Если у Вас есть сайт, Вы с вероятностью 99,99% обрабатываете персональные данные, даже если не подозреваете об этом. Например, если у Вас стоит счетчик Яндекса или есть форма обратной связи). А если это так, - нужно выполнить требования закона. Я и сам много чего не знал, хотя казалось бы должен был знать, так что делюсь опытом.
Как не заработать штрафы от РКН, если у тебя сайт
Чек-лист:
Документы на сайте (политика, согласие и прочее);
Техническая сторона сайта (чекбоксы, галочки, плашка, ссылки в футере);
Уведомление РКН;
Меры по безопасности в отношении персональных данных (MD5, SSL и прочее);
Документация и назначение ответственных за ПД в компании (даже, если ты - один ИП или самозанятый).
Ответственность ИП и ООО (если не сделать или сделать неправильно):
неуведомление РКН - от 100 000 до 300 000 рублей;
передача ПД с нарушением - от 150 000 до 300 000 рублей;
отсутствие согласия - от 300 000–700 000 рублей.
Как могут выявлять нарушителей:
по жалобе пользователя;
по собственной инициативе
Когда дедлайн:
30 мая 2025 года (сейчас просто штрафы меньше).
Что на сайте будет персональными данными
Начнем с простого - телефон, имя, email ,аватар. Все что нужно для регистрации - персональные данные. Даже, если аватар или имя вымышленные.
Вообще, в персональных данных все довольно просто, - если информация позволяет хоть как-то указать на человека - это ПД. Даже, его возраст и привычки.
Cookie - это персональные данные
Куки (они же cookie). Казалось бы, почему куки - персональные данные? Там же одна сплошная статистика. Но нет, случайный идентификатор (Cookie «UID») в HTTP-запросе пользователя это персональные данные. Это вывод не мой, а вывод Арбитражного суда г. Москвы (№ А40- 14902/2016-84-126 г. 1 марта 2016 года). В этом деле сошлись Роскомнадзор и МТС, причем Роскомнадзор победил. Поэтому, можно спорить сколько угодно, но незачем.
Для тех, кто не совсем понимает, что это за такие куки - это инфа о пользователе, которая записывается, например, в браузер (например в Яндекс, хотя можно и на сервер их записывать) даже без регистрации на сайте.
Например, сведения о том, какие страницы сайта посещал пользователь или когда Вас на сайте просят указать город откуда Вы. Часто эти данные попадают в так называемую сессию пользователя и уже через сессию могут быть обработаны на сервере. Например, при регистрации город пользователя будет получен из сессии, если он ранее на сайте уже указал свой город.
Яндекс метрика, Gtag, ВК Пиксель и прочее
Перечисленные трекеры (внезапно) собирают куки. Логично, что данные пользователей Вашего сайта эти трекеры получают через Вас. Получается, что даже, если Вы не обрабатываете куки сами, то за Вас это делают другие. Представить сайт без Яндекс метрики я не могу, если честно.
Кстати, насчет метрики от гугла в России. Гугл декларирует, что будет отказываться от трехсторонних куки последние года 2. Выглядит это вот так.
Но вообще-то, это не означает, что Гугл совсем перестанет собирать данные. А поскольку у Гугла в РФ довольно большие сложности, серверы Гугла не находятся на территории РФ. Пользование Gtag или скриптом от Гугл - это по всей видимости будет осуществление трансграничной передачи персональных данных. На этот счет высказывался Таганский рай суд г. Москвы (решение 19.12.2018 по делу № 02-4261/2018).
Как обрабатывать
На сайте должно быть минимум три документа, для соблюдения требований закона:
Согласие на обработку персональных данных;
Политика в отношении обработки персональных данных;
Политика в отношении Cookie.
Сейчас остановимся подробнее.
Согласие на обработку персональных данных на сайте
Согласие на обработку ПД на сайте требуется на основании Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
Статья 6 (п. 1) – Обработка персональных данных допускается только с согласия субъекта (пользователя), за исключением случаев, прямо предусмотренных законом (например, исполнение договора или обязанности оператора).
- Образец согласия
Критерии, которые закон предъявляет к согласию (статья 9 (п. 1, 4) – Согласие должно быть:
информированным (пользователь понимает, какие данные и для чего собираются);
конкретным (четко указаны цели обработки);
сознательным (нельзя получить согласие обманным путем);
документально оформленным (в письменной или электронной форме).
Для обработки специальных категорий данных (раса, здоровье, биометрия и т. д.) требуется письменное согласие. К слову согласие на биометрию Сбербанку я отдельным документом не оформлял. Хотя может быть я просто не помню.
Когда его брать, это согласие?
Ответ очевиден - перед началом обработки. Например, перед регистрацией пользователя на сайте или перед получением данных (телефона).
Как фиксировать?
Самый популярный способ - чекбокс. Спор о том, что чекбокс должен быть по умолчанию в положении checked предлагаю закрыть раз и навсегда. Согласие должно быть явным и сознательным.
Это позиция Московского УФАС (решение от 6 ноября 2019 года № 077/05/18-11501/2019). Галка не должна быть проставлена заранее, а форма для заполнения должна содержать обязательный элемент проставление чекбокса. Required так сказать. Без нее кнопка не должна нажиматься.
Вы можете сказать, что такие гиганты как Тиньков или Озон не заморачиваются по поводу таких сложностей, а я скажу, что может быть это управленческое решение.
Наличие такой сложной галочки может снизить конверсию на пару процентов, что в масштабах их бизнесов - сотни миллионов. Штраф же за некорректное размещение согласия в их масштабах - копеечный.
Ждем первого судебного дела по поводу галочки, тогда можно будет наверняка сказать - стоит ли заморачиваться. А пока точно стоит.
Политика в отношении обработки персональных данных
Этот документ требуется размещать на сайте на основании статьи 18.1 ФЗ-152 "О персональных данных".
Оформить политику лучше всего на базе рекомендаций Роскомнадзора по оформлению политики (Приказ № 996 от 17.07.2020).
Образец политики - https://nedicom.ru/policy
Что включать в политику?
Тут все довольно просто, - Политика должна коррелировать с уведомлением в РКН, которое Вы в этот самый РКН отправляете. Использовать конструкторы или заполнять политику самому не стоит. Хуже этого - только обратиться за помощью юристу за 2500 рублей.
Если взять к примеру сайт с названием Харант (возможно он имеет отношение к правовой систем Гарант, но это не точно) то на этом сайте политика не содержит основного элемента - сведений об операторе ПД.
Указание на сайт или ресурс, конечно же недопустимо. Оператор персональных данных (ПД) — это физическое или юридическое лицо, которое собирает, обрабатывает или хранит персональные данные. Возможно, у сервиса юр консультаций не нашлось юриста на то чтобы корректно заполнить политику. Но вот у Правоведа такая же проблема. Скорее всего тут история про бизнес. Довольно часто Ваши персональные данные продаются третьим лицам на подобного рода сервисах. Кто оставлял свой номер телефона - знает. Если указать выгодополучателя может так получиться, что бизнес перестанет быть прибыльным из-за многочисленных жалоб. Похоже там есть работенка для РКН.
ЦОД - это у меня в офисе?
Небольшое отступление. Почему политику нужно заполнять так, чтобы она соответствовала уведомлению в РКН. Наверняка Вы не знаете что такое ЦОД или только догадываетесь. А ведь адрес ЦОД нужен для подачи заявки в РКН правильно. Ошибочно думать, что центр обработки данных - это место, где ИП осуществляет свою деятельность и, так сказать, перезванивает клиентам. На самом деле, это сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ - это компьютер (обычно сервер, который принадлежит Вашему хостингу).
Указание его адреса обязательно. Если Ваш провайдер в Нидерландах - это проблема. Потому что у Вас получается трансграничная передача данных и соблюдение правил хранения под огромнейшим вопросом, иными словами данные уходят в другую страну без контроля.
Узнать местоположение сервера можно путем запроса. У меня, например, Макхост и я написал в поддержку, потому что публичный адрес сервера Макхост не совпадал со сведениями на сайте.
Так что Политика - дело сложное, как и заявка в РКН.
Политика COOKIE
С Куки все немного проще. Так получилось, что сайт на который зашел пользователь собирает данные пользователе посредством cookie. Тыкать пользователю уведомление с галочкой о том, что покиньте сайт может только сайт Главбух и только если захочет (если что это сарказм, дело в том, что этот сайт практиковал закрытые материалы по подписке, то есть сознательно снижал показатели по продолжительности визита в целях получения прибыли, такая бизнес - модель на мой взгляд просто супер, я до нее просто не дорос). Но Во всех других случаях это крах сайта.
Поэтому уведомление о куки оформляется тоастом (это такое всплывающее сообщение, которое содержит согласие на пользование и ссылку на Политику куки). Сам такой тоаст не препятствует продолжению пользоваться сайтом.
Цинично, что при согласии пользоваться куки, равно как и при несогласии, такое действие пользователя будет занесено в сессию, то есть персональные данные все равно будут собраны.
Официальных рекомендаций к Политике куки пока не существует, поэтому вопрос регулируется в рамках общего законодательства о персональных данных (152-ФЗ).
Правовая основа:
Баннер/плашка/тоаст при первом посещении с кнопками "Принять" и "Настроить".
Чекбокс (не предотмеченный) для маркетинговых куки.
Журнал согласий (если требуется доказать compliance).
У меня это выглядит так
В политике Cookie не лишним будет указать ссылку на Политику в отношении ПД и Согласие в отношении ПД.
Вот собственно и все. Надеюсь у Роскомнадзора хватит полномочий почистить интернет от мошенников и при этом не навредить предпринимателям. Все таки обычным ИП и так некогда головы поднять, а тут еще и такие сложности. Впрочем Мина и партнеры всегда готовы взять на себя груз юридической волокиты.