РАБОТАЮ ВО ВСЕХ ГОРОДАХ РОССИИ
ВРЕМЯ РАБОТЫ С 9:00 ДО 20:00
Как оформить сайт по ФЗ-152 «О защите персональных данных»
С 1 июля 2017 года в федеральном законе "О персональных данных" (152-ФЗ) вступили поправки, которые усложнят жизнь простому вебмастеру.
Я ознакомился с самим законом, почитал материалы по данной теме и публикую агрегированную информацию по этой проблеме. Ниже отвечаю на следующие вопросы:
- почему практически каждый владелец сайта попадает под действие закона?
- Какие штрафы предусмотрены законодательством?
- Что сделать, чтобы не получить штраф?
Содержание:
- Почему это важно сейчас?
- Что входит в понятие персональные данные?
- Кто попадает под закон 152-ФЗ?
- Штрафы: какие и за что?
- Что должен сделать владелец сайта, чтобы не получить штрафы?
- От теории к практике
- Вывод
Почему это важно сейчас?
На самом деле, закон о персональных данных (ПД) принят уже достаточно давно. Но 1 июля этого года вступило в силу 2 больших изменения:
- Ранее Роскомнадзор (РКН) действовал через прокуратуру и награждал штрафами только при совместной работе. Прокуратура — организация не резиновая, поэтому за нарушения в сфере персональных данных бралась с неохотой (хватало дел посерьезнее). Теперь РКН сам выписывает штрафы напрямую
без регистрации и СМСбез посредников. - Существенно увеличены штрафы. До 75 тысяч за одно нарушение. Причем, если нарушений несколько, то штрафы суммируются. Так, например, для юридического лица они могут доходить до 290 тысяч. Но для физических лиц и ИП штрафы намного меньше: в совокупности от 8 до 60 тысяч (ниже опубликована таблица). Причем, в большинстве случаев в качестве наказания могут выбрать "Предупреждение".
Таким образом, у РКН стало больше и желания, и возможностей, чтобы применять закон на практике. Конечно, сам по себе он достаточно не плох и призван защищать персональные данные клиентов и пользователей. Но на практике многие законы трактуются настолько общими словами, что его исполнители могут превращать его в карательный инструмент для объектов, изначально не рассчитанных на них. В общем, скоро будет популярна фраза.
Был бы сайт, а статья найдется.
Причем, штраф же ведь могут выписать и по ошибке. Только дело в том, что доказывать обратное придется человеку, который его получил. Тратить на это время и нервы не хочется.
Что входит в понятие персональные данные?
Вот то общее определение из закона, под которое попадает практически все, что вы получаете от клиента или посетителя сайта.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Ключевое выражение - любая информация. На сайте Роскомнадзора есть такой список.
Но и здесь есть поле, которое не ограничивает только этот набор. Поэтому под персональными данными может пониматься и обычный e-mail. Тем более по решению суда уже были штрафы за формы обратной связи.
Кто попадает под закон 152-ФЗ?
Все владельцы сайтов, на которых есть:
- формы комментариев;
- регистрация и личные кабинеты;
- формы подписки по e-mail;
- сбор данных посетителей;
- формы заказа.
Грубо говоря, под этот закон попадают все сайты . Подробнее остановлюсь на 4-м пункте. Здесь подразумеваются и cookie, и IP, и поисковые запросы, и так далее. Многие ссылаются на то, что суды и РКН считают это персональными данными. В одном из решений судов я не увидел информацию про cookie, IP и т.п. В РКН есть перечень документов для проведения проверки оператора (того, кто обрабатывает ПД: владелец сайта или его доверенное лицо). Там есть пункт 4.1.
Вот на него якобы и ссылаются. При проверке могут запрашивать много разной информации, которая напрямую не касается самого закона. Прямой связи данных посетителей с персональными данными я не увидел. Может быть, кто-то из вас объяснит и докажет ?
Штрафы: какие и за что?
Сейчас в КоАП (Кодекс об административных правонарушениях) существует 7 пунктов. Я оформил их в виде таблицы и с примечаниями.
Нарушение | ФЛ | ДЛ | ИП | ЮЛ |
Ст.13.11 КоАП ч. 1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния. | предупреждение или | |||
Пример №1: сбор паспортных данных для заказа товара - чрезмерная и излишняя информация. | 1-3 т. | 3-5 т. | нет | 30-50 т. |
Пример №2: сбор номеров телефонов для подтверждения заказа, а впоследствии СМС-рассылка. Сначала была одна цель, а по факту данные используются для другой. | ||||
Ст.13.11 КоАП ч. 2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных. | 3-5 т. | 10-20 т. | нет | 15-75 т. |
Пример. Сбор e-mail без явного согласия посетителя. | ||||
Примечание. В письменной можно понимать как в электронной форме. | ||||
Ст.13.11 КоАП ч. 3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных. | предупреждение или | |||
Пример. Отсутствие "Политики конфиденциальности" и публичной ссылки на нее. | 0,7-1,5 т. | 3-6 т. | 5-10 т. | 15-30 т. |
Ст.13.11 КоАП ч. 4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных. | предупреждение или | |||
Примечание. Нежелание обрабатывать и надежно хранить персональные данные физических лиц. Игнорирование их запросов на предоставление данных. | 1-2 т. | 4-6 т. | 10-15 т. | 20-40 т. |
Ст.13.11 КоАП ч. 5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. | предупреждение или | |||
Примечание. Отказ или игнорирование запросов субъекта персональных данных на их изменение или удаление. | 1-2 т. | 4-6 т. | 10-20 т. | 25-45 т. |
Ст.13.11 КоАП ч. 6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния. | 0,7-2 т. | 4-10 т. | 10-20 т. | 25-50 т. |
Примечание: Наказание в сфере хранения и обработки. Оператор должен обеспечивать безопасность хранения и обработки персональных данных. | ||||
Ст.13.11 КоАП ч. 7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных. | предупреждение или | |||
Примечание. К вебмастерам не относится. | нет | 3-6 т. | нет | нет |
Интересно, почему в 2-х пунктах не описана ответственность индивидуальных предпринимателей? Какой придет штраф, если физическое лицо зарегистрировано как ИП, но предпринимательскую деятельность по сайту, на котором обнаружено нарушение, не ведет? Как обычно не обходится без вопросов .
Что должен сделать владелец сайта, чтобы не получить штрафы?
Буду исходить из нарушений:
- Собирать только ту информацию, которая действительно необходима. Например, если это интернет-заказ, то максимум ФИО, e-mail, номер телефона и адрес доставки (если не самовывоз). Важно: если пользователь регистрируется (логинится) через виджеты социальных сетей, то ответственность за полученные с помощью такой процедуры данные также ложатся на оператора. Некоторые считают, что если они только собирают информацию, но никак не используют ее, то не попадают под действие закона. Если даже осуществляется только сбор, то он уже попадает под 152-ФЗ. О том, что вы не храните или никак не используете ПД нужно отметить в той же политике конфиденциальности.
- Необходимо определить и опубликовать (в "Политике конфиденциальности") цели сбора персональных данных. Использовать их только по назначению и первоначальным задачам. Если человек связался через онлайн-консультанта и оставил свою почту, то это не значит, что он уже согласен получать на нее рассылку .
- Необходимо получать явное согласие посетителя на обработку его ПД (подтверждение этому Статья 9 ). Например, при подписке на рассылку или в форме комментариев указывать, что, нажимая на "Подписаться" или "Комментировать" он согласен на обработку его ПД. Также здесь необходимо дать ссылку на "Политику конфиденциальности".
- Нужно создать и опубликовать на каждой странице (можно в подвале сайта) политику конфиденциальности, в которой указать все необходимые данные: кем собираются, что собирается, как хранится, как обрабатывается информация, контакты, цели сбора и так далее.
- Надежно хранить и обрабатывать ПД. Не допускать утечки информации, передаче ее 3-м лицам (если этого не было обговорено в политике конфиденциальности).
- Не отказывать в запросах пользователей на изменение или удаление их данных. Если пришла просьба удалить из рассылки, то лучше просто удалить, чем проигнорировать.
Есть еще 2 пункта, которые необходимо выполнить по закону:
1) Уведомить Роскомнадзор о том, что вы являетесь оператором персональных данных. Уведомить можно письменно или электронно через форму. Но здесь есть несколько моментов:
- Нет штрафа за нарушение данного пункта (поправьте, если не так).
- Форма не совсем простая. Много пунктов вызывают вопросы.
- Операторы персональных данных могут проходить проверку. Посмотрите перечень документов для проверки РКН. Оно, конечно, рассчитано на юридические лица, но и для ИП или физиков, возможно, что-то подобно-огромное.
- Сама форма не совсем хочет, чтобы ее заполняли и скрывает некоторые пункты.
2) Базы данных (грубо говоря, хостинг) с персональными данными необходимо хранить на территории Российской Федерации.
Но и здесь есть некоторые нюансы:
- База данных и сам сайт может быть расположен в разных местах. Или будет проверяться только хостинг по whois?
- В законе есть статья о трансграничной передаче персональных данных. В нем есть список стран-участниц Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД: Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Испания, Ирландия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония. Как я понял, на их территории размещаться можно. Если у вас хостинг в Европе, то скорее всего, в одном из этих государств. А вот США я не смог найти ни в этом списке, ни в списке стран, не являющихся сторонами Конвенции Совета Европы .
Кстати, нерезиденты РФ также попадают под действие закона, если работают с персональными данными граждан России. Скорее всего, в данном случае будет идти речь не о штрафах, а о предупреждении и/или полной блокировке (как это случилось с linkedin). Так что, если вы нерезидент РФ и собираете ПД российских граждан, а ваш сайт заинтересовал РКН, то просто отсидеться, вероятно, не получится.
От теории к практике
Нужно создать и опубликовать "Политику конфиденциальности", "Пользовательское соглашение", а также внизу каждой формы ввода персональных данных указывать, что пользователь дает согласие на их сбор, хранение и обработку. Я нашел 2 сервиса, которые бесплатно создают подобные документы:
- https://tools.joomlatown.net/152/
- https://152фз.рф/
Первый неплох, но нужно хорошо подстраивать под свой сайт.
Второй сервис более продвинутый, но бесплатно можно получить файлы только с водяными знаками (в принципе этого вполне будет достаточно). Также есть ссылка на их проект. На первое время или в качестве ориентира вполне подойдет . Там есть виджет в виде скрипта, который можно добавить в футер, но у меня почему-то он не работает. В общем, за 5-10 минут можно получить неплохие документы (не забудьте их закрыть от индексации).
Еще один из вариантов — это посмотреть как сделано у лидеров вашей ниши и сделать также. Только не копируйте все бездумно, а адаптируйте под ваши нужды и оформление.
Для вывода уведомлений о сборе пользовательских данных в wordpress есть плагин Cookie Notice by dFactory. Если у вас не вордпресс или вы хотите сделать как-то по-другому, то обращайтесь к вашему программисту или верстальщику.
Изучил вопрос, написал и опубликовал пост — теперь пора внедрять . А вы уже сделали все, чтобы не получить "письмо счастья" от Роскомнадзора?
Вывод
Безусловно, вряд ли сейчас Роскомнадзор возьмется за ваш блог о собаках или статейник про дачу. В первую очередь, их будут интересовать юридические лица, интернет-магазины. Но никто не отменяет того шанса, что через месяц или год заинтересуются и вашим ресурсом. Хотя, конечно, это бюрократия. Закон создается под определенный круг, а исполнять его приходится широкому.
Штраф РКН будет выписать несложно, а доказывать обратное или оплачивать его будет неприятно. Да и вообще связываться с государственными органами по времени выйдет намного дольше, чем по шаблонам составить 2 документа и разместить их на сайте (+ согласие на подписку и обработку cookie). Как вы считаете?
Буду рад обсудить с вами данную тему в комментариях. Какие ваши мысли и мнения по этому закону?
Источник статьи: https://sosnovskij.ru/fz-152/ - Как владельцам сайтов избежать штрафов по 152-ФЗ — Федеральному закону "О персональных данных".