Обработка персональных данных (ФЗ-152) для владельцев сайтов. Как не получить штраф и не попасть под блокировку?

Что относится к персональным данным? Чем отличается Политика конфиденциальности от Согласия на обработку персональных данных и от Пользовательского соглашения? Что всё-таки нужно делать с сайтом, чтобы не получить штраф или бан от Роскомнадзора. Мы потратили почти месяц, чтобы разобраться. Рассказываем обо всём простым языком.

Обработка персональных данных (ФЗ-152) для владельцев сайтов. Как не получить штраф и не попасть под блокировку?

О чём этот закон?

Если коротко, это закон о том, что такое персональные данные, кто имеет право их хранить и обрабатывать, и как это правильно делать. Главная цель закона — защищать персональные данные.

Что относится к персональным данным?

На этот вопрос до сих пор нет однозначного ответа. Поэтому коротко рассказываем о трактовке закона юристами и судами на сегодняшний день, после выхода нового постановления правительства в сентябре 2019 года.

В законе сказано, что персональные данные — это всё что связано с человеком, и по чему можно его опознать. Обычно это совокупность данных. Например, имя с фамилией и телефоном — это точно персональные данные.

Казалось бы, e-mail сам по себе не является персональными данными, если он не состоит из имени и фамилии. Однако, если вы отправляете на этот email рассылку рекламного характера в отсутствие соглашения на обработку персональных данных, то вы тоже нарушаете закон. (Постановление № 4А-288/2016 от 4 октября 2016 г. по делу № 4А-288/2016).

Примерно так же обстоят дела с ФИО и даже просто именем без фамилии и отчества. Компания всё равно должна соблюдать закон о персональных данных и публиковать политику конфиденциальности (Постановление № 4А-288/2016 от 4 октября 2016 г. по делу № 4А-288/2016).

Аналогичная ситуация с куки, Яндекс.Метрикой и Гугл.Аналитикой. Было несколько громких дел, где российские суды признали это персональными данными.

Если ваши пользователи авторизуются для входа в личный кабинет по логину и паролю, то это не является персональными данными. Но в личном кабинете скорее всего есть профиль пользователя, в котором указано имя и email, поскольку почти ни одна регистрация не обходится без подтверждения по email или телефону. А это уже персональные данные.

Даже обезличенный id пользователя в совокупности со временем просмотра веб-страницы, URL, HTTP referer, User Agent и куки были признаны персональными данными в деле Ростелекома (Постановление № 13 ААС от 01.07.2016 по делу № А56-6698/2016).

Какой вывод можно сделать?

Если у вас на сайте есть любые формы обратной связи, подписки, регистрации или авторизации, либо вы используете куки и счётчики посещаемости — то вы собираете персональные данные.

Любой современный сайт немыслим без форм, куки или счётчиков аналитики. Поэтому можно сказать, что если у вас есть сайт, то скорее всего вы являетесь Оператором персональных данных. В этом случае мы рекомендуем перестраховаться и выполнить все требования закона.

Что необходимо сделать на сайте?

  1. Под каждой формой на сайте разместите текст «Нажимая на кнопку “Отправить”, вы соглашаетесь с Политикой обработки персональных данных». Ссылка должна вести на страницу с Политикой обработки персональных данных. Если это форма подписки на рассылку, то текст должен быть с чекбоксом, где пользователь сам должен поставить галочку.
  2. Создать страницу «Политика обработки персональных данных». Что на ней должно быть — рассказываем далее.
  3. Предупредить пользователей о том, что вы собираете куки, и также получить их согласие. Это можно сделать с помощью небольшого всплывающего блока с кнопкой «Согласен».
  4. Зарегистрироваться на сайте Роскомнадзора, чтобы вас внесли в реестр Операторов персональных данных.

Как составить Политику обработки персональных данных?

Роскомнадзор дал рекомендации по составлению такого документа. Если вы не хотите во всём этом разбираться, то можете воспользоваться специальными бесплатными генераторами. Например, генератором Тильды: https://tilda.cc/ru/privacy-generator/

Политика конфиденциальности, Политика обработки персональных данных и Пользовательское соглашение. В чём разница?

Политика конфиденциальности и Политика обработки персональных данных — это одно и то же. Это согласие на использование и обработку персональных данных.

Пользовательское соглашение — это договор об условиях использования вашего сайта как сервиса по оказанию определённых услуг. Начиная использовать ваш сервис, либо пройдя регистрацию, пользователь считается принявшим условия соглашения. Что будет в этом соглашении, решаете вы. Пользовательское соглашение может включать в себя множество разделов, в том числе и политику обработки персональных данных.

Какой штраф будет, если ничего не делать?

Если игнорировать закон, вас ждёт штраф до 300 000 рублей. Но обычно это 50 000 рублей. Если на ваш сайт обратит внимание Роскомнадзор, то, как правило, сначала вы получите письмо, в котором будут перечислены выявленные на сайте нарушения, связанные с неправомерной обработкой персональных данных. В отдельных случаях, помимо наложения штрафов, Роскомнадзор может заблокировать сайт без решения суда.

Подведём итоги

Разобраться, что такое персональные данные, достаточно сложно. Суд в любом случае может принять своё решение, отличное от вашего. Если у вас есть сайт, то вы почти наверняка собираете персональные данные в каком-либо виде. Чтобы не получить штраф и бан Роскомнадзора, нужно зарегистрироваться в Роскомнадзоре и получить согласие пользователей на обработку персональных данных, а для этого под всеми формами разместить ссылку на Политику конфиденциальности, подготовить саму страницу Политики конфиденциальности и сделать всплывающий блок, предупреждающий пользователей о сборе куки.

1616
12 комментариев

Хорошая статья и правильно подобрана судебная практика!
Только несколько неточностей:
1) Согласие на обработку персональных данных - это не сама политика. Это отдельный документ, который основан на политике по обработке ПД. То есть, оно должно быть конкретным, информированным, сознательным, и содержать что собирается и как используется, цель, кому передаются данные;
2) Чтобы выразить согласие - должен быть обязательный чекбокс с текстом о согласии и ссылкой на это согласие и политику. Просто всплывающее окно достаточно для куки как предупреждение. А если руководствоваться мировой практикой, то лучше ещё и предоставить возможность отключить куки и трекинг на своём сайте;
3) Пользовательское соглашение - это совсем иная отрасль. Это гражданско-правовое соглашение, которое определяет права, обязанности правообладателя и пользователя (посетителя сайта). Оно может дополнять какие-то положения политики по обработке ПД (если это предусмотрено), но не заменять, так как политика должна быть отдельно опубликована.

4

1) На какие формы вешать галочку? На регистрацию - понятно. А на форму входа, форму комментария (если форма доступна только зарегистрированным). Форму поиска?

2)Ничего не сказано, где их хранить. Что будет если я поставлю везде галочки, уведомлялку с куки, подам заявку в Роскомнадзор, но при этом сервера находятся в Германии?

3) В форме уведомления Роскомнадзора, что писать в поле "Дата начала обработки персональных данных ", если сайт как 20 лет собирает данные. Или можно сегодняшнюю дату указать, мол только сегодня начал собирать. В каком случае по шапке не дадут?

3

На форму поиска — жестко! )

1

А есть ли информация, какие обязательства накладывает на компанию регистрация в качестве оператора персональных данных?
Отчёты? Проверки? Подтверждение уровней шифрования данных и территориальное хранение и пр.
Есть опасения, что в наших реалиях подобная регистрация может выйти компании боком.

1

Сама регистрация не накладывает никаких дополнительных обязательств. Обязательства по безопасному хранению и пр. возникают в момент, когда вы становитесь оператором ПД, т.е. в момент начала сбора этих данных.

Уточните пожалуйста, что именно обязывает оператора ПД регистрироваться на сайте роскомнадзора в реестре операторов ПД? 

1

В соответствии со статьей 22 Федерального закона «О персональных данных» операторы, осуществляющие обработку персональных данных, обязаны до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.