Приветствую вас, друзья! В 2017 году в Интернете поднялась шумиха вокруг закона о персональных данных (ПДн). Это было связано с внесением поправок в КоАП РФ и ужесточением штрафов за нарушение упомянутого закона. Владельцы сайтов и вебмастера буквально встали на уши, так как внезапно узнали, что закон, оказывается, касается их самым непосредственным образом.
На самом деле он касался их и раньше, вот только внимания на него никто не обращал. Штрафы за нарушение были мизерными и, по факту, никого толком не штрафовали. Однако с 1 июля 2017 года всё изменилось: суммы выросли, а проверками и вынесением наказаний стал заниматься непосредственно Роскомнадзор.
И теперь обработка персональных данных на сайте – это тема, в которую должен вникнуть каждый владелец веб-ресурса. Независимо от того, кем он является – физическим лицом, ИП или юрлицом.
В отношении кого работает закон?
Не будем доверять противоречивым статьям в Интернете, а обратимся лучше к первоисточникам – Федеральным законам. В данном случае нас интересует 152-ФЗ «О персональных данных» от 27.06.2006 в последней редакции.
Получается, что 152-ФЗ касается абсолютно всех, кто тем или иным образом обрабатывает персональные данные. Далее следует разъяснить, что же к ним относится.
Никакого уточнения нет – догадывайтесь, мол, сами. Поэтому на основании данного определения к ПДн человека можно отнести практически любую информацию о нём:
- фамилия, имя, отчество,
- дата рождения,
- адрес регистрации,
- паспортные данные,
- контактный телефон,
- E-mail,
- место работы,
- состав семьи,
- сведения о доходах,
- и т.п.
Так как понятие размытое, то и толковать его можно по-разному. Однако одно можно сказать точно: если по полученной информации нельзя точно определить личность человека, то такие данные не относятся к персональным. Например, зная только имя и отчество, вы вряд ли идентифицируете человека. А вот ФИО в совокупности с адресом электронной почты и номером телефона — эти сведения уже относятся к определённой личности.
В любом случае окончательное решение о том, можно ли отнести те или иные сведения к персональным, может решить только суд. А решения разных судов, как показывает практика, бывают противоречивыми. Так что примем за истину, что если на вашем веб-сайте пользователи имеют возможность оставить любую информацию, позволяющую идентифицировать их, то вы являетесь оператором персональных данных.
Чтобы окончательно убедиться в том, что 152-ФЗ касается многих владельцев сайтов, проясним, что же подразумевается под обработкой данных.
То есть если вы в своём интернет-магазине получаете от человека ФИО, контакты и адрес, а затем их удаляете, то вы тоже совершаете обработку, следовательно, являетесь оператором.
Вывод: наличие на сайте любых полей для оставления данных, по которым можно идентифицировать человека, предполагает, что владелец сайта осуществляет обработку ПДн и является оператором.
Какие штрафы за нарушение закона 152-ФЗ?
Размеры штрафов определены законом №13-ФЗ от 7.02.2017 (вступил в силу с 1 июля 2017 года). Согласно ему, устанавливаются сразу 7 категорий штрафов за нарушение закона о персональных данных:
- Обработка данных в случаях, не предусмотренных законодательством РФ, а также обработка, несовместимая с целями сбора данных – предупреждение или наложение штрафа для граждан от 1 до 3 тысяч рублей, для должностных лиц – от 5 до 10 тысяч, для юридических лиц – от 30 до 50 тысяч.
- Обработка данных без согласия субъекта – штраф для граждан от 3 до 5 тысяч, для должностных лиц – от 10 до 20 тысяч, для юрлиц – от 15 до 75 тысяч.
- Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику обработки ПДн – предупреждение или наложение штрафа для граждан от 700 до 1500 руб., для должностных лиц – от 3000 до 6000 руб., для индивидуальных предпринимателей – от 5000 до 10000 руб., для юрлиц – от 15000 до 30000 руб.
- Невыполнение обязанности по предоставлению субъекту информации, касающейся обработки его данных – предупреждение или наложение штрафа для граждан от 1000 до 2000 руб., для должностных лиц – от 4000 до 6000 руб., для ИП – от 10000 до 15000 руб., для юрлиц – от 20000 до 40000 руб.
- Невыполнение требования субъекта об изменении или удалении ПДн — предупреждение или наложение штрафа для граждан от 1000 до 2000 руб., для должностных лиц – от 4000 до 10000 руб., для ИП – от 10000 до 20000 руб., для юрлиц – от 25000 до 45000 руб.
- Невыполнение обязанности по обеспечению сохранности данных – штраф для граждан от 700 до 2000 руб., для должностных лиц – от 4000 до 10000 руб., для ИП – от 10000 до 20000 руб., для юрлиц – от 25000 до 50000 руб.
- Последний пункт касается государственных и муниципальных органов и их обязанности обезличивать персональные данные.
Давайте разберём, какой штраф может схлопотать ИП, собирающий на своём сайте персональные данные (например, через форму обратной связи или заказа звонка) и не позаботившийся о соблюдении требований закона 152-ФЗ.
- Не получает согласия субъекта – от 10 до 20 тысяч рублей.
- Не опубликовал на сайте политику конфиденциальности – от 5 до 10 тысяч рублей.
- Не предоставил посетителям сайта, оставляющим свои персональные данные, информацию о том, каким образом она будет обрабатываться – от 10 до 20 тысяч рублей.
Суммарный штраф может составить от 25 до 50 тысяч рублей. Конечно, по некоторым пунктам можно отделаться предупреждением, но тут уж как повезёт. Лучше не искушать судьбу и привести свой сайт в порядок.
Что нужно сделать на сайте?
Перечень мер, которые вы, как владелец веб-ресурса, должны сделать, не так уж и велик. Поэтому позаботьтесь о выполнении требований 152-ФЗ прямо сейчас и не откладывайте на потом.
Не факт, что сейчас Роскомнадзор начнёт поголовно штрафовать все сайты. Более того, вы можете просто-напросто «забить» на всё это и жить спокойно и дальше. Но зачем вам эти риски? Несколько простых действий – и к вам будет не подкопаться.
Итак, что же необходимо сделать на своём сайте, если вы обрабатываете персональные данные:
- Составить и опубликовать документ, определяющий цели и порядок обработки, а также способы защиты персональных данных. Документ можно обозвать как угодно – политика конфиденциальности, политика безопасности, договор оферты и т.п. Не нужно тупо копировать текст с других сайтов. Возьмите образец и измените его под свои цели. Ссылка на документ должна быть на видном месте (например, в подвале сайта). Политика конфиденциальности должна быть на любом сайте, где используется сбор персональных данных — это относится и к Landing Page.
- Под всеми формами сбора персональных данных (обратная связь, оформление заявки и т.п.) необходимо прописать, что пользователь, оставляя сведения о себе, соглашается на их обработку в соответствии с упомянутым выше документом. При этом не забудьте поставить ссылку на документ, чтобы с ним можно было быстро ознакомиться.
Если вы будете читать различные статьи в Интернете, то наткнётесь и на другие рекомендации.
Например, вам посоветуют зарегистрироваться в реестре операторов персональных данных на сайте Роскомнадзора, ссылаясь на статью 22 Федерального закона №152-ФЗ. Не спешите этого делать. В той же статье (пункт 2) устанавливается целый ряд исключений, когда вам не нужно уведомлять Роскомнадзор о том, что вы являетесь оператором.
Также вам посоветуют установить на сайт всплывающее уведомление о согласии на использование файлов Cookie. В сети даже встречаются сайты, которые последовали этой рекомендации. Однако до сих пор не до конца ясно, являются ли Cookie-файлы персональными данными (в сети очень много споров по поводу этого, а официальной точки зрения нет). Поэтому вы можете установить уведомление — вреда от этого не будет. Но большинство сайтов прекрасно обходятся и без него, упомянув о Cookie в политике конфиденциальности.
Друзья, формулировки закона позволяют трактовать его по-разному, что и приводит к противоречивым решениям суда и различным спорам. Будем надеяться, что в ближайшем будущем картина изменится, и в этом вопросе появится какая-то ясность. А пока — делаем элементарные изменения на своих сайтах и продолжаем их развивать.