Можно с уверенностью сказать, что нет практически ни одного интернет - ресурса, который не собирал бы данные о своих пользователях. Банальный сбор e-mail- адресов уже попадает под действие законодательства. Главный вопрос владельцев сайтов – как исполнять 152-ФЗ?
Сначала важно понять, кто является ответственным лицом согласно закону. Это оператор персональных данных. В законе дается полное определение этого понятия: «Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.» Т.е. если у вас есть, к примеру, сайт-визитка, где выскакивает окно с предложением указать адрес электронной почты для рассылок – вы уже являетесь оператором персональных данных.
К персональным данным относятся:
- е-mail;
- телефон;
- имя, фамилия, отчество (и по отдельности);
- адрес;
- дата рождения;
- фотография;
- ссылка на персональный сайт или профиль в соцсетях.
Иными словами персональные данные – все, что может лично относится к человеку, данные, которые помогут его идентифицировать. Но приведенный перечень не является полным. Исходя из судебной практики и постановлений Роскомнадзора даже cookie, данные об IP-адресе, местоположении без указания фамилии и имени являются персональными данными. Например, в деле LinkedIn (который заблокировали за использование cookie, сведений о поведении пользователя на странице и сведений о местонахождении) и провайдера Скартел, эта позиция подтверждается.
Любая форма сбора данных (обратной связи, подписки на рассылку, регистрации или личный кабинет) считается обработкой персональных данных.
Стоит помнить, что хранение и сбор персональных данных так же попадает под определение обработки данных. Об этом сказано в ст.3 закона.
Органом, осуществляющим проверку соблюдения 152-ФЗ, является Роскомнадзор. Не стоит надеяться на «авось пронесет». Надзорный орган осуществляет тысячи проверок в год, поэтому шансы получить штраф, в случае нарушений закона, достаточно велики.
С 27 марта 2021 года действуют новые суммы штрафов за первичное нарушение законодательства в области персональных данных (ч. 2 ст. 13.11 КоАП РФ):
- от 6 000 до 10 000 руб. – для граждан;
- от 20 000 до 40 000 руб. – для должностных лиц и ИП;
- от 30 000 до 150 000 руб. – для организаций.
Что же делать с сайтом, чтобы соответствовать законодательству? Соответствовать установленным условиям:
- Хостинг и база данных с персональными данными должна располагаться на территории России.
- Под каждой формой сбора данных, включая сбор email, разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных».
- Разместить на сайте в общем доступе (например, в подвале сайта) ссылку на документ — политику организации в отношении обработки персональных данных на сайте.
- Показывать всем новым пользователям сайта предупреждение с текстом о том, что вы собираете метаданные пользователя (cookie, данные об IP-адресе и местоположении) для функционирования сайта.
- Подать уведомление, чтобы внести организацию в реестр операторов персональных данных Роскомнадзора.
Если у вас остались вопросы, можете обратиться к нам.