Для музыкантов, которые поддерживают или собираются запускать собственный сайт, подготовлен специальный шаблон политики конфиденциальности. Шаблон распространяется бесплатно.

Скачивайте, правьте текст под себя и размещайте положения политики на сайте своей музыкальной группы, чтобы не стать нарушителем 152-ФЗ.

Скачать шаблон архивом

При подготовке материала использовалась информация с сайта MadCats.ru и инструкция Ярослава Мирошникова о подготовке к регистрации в Роскомнадзоре.

Рубрика: Мир музыки
Теги: проблемы музыкантов продвижение музыки