Закон 152-ФЗ о персональных данных — как их правильно собирать и хранить, чтобы не быть оштрафованным

Обновлено: 6 августа 2017

Здравствуйте, уважаемые читатели блога KtoNaNovenkogo.ru. Последнее время часто задают этот вопрос (в том числе и в комментариях ко многим статьям). Поэтому решил отразить свои ИМХО по этому вопросу. Если коротко, то я не знаю что на уме у Роскомнадзор и какие именно персональные данные к таковым будут отнесены.

Закон 152-ФЗ об ответственности за хранение персональных данных пользователей

Однако, в силу того, что штрафы за нарушение анонсированы нешуточные (под сотню тысяч рублей), имеет смысл «подстелить соломку» и выполнить данные нам сверху предписания (хотя бы частично, ибо штрафы начисляют отдельно по каждому пункту нарушений).

Лучше это сделать и потом узнать, что ваш сайт не подпадает таки под этот закон, чем не сделать и получить штрафные квитанции за нарушения описанные в законе 152-ФЗ. Во всяком случае, я так для себя решил.

Что считать персональными данными и почему это так важно?


С начала июля этого года, в связи с дополнениями в законе 152-ФЗ, существенно повышается вероятность получить по носу (в виде штрафа приличного размера) от Роскомнадзора за нарушение правил работы с персональными данными пользователей. Вообще, это тема злободневная для нашей текущей политики, и на этой почве как раз и произошло неприятное для нас (вебмастеров) событие — одновременное усиление ответственности и упрощение процедуры наложения штрафов.

Дополнения в закон 152-ФЗ о защите персональных данных

Теперь Роскомнадзор может выписать штраф без привлечения прокуратуры и размеры этих штрафов получаются какие-то запредельные особливо для тех, кто оформился как юр. лицо или ИП (ладно там гиганты интернет-индустрии, но большинству это мало не покажется). Например, за сбор Емайлов без согласия оппонента можно получить штраф до 75 тыс. рублей для юр.лиц, хотя физ. лицо отделается несколькими тысячами.

Получается, что физ. лицо несет меньше ответственности и это логично (владельца сайта «хомячка» с формой обратной связи на бОльшую сумму штрафовать рука не поднимется). Но ко многим «серьезным» вебмастерам может возникнуть вопрос о незаконной предпринимательской деятельности, если сайт монетизируется (а это несложно понять). Неплохой способ для Роскомнадзора совместить приятное (штрафы) с полезным (выявление незаконных предпринимателей).

Ключевой вопрос состоит в том, что считать персональными данными, подпадающими под этот закон? ФИО, адрес, паспортные данные, номер телефона или же просто Емайл, имя, cookie (Ip адреса, поисковые запросы и т.п.) или того хуже, ник. Этот вопрос вообще ключевой по отношению к 99% процентам вебмастеров рунета, которые из этого списка обычно собирают только Емайлы, куки и имена (в форме добавления комментария, в форме подписки или обратной связи).

Однозначной трактовки нет и это пугает, ибо есть свобода маневра в том случае, если Роскомнадзор захочет оштрафовать как можно больше владельцев сайтов. С другой стороны, в сети есть призывы не паниковать, ссылаясь на слова главы Роскомнадзора, сказанными в одном из интервью:

Что такое персональные данные по версии закона 152-ФЗ от Роскомнадзора

Повторю ответ на вопрос заданный в заголовке этой публикации — я не знаю истины, но в силу масштабности возможных штрафов предпочитаю «подстелить соломки» и нивелировать риски нарушения самых «убойных» пунктов, за которые взимаются самые большие суммы (десятки тысяч рублей за одно нарушение).

Как снизить риск штрафа за нарушение закона 152-ФЗ?


Понятно, что закон писался все же для «серьезных» сайтов с огромной аудиторией и большими объемами собираемых персональных данных. Во-вторую очередь шерстить, наверное, будут интернет-магазины и прочую коммерцию, ибо там штрафы однозначно будут большие (юр.лица, ИП). Но вполне возможно, что дойдет дело и до обычных владельцев небольших ресурсов. Поэтому определенные действия все же предпринять стоит.

Тут ключевым является именно «снизить риск», ибо дать гарантию, что к вам после этого уже не докопаются, будет сложно. Во-первых, нужно быть юристом, чтобы понять все возможные заковыки. Во-вторых, формулировки и трактовки расплывчаты. В-третьих, ключевую роль могут сыграть варианты реализации описанного ниже. В-четвертых, «старый тупой дядька» может ошибаться. В общем, снизить риск, но не снять проблему полностью.

Итак, что желательно сделать, чтобы у Роскомнадзора не возникло желание с вами поближе познакомиться:

  1. Хранить собираемые персональные данные на территории Российской федерации. Тут все определяется, как я понимаю, географическим расположение сервера, на котором работает сайт. Т.е. хостинг желательно выбирать на территории России. Собственно, из-за этих проблем (хранения личных данных россиян за пределами страны) и был заблокирован Линкедин (соцсеть для работников и работодателей).
  2. Пользователей необходимо поставить в известность о тех мерах безопасности, которые вы предпринимаете для хранения сообщаемых ими персональных данных (и ответственности, которую несут стороны). Для этого обычно размещают на сайте так называемую «Политику конфиденциальности», где нужно будет все четко и по пунктам расписать. Где ее взять? Ну, списать у кого-нибудь или, например, можно использовать сервисы для ее автоматического составления:
    1. Политика конфиденциальности для коммерческого и обычного сайта (я его использовал, но потом чутка дооформил полученный документ). Нашел ссылку на этот сервис у Сергея Сосновского.
    2. То же самое, но есть ограничения при бесплатном использовании
  3. Нужно, чтобы ссылка на страницу с политикой конфиденциальности была доступна с любой страницы вашего сайта, поэтому ее нужно сделать сквозной, разместив, например, в футере или в низу сайдбара.
  4. Нужно, чтобы перед отправкой вам своих персональных данных через любую форму на сайте пользователь предварительно соглашался с описанной выше политикой конфиденциальности.
    1. В идеале — это должен быть чекбокс, не поставив галочку в котором пользователь данные отправить не сможет. И естественно, что ссылка на эти самые правила обработки данных должна быть рядом (пользователя может заинтересовать с чем он соглашается). Именно такую реализацию я сейчас вижу на сайтах некоторых банков.
    2. Но сам я сделал упрощенно — просто написал, что наживая кнопку вы, дескать, соглашаетесь со всем и вся (см. внизу этой статьи под формой подписки на рассылку).
  5. Желательно не собирать лишней информации о пользователях в различных формах и заявках. Во-первых, это ухудшает воронку конверсий (чем больше полей, тем меньше желание их заполнять), во-вторых, возможно, собираемая вами информация и не подпадет таки под шаблон Роскомнадзора.
  6. Даже если вы данные не собираете и не храните, например, используя сторонние системы комментирования (типа дискуса) или социальные сети для входа на сайт, то я бы все равно в политике конфиденциальности об этом упомянул и описанное выше предупреждение разместил. Например, Гугл Адсенс требует упоминать в политике конфиденциальности, что на сайте ведется сбор информации из куков, пусть это осуществляет и сторонняя сайту система контекстной рекламы.
  7. Данные нужно надежно хранить. Как это будут проверять не знаю. К тому же, по первому требованию вы данные пользователя должны будете удалить из своей базы. Вот это уже проверить намного проще.
  8. Ну и, естественно, следуя пунктам закона 152-ФЗ вы должны (просто обязаны) настучать на себя в Роскомнадзор. Конкретных штрафов за невыполнение этого требования не приводится, но они, скорее всего, есть. Хотя я этот пункт проигнорировал (ну, типа, сделал главное и забыл сообщить, просто погрузившись в рутину накопившихся за это время дел).

Думаю, что ссылку на мою версию политики хранения персональных данных пользователей вы найдете без труда (с некоторых страниц на нее аж по три ссылки ведет). Варианты оформления своих форм подписки, обратной связи, комментирования, заказов и т.п. вы тоже выберите сами исходя из своих соображений. Мне же остается только откланяться и сказать спасибо тем, кто дочитал до этого предложения.

Удачи вам! До скорых встреч на страницах блога KtoNaNovenkogo.ru

Плюсануть
Поделиться
Отправить
Класснуть
Линкануть
Запинить
* Нажимая на кнопку "Подписаться" Вы соглашаетесь с политикой конфиденциальности.

Подборки по теме:

Рубрика: Вебмастеру

Комментарии и отзывы

Рут

Спасибо, Дмитрий! Давно у вас просил высказаться по этому поводу, рад, что вы не проигнорировали. А что касается 8-го пункта про «настучать на себя» — если вы имели ввиду регистрацию сайта в Роскомнадзоре, то это, насколько я знаю, не обязательная процедура, не для всех сайтов, по крайней мере.

Дмитрий

Рут: спасибо за уточнение по поводу «настучать». Но мне кажется, что все таки уведомлять Роскомнадзор обязательно — Статья 22. Уведомление об обработке персональных данных

Может быть Вы имели в виду реестр блогеров, который недавно как раз Роскомнадзор закрыл (перестал вести)?

P.S. Добавил в 8 пункт ссылку на форму уведомления Роскомнадзора

Рут

Дмитрий, сам не раз интересовался данным вопросом — есть исключения, при которых можно уведомления не подавать. Рекомендую ознакомиться с материалом https://152.kontur.ru/blog/notification-to-rkn

Геннадий

Когда вы «настучите» на себя, тогда Вы и станете «Оператором персональных данных». Вот тогда РОсомнадзор и будет всех этих операторов проверять по списку рано или поздно, а вот найдет ли он до чего доколупаться? Угадайте с трех раз.

Текст Вашего сообщения:

Подписаться на новые комментарии к этой статье

* Нажимая на кнопку "Добавить комментарий" или "Подписаться" Вы соглашаетесь с политикой конфиденциальности.