Показывать на себе — плохая примета, но мы рискнем. Так до вчерашнего дня выглядела форма подписки на рассылку Котиков и если бы мы оставили её в неизменном виде, с 1 июля нам грозило минимум три штрафа на общую сумму от 50 до 150 тысяч рублей.
Подозреваем, наш сайт не единственный, кого ожидает подобная перспектива. Да чего там «подозреваем», мы тут пробежались по сайтам коллег — этот паровоз едет и в вашу сторону, ребят.
А теперь посмотрите на новую форму подписки.
Старая форма как бы просит «Накажи меня, Роскомнадзор!»
Что произошло и что изменилось
С 1 июля 2017 года вступают в силу поправки к статье Кодекса РФ об административных правонарушениях (статья 13.11), которая регулирует ответственность за нарушения в области сбора, хранения и обработки персональных данных.
Как было раньше:
- нарушения не были детализированы — штраф могли взять только один раз;
- для физических лиц максимальный штраф составлял 500 рублей, для юридических лиц — 10 тысяч;
- протоколы составляла прокуратура, не проявлявшая в этом никакой особой инициативы.
Как будет теперь:
- штрафы разделили по видам нарушений, теперь за каждое нарушение накажут отдельным штрафом. Например, если на сайте нет «Политики конфиденциальности», а в форме подписки нет фразы о согласии на обработку данных и ссылки на «Политику конфиденциальности» — это три разных нарушения, каждое наказывается штрафом;
- для физических лиц максимальный совокупный штраф может составить 15500 рублей, для юридических — 290 тысяч рублей;
- протоколы будет составлять Роскомнадзор, известный своей кипучей активностью.
Чем это грозит
Если у вас есть сайт, который в каком-то виде собирает персональные данные (через форму подписки, форму обратной связи, форму регистрации для комментирования, входа в личный кабинет, профиль и т.п.) — вы рискуете на себе испытать, насколько активно Роскомнадзор собирается заниматься порученным делом (что-то подсказывает, что именно РКН и пролоббировал эти поправки) и какие штрафы он собирается выписывать. И ждать осталось недолго.
Что с этим делать
1. Понять, считает ли вас закон оператором персональных данных. Операторы персональных данных — это люди и организации, «самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».
- Например, если вы решили, что на вашем личном сайте люди могут оставить свой электронный адрес, чтобы получать от вас рассылку — вы оператор персональных данных.
- Если на вашем сайте нужно зарегистрироваться, чтобы написать комментарий к статье — вы оператор персональных данных.
- Если на вашем сайте есть форма обратной связи или кнопка заказа обратного звонка — вы оператор персональных данных.
- Короче говоря, если вы имеете дело с информацией, позволяющей прямо или косвенно идентифицировать конкретного человека, вы — оператор персональных данных.
Однозначной формулировки, определяющей, что входит в понятие «персональные данные», в законе нет, поэтому лучше исходить из того, что проверяющие будут трактовать формулировку не в вашу пользу. Например, отнесут к персональным данным сведения о геопозиции пользователя, cookie и IP-адрес.
2. Решить, какие персональные данные вам нужны. Не надо собирать лишние сведения — это является нарушением. Например, будет трудно объяснить РКН, зачем вам номер паспорта или домашний адрес подписчика рассылки. Руководствуйтесь принципом «меньше знаешь — крепче спишь».
3. Составить и опубликовать на своем сайте правила, которыми вы руководствуетесь при обработке персональных данных (так называемая «Политика конфиденциальности»).
Какие пункты надо включить в «Политику» сайта:
1. Род и вид собираемой информации.
Какую информацию вы собираете и для каких целей. В этом же пункте имеет смысл указать, какая информация для обеспечения нормального взаимодействия с сайтом собирается автоматически: IP-адрес, дата и время URL-перехода, коды аналитики, cookie и т. д.
2. Управление личными данными.
Каким образом пользователь может изменить или удалить свои личные данные.
3. Защита персональных данных.
Что вы делаете для предотвращения несанкционированного доступа к данным пользователей.
4. Порядок передачи личных данных третьим лицам.
В каких случаях вы передаете данные пользователя третьим лицам. Включая предусмотренные законодательством случаи. Важно учитывать вот какой момент: указать в «Политике конфиденциальности» возможность передачи данных пользователя в личных, коммерческих и иных целях, не предусмотренных законом «О персональных данных», недостаточно. Вы должны получить на это отдельное разрешение пользователя.
5. Изменения. Как вы будете информировать пользователей, если политика конфиденциальности изменится? Просто разместите новую редакцию «Политики» или сообщите по электронной почте?
6. Дополнительные условия. Зависит от сайта. Возможно, вы размещаете фотографии пользователей и хотите оговорить порядок их публикации.
В качестве образца можно использовать «Политики конфиденциальности» Озона, Рестора или воспользоваться генератором. Или найти пример сайта из вашей ниши и подсмотреть там.
4. Если вы юридическое лицо — выпустить приказ о назначении конкретного сотрудника ответственным за работу с персональными данными и составить регламент. Внутренние документы публиковать не надо, но пусть они будут.
5. Разместить под каждой формой ввода данных на сайте и в мобильном приложении текст «Нажимая на кнопку (тут название кнопки), я даю согласие на обработку персональных данных в соответствии с „Политикой конфиденциальности“», где «Политика конфиденциальности» является активной ссылкой на страницу, где размещен этот документ.
6. Уведомить Роскомнадзор о том, что вы обрабатываете персональные данные. Строго говоря, вы давно должны были это сделать, если занимаетесь обработкой персональных данных. Но сейчас уже точно пора.
А что если…
Вопрос: Я не обрабатываю никакие персональные данные, я просто собираю адреса для рассылки. Меня эти правила касаются?
Ответ: Да, сбор данных — это уже обработка.
Вопрос: Я использую зарубежный хостинг, как мне избежать наказания за нарушение закона о персональных данных?
Ответ: С вами все сложно. С одной стороны, закон № 242 обязывает всех операторов персональных данных хранить и обрабатывать их только на территории РФ. С другой — существует статья, регулирующая трансграничную передачу данных. Не углубляясь в детали: закон не запрещает обрабатывать данные за границей, если база данных в РФ является наиболее полной и актуальной. То есть, сначала данные должны попадать в базу, физически находящуюся в России. В дальнейшем их можно обрабатывать на зарубежных хостингах. Подробнее можно прочитать в статье «Как хранить персональные данные…»
Вопрос: А если у меня блог в ЖЖ, на блогспоте или другой платформе?
Ответ: Пока вы не будете там в открытом доступе публиковать персональные данные других лиц, все в порядке.
Как действовать сейчас, если вы:
Физическое лицо или ИП
- Составить и опубликовать на сайте «Политику конфиденциальности».
- Во все формы сбора данных на сайте поставить ссылку на «Политику» и согласие пользователя на обработку данных.
- Уведомить Роскомнадзор, что вы являетесь оператором персональных данных.
Юридическое лицо
- Составить и опубликовать на сайте «Политику конфиденциальности».
- Во все формы сбора данных на сайте поставить ссылку на «Политику» и согласие пользователя на обработку данных.
- Выпустить приказ о назначении конкретного сотрудника ответственным за обработку персональных данных.
- Уведомить Роскомнадзор, что вы являетесь оператором персональных данных.
Ложка меда в бочку дегтя
Максим Лагутин, основатель консалтинговой компании по персональным данным «Б-152», рассказал, что его фирма уже три года помогает компаниям выполнять все требования закона о персональных данных и проходить проверки Роскомнадзора. За это время он еще не видел случаев, когда проверки касались физических лиц. Планы проверок юридических лиц можно скачать на сайте Роскомнадзора.
Штрафы для граждан значительно меньше, чем для юридических лиц — логика подсказывает, что проверяющим интереснее уделять внимание в первую очередь «юрикам».
Юридическое лицо проще найти и проще получить с него штраф, если у меня домен вне зоны ru и из всех контактов только почта и скайп — ну пойди, выпиши мне штраф и получи его потом.
Проще говоря, если вы частное лицо — к вам, скорее всего, с проверкой и штрафом не придут. Вопрос лишь в том, хотите ли вы жить под этим дамокловым мечом возможного штрафа или вам достаточно других поводов для переживаний.
Котики настоятельно советуют заморочиться один раз и сделать все по закону.
Мы уже. За образец спасибо emailsoldiers.ru.
Сеанс паники с последующим разоблачением
О грядущих проблемах, связанных со вступающими в силу поправками, не написал только ленивый.
Коллеги изощряются в нагнетании ужаса, юристы делают многозначительные лица, сетуют на огромную загруженность и соглашаются помочь в подготовке необходимых документов исключительно по дружбе и за повышенный прайс.
Котики меланхолично и с пониманием наблюдали за этим праздником жизни, но все же не выдержали. Вот вам ссылочка на совершенно бесплатный сервис, который сделает для вас всю работу без надувания щек.
Извините, если кого-то оставляем без бутерброда.
Спасибо, котики! Просто, понятно, структурированно, бонусом мило и смешно, а, главное – полезно!!!