Создай свой сайт
Прогон по 4 млн сайтов
Главная » Разное » Вы здесь =)

Более 90% сайтов попадают под ФЗ №152. Как избежать штрафов?

Всем привет! Если еще лет 5 назад власти "не трогали" интернет, то сейчас с каждым годом принимаются все более "интересные" для владельцев сайтов законы. С 1 июля 2017 года в федеральном законе "О персональных данных" (152-ФЗ) вступили поправки, которые усложнят жизнь простому вебмастеру.

Я ознакомился с самим законом, почитал материалы по данной теме и публикую агрегированную информацию по этой проблеме. Ниже отвечаю на следующие вопросы:

  • почему практически каждый владелец сайта попадает под действие закона?
  • Какие штрафы предусмотрены законодательством?
  • Что сделать, чтобы не получить штраф?

как подготовить сайт под 152-фз

Почему это важно сейчас?

На самом деле, закон о персональных данных (ПД) принят уже достаточно давно. Но 1 июля этого года вступило в силу 2 больших изменения:

  1. Ранее Роскомнадзор (РКН) действовал через прокуратуру и награждал штрафами только при совместной работе. Прокуратура — организация не резиновая, поэтому за нарушения в сфере персональных данных бралась с неохотой (хватало дел посерьезнее). Теперь РКН сам выписывает штрафы напрямую без регистрации и СМС без посредников.
  2. Существенно увеличены штрафы. До 75 тысяч за одно нарушение. Причем, если нарушений несколько, то штрафы суммируются. Так, например, для юридического лица они могут доходить до 290 тысяч. Но для физических лиц и ИП штрафы намного меньше: в совокупности от 8 до 60 тысяч (ниже опубликована таблица). Причем, в большинстве случаев в качестве наказания могут выбрать "Предупреждение".

Таким образом, у РКН стало больше и желания, и возможностей, чтобы применять закон на практике. Конечно, сам по себе он достаточно не плох и призван защищать персональные данные клиентов и пользователей. Но на практике многие законы трактуются настолько общими словами, что его исполнители могут превращать его в карательный инструмент для объектов, изначально не рассчитанных на них. В общем, скоро будет популярна фраза.

Был бы сайт, а статья найдется.

Причем, штраф же ведь могут выписать и по ошибке. Только дело в том, что доказывать обратное придется человеку, который его получил. Тратить на это время и нервы не хочется.

Что входит в понятие персональные данные?

Вот то общее определение из закона, под которое попадает практически все, что вы получаете от клиента или посетителя сайта.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Ключевое выражение - любая информация. На сайте Роскомнадзора есть такой список.

список персональных данных

Но и здесь есть поле, которое не ограничивает только этот набор. Поэтому под персональными данными может пониматься и обычный e-mail. Тем более по решению суда уже были штрафы за формы обратной связи.

Кто попадает под закон 152-ФЗ?

Все владельцы сайтов, на которых есть:

  1. формы комментариев;
  2. регистрация и личные кабинеты;
  3. формы подписки по e-mail;
  4. сбор данных посетителей;
  5. формы заказа.

Грубо говоря, под этот закон попадают все сайты :smile:. Подробнее остановлюсь на 4-м пункте. Здесь подразумеваются и cookie, и IP, и поисковые запросы, и так далее. Многие ссылаются на то, что суды и РКН считают это персональными данными. В одном из решений судов я не увидел информацию про cookie, IP и т.п. В РКН есть перечень документов для проведения проверки оператора (того, кто обрабатывает ПД: владелец сайта или его доверенное лицо). Там есть пункт 4.1.

пункт 4.1

Вот на него якобы и ссылаются. При проверке могут запрашивать много разной информации, которая напрямую не касается самого закона. Прямой связи данных посетителей с персональными данными я не увидел. Может быть, кто-то из вас объяснит и докажет ;-)?

Штрафы: какие и за что?

Сейчас в КоАП (Кодекс об административных правонарушениях) существует 7 пунктов. Я оформил их в виде таблицы и с примечаниями (ссылка на законодательный документ).

Нарушение ФЛ ДЛ ИП ЮЛ
Ст.13.11 КоАП ч. 1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния. предупреждение или
Пример №1: сбор паспортных данных для заказа товара - чрезмерная и излишняя информация. 1-3 т. 3-5 т. нет 30-50 т.
Пример №2: сбор номеров телефонов для подтверждения заказа, а впоследствии СМС-рассылка. Сначала была одна цель, а по факту данные используются для другой.
Ст.13.11 КоАП ч. 2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных. 3-5 т. 10-20 т. нет 15-75 т.
Пример. Сбор e-mail без явного согласия посетителя.
Примечание. В письменной можно понимать как в электронной форме.
Ст.13.11 КоАП ч. 3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных. предупреждение или
Пример. Отсутствие "Политики конфиденциальности" и публичной ссылки на нее. 0,7-1,5 т. 3-6 т. 5-10 т. 15-30 т.
Ст.13.11 КоАП ч. 4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных. предупреждение или
Примечание. Нежелание обрабатывать и надежно хранить персональные данные физических лиц. Игнорирование их запросов на предоставление данных. 1-2 т. 4-6 т. 10-15 т. 20-40 т.
Ст.13.11 КоАП ч. 5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. предупреждение или
Примечание. Отказ или игнорирование запросов субъекта персональных данных на их изменение или удаление. 1-2 т. 4-6 т. 10-20 т. 25-45 т.
Ст.13.11 КоАП ч. 6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния. 0,7-2 т. 4-10 т. 10-20 т. 25-50 т.
Примечание: Наказание в сфере хранения и обработки. Оператор должен обеспечивать безопасность хранения и обработки персональных данных.
Ст.13.11 КоАП ч. 7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных. предупреждение или
Примечание. К вебмастерам не относится. нет 3-6 т. нет нет

Интересно, почему в 2-х пунктах не описана ответственность индивидуальных предпринимателей? Какой придет штраф, если физическое лицо зарегистрировано как ИП, но предпринимательскую деятельность по сайту, на котором обнаружено нарушение, не ведет? Как обычно не обходится без вопросов :smile:.

Что должен сделать владелец сайта, чтобы не получить штрафы?

Буду исходить из нарушений:

  1. Собирать только ту информацию, которая действительно необходима. Например, если это интернет-заказ, то максимум ФИО, e-mail, номер телефона и адрес доставки (если не самовывоз). Важно: если пользователь регистрируется (логинится) через виджеты социальных сетей, то ответственность за полученные с помощью такой процедуры данные также ложатся на оператора. Некоторые считают, что если они только собирают информацию, но никак не используют ее, то не попадают под действие закона. Если даже осуществляется только сбор, то он уже попадает под 152-ФЗ. О том, что вы не храните или никак не используете ПД нужно отметить в той же политике конфиденциальности.
  2. Необходимо определить и опубликовать (в "Политике конфиденциальности") цели сбора персональных данных. Использовать их только по назначению и первоначальным задачам. Если человек связался через онлайн-консультанта и оставил свою почту, то это не значит, что он уже согласен получать на нее рассылку :smile:.
  3. Необходимо получать явное согласие посетителя на обработку его ПД (подтверждение этому Статья 9). Например, при подписке на рассылку или в форме комментариев указывать, что, нажимая на "Подписаться" или "Комментировать" он согласен на обработку его ПД. Также здесь необходимо дать ссылку на "Политику конфиденциальности".
  4. Нужно создать и опубликовать на каждой странице (можно в подвале сайта) политику конфиденциальности, в которой указать все необходимые данные: кем собираются, что собирается, как хранится, как обрабатывается информация, контакты, цели сбора и так далее.
  5. Надежно хранить и обрабатывать ПД. Не допускать утечки информации, передаче ее 3-м лицам (если этого не было обговорено в политике конфиденциальности).
  6. Не отказывать в запросах пользователей на изменение или удаление их данных. Если пришла просьба удалить из рассылки, то лучше просто удалить, чем проигнорировать.

Есть еще 2 пункта, которые необходимо выполнить по закону:

1) Уведомить Роскомнадзор о том, что вы являетесь оператором персональных данных. Уведомить можно письменно или электронно через эту форму. Но здесь есть несколько моментов:

  • Нет штрафа за нарушение данного пункта (поправьте, если не так).
  • Форма не совсем простая. Много пунктов вызывают вопросы.
  • Операторы персональных данных могут проходить проверку. Посмотрите перечень документов для проверки РКН. Оно, конечно, рассчитано на юридические лица, но и для ИП или физиков, возможно, что-то подобно-огромное.
  • Сама форма не совсем хочет, чтобы ее заполняли и скрывает некоторые пункты.

неточности в форме

2) Базы данных (грубо говоря, хостинг) с персональными данными необходимо хранить на территории Российской Федерации.

защита ПД

Но и здесь есть некоторые нюансы:

  • База данных и сам сайт может быть расположен в разных местах. Или будет проверяться только хостинг по whois?
  • В законе есть статья о трансграничной передаче персональных данных. В нем есть список стран-участниц Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД: Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Испания, Ирландия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония. Как я понял, на их территории размещаться можно. Если у вас хостинг в Европе, то скорее всего, в одном из этих государств. А вот США я не смог найти ни в этом списке, ни в списке стран, не являющихся сторонами Конвенции Совета Европы :smile:.

Кстати, нерезиденты РФ также попадают под действие закона, если работают с персональными данными граждан России. Скорее всего, в данном случае будет идти речь не о штрафах, а о предупреждении и/или полной блокировке (как это случилось с linkedin). Так что, если вы нерезидент РФ и собираете ПД российских граждан, а ваш сайт заинтересовал РКН, то просто отсидеться, вероятно, не получится.

От теории к практике

Нужно создать и опубликовать "Политику конфиденциальности", "Пользовательское соглашение", а также внизу каждой формы ввода персональных данных указывать, что пользователь дает согласие на их сбор, хранение и обработку. Я нашел 2 сервиса, которые бесплатно создают подобные документы:

  1. http://tools.joomlatown.net/152/
  2. https://152фз.рф/

Первый неплох, но нужно хорошо подстраивать под свой сайт.

типовая форма

Второй сервис более продвинутый, но бесплатно можно получить файлы только с водяными знаками (в принципе этого вполне будет достаточно). Также есть ссылка на их проект. На первое время или в качестве ориентира вполне подойдет ;-). Там есть виджет в виде скрипта, который можно добавить в футер, но у меня почему-то он не работает. В общем, за 5-10 минут можно получить неплохие документы (не забудьте их закрыть от индексации).

Еще один из вариантов — это посмотреть как сделано у лидеров вашей ниши и сделать также. Только не копируйте все бездумно, а адаптируйте под ваши нужды и оформление.

Для вывода уведомлений о сборе пользовательских данных в wordpress есть плагин Cookie Notice by dFactory. Если у вас не вордпресс или вы хотите сделать как-то по-другому, то обращайтесь к вашему программисту или верстальщику.

Изучил вопрос, написал и опубликовал пост — теперь пора внедрять ;-). А вы уже сделали все, чтобы не получить "письмо счастья" от Роскомнадзора?

Вывод

Безусловно, вряд ли сейчас Роскомнадзор возьмется за ваш блог о собаках или статейник про дачу. В первую очередь, их будут интересовать юридические лица, интернет-магазины. Но никто не отменяет того шанса, что через месяц или год заинтересуются и вашим ресурсом. Хотя, конечно, это бюрократия. Закон создается под определенный круг, а исполнять его приходится широкому.

Штраф РКН будет выписать несложно, а доказывать обратное или оплачивать его будет неприятно. Да и вообще связываться с государственными органами по времени выйдет намного дольше, чем по шаблонам составить 2 документа и разместить их на сайте (+ согласие на подписку и обработку cookie). Как вы считаете?

Буду рад обсудить с вами данную тему в комментариях. Какие ваши мысли и мнения по этому закону?

1 звезда2 звезды3 звезды4 звезды5 звезд (15 голос., в среднем: 4,73 из 5)
Загрузка...

Поделиться
Плюсануть
Дата: 12.07.2017
Получайте актуальные статьи по SEO, блоггингу и заработку в Интернете
прямо на ваш почтовый ящик. Уже более 2000 подписчиков!
Отзывов уже 23:
  1. 1. Alias | 12 июля 2017

    Роскомнадзор молодец. Придумал такое, что все требования и не выполнишь. Минимум согласен, надо сделать на сайте. Но там еще куча требований по хранению. В итоге как не старайся, а если захотят, то найдут какие-нибудь нарушения.

  2. 2. Дима | 12 июля 2017

    Alias, не думаю, что простых вебмастеров будут трогать. Хотя время покажет.

  3. 3. Sosnovskij | 12 июля 2017

    Дима, здесь больше не дело простой это вебмастер или непростой. На мой взгляд, имеет значение степень нарушения на сайте (e-mail и паспортные данные — информация разного уровня) и статус владельца ресурса (физическое лицо, ИП или юридическое лицо — от этого зависят штрафы).

  4. 4. Вячеслав | 12 июля 2017

    Интересно, а как быть со всякими виджетами комментариев (discus, vkontakte и т.п.)? Это вроде как сторонние сервисы.

  5. 5. Алексей | 12 июля 2017

    Сергей, спасибо за детальный разбор. Использовал первый сервис, правда неплох. Вопрос: достаточно просто разместить внизу сайта в подвале ссылку на политику или же со временем надо внедрить, чтобы пользователь ставил галку, что ознакомлен с политикой и ссылку на политику. Вопрос, как для некоммерческих сайтов с формой комментариев, обратной связью, так и для интернет магазинов с формой заказа в корзине.

  6. 6. Sosnovskij | 12 июля 2017

    Вячеслав, лучше все-таки также создать политику конфиденциальности и в ней отразить информацию, о том, что персональные данные комментаторов на сайте не собираются. Они обрабатываются такими-то сервисами.

    Алексей, на мой взгляд, достаточно перед каждой кнопкой формы, которая собирает данные, отразить информацию «Нажимая на такую-то кнопку вы соглашаетесь с политикой конфиденциальности в отношении персональных данных» + ссылка на документ.
    Галочку тоже можно, но реализовать сложнее, и от пользователя нужны будут дополнительные действия.

  7. 7. Оксана | 12 июля 2017

    Сергей, спасибо за своевременный подробный анализ злободневной темы. По контактным формам давно уже сделала, что нужно. Сейчас интересует вопрос подписок. Если они идут через фидбернер, насколько это может быть «наказуемо»?

  8. 8. Алексей | 12 июля 2017

    Привет Сергей, ну если интересно можешь еще ознакомится с ФЗ № 8 «ОБ ОБЕСПЕЧЕНИИ ДОСТУПА К ИНФОРМАЦИИ О ДЕЯТЕЛЬНОСТИ ГОСУДАРСТВЕННЫХ ОРГАНОВ И ОРГАНОВ МЕСТНОГО САМОУПРАВЛЕНИЯ». Там тоже много чего интересного, но это для отдельной ветки сайтов. А так спасибо за информацию)

  9. 9. Галина | 12 июля 2017

    Спасибо за статью, Сергей.
    Объясните, пожалуйста, каким образом штрафуют? Из статьи вообще не понятно, как будут искать человека, как выпишут штраф, где его оплачивают.
    И каким образом это будут делать с не гражданами РФ.

  10. 10. Sosnovskij | 12 июля 2017

    Оксана, также пишите под кнопкой, что нажимая на нее пользователь соглашается с политикой в отношении ПД. В ней прописываете, что в отношении рассылки ПД могут передаваться третьим лицам. Я по крайней мере так сделал :)
    Алексей, хотя бы в какой области искать интерес? :) Законы сухи и не всегда увлекательны :)

    Я, кстати, разместил 2 ссылки в футере на политику и соглашение. Уведомления к форме комментариев и 2-м формам подписки. Можете оценить :)

  11. 11. seoonly | 12 июля 2017

    Т.е. хостинг в Латвии прокатит?)

  12. 12. Sosnovskij | 12 июля 2017

    Галина, практики по штрафам пока мало. Наверно, могут просто на реальную почту прислать :) . Человека могут найти по запросу регистратору доменов, по контактам на сайтах. Многие юридические лица пишут эту информацию в контактах. Оплачивать через банк.

    Не гражданам, скорее всего, сначала предупреждение вышлют каким-то образом. Если будут исправления на сайте, то все ок. Если нет, вероятно, будут блокировать (как linkedin).

    Но опять же повторюсь, браться за всех пока точно не будут. Работы с юридическими лицами им вполне сейчас хватит.

    seoonly, в теории, да.

  13. 13. Александр | 12 июля 2017

    Дикий маразм, по этому закону любая формочка комментов или реги на сайте попадает под тупые правила. А что делать с сайтами, владельцы которых не из РФ, они что собрались 90% интернета заблокировать за неподчинение их идиотской прихоти?

  14. 14. Sosnovskij | 13 июля 2017

    Александр, да, сам закон можно обсуждать долго :) Блокировка сайтов нерезидентов — мое предположение. Скорее всего, мелкие сайты трогать не будут. Им больше интересны проекты уровня linkedin. Блокировать без предупреждения тоже, скорее всего, не будут. Но а выполнить большинство условий закона не так сложно. Хотя, конечно, я разделяю ваше негодование :)

  15. 15. Галина | 13 июля 2017

    Sosnovskij, спасибо за ответ )
    будем наблюдать, как тема будет развиваться в сторону физ лиц и мелких сайтов.

  16. 16. Алексей | 13 июля 2017

    А что с давним законом о регистрации СМИ, если на информационный ресурс приходится > 3000 посетителей?

  17. 17. Alexandr | 14 июля 2017

    Вроде нужно указывать в политике конфиденциальности ФИО и адрес регистрации, если владелец сайта физ.лицо. т.е. если владелец сайта не хочет свои данные «светить» всем, то закрывать сайт?

  18. 18. Sosnovskij | 14 июля 2017

    Алексей, насколько я знаю, то это дело добровольное и не зависит от посещаемости :

    Статья 8. … Сайт в информационно-телекоммуникационной сети «Интернет» может быть зарегистрирован как сетевое издание в соответствии с настоящим Законом. Сайт в информационно-телекоммуникационной сети «Интернет», не зарегистрированный в качестве средства массовой информации, средством массовой информации не является.

    Плюс разъяснение РКН rkn.gov.ru/mass-communications/smi-registation/#4 (последний абзац).

    Alexandr, в статье 18 152-фз про адрес я нашел обязанность оператора предоставить его субъекту, если персональные данные получены не от субъекта.

  19. 19. Дима | 14 июля 2017

    Кстати, а что по поводу договора-оферты? Нужно его публиковать?

  20. 20. Sosnovskij | 14 июля 2017

    Дима, он нужен если вы что-то продаете на своем ресурсе (товары, услуги). С данным законом он в принципе не связан. :)

  21. 21. Никита | 14 июля 2017

    А что думаешь если сайт работает по модели CPA, ведь ты сам не обрабатываешь у себя данные, а просто ставишь фрейм или шлешь кнопкой на сайт оффера. Как думаешь что в этом случае делать.

  22. 22. Sosnovskij | 15 июля 2017

    Никита, в идеале отметить это в политике. Мы не собираем ПД (e-mail, телефон и тому подобное), но пользуясь сайтом и его сервисами, Вы соглашаетесь, что они могут быть переданы третьим лицам.

    Что-то в этом роде :)

  23. 23. Sosnovskij | 21 июля 2017

    Убрал информацию о соглашении на рассылку и политику с сайта и добавил ее в письмо — подтверждение рассылки. На мой взгляд, так и блога не загромождается и пользователь получает то, что нужно :)

* Нажимая на кнопку "Добавить комментарий" я соглашаюсь с политикой конфиденциальности.
css.php Подняться наверхПодняться наверх