РКН и ФАС выпишут штрафы, если не найдут двух важных согласий на вашем сайте! Вот инструкция, как их составить
Всем привет! Меня зовут Татьяна Евсеева, я руководитель практики сопровождения онлайн-бизнеса Legal Up.
Год назад штрафы за неправильную обработку персональных данных выросли на сотни тысяч рублей. Например, за распространение персональных данных без согласия клиента организации теперь должны платить от 300 000 до 700 000 рублей. Новость разлетелась в СМИ 23 декабря 2023, но предпраздничное настроение ее отчасти затмило.
Владельцы бизнесов, интернет-магазинов и онлайн-сервисов стали обращаться за юридической помощью с середины января. Вопросы в бот приходят и сейчас, хотя в Телеграм-канале я периодически публикую посты-шпаргалки для решения правовых проблем, связанных с работой с персональными данными и рекламными рассылками.
За 2024 год я и мои коллеги составили и исправили сотни положений о порядке обработки персональных данных, согласий на обработку персональных данных и согласий на рекламную рассылку. И хорошо бы вам тоже пойти к юристу, но попробую сэкономить ваши время и деньги, рассказав, как сформировать эти документы самостоятельно и исправить ошибки в них.
Что такое персональные данные
Персональные данные – это совокупность сведений о человеке. Поэтому просто имя — Марина, например — единицей персональных данных не считается. Его недостаточно, чтобы идентифицировать конкретную Марину среди других Марин и не Марин тоже.
А вот если к имени присоединятся другие сведения — только фамилия, только номер телефона, только адрес электронной почты, только ссылка на аккаунт в социальной сети – то речь пойдет уже о единице персональных данных (ПД), так как дополнительная информация позволяет идентифицировать конкретного человека.
Примеры:
«Марина, +70000000000» – это единица ПД.
«Марина, marinamarinina93ivanova.@аааааа.ru» – это единица ПД.
Адрес электронной почты, особенно если в нем читаются имя и/или фамилия и год рождения тоже могут считаться единицей персональных данных. В этом виде она содержит достаточно информации, чтобы понять, о ком именно идет речь.
Фактически если у вас есть сведения о человеке, которые позволяют его идентифицировать, вы являетесь оператором ПД.
Оператор ПД – любой, кто как минимум собирает и хранит данные. Чтобы быть им, необязательно работать с информацией каким-то особенным методом. Достаточно просто узнавать ее и фиксировать.
Персональные данные на сайте
На вашей онлайн-площадке есть простая форма обратной связи? Тогда вы — оператор персональных данных и должны выполнять требования законодательства.
Да, даже если просите посетителя указать только имя и номер телефона, чтобы перезвонить. Получить согласие на обработку персональных данных все равно необходимо: без нее работать с ПД нельзя.
Как сделать согласие на обработку персональных данных на сайте
Универсального шаблона документа не существует, поэтому придется создавать собственный вариант. Посмотрите на это с позитивной стороны: в тексте согласия на обработку персональных данных для сайта вы сможете прописать именно то, что актуально в вашей ситуации.
Предостережение: я просто обязана вам напомнить, что копировать чужие согласия на обработку ПД и другие документы из Сети – дело неблагодарное. За чужие ошибки придется платить своим рублем.
В согласии на обработку персональных данных на сайте укажите:
- Полное наименование компании, ее юридический адрес, ОГРН и ИНН.
- Адреса сайтов, собирающих, хранящих и обрабатывающих данные. Пропишите наименование протокола (http или https), сервера (www), домена, имени каталога на сервере и имени файла веб-страницы. Иными словами, от вас требуется полная ссылка.
- Цели сбора данных. Самая популярная цель – информирование пользователя. Оно может выполняться посредством отправки электронных писем и СМС.
- Список ПД, которые вы собираете. Данные должны быть релевантны цели сбора. Если ваша цель – информировать клиента по электронной почте о поступлении товара в продажу, то требовать оставить домашний адрес и номер телефона незаконно: это будет избыточной информацией.
- Список действий по работе с ПД. Здесь придется честно признаться, что именно вы собираетесь делать со сведениями. Кстати, для экономии времени можете воспользоваться этим перечнем и выбрать подходящие варианты: собирать, записывать, систематизировать, накапливать, хранить, уточнять (обновлять, изменять), извлекать, использовать, передавать (предоставлять доступ), обезличивать, блокировать, удалять, уничтожать.
- Срок действия согласия пользователя. Укажите, в течение какого времени данное посетителем сайта согласие будет актуально.
- Условия отзыва согласия на обработку персональных данных вашим сайтом. Здесь пропишите, какие действия нужно выполнить пользователю, чтобы отозвать согласие на обработку персональных данных. Например, написать письмо на вашу электронную почту или направить письменное требование в свободной форме на почтовый адрес вашей организации.
Важно, чтобы все, что вы указываете в форме согласия на обработку персональных данных, не противоречило ФЗ-152 «О персональных данных».
Как и в статье про оферту, я поделилась базовой структурой согласия на обработку персональных данных. Написать согласие простым и понятным для рядового пользователя языком мало. Нужно разместить документ на сайте. Обычно он прикрепляется в виде отдельного файла на каждой странице сайта, где вы собираете персональные данные. Не забудьте об этом, иначе колоссальная работа будет выполнена зря – Роскомнадзор выпишет штраф, если не найдет Согласия на вашей площадке.
Штрафы за неправильную работу с персональными данными на сайте
В начале статьи я говорила, что штрафы за неправильную обработку персональных данных теперь могут ударить по кошельку не только начинающего, но и крупного предпринимателя. Пока подобных случаев немного, поскольку Роскомнадзор для начала направляет уведомление о необходимости исправить нарушения. Их приходит много: постоянные читатели Телеграм-канала неоднократно рассказывали о таких письмах. Большинство владельцев бизнеса быстро реагируют и исправляют недочеты. Разумеется, ситуация не из приятных, и стресса она приносит достаточно.
Но есть и немало других случаев, когда из-за работы с ПД компанию могут оштрафовать. Например, с «Яндекс.Еды» взыскали 5 000 рублей в пользу клиента в качестве компенсации морального вреда. Суть дела в том, что сотрудник «Яндекс.Еда» слил в открытый доступ информацию о заказах, чем нарушил требование законодательства о безопасном хранении и использовании сведений. Клиент нашел данные в интернете, обратился в суд и выиграл его.
Я не устану напоминать, что нужно следить за безопасностью обработки ПД, и обучать сотрудников правилам их обработки. Тем более в скором времени должны принять закон об увеличении размера штрафов за утечку персональных данных.
Согласие на получение рекламной рассылки
С согласием на обработку персональных данных на сегодня закончу, однако тему соглашений на этом не закрою. На повестке дня согласие на получение рекламной рассылки. Я упоминала его выше в контексте получения согласия на обработку ПД на сайте. Поэтому предлагаю разобраться и с ним тоже.
«Оно вшито в мою оферту, а оферта на сайте», – подумает предприниматель и поспешит закрыть эту статью, обрадовавшись, что добрую ее часть можно не читать. Он ошибается: рано или поздно ФАС отправит ему штраф. Если вы это прочитали, значит, у вас есть все шансы избежать такой же участи.
Согласие на получение рекламной рассылки недействительно, если оно вшито, вклеено или вставлено в любой документ. Оно всегда должно быть самостоятельным элементом вашего сайта.
Образца типового согласия на получение рекламной рассылки не будет, но будет инструкция, как написать этот документ самому::
- Начните с формулировки наподобие: «Я выражаю согласие [название, адрес, ИНН и ОГРН вашей компании] на получение мною рекламных сообщений…».
- Добавьте способы получения рекламных рассылок: «…по электронной почте, посредством СМС-сообщений». Выберите либо допишите все подходящие варианты.
- Пропишите подтверждение того, что пользователь верно указал информацию о каналах связи с ним, а эти каналы связи действительно принадлежат ему. Например: «Я гарантирую, что внесенные мною на Сайте номера телефонов, адреса электронных почт, ссылки на профили в социальных сетях принадлежат мне» – выберите или допишите необходимое. Затем добавьте формулировку по типу: «В случае прекращения использования указанных каналов связи я обязуюсь уведомить об этом руководство компании, которой принадлежит настоящий сайт».
- Пропишите условия отказа от рекламной рассылки на сайте: «Я согласен с тем, что рекламные сообщения направляются мне до момента моей отписки от их получения посредством нажатия на специальную кнопку «Отписаться от рассылки» / направления письма об отказе получения рассылки на адрес электронной почты компании» – выберите подходящий или добавьте свой вариант.
- Пропишите срок действия соглашения на получение рекламной рассылки на сайте: «Согласие на получение рекламных сообщений действительно в течение всего времени до момента моего отказа от их получения, описанного в пункте 4».
Не забывайте, что с 17.04.2024 штрафы за направление рекламной рассылки без предварительного согласия от получателя:
- для индивидуальных предпринимателей – от 20 000 до 100 000 рублей;
- для юридических лиц – от 300 000 до 1 000 000 рублей.
Теперь важно правильно разместить соглашение на получение рекламной рассылки на сайте: об этом есть несколько постов в телеграм-канале Юристы о бизнесе | Legal Up. Искренне рекомендую почитать: пишем нечасто и только о важном.
Судебных решений по штрафам за рекламную рассылку довольно много.
Чаще всего получатели рекламных рассылок жалуются в ФАС. Показательный пример – дело ПАО «МегаФон», которое рассматривалось летом 2024 года.
Суть: ПАО «МегаФон» привлекли к ответственности, УФАС назначило штраф 300 000 рублей, но суд его отменил, так как на момент совершения «МегаФоном» правонарушения действовали еще старые «тарифы» по штрафам за рекламную рассылку.
Будьте внимательны при составлении и правке документов и учитывайте индивидуальные особенности своих бизнесов. К сожалению, в рамках публикаций я не могу охватить значимые нюансы разных отраслей. Но готова рассмотреть вашу ситуацию отдельно и оказать правовую помощь не только при составлении, но и при внедрении документов.
Почему «Марина, marinamarinina93ivanova.@аааааа.ru» – это единица ПД?
из-за фамилии в почте?
Константин, добрый вечер! Да, потому что из названия почты можно легко понять имя фамилию и год рождения человека: это довольно большой объём данных, поэтому он составляет единицу персональных данных
Материал пустой. Кому интересно - просто вбиваем в поиск : обработка персональных данных для сайта + вешаем согласие на прием данных.
Здравствуйте! Жаль, что вы не смогли дочитать материал, чтобы дать ему объективную оценку. В тексте я несколько раз объяснила, почему пользоваться информацией по первой ссылке = привлечь повышенное внимание РКН и ФАС. Если в этом цель, то Ваша рекомендация более чем логична
Да ничего они не выпишут, увы. Я жаловалась на сайт, составляла заявку мебельщикам, а на следующий день спамеры мне 15 раз звонили = номер слился в базы. Проверила, а оказывается ни ИНН, ни политики конфиденциальности, ни согласия на обработку ПД у них не было. Я со злобы со всеми скриншотами и выписками от телефонного оператора отправила заявку в РКН.
1. Они через месяц ответили, что продлевают срок ответа на ещё 30 дней
2. Потом через этот срок ответили, что никаких нарушений на сайте не усмотрели
Проверила, Галочка для согласия с политикой конфиденциальности появилось, а вот составлена она неверно - опять не ясно кто оператор, какой ИП-шка собирает данные, где согласие, где хотя какая-то эл. почта для отзыва ПД - ничего! Из этого можно сделать вывод - что им посрать, вот и всё. Увы
Здравствуйте, Екатерина!
Крайне не рекомендую при обработке персональных данных с помощью сервисов сайта рассчитывать на то, что "ничего не будет" в случае выявления нарушений. Закон, регулирующий порядок обработки персональных данных, принят. Также утверждены размеры штрафов за несоблюдение требований закона.