Владелец сайта или интернет-магазина? Хочешь уберечься от штрафа от 100 до 300 тыс. руб. и больше?
Всем привет, я - Дмитрий Прянишников, Генеральный директор агентства стратегического маркетинга «Диол», и сегодня хочу рассказать, как не попасть на штраф за обработку персональных данных без уведомления от Роскомнадзора владельцу интернет-ресурса.
Сначала короткий, но очень важный дисклеймер:
- статья не претендует на юридически грамотную, глубокую и обоснованную, выражаю только личное мнение и то, что считаю верным,
- никого не призываю ни к каким действиям и не гарантирую, что если вы их выполните, то вы снимите все риски,
- намеренно не привожу пруфы, их можно легко нагу…наЯндексить,
- в статье описываю только верхушку айсберга по обработке персональных данных - формальную ее часть, техническая часть (как вы в реальности эти данные обрабатываете), в любом случае, за вами.
- Другими словами, я считаю, что описанное - хороший способ попробовать не схлопотать штраф от 100 тыс. руб. до нескольких миллионов за нарушение требований к обработке персональных данных, если у вас есть сайт, и “ноги растут” именно отсюда.
Теперь вы - оператор персональных данных
Нашему клиенту уже прилетело вот такое уведомление.
Если вкратце, то
если у вас есть форма обратной связи (корзина, “задать вопрос” и прочее), то вы храните и обрабатываете персональные данные. Поэтому, вы являетесь оператором персональных данных, а значит у вас должна быть политика обработки персональных данных (ну и вся техническая база для этого). И теперь вы - оператор персональных данных, о чем вы должны уведомить РКН.
если у вас есть на сайте Метрика, Гугл Аналитика, разные онлайн-консультанты, то вы передаете собираемые вами данные сторонним лицам, а значит это должно быть отражено в политике обработки персональных данных (опять же, не говоря о фактической технической базе), и да, вы - оператор персональных данных.
… не уведомили? Заплатите до 300 тысяч рублей!
То есть теперь, если у вас есть сайт (хотя скорее всего у вас много других признаков, которые мы здесь не рассматриваем), то вы - оператор персональных данных. И если вы не подготовили нормативную и техническую базу (включая доработку сайта), а далее не уведомили РКН о том, что вы - тот самый оператор, то с 30.05.2025 вас ждут штрафы:
- от 5000 до 10 000 рублей — для физлиц;
- от 30 000 до 50 000 рублей — для должностных лиц;
- от 100 000 до 300 000 рублей — для организаций и ИП.
А если произошла утечка этих данных, то там вообще “караул”: от 1 до 3 млн за неуведомление об утечке и еще до 15 млн в зависимости от того, сколько данных утекло (данные по ИП и компаниям).
Еще важный момент: штрафы суммируются. То есть, если нарушений несколько то, добро пожаловать, оплатите все.
“Меня точно не коснется”
Есть распространенный миф: “Если я не подам уведомление, то меня все это не коснется, ведь я маленький, что с меня взять”. Я не могу ничего сказать об алгоритмах работы РКН, но выше приведено письмо, которое пришло на сайт небольшой компании с низкой посещаемостью в небольшом городе. Прецедент налицо, а дальше решать вам.
Несколько сайтов на одно юрлицо - одно уведомление
Оператором персональных данных является именно юрлицо, физлицо или ИП, а не сайт. Поэтому, если у вас несколько сайтов, то политика обработки персональных данных будет, по сути, единой, если вы, конечно, не обрабатываете эти данные по-разному. Другими словами, если у вас 5 интернет-магазинов, и все они на одно юрлицо, то политика обработки одна и уведомление должно быть одно на ваше юрлицо (физлицо, ИП).
Скопируем у других или соберем через конструктор политику обработки персональных данных
Да, так можно сделать. И многие CRM предлагают такую опцию. Честно, я не юрист, и не знаю, насколько такая “копипаста” будет соответствовать требованиям РКН: все ли там прописано, в нужном объеме (например, указано ли ответственное лицо за обработку персональных данных, есть ли соответствующие журналы и данные об удалении персональных данных). Вообще, я много нового узнал о том, что действительно должно быть в этой политике и как должно быть написано, при разговоре с юристом. Чего и вам советую…
Так вот, делая все это через юриста, есть возможность хотя бы разделить с ним ответственность, чего в случае со стандартными CRM сделать не получится.
А что, если кроме покупателей и cookies на сайте, у ООО или ИП есть сотрудники?
А вот теперь подходим к вопросу шире. Если у вас есть сотрудники, то их персональные данные вы тоже храните и обрабатываете. С ними должны быть заключены соответствующие соглашения, прописана политика и т.п. Еще с кем-то взаимодействуете? Будьте добры и это прописать в политике. Это могут быть отдельные политики для каждой категории субъектов, с которыми вы взаимодействуете, а может быть единая политика.
Иными словами, даже если у вас нет сайта, но есть клиенты, поставщики, сотрудники и их данные - хотя бы телефоны (а как без этого работать?), то вы - оператор персональных данных.
Что еще нужно сделать на сайте кроме размещения “правильной” политики обработки персональных данных?
Есть несколько моментов, опять же, не буду заострять ваше внимание, это легко загу… заЯндексить. Практически все CRM приводят на своих страницах, как надо доработать сайт, какие всплывающие уведомления сделать, какие галочки и из каких форм надо убрать. У нас этот список тоже есть, мы можем привести ваш сайт в соответствие с требованиями РКН, но мы все-таки советуем подойти целостно к этому вопросу.
Факт остается фактом: если у вас есть сайт, соответствующий современным условиям, вы - оператор персональных данных, а значит должны подать уведомление до 30.05.2025, иначе можно налететь на штраф от 100 до 300 тыс. руб. для ИП и юрлиц.
В общем, настоятельно советую обратиться к юристу, желательно, с опытом по этим вопросам. Если у вас нет своего, то можете обратиться ко мне, я с этим помогу.
Давайте так, есть решения, чтобы успеть до 30.05.2025, но, возможно, с оговорками. Оговорки и то, можем ли мы и наш юрист вам помочь, можем обсудить уже со мной напрямую в ТГ @dmit_pr, перенаправлю вас к юристу по юридическим вопросам, а организационные и технические обсужу с вами сам.