Возможно Вас это удивит, но если у Вас на сайте есть форма обратной связи, или даже форма запроса обратного звонка - Вы уже являетесь оператором персональных данных и должны соблюдать соответствующее законодательство.
Сочетание имени и адреса электронной почты, имени и номера телефона - это персональные данные. Закон N 152-ФЗ "О персональных данных" существует уже давно, но до сих пор очень многие игнорировали его требования.
Что было до 2017 года
Случаи, когда компаниям выписывали штрафы за формы на сайте - уже были и раньше. Но не много и суммы штрафов незначительные. Одну компанию в Тамбове оштрафовали на 1 000 рублей, несколько компаний в Астрахани на разные суммы от 5 000 до 10 000 рублей.
Что произошло в 2017 году?
В 2017 году кратно выросли размеры штрафов за нарушения норм Закона "О персональных данных".
К примеру, если пользователь на сайте компании вводит свои персональные данные, и не оставляет явного согласия на их обработку (к примеру, постановкой соответствующей "галочки" при вводе данных в форму), то для юридического лица - владельца сайта предусмотрен штраф в размере до 75 000 рублей.
А если на сайте компании, собирающем персональные данные, нет возможности ознакомиться с Политикой обработки персональных данных компании - предусмотрен штраф до 30 000 рублей.
К тому же, Роскомнадзор теперь имеет право выписывать эти штрафы самостоятельно, без Прокуратуры.
- Федеральный закон от 7 февраля 2017 г. N 13-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" (текст Закона об увеличении штрафов)
Что меняется в 2021 году?
Некоторые из штрафов собираются увеличить. В частности, штраф за обработку персональных данных без согласия владельца для юридических лиц может составить до 150 000 рублей.
- Российская Газета: Госдума повышает штрафы за нарушение правил обработки персональных данных
Таким образом, для организации, у которой на сайте есть форма обратной связи, но не опубликована Политика обработки персональных данных и при отправке формы пользователь не ставит "галочку" согласия с этой Политикой - общая сумма штрафов только за эти два нарушения составит до 180 000 рублей.
Штрафуют ли в 2021 году?
По 2021 и 2020 году на момент написания статьи никаких открытых данных не публиковалось. Но мы можем видеть динамику ситуации на примере 2018 и 2019 годов. Число протоколов, составленных в 2019 году Роскомнадзором за нарушение правил обработки персональных данных, выросло почти на 40%.
- Российская Газета: РКН выписал 1 млн рублей штрафов за нарушения в сфере персональных данных
В абсолютных выражениях 215 протоколов и 1 млн 99 тыс. рублей штрафов на всю страну - это всё ещё довольно редкая практика.
Тем не менее, тенденция нарастающая. Процитируем "Российскую Газету":
В 2019 году в Роскомнадзор поступило 50394 обращения против 41171 обращения в 2018-м. Больше всего обращений касалось обработки персональных данных банками и интернет-сайтами - по 23%
Что примечательно - штрафуют не просто так, а по обращениям.
Конечно, все сразу в поле зрения Роскомнадзора не попадут. Но что если сами представители бизнеса будут активно "стучать" на своих конкурентов? Отсутствие "галочки" согласия на форме обратной связи и текста Политики обработки на сайте - нарушение явное, видно любому посетителю сайта, сообщить в Роскомнадзор нетрудно, а у некоторых компаний сайт не один - получается очень лёгкий способ навредить конкуренту.
Как привести сайт в соответствие с требованиями Закона?
1. Нужно утвердить приказом Политику компании в отношении обработки персональных данных, и разместить её в свободном доступе на сайте, удобнее всего это сделать в "подвале" сайта. Политика должна содержать информацию о том: какие персональные данные собираются, зачем они собираются, куда они могут передаваться, как долго они хранятся, куда обратиться за их изменением и/или удалением.
По мнению Роскомнадзора и судов к персональным данным можно отнести и cookie, IP-адрес, геопозицию пользователя и другие данные, которые собираются системами статистики автоматически. Этот момент следует также учесть в Политике, а также рядом со ссылкой на Политику размещать предупреждение о том, что используя Сайт, пользователь подтверждает своё согласие с Политикой, и в противном случае должен покинуть сайт.
2. В каждой форме ввода данных пользователя на сайте нужно предусмотреть "галочку" типа "Я подтверждаю, что ознакомлен и согласен с Политикой обработки персональных данных этого сайта ", где слова "Политикой обработки персональных данных " будут активной ссылкой на текст Политики.
По мнению ряда специалистов именно "галочка" не обязательна, достаточно подписи типа "Нажимая на эту кнопку, я согласен... ". С юридической точки зрения они возможно и правы, но "галочка" уже является более традиционной формой выражения согласия, и именно о "галочке" говорят официальные лица Роскомнадзора, комментируя эту тему. Поэтому наше мнение - надо ставить "галочку".
- Публикация на сайте Роскомнадзора от 14 апреля 2017 года с комментарием пресс-секретаря Роскомнадзора
3. Нужно уведомить Роскомнадзор о своей деятельности по обработке персональных данных. По этому пункту периодически возникают споры на тему "нужно ли лишний раз напоминать о себе госструктуре". По Закону - нужно. За исключением ряда случаев, перечисленных в п. 2 ст. 22 Закона.
Внимание! Выполнение пунктов по данному списку НЕ ГАРАНТИРУЕТ соблюдения Вами всех норм Закона N 152-ФЗ "О персональных данных", в котором содержатся и другие требования к операторам персональных данных. Речь в данной статье идёт только об устранении явных правонарушений, видимых любому посетителю Вашего сайта.
Кому лучше доверить приведение сайта к нормам Закона?
Саму "Политику обработки персональных данных" как документ нужно разрабатывать индивидуально, с учётом особенностей сайта и бизнеса. Можно воспользоваться и готовыми вариантами, по аналогии с тем, как пользуются шаблонами договоров из интернета - скачать где-то и адаптировать под себя. Заниматься этим должен владелец сайта или юрист. Не стоит доверять этот вопрос вебмастеру, не убедившись, что он хорошо представляет себе все нюансы Вашего бизнеса.
Что касается размещения текста Политики на сайте и "галочек" согласия на формах обратной связи - эти вопросы можно и нужно доверить Вашему вебмастеру или разработчику сайта.