У вас есть сайт? Как с 1 июля не получить 75 000 р. штраф, разбираемся

В начале 2017 года внесены поправки в статью 13.11 КоАП по поводу нарушения закона о персональных данных. Эти изменения вступят в силу с 1 июля 2017 года. И затронут практически всех, у кого есть сайт. А именно, тех, кто является оператором персональных данных.
Согласно п. 2 статьи 3 закона № 152-ФЗ понятие «оператор» включает в себя юридическое лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПД (персональных данных), а также определяет цели обработки ПД, состав ПД, подлежащих обработке, действия, совершаемые с ПД.
Давайте разбираться касается ли это вас и что с этим делать?
Почему это важно?
Раньше на это мало кто обращал внимание. Хотя любой онлайн-бизнес попадает под закон о персональных данных. При этом, подавляющее большинство его никак не соблюдало.
Во-первых, штрафы были малозаметными и редко кто придавал этому большое значение.
Раньше штрафы составляли для ИП или директора максимум 1000 рублей, а для юр. лица 10 000 рублей.
С 1 июля, например, если не опубликовать на сайте «политику конфиденциальности», ИП получит штраф в 10 000 рублей, а компания 30 000 рублей. Если же компания обрабатывает персональные данные без согласия клиента интернет-магазина или просто подписчика, то штраф будет до 75 000 рублей.
Во-вторых, не было особого контроля по соблюдению закона. Сейчас же изменился контрольный орган, теперь это Роскомнадзор. Он имеет намного больше ресурсов на активные проверки и штрафы.
Что такое персональные данные и касается ли это вас?
Персональные данные — это любые данные о человеке, по которым его можно идентифицировать (установить личность). Закон не оговаривает список таких данных, поэтому нужно догадываться самим.
Под это определение подходит множество разных данных.
- фамилия;
- имя;
- отчество;
- адрес (адрес доставки);
- электронная почта;
- телефон;
- дата и место рождения;
- фотография;
- ссылка на персональный сайт или соцсети;
- профессия;
- образование;
- уровень доходов;
- семейное положение;
- и т. д.
Являетесь ли вы оператором персональных данных если собираете только часть данных из этого списка и что стоит предпринять, чтобы не получить штраф? Давайте разбираться.
Нюансы трактовок персональных данных, которые важно знать
На самом деле не все оказывается так просто, некоторые из этих данных в отрыве друг от друга не являются персональными данными, т. к. с помощью них нельзя идентифицировать конкретного человека. Например, по имени и логину нельзя определить конкретного пользователя, а если сюда добавить email и телефон, то можно.
Это частично понятно из пункта 1 статьи 3 152-ФЗ, который говорит, что персональные данные — это «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу».
Комментарий Минсвязи по этому пункту:
«Более точно определить состав персональных данных, в том числе привести их перечень, представляется нереализуемым. Закон также не содержит полномочий по уточнению этого термина подзаконными актами.»
А вот как этот момент разъясняет глава Роскомнадзора, Александр Жаров:
«Персональные данные — это набор информации, позволяющий безошибочно идентифицировать вас как личность. Либо, если ваша личность уже определена, безошибочно отнести требуемые данные именно к вам. Например, фотография, ФИО, номер телефона и адрес электронной почты позволяют идентифицировать человека достаточно точно. А фотография и имя „Оля“ персональными данными считаться не могут, как и отдельно взятый адрес электронной почты или номер телефона. Речь идет именно о совокупности данных.”
Получается, что многие данные не дают прямой возможности идентифицировать человека, но комбинация из таких данных (например, email + телефон + имя) могут указать на конкретного человека. Поэтому их обработка регулируется законом.
Есть заявления Роскомнадзора, который, например, не считает оператором персональных данных Twitter: «Потому что компания не собирает личные данные», — говорил Жаров, глава Роскомнадзора. Напомним, Твиттер собирает Логин, пароль и почту.
К сожалению, когда ответ на вопрос «Что относится к персональным данным?» не знают государственные органы, в ведении которых находится этот вопрос, то не стоит ожидать, что такой ответ существует.
В любом случае стоит подстраховаться и разместить на сайте соглашение о персональных данных и выполнить другие рекомендации. Про них ниже.
Что нужно сделать до 1 июля, а лучше прямо сейчас
Если вы до сих пор ничего не сделали, то вы уже нарушаете закон и вас можно штрафовать. Тем более, проверки уже идут. Что нужно сделать, чтобы не получить штраф?
- Подготовить пакет документов.
Пакет документов (политику конфиденциальности) можно заказать у юристов, если у вас достаточно денег и нет времени.
Мы подготовили для вас шаблон политики конфиденциальности. Можете воспользоваться им.
- Разместить политику конфиденциальности у вас на сайте.
После этого разместите политику конфиденциальности у себя на сайте. Это может быть пользовательское соглашение, как у «Ламоды», правила продажи, как у «Читай-города», официальное уведомление, как у «М-видео», политика конфиденциальности, как у «Рестора», «Адидаса» или «Озона»
- Заполнить заявку в Роскомнадзор.
Необходимо уведомить Роскомнадзор о том, что вы собираете персональные данные. Вот нужная форма заявки. Важно, что политику конфиденциальности нужно подготовить до этого шага, потом в анкете вы отправляете на нее ссылку. Подготовить заявку вам поможет сервис от СКБ Контур.
Пока от Роскомнадзора нет четких указаний по соблюдению данного закона, поэтому публикации документа (доступного всем посетителям сайта) и заполнения формы уведомления Роскомнадзора будет достаточно.
Дополнительные правила работы с персональными данными, которые оговариваются в законе
- запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
- использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
- сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
- удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
- хранить базы данных в надежном месте, защищать их от взлома и утечки;
- научить сотрудников работать с персональными данными;
- зарегистрироваться в Роскомнадзоре;
- хранить персональные данные необходимо на территории России. В Carrot Quest данные, которые вы собираете, как раз хранятся в России по всем правилам. Вы можете быть спокойны.
В законе № 242-ФЗ указано: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона» (ч. 5 ст. 18 ФЗ «О персональных данных»)»
Как делает крупный интернет бизнес?
Один из важных вопросов, нужно ли письменное соглашение пользователя (галочка, «я согласен с политикой конфиденциальности» со ссылкой на политику) в формах для получения емейла или телефона. (например, всплывающих окнах или формах на сайте).
Мы просмотрели несколько крупных интернет-магазинов и приводим несколько примеров.
Re: store, форма подписки:
Wildberries. Поп-ап с бонусом, где запрашивается имя и email:
Lamoda, всплывающее окно со скидкой:
Никаких ссылок на политику конфиденциальности в этих поп-ап окнах для сайта нет, при этом, политика конфиденциальности есть в общем доступе на сайте этих компаний. Но, важно помнить, что «галочка» и ссылка на политику конфиденциальности не нужна в том случае, если вы собираете какие-то отдельные данные, которые не могут идентифицировать человека (например, если вы собираете только email). Если в форме вы просите заполнить несколько данных (которые указывают на конкретного человека), то нужно «ссылка и галочка» необходимы.
Обязательно сделайте 3 шага, о которых мы говорили выше и следите за новостями. Вероятно, что будет появляться все больше конкретной и точной информации от представителей власти.
Если вы хотите узнать больше, то читайте следующие статьи
https://www.carrotquest.io/docs/ — перечень документов
http://minsvyaz.ru/ru/personaldata/#1438551391282
https://journal.tinkoff.ru/news/personalnye-dannye/
https://lenta.ru/articles/2015/09/01/personaldata/
https://spark.ru/startup/digital-legal/blog/14168/e-mail-telefon-login-parol-personalnie-dannie
https://habrahabr.ru/post/327892/
http://legalacts.ru/doc/vremennye-rekomendatsii-po-zapolneniiu-formy-uvedomlenija-ob/
Покажем, где вы теряете лидов, и составим план улучшений