ФЗ 152 - как защитить свой сайт

Итак, для начала следует запомнить, что ФИО, телефон, почта, адрес и прочие данные, характеризующие конкретного человека, являются персональными. А получение их, даже в результате телефонного разговора, является их обработкой. Таким образом, под новый прекрасный закон попадает деятельность абсолютно любого коммерческого web-сайта. Ура, товарищи.

Чего бояться?


С 01 июля 2017 года в статье 13.11 КоАП РФ появились новые составы нарушений законодательства в области персональных данных (было 1, стало 7).
Размер штрафов увеличился с 10 000 рублей до 290 000 рублей. Максимальный размер штрафов грозит тем, кто нарушил абсолютно все требования по п. 1 - 6 ст. 13.11 КоАП РФ. Это довольно сложно, но об этом ниже.

Кого будут штрафовать и что делать?

Штрафовать будут операторов, то есть тех, кто персональные данные обрабатывает, в том числе собирает. Простой запрос e-mail, номера телефона уже является обработкой.
Роскомнадзору для подтверждения, что вы обрабатываете персональные данные, будет достаточно увидеть на вашем сайте форму обратной связи, подписки на рассылку или возможность зарегистрироваться в личном кабинете. В этих случаях вы подпадаете под действие закона, и в отношении вас возможно проведение проверки на соблюдение законодательства в области персональных данных.
Необходимо сформировать два основных документа (Согласие и Политику) и разместить их на сайте. Ссылку на Политику необходимо опубликовать на всех страницах сайта (например, в “подвале”).
Убедиться, что никакими другими сервисами персональные данные на сайте не собираются и не обрабатываются.
Разместить под каждой формой сбора данных чекбокс и текст «Даю согласие на обработку моих персональных данных, с условиями Политики ознакомлен». Слова «Согласие» и «Политики» являются ссылками на соответствующие Согласие и Политику. Без проставления галочки в чекбоксе данные прислать вам невозможно.
В бэке вести журнал, в котором будут фиксироваться, какие данные предоставлены пользователем, дата, время получения согласия и данных.
Спать спокойно. Все это займет 15 минут в погожий день. И все, после этого любая проверка вашего сайта покажет, что вы чисты и пушисты.

У меня используются другие сервисы, которые собирают персональные данные. Как быть легальным? 

Во-первых, ваш сайт будет соответствовать всем требованиям законодательства (п. 2 ч. 2 ст. 5, ч. 1, ч. 2 ст. 18.1 ФЗ N 152 «О персональных данных»). Это значительно снижает риск инициации проверки и повышает вашу надежность в глазах клиентов. Во-вторых, у Роскомнадзора не будет оснований:
Оштрафовать вас на сумму до 30 000 руб. за непредоставление неограниченного доступа к Политике (ч. 3 ст. 13.11 КоАП РФ).
Например: Оштрафовать за отсутствие на сайте Политики.
Оштрафовать вас на сумму до 50 000 руб. за обработку персональных данных, которая несовместима с целями сбора.
Например: осуществляете доставку товара и запрашиваете скан паспорта, когда для доставки вам было бы достаточно просто ФИО и адреса.

Надо ли уведомить Роскомнадзор?

Мы не рекомендуем. Почему?

Согласно ч. 2 ст. 22 ФЗ N 152 оператор вправе осуществлять обработку персональных данных без уведомления Роскомнадзора в некоторых случаях. Все не будем перечислять, но ключевой из них:
  • Полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • Т.е. если персональные данные, которые вы собираете и обрабатываете не предоставляются третьим лицам без согласия субъекта персональных данных;
  • используются исключительно для исполнения договора, в связи с заключением которого они получены, и заключения договоров с субъектом персональных данных;

Т.о. Уведомлять Роскомнадзор не обязательно!

А многие говорят, что надо…

Закон спорный, есть много мнений, трактовок и спекуляций недобросовестных юристов на этой теме. А судебной практики пока нет. Поэтому запомните: глобально у вас есть 3 варианта
  1. Быть полностью нелегальным. Тут нам говорить не о чем. Риски гораздо выше, чем описаны в этой статье;
  2. Работать легально, благодаря документам на сайте. Но не уведомлять Роскомнадзор;
  3. Работать легально и уведомить Роскомнадзор и появиться в реестре операторов персональных данных.

Мы рекомендуем 2-й вариант, т.к. в этом случае ваши затраты времени и сил составят 30 минут (на чтение этой статьи, заполнение анкеты и подписание приказа). А максимальный штраф, если Роскомнадзору что-то не понравится (то есть за отсутствие уведомления), будет 5 тысяч рублей (для юридических лиц).
В 3-м варианте вам и сил и денег понадобится больше, а вероятность плановой проверки существенно вырастет.
Поэтому мы считаем, что большинству бизнесов защиты от ФЗ N 152 будет достаточно.

Надо предупреждать всех посетителей про обработку Cookie файлов?


Тут как всегда, два юриста - три мнения. Наши юристы считают, что сама по себе информация из cookie-файлов не является персональными данными, в отрыве от прочей информации о пользователе. Ходят слухи, что и Роскомнадзор пока не обращает на это внимание. Все же, если вы хотите полностью застраховаться, попросите разработчиков вашего сайта добавить всплывающее окно с примерно таким текстом: “Согласен на обработку cookies” (с кнопочкой “Ок”).

Словарь терминов


А еще мы решили указать все термины, чтобы у вас совсем не осталось вопросов.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе: его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, e-mail, номер телефона, другая идентификационная информация (см. ФЗ-152, ст.3, 10, 11).

В настоящий момент перечень персональных данных не является закрытым, если вы сомневаетесь, являются ли данные персональными, обратитесь к юристам за разъяснениями.

Обработка персональных данных - это любое действие или совокупность действий, включая сбор, запись, систематизацию, накопление, хранение, уточнение , извлечение, использование, передачу (распространение, предоставление доступа), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор - юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

На этом все! Остались вопросы? Задавайте!