Усилиями рынка и действиями Роскомнадзора владельцы сайтов больше уделяют внимание вопросам защиты персональных данных, и аббревиатура ПДн (или ПД, как многие неправильно называют) все чаще встречается в поисковых запросах, связанных с документацией для сайта. Во многих случаях защита персональных данных заканчивается загрузкой шаблона политики конфиденциальности, взятой из интернета и подготовкой пользовательского соглашения или дисклеймера об обработке cookie. Что нужно учитывать при разработке сайта и о чем предупреждать клиента?

Во-первых, для соответствия закону №152-ФЗ “О персональных данных” требуется политика компании в отношении персональных данных, и по факту это совершенно другой документ. 82% нарушений, выявленных Роскомнадзором при проведении мероприятий систематического наблюдения во 2м квартале 2017 года, относятся к непринятию оператором мер по опубликованию или обеспечению неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных.

Во-вторых, согласно позиции Роскомнадзора и судов к персональным данным относят как привычные и понятные – ФИО, телефоны, почта и прочее, так и аналитические – идентификатор устройства, ip-адрес, файлы cookie. Об этом если не знают, то забывают при разработке документов.

В-третьих, зачастую внимание уделяется исключительно политике и размещению ее на сайте, но документ, который только определяет порядок обработки персональных данных и меры по обеспечению их безопасности. Упускается из виду, что ключевым элементом соответствия закону является получения согласие физического лица на обработка персональных данных.

Если сбор персональных данных на сайте, например в форме обратного звонка, или форме подписки на рассылки, не попадает под обработку ПДн для исполнения договора или для исполнения требований закона, то требуется получать согласие на обработку персональных данных.

Ну, и в-четвертых – пользователи сайта согласно ст.14 ФЗ-152 имеют право запрашивать сведения о том, как обрабатываются их персональные данные. Часто на свои запросы пользователи сайта не получают ответов, а это нарушение сразу по 2м статьям Кодекса об Административных Правонарушениях. Согласно отчету Роскомнадзора за 1 полугодие 2017 года интернет-сайты входят в список наиболее отмечаемых вниманием недовольных клиентов наряду с организациями ЖКХ и кредитными организациями.

Почему важно не использовать шаблоны, правильно собирать согласия, учитывать аналитические персональные данные и отвечать на запросы пользователей?

Потому что Роскомнадзор штрафует за неправильно полученное согласие (считайте, что оно получено не было), за негласный сбор пользовательских данных и Cookie, за отсутствие ответов или банальные отписки. Ниже приведены вилки штрафов, которые выросли с 1 июля 2017 года за нарушения в оформлении или отсутствие необходимых согласий.

Важно понимать, что если на сайт будет подана жалоба, или Роскомнадзор заинтересуется им по другой причине, то любое из нарушений приведет к десяткам тысяч рублей штрафов и необходимостии все переделывать – то, чего так хотелось избежать.  Практика судов показывает, что Роскомнадзор действует решительно и добивается от нарушителей исполнения закона №152-ФЗ “О персональных данных”.

Практика судов по персональным данным

9 августа Арбитражный суд города Москвы оставил в силе решение Роскомнадзора о привлечении крупной компании за неправильный сбор и отсутствие согласий на обработку персональных данных, несоблюдение целей обработки персональных данных. Решение суда стало итогом проверки, проведенной Роскомнадзором, в ходе который Управление проверило то, как хранятся персональные данные, тексты договоров, согласия и прочие документы, относящиеся к персональным данным. Всегда было выявлено 7 нарушений закона.

По итогу проверки Роскомнадзор обязал компанию исправить нарушения закона – получить согласия и указать действительные цели обработки.

В нашумевшем деле блокировки Linked In представитель Роскомнадзора указал, что аналитические данные (идентификатор устройства – MAC адрес, ip-адрес, файлы cookie) относятся к персональными данным пользователя и ,соответственно, требуют получения соответствующего согласия.

Эта позиция была высказана в ходе прений и не попала в текст решения суда, однако такой же позиции Роскомнадзор придерживался в ходе проверки работы оператора связи, о чем сказано в решении Арбитражного суда города Москвы по делу А40-14900/2016. В материалах дела имелись доказательства сбора аналитических данных об абонентах – ID-1Рv4-адресов абонентов, адресов страниц, с которых уходил и на которые заходит абонент, идентификаторов версии веб-браузера пользователя (User Agent) и Cookie.

Суд указал, что информация об оборудовании и трафике пользователя позволяет прямо или косвенно идентифицировать пользователя как определенное физическое лицо (субъект персональных данных), а значит необходимо получение согласия от абонентов в письменной форме. Компанию привлекли к штрафу в размере 30 000 рублей за нарушение требований закона и обязали исправить нарушения.

В мае 2017 года Уральские авиалинии привлекли к ответственности за отказ предоставить гражданину сведения об обработке его персональных данных – правовые основания, цели и прочие сведения, которые гражданин может потребовать на основании статьи 18 закона №152-ФЗ “О персональных данных” (Апелляционное определение Новосибирского областного суда  от 30 мая 2017 г. по делу N 33-5201/2017).

Решение

Как понять, что сайт в поле зрения Роскомнадзора, и какие действия нужно предпринять, чтобы соответствовать 152-ФЗ? Если вы можете поставить галочку в чек-листе ниже, то значит вам есть о чем задуматься:

 На сайте собираются персональные данные, но:

— Отсутствует текст согласия под каждой формой;

— Взяли текст согласия из интернета;

— Периодически передаете персональные данные подрядчикам;

— В согласии указали не все данные, которые собираете, или у вас одно согласие на все случаи сбора;

— Бизнес-процессы меняются, лиды, полученные с сайта обрабатываются уже не так, как планировалось изначально;

— Игнорируете или с трудом отвечаете на запросы пользователей об их персональных данных.

Что делать? Лучший и самый дорогой вариант – обратиться к профессионалам (и в большинстве случаев это не юристы), у которых уже есть готовые решения для работы с персональными данным. Однако, не все могут позволить себе оплатить услуги команды консультантов, и здесь приходится делать все самому.

В таком случае приведу мои рекомендации:

— Поправьте текущие документы, ответив на вопросы какую информацию о пользователях вы собираете? Каким образом эта информация используется, передаете или будет передаваться?

— Повесьте уведомление на сайт о сборе не только, cookies но и пользовательских данных. Пример можно посмотреть на сайте b-152.ru

— Убедитесь, что политика в отношении обработки персональных данных опубликована и всегда доступна на сайте. Название документа должно быть именно таким.

— Правильно собирайте согласия на обработку персональных данных – высылайте ссылку для подтверждения на почту, смс-код на мобильный телефон или сохраняйте IP-адрес пользователя. Проверьте, что каждый случай сбора персональных данных на сайте содержит ссылку на соответствующее этой цели согласие.

Это может быть просто текст, или и поле для галочки “Нажимая на кнопку “Отправить сообщение”, я даю свое согласие на обработку персональных данных”. При этом текст “я даю свое согласие” должен быть ссылкой на текст самого согласия, в котором должна быть следующая информация:

— наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

— цель обработки персональных данных;

— перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

— перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

— срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

— информация о том, какие данные и каким третьим лицам вы передаете для исполнения целей настоящего согласия.

Согласно ст.5 ФЗ-152 данные должны обрабатываться в конкретных целях, не должны обрабатываться избыточные персональные данные и должна прекращаться их обработка после достижения заявленных целей. Т.е. эти данные 100% должны быть в согласии, перед тем как пользователь оставит свои персональные данные. За нарушение этой статьи предусмотрен штраф по ч.1 ст.13.11 КоАП до 50 000 рублей.

Многие заблуждаются, считая, что достаточно одного пользовательского соглашения, политики обработки персональных данных или одного согласия, которое необходимо поставить на все формы сбора персональных данных на сайте и тем самым выполнить закон.

На самом деле на сайте персональные данные через разные формы собираются в разных целях — в одних для осуществления рассылок, в других для контакта с человеком, в третьих для скачивания промо-материалов или заказа прайс-листа.

Цели разные и согласия должны быть разные (ч.1 ст.5 ФЗ-152), в противном случае также возможно попасть на штраф по ч.1 ст.13.11 КоАП до 50 000 рублей.

— Отвечайте на запросы пользователей об их персональных данных, разместив на сайте специальный адрес email для обращений, касающихся персональных данных

В последнее время появилось много сервисов в интернете, которые предлагают автоматическое составление документов по персональным данным. Будьте внимательны, проверяйте соответствуют ли предлагаемые документы и услуги списку из этой статьи.

Максим Лагутин, Б-152 — эксперт по информационной безопасности. 7 лет занимается защитой персональных данных и подготовкой документации, проходил проверки Роскомнадзора со своими клиентами.

Отправить ответ

Уведомлять о
avatar
Александр
Гость

На b-152.ru на некоторых страницах и модальных окнах битые ссылки на ваши профильные документы (согласие / политика). Примеры привел в чат консультанту но он жестко затупил и по-моему даже не понял о чем речь. Ой не благодарите 😉