Более 90% сайтов попадают под ФЗ №152. Как избежать штрафов?
Всем привет! Если еще лет 5 назад власти "не трогали" интернет, то сейчас с каждым годом принимаются все более "интересные" для владельцев сайтов законы. С 1 июля 2017 года в федеральном законе "О персональных данных" (152-ФЗ) вступили поправки, которые усложнят жизнь простому вебмастеру.
Я ознакомился с самим законом, почитал материалы по данной теме и публикую агрегированную информацию по этой проблеме. Ниже отвечаю на следующие вопросы:
- почему практически каждый владелец сайта попадает под действие закона?
- Какие штрафы предусмотрены законодательством?
- Что сделать, чтобы не получить штраф?
Содержание:
Почему это важно сейчас?
На самом деле, закон о персональных данных (ПД) принят уже достаточно давно. Но 1 июля этого года вступило в силу 2 больших изменения:
- Ранее Роскомнадзор (РКН) действовал через прокуратуру и награждал штрафами только при совместной работе. Прокуратура — организация не резиновая, поэтому за нарушения в сфере персональных данных бралась с неохотой (хватало дел посерьезнее). Теперь РКН сам выписывает штрафы напрямую
без регистрации и СМСбез посредников. - Существенно увеличены штрафы. До 75 тысяч за одно нарушение. Причем, если нарушений несколько, то штрафы суммируются. Так, например, для юридического лица они могут доходить до 290 тысяч. Но для физических лиц и ИП штрафы намного меньше: в совокупности от 8 до 60 тысяч (ниже опубликована таблица). Причем, в большинстве случаев в качестве наказания могут выбрать "Предупреждение".
Таким образом, у РКН стало больше и желания, и возможностей, чтобы применять закон на практике. Конечно, сам по себе он достаточно не плох и призван защищать персональные данные клиентов и пользователей. Но на практике многие законы трактуются настолько общими словами, что его исполнители могут превращать его в карательный инструмент для объектов, изначально не рассчитанных на них. В общем, скоро будет популярна фраза.
Был бы сайт, а статья найдется.
Причем, штраф же ведь могут выписать и по ошибке. Только дело в том, что доказывать обратное придется человеку, который его получил. Тратить на это время и нервы не хочется.
Что входит в понятие персональные данные?
Вот то общее определение из закона, под которое попадает практически все, что вы получаете от клиента или посетителя сайта.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Ключевое выражение - любая информация. На сайте Роскомнадзора есть такой список.
Но и здесь есть поле, которое не ограничивает только этот набор. Поэтому под персональными данными может пониматься и обычный e-mail. Тем более по решению суда уже были штрафы за формы обратной связи.
Кто попадает под закон 152-ФЗ?
Все владельцы сайтов, на которых есть:
- формы комментариев;
- регистрация и личные кабинеты;
- формы подписки по e-mail;
- сбор данных посетителей;
- формы заказа.
Грубо говоря, под этот закон попадают все сайты . Подробнее остановлюсь на 4-м пункте. Здесь подразумеваются и cookie, и IP, и поисковые запросы, и так далее. Многие ссылаются на то, что суды и РКН считают это персональными данными. В одном из решений судов я не увидел информацию про cookie, IP и т.п. В РКН есть перечень документов для проведения проверки оператора (того, кто обрабатывает ПД: владелец сайта или его доверенное лицо). Там есть пункт 4.1.
Вот на него якобы и ссылаются. При проверке могут запрашивать много разной информации, которая напрямую не касается самого закона. Прямой связи данных посетителей с персональными данными я не увидел. Может быть, кто-то из вас объяснит и докажет ?
Штрафы: какие и за что?
Сейчас в КоАП (Кодекс об административных правонарушениях) существует 7 пунктов. Я оформил их в виде таблицы и с примечаниями (ссылка на законодательный документ).
Нарушение | ФЛ | ДЛ | ИП | ЮЛ |
Ст.13.11 КоАП ч. 1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния. | предупреждение или | |||
Пример №1: сбор паспортных данных для заказа товара - чрезмерная и излишняя информация. | 1-3 т. | 3-5 т. | нет | 30-50 т. |
Пример №2: сбор номеров телефонов для подтверждения заказа, а впоследствии СМС-рассылка. Сначала была одна цель, а по факту данные используются для другой. | ||||
Ст.13.11 КоАП ч. 2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных. | 3-5 т. | 10-20 т. | нет | 15-75 т. |
Пример. Сбор e-mail без явного согласия посетителя. | ||||
Примечание. В письменной можно понимать как в электронной форме. | ||||
Ст.13.11 КоАП ч. 3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных. | предупреждение или | |||
Пример. Отсутствие "Политики конфиденциальности" и публичной ссылки на нее. | 0,7-1,5 т. | 3-6 т. | 5-10 т. | 15-30 т. |
Ст.13.11 КоАП ч. 4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных. | предупреждение или | |||
Примечание. Нежелание обрабатывать и надежно хранить персональные данные физических лиц. Игнорирование их запросов на предоставление данных. | 1-2 т. | 4-6 т. | 10-15 т. | 20-40 т. |
Ст.13.11 КоАП ч. 5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. | предупреждение или | |||
Примечание. Отказ или игнорирование запросов субъекта персональных данных на их изменение или удаление. | 1-2 т. | 4-6 т. | 10-20 т. | 25-45 т. |
Ст.13.11 КоАП ч. 6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния. | 0,7-2 т. | 4-10 т. | 10-20 т. | 25-50 т. |
Примечание: Наказание в сфере хранения и обработки. Оператор должен обеспечивать безопасность хранения и обработки персональных данных. | ||||
Ст.13.11 КоАП ч. 7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных. | предупреждение или | |||
Примечание. К вебмастерам не относится. | нет | 3-6 т. | нет | нет |
Интересно, почему в 2-х пунктах не описана ответственность индивидуальных предпринимателей? Какой придет штраф, если физическое лицо зарегистрировано как ИП, но предпринимательскую деятельность по сайту, на котором обнаружено нарушение, не ведет? Как обычно не обходится без вопросов .
Что должен сделать владелец сайта, чтобы не получить штрафы?
Буду исходить из нарушений:
- Собирать только ту информацию, которая действительно необходима. Например, если это интернет-заказ, то максимум ФИО, e-mail, номер телефона и адрес доставки (если не самовывоз). Важно: если пользователь регистрируется (логинится) через виджеты социальных сетей, то ответственность за полученные с помощью такой процедуры данные также ложатся на оператора. Некоторые считают, что если они только собирают информацию, но никак не используют ее, то не попадают под действие закона. Если даже осуществляется только сбор, то он уже попадает под 152-ФЗ. О том, что вы не храните или никак не используете ПД нужно отметить в той же политике конфиденциальности.
- Необходимо определить и опубликовать (в "Политике конфиденциальности") цели сбора персональных данных. Использовать их только по назначению и первоначальным задачам. Если человек связался через онлайн-консультанта и оставил свою почту, то это не значит, что он уже согласен получать на нее рассылку .
- Необходимо получать явное согласие посетителя на обработку его ПД (подтверждение этому Статья 9). Например, при подписке на рассылку или в форме комментариев указывать, что, нажимая на "Подписаться" или "Комментировать" он согласен на обработку его ПД. Также здесь необходимо дать ссылку на "Политику конфиденциальности".
- Нужно создать и опубликовать на каждой странице (можно в подвале сайта) политику конфиденциальности, в которой указать все необходимые данные: кем собираются, что собирается, как хранится, как обрабатывается информация, контакты, цели сбора и так далее.
- Надежно хранить и обрабатывать ПД. Не допускать утечки информации, передаче ее 3-м лицам (если этого не было обговорено в политике конфиденциальности).
- Не отказывать в запросах пользователей на изменение или удаление их данных. Если пришла просьба удалить из рассылки, то лучше просто удалить, чем проигнорировать.
Есть еще 2 пункта, которые необходимо выполнить по закону:
1) Уведомить Роскомнадзор о том, что вы являетесь оператором персональных данных. Уведомить можно письменно или электронно через эту форму. Но здесь есть несколько моментов:
- Нет штрафа за нарушение данного пункта (поправьте, если не так). Обновление. По статье 19.7 КоАП имеется административная ответственность за непредоставление (или несвоевременное предоставление + неполнота) информации государственным органам. Штраф: гражданам - 100-300 рублей; должностным - 300-500; юридическим - 3000-5000.
- Форма не совсем простая. Много пунктов вызывают вопросы.
- Операторы персональных данных могут проходить проверку.
- Сама форма не совсем хочет, чтобы ее заполняли и скрывает некоторые пункты.
2) Базы данных (грубо говоря, хостинг) с персональными данными необходимо хранить на территории Российской Федерации.
Но и здесь есть некоторые нюансы:
- База данных и сам сайт может быть расположен в разных местах. Или будет проверяться только хостинг по whois?
- В законе есть статья о трансграничной передаче персональных данных. В нем есть список стран-участниц Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД: Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Испания, Ирландия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония. Как я понял, на их территории размещаться можно. Если у вас хостинг в Европе, то скорее всего, в одном из этих государств. А вот США я не смог найти ни в этом списке, ни в списке стран, не являющихся сторонами Конвенции Совета Европы .
Кстати, нерезиденты РФ также попадают под действие закона, если работают с персональными данными граждан России. Скорее всего, в данном случае будет идти речь не о штрафах, а о предупреждении и/или полной блокировке (как это случилось с linkedin). Так что, если вы нерезидент РФ и собираете ПД российских граждан, а ваш сайт заинтересовал РКН, то просто отсидеться, вероятно, не получится.
От теории к практике
Нужно создать и опубликовать "Политику конфиденциальности", "Пользовательское соглашение", а также внизу каждой формы ввода персональных данных указывать, что пользователь дает согласие на их сбор, хранение и обработку. Я нашел 2 сервиса, которые бесплатно создают подобные документы:
- tools.joomlatown.net/152/ (уже не работает)
- 152фз.рф
Первый неплох, но нужно хорошо подстраивать под свой сайт.
Второй сервис более продвинутый, но бесплатно можно получить файлы только с водяными знаками (в принципе этого вполне будет достаточно). Также есть ссылка на их проект. На первое время или в качестве ориентира вполне подойдет . Там есть виджет в виде скрипта, который можно добавить в футер, но у меня почему-то он не работает. В общем, за 5-10 минут можно получить неплохие документы (не забудьте их закрыть от индексации).
Еще один из вариантов — это посмотреть как сделано у лидеров вашей ниши и сделать также. Только не копируйте все бездумно, а адаптируйте под ваши нужды и оформление.
Для вывода уведомлений о сборе пользовательских данных в wordpress есть плагин Cookie Notice by dFactory. Если у вас не вордпресс или вы хотите сделать как-то по-другому, то обращайтесь к вашему программисту или верстальщику.
Изучил вопрос, написал и опубликовал пост — теперь пора внедрять . А вы уже сделали все, чтобы не получить "письмо счастья" от Роскомнадзора?
Вывод
Безусловно, вряд ли сейчас Роскомнадзор возьмется за ваш блог о собаках или статейник про дачу. В первую очередь, их будут интересовать юридические лица, интернет-магазины. Но никто не отменяет того шанса, что через месяц или год заинтересуются и вашим ресурсом. Хотя, конечно, это бюрократия. Закон создается под определенный круг, а исполнять его приходится широкому.
Штраф РКН будет выписать несложно, а доказывать обратное или оплачивать его будет неприятно. Да и вообще связываться с государственными органами по времени выйдет намного дольше, чем по шаблонам составить 2 документа и разместить их на сайте (+ согласие на подписку и обработку cookie). Как вы считаете?
Буду рад обсудить с вами данную тему в комментариях. Какие ваши мысли и мнения по этому закону?
Роскомнадзор молодец. Придумал такое, что все требования и не выполнишь. Минимум согласен, надо сделать на сайте. Но там еще куча требований по хранению. В итоге как не старайся, а если захотят, то найдут какие-нибудь нарушения.
Alias, не думаю, что простых вебмастеров будут трогать. Хотя время покажет.
Дима, здесь больше не дело простой это вебмастер или непростой. На мой взгляд, имеет значение степень нарушения на сайте (e-mail и паспортные данные — информация разного уровня) и статус владельца ресурса (физическое лицо, ИП или юридическое лицо — от этого зависят штрафы).
Интересно, а как быть со всякими виджетами комментариев (discus, vkontakte и т.п.)? Это вроде как сторонние сервисы.
Сергей, спасибо за детальный разбор. Использовал первый сервис, правда неплох. Вопрос: достаточно просто разместить внизу сайта в подвале ссылку на политику или же со временем надо внедрить, чтобы пользователь ставил галку, что ознакомлен с политикой и ссылку на политику. Вопрос, как для некоммерческих сайтов с формой комментариев, обратной связью, так и для интернет магазинов с формой заказа в корзине.
Вячеслав, лучше все-таки также создать политику конфиденциальности и в ней отразить информацию, о том, что персональные данные комментаторов на сайте не собираются. Они обрабатываются такими-то сервисами.
Алексей, на мой взгляд, достаточно перед каждой кнопкой формы, которая собирает данные, отразить информацию «Нажимая на такую-то кнопку вы соглашаетесь с политикой конфиденциальности в отношении персональных данных» + ссылка на документ.
Галочку тоже можно, но реализовать сложнее, и от пользователя нужны будут дополнительные действия.
Сергей, спасибо за своевременный подробный анализ злободневной темы. По контактным формам давно уже сделала, что нужно. Сейчас интересует вопрос подписок. Если они идут через фидбернер, насколько это может быть «наказуемо»?
Привет Сергей, ну если интересно можешь еще ознакомится с ФЗ № 8 «ОБ ОБЕСПЕЧЕНИИ ДОСТУПА К ИНФОРМАЦИИ О ДЕЯТЕЛЬНОСТИ ГОСУДАРСТВЕННЫХ ОРГАНОВ И ОРГАНОВ МЕСТНОГО САМОУПРАВЛЕНИЯ». Там тоже много чего интересного, но это для отдельной ветки сайтов. А так спасибо за информацию)
Спасибо за статью, Сергей.
Объясните, пожалуйста, каким образом штрафуют? Из статьи вообще не понятно, как будут искать человека, как выпишут штраф, где его оплачивают.
И каким образом это будут делать с не гражданами РФ.
Оксана, также пишите под кнопкой, что нажимая на нее пользователь соглашается с политикой в отношении ПД. В ней прописываете, что в отношении рассылки ПД могут передаваться третьим лицам. Я по крайней мере так сделал
Алексей, хотя бы в какой области искать интерес? Законы сухи и не всегда увлекательны
Я, кстати, разместил 2 ссылки в футере на политику и соглашение. Уведомления к форме комментариев и 2-м формам подписки. Можете оценить
Т.е. хостинг в Латвии прокатит?)
Галина, практики по штрафам пока мало. Наверно, могут просто на реальную почту прислать . Человека могут найти по запросу регистратору доменов, по контактам на сайтах. Многие юридические лица пишут эту информацию в контактах. Оплачивать через банк.
Не гражданам, скорее всего, сначала предупреждение вышлют каким-то образом. Если будут исправления на сайте, то все ок. Если нет, вероятно, будут блокировать (как linkedin).
Но опять же повторюсь, браться за всех пока точно не будут. Работы с юридическими лицами им вполне сейчас хватит.
seoonly, в теории, да.
Дикий маразм, по этому закону любая формочка комментов или реги на сайте попадает под тупые правила. А что делать с сайтами, владельцы которых не из РФ, они что собрались 90% интернета заблокировать за неподчинение их идиотской прихоти?
Александр, да, сам закон можно обсуждать долго Блокировка сайтов нерезидентов — мое предположение. Скорее всего, мелкие сайты трогать не будут. Им больше интересны проекты уровня linkedin. Блокировать без предупреждения тоже, скорее всего, не будут. Но а выполнить большинство условий закона не так сложно. Хотя, конечно, я разделяю ваше негодование
Sosnovskij, спасибо за ответ )
будем наблюдать, как тема будет развиваться в сторону физ лиц и мелких сайтов.
А что с давним законом о регистрации СМИ, если на информационный ресурс приходится > 3000 посетителей?
Вроде нужно указывать в политике конфиденциальности ФИО и адрес регистрации, если владелец сайта физ.лицо. т.е. если владелец сайта не хочет свои данные «светить» всем, то закрывать сайт?
Алексей, насколько я знаю, то это дело добровольное и не зависит от посещаемости :
Плюс разъяснение РКН rkn.gov.ru/mass-communications/smi-registation/#4 (последний абзац).
Alexandr, в статье 18 152-фз про адрес я нашел обязанность оператора предоставить его субъекту, если персональные данные получены не от субъекта.
Кстати, а что по поводу договора-оферты? Нужно его публиковать?
Дима, он нужен если вы что-то продаете на своем ресурсе (товары, услуги). С данным законом он в принципе не связан.
А что думаешь если сайт работает по модели CPA, ведь ты сам не обрабатываешь у себя данные, а просто ставишь фрейм или шлешь кнопкой на сайт оффера. Как думаешь что в этом случае делать.
Никита, в идеале отметить это в политике. Мы не собираем ПД (e-mail, телефон и тому подобное), но пользуясь сайтом и его сервисами, Вы соглашаетесь, что они могут быть переданы третьим лицам.
Что-то в этом роде
Убрал информацию о соглашении на рассылку и политику с сайта и добавил ее в письмо — подтверждение рассылки. На мой взгляд, так и блога не загромождается и пользователь получает то, что нужно
М-да, накрыло россию по полной программе. То к телеграму прицепились, теперь и к этому.
Пара шаблонных разделов на сайте это не проблема, а базы данных и хостинг? Привет ФСБ (быстрый доступ в обход судебной тягомотины)
Наивно полагать, что простых мастеров трогать не будут. Будут ) Нас много, и дорогих адвокатов у нас не найдется. Статья прекрасная! написано очень подробно…
С каждым годом, все тяжелее и тяжелее в интернете. Думаю скоро появиться налог на рекламу блоггеров в ютубе, налог на владение сайта и прочая хрень. А потом дружно уйдем в офшоры и будем шиковать))
Политика Роскомнадзора в области Интернета, СМИ и закона о ПД, довольно жёсткая. К сожалению, до блогеров и до владельцев сайтов могут придраться, повод им искать долго не надо.
«Нет штрафа за нарушение данного пункта (поправьте, если не так).»
Поправляю:)
Отказ от регистрации в Роскомнадзоре попадает в категорию нарушений по статье 19.7 Административного Кодекса РФ «Непредставление сведений (информации)» ведет к штрафам
«…влечет предупреждение или наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц — от трехсот до пятисот рублей; на юридических лиц — от трех тысяч до пяти тысяч рублей.»
Виталий, спасибо! Обновил пост.
Могут ли эти штрафы повлиять на гражданина Украины, если сайт в зоне ру и хостинг находится на русской территории?
Подскажите, а как Вы закрыли политику и соглашение от индексации?
И еще, Сергей, на меня оформлено ООО. Получается, я юридическое лицо. Но тема блога никак не связана с профессиональной деятельностью. Так мне «статьи» будут шить по максимуму?
А если так:
Убрать форму обратной связи на странице «контакты» и просто указать свой мейл. Снести форму подписки. Она больше для галочки стоит.
В форме комментариев вырезать поле «сайт» и «мейл», оставить только «имя».
Вероятность быть привлеченным снижается?
Инна37, штрафы нет, но могут что-то придумать с доступом, если сайт не будет соответствовать законам РФ. Это все пока в теории. Практики по данному вопросу я не знаю.
Тимур, плагин all in one seo pack. Noindex и nofollow для конкретных страниц. Можно просто в robots.txt запретить.
Если блог и ООО никак не связаны, то Вы не будете рассматриваться как юридическое лицо.
Если убрать сбор таких данных, то это существенно снизить вероятность каких-либо санкций. Единственное, непонятная ситуация с куки, IP и так далее. Какое-то пользовательское соглашение все-таки нужно (что эти данные обезличены).
Сергей, спасибо большое за ответы!
Я воспользовался услугами сайта 152фз.рф.
За 490р установил виджет и мне его настроила тех.поддержка сайта.
+ еще дали промокод на 50% скидку.
Теперь еще вот не знаю рассылку тоже нужно переводить на российский хостинг? Она у меня на MailChimp.
Марат, хостинг не обязательно должен быть российским
Учитывая то, что на сайте вы обязаны публиковать свои данные, как-то, место регистрации, ФИО, ИНН и т.д. любой грамотный мошенник легко оформит на вас кредиты. Спасибо «специалистам» из «РКН». Платить за это кто будет?
Владимир, все на благо народа
Предупрежден, значит вооружен)))))
Сергей, а какой плагин вы использовали, чтобы подставить к форме комментариев галочку «согласен с политикой конфиденциальности»?
Тимур, никакие, просто в шаблон добавил
Понял, спасибо! Я разные способы попробовал. Каждый чем-то не устроил. В итоге прописал в файл комментариев своей темы.
Абсолютно точно, размещая на сайте политику конфиденциальности и галки о согласии на обработку ПД, вы как бы признаете себя оператором ПД. А оператор обязан защищать информацию. И простая передача данных от клиентской машины в бд хостеру — уже серьезное нарушение, т.к. происходит по незащищенному каналу. И проверяет это не Роскомнадзор, а ФСБ…. А обеспечить весь комплекс мер по защите ПД небольшой фирме, ИП-шнику просто нереально… :((