Приветствую вас, друзья! В 2017 году в Интернете поднялась шумиха вокруг закона о персональных данных (ПДн). Это было связано с внесением поправок в КоАП РФ и ужесточением штрафов за нарушение упомянутого закона. Владельцы сайтов и вебмастера буквально встали на уши, так как внезапно узнали, что закон, оказывается, касается их самым непосредственным образом.

На самом деле он касался их и раньше, вот только внимания на него никто не обращал. Штрафы за нарушение были мизерными и, по факту, никого толком не штрафовали. Однако с 1 июля 2017 года всё изменилось: суммы выросли, а проверками и вынесением наказаний стал заниматься непосредственно Роскомнадзор.

И теперь обработка персональных данных на сайте – это тема, в которую должен вникнуть каждый владелец веб-ресурса. Независимо от того, кем он является – физическим лицом, ИП или юрлицом.

В отношении кого работает закон?

Не будем доверять противоречивым статьям в Интернете (они могут быть недостоверными – подробнее об этом ТУТ), а обратимся лучше к первоисточникам – Федеральным законам. В данном случае нас интересует 152-ФЗ «О персональных данных» от 27.06.2006 в последней редакции.

Настоящим ФЗ регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными и муниципальными органами власти, а также ЮРИДИЧЕСКИМИ и ФИЗИЧЕСКИМИ лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств.

Получается, что 152-ФЗ касается абсолютно всех, кто тем или иным образом обрабатывает персональные данные. Далее следует разъяснить, что же к ним относится.

Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

 

Никакого уточнения нет – догадывайтесь, мол, сами. Поэтому на основании данного определения к ПДн человека можно отнести практически любую информацию о нём:

  • фамилия, имя, отчество,
  • дата рождения,
  • адрес регистрации,
  • паспортные данные,
  • контактный телефон,
  • E-mail,
  • место работы,
  • состав семьи,
  • сведения о доходах,
  • и т.п.

Так как понятие размытое, то и толковать его можно по-разному. Однако одно можно сказать точно: если по полученной информации нельзя точно определить личность человека, то такие данные не относятся к персональным. Например, зная только имя и отчество, вы вряд ли идентифицируете человека. А вот ФИО в совокупности с адресом электронной почты и номером телефона — эти сведения уже относятся к определённой личности.

В любом случае окончательное решение о том, можно ли отнести те или иные сведения к персональным, может решить только суд. А решения разных судов, как показывает практика, бывают противоречивыми. Так что примем за истину, что если на вашем веб-сайте пользователи имеют возможность оставить любую информацию, позволяющую идентифицировать их, то вы являетесь оператором персональных данных.

Оператор – государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами осуществляющие обработку персональных данных.

Чтобы окончательно убедиться в том, что 152-ФЗ касается многих владельцев сайтов, проясним, что же подразумевается под обработкой данных.

Обработка персональных данных – любое действие, совершаемое с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

То есть если вы в своём интернет-магазине получили от человека ФИО, контакты и адрес, а затем их удаляете, то вы тоже совершаете обработку, следовательно, являетесь оператором.

Вывод: наличие на сайте любых полей для оставления данных, по которым можно идентифицировать человека, предполагает, что владелец сайта осуществляет обработку ПДн и является оператором.

Какие штрафы за нарушение закона 152-ФЗ?

Размеры штрафов определены законом №13-ФЗ от 7.02.2017 (вступил в силу с 1 июля 2017 года). Согласно ему, устанавливаются сразу 7 категорий штрафов за нарушение закона о персональных данных:

  1. Обработка данных в случаях, не предусмотренных законодательством РФ, а также обработка, несовместимая с целями сбора данных – предупреждение или наложение штрафа для граждан от 1 до 3 тысяч рублей, для должностных лиц – от 5 до 10 тысяч, для юридических лиц – от 30 до 50 тысяч.
  2. Обработка данных без согласия субъекта – штраф для граждан от 3 до 5 тысяч, для должностных лиц – от 10 до 20 тысяч, для юрлиц – от 15 до 75 тысяч.
  3. Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику обработки ПДн – предупреждение или наложение штрафа для граждан от 700 до 1500 руб., для должностных лиц – от 3000 до 6000 руб., для индивидуальных предпринимателей – от 5000 до 10000 руб., для юрлиц – от 15000 до 30000 руб.
  4. Невыполнение обязанности по предоставлению субъекту информации, касающейся обработки его данных – предупреждение или наложение штрафа для граждан от 1000 до 2000 руб., для должностных лиц – от 4000 до 6000 руб., для ИП – от 10000 до 15000 руб., для юрлиц – от 20000 до 40000 руб.
  5. Невыполнение требования субъекта об изменении или удалении ПДн — предупреждение или наложение штрафа для граждан от 1000 до 2000 руб., для должностных лиц – от 4000 до 10000 руб., для ИП – от 10000 до 20000 руб., для юрлиц – от 25000 до 45000 руб.
  6. Невыполнение обязанности по обеспечению сохранности данных – штраф для граждан от 700 до 2000 руб., для должностных лиц – от 4000 до 10000 руб., для ИП – от 10000 до 20000 руб., для юрлиц – от 25000 до 50000 руб.
  7. Последний пункт касается государственных и муниципальных органов и их обязанности обезличивать персональные данные.

Давайте разберём, какой штраф может схлопотать ИП, собирающий на своём сайте персональные данные (например, через форму обратной связи) и не позаботившийся о соблюдении требований закона 152-ФЗ.

  • Не получает согласия субъекта – от 10 до 20 тысяч рублей.
  • Не опубликовал на сайте политику конфиденциальности – от 5 до 10 тысяч рублей.
  • Не предоставил посетителям сайта, оставляющим свои персональные данные, информацию о том, каким образом она будет обрабатываться – от 10 до 20 тысяч рублей.

Суммарный штраф может составить от 25 до 50 тысяч рублей. Конечно, по некоторым пунктам можно отделаться предупреждением, но тут уж как повезёт. Лучше не искушать судьбу и привести свой сайт в порядок.

Что нужно сделать на сайте?

Перечень мер, которые вы, как владелец веб-ресурса, должны сделать, не так уж и велик. Поэтому позаботьтесь о выполнении требований 152-ФЗ прямо сейчас и не откладывайте на потом.

Не факт, что сейчас Роскомнадзор начнёт поголовно штрафовать все сайты. Более того, вы можете просто-напросто «забить» на всё это и жить спокойно и дальше. Но зачем вам эти риски? Несколько простых действий – и к вам будет не подкопаться.

Итак, что же необходимо сделать на своём сайте, если вы обрабатываете персональные данные:

  • Составить и опубликовать документ, определяющий цели и порядок обработки, а также способы защиты персональных данных. Документ можно обозвать как угодно – политика конфиденциальности, политика безопасности, договор оферты и т.п. Не нужно тупо копировать текст с других сайтов. Возьмите образец и измените его под свои цели. Ссылка на документ должна быть на видном месте (например, в подвале сайта).
  • Под всеми формами сбора персональных данных (обратная связь, оформление заявки и т.п.) необходимо прописать, что пользователь, оставляя сведения о себе, соглашается на их обработку в соответствии с упомянутым выше документом. При этом не забудьте поставить ссылку на документ, чтобы с ним можно было быстро ознакомиться.

Если вы будете читать различные статьи в Интернете, то наткнётесь и на другие рекомендации.

Например, вам посоветуют зарегистрироваться в реестре операторов персональных данных на сайте Роскомнадзора, ссылаясь на статью 22 Федерального закона №152-ФЗ. Не спешите этого делать. В той же статье (пункт 2) устанавливается целый ряд исключений, когда вам не нужно уведомлять Роскомнадзор о том, что вы являетесь оператором.

К примеру, если получаемые данные используются только в целях заключения и исполнения договора с субъектом и не передаются третьим лицам без его согласия. Этому пункту полностью соответствует деятельность интернет-магазинов, когда сведения о покупателе используются для заключения договора купли-продажи и исполнения обязательств по доставке товара в соответствии с договором.

Также вам посоветуют установить на сайт всплывающее уведомление о согласии на использование файлов Cookie. В сети даже встречаются сайты, которые последовали этой рекомендации. Однако до сих пор не до конца ясно, являются ли Cookie-файлы персональными данными (в сети очень много споров по поводу этого, а официальной точки зрения нет). Поэтому вы можете установить уведомление — вреда от этого не будет. Но большинство сайтов прекрасно обходятся и без него, упомянув о Cookie в политике конфиденциальности.

Друзья, формулировки закона позволяют трактовать его по-разному, что и приводит к противоречивым решениям суда и различным спорам. Будем надеяться, что в ближайшем будущем картина изменится, и в этом вопросе появится какая-то ясность. А пока — делаем элементарные изменения на своих сайтах и продолжаем их развивать.

Готов ответить на ваши вопросы в комментариях!

С уважением, Сергей Чесноков