Когда вы заходите на какой-либо сайт и видите форму, где вас просят указать личную информацию о себе и затем нажать на кнопку «Отправить», — знайте, что в тот самый момент в силу вступает законодательство о персональных данных. Вы отправляете данные о конкретном человеке — и в соответствии с ФЗ-152 «О персональных данных» владелец сайта автоматически становится оператором персональных данных.
Давайте рассмотрим правовые риски, связанные с этим законом.
Документация и обоснование
Ключевой риск — отсутствие необходимых документов. В соответствии со ст. 18.1 ФЗ-152 оператор обязан утвердить и разместить в открытом доступе Политику обработки персональных данных и одновременно с тем предоставить пользователю сведения о защите данных. В противном случае наступает ответственность по ст. 13.11 КоАП РФ. Надо сказать, что санкции по этой статье заметно ужесточились: по отдельным составам (например, при крупной утечке данных) штрафы для юридических лиц могут доходить до 15 млн руб., а для физических — до 400 тыс. руб.
Далее оператор персональных данных обязан определиться, на каком основании требуется их обработка. Для сайтов, как правило, указываются два обоснования:
- Обработка как техническая необходимость — например, чтобы заключить или исполнить договор с пользователем (принять его заявку и затем связаться).
- Обработка на основании согласия субъекта персональных данных. Оператор ПДн берет согласие пользователя. В этом варианте действует ст. 9 рассматриваемого Закона: согласие должно быть конкретным и информированным, привязанным к цели; оператор должен уметь доказать, что пользователь его действительно дал. В интерфейсе сайта это обычно выглядит как отдельная галочка под формой, а если целей несколько, то и согласия следует разделять в зависимости от целей.
Рассылки
Если сайт использует маркетинговые рассылки — электронные письма, сообщения в мессенджерах, SMS — следует помнить, что их нельзя прикреплять к соглашению через одну общую галочку. Здесь работает ст. 18 Закона о рекламе (38-ФЗ): необходима предварительная явная воля адресата на получение рекламы, при этом доказать наличие такого согласия должен отправитель. Поэтому подписку на рекламные сообщения выделяют в отдельный пункт и не объединяют с остальными отметками. Также у пользователя должна быть возможность в любой момент отказаться от рекламы, и владелец сайта обязан предоставить простой и понятный маршрут для этого действия.
Сookie-файлы, счетчики, трекеры
Отдельные риски представляют cookie, различные счетчики и рекламные трекеры. Технически все просто: код на странице отправляет во внешний сервис сведения о действиях пользователя на сайте, а также о некоторых параметрах его браузера. Но есть важный юридический нюанс: эти функции и ресурсы нередко дают возможность по косвенным признакам идентифицировать человека, и данные могут уходить третьим лицам.
Поэтому сначала оператору необходимо выбрать правовое обоснование обработки персональных данных (ст. 6 ФЗ-152). Если взаимодействие построено на согласии, его оформляют по правилам ст. 9: согласие должно быть конкретным и информированным, а оператор — уметь доказать, что оно получено. На сайте это обычно реализуют через отдельный чекбокс или cookie-баннер с настройками по категориям, чтобы аналитика/маркетинг включались только после выбора пользователя.
При использовании внешних сервисов пользователь должен понимать, каким именно третьим лицам и для каких целей передаются данные: получателей и цели отражают в Политике. А если передача основана на согласии или для пользователя неочевидна — согласие делают конкретным, с указанием получателей и целей (иногда — с поименованием организаций)
Инфраструктура
П. 5 ст. 18 ФЗ-152 требует, чтобы при сборе персональных данных граждан РФ (в том числе через интернет) их запись, систематизация, накопление, хранение, уточнение и извлечение выполнялись с использованием баз данных, находящихся на территории РФ. Поэтому проверять нужно не только хостинг, но и всю цепочку, где реально обрабатываются данные: CRM, формы и интеграции, сервисы рассылок, логи, резервные копии, аналитику и другие подключенные сервисы.
Если персональные данные передаются за пределы РФ, применяется режим ст. 12 ФЗ-152 о трансграничной передаче — в том числе с отдельными требованиями к оформлению и уведомлениям.
Общие риски
Отдельный риск — несоответствие документов фактической работе сайта. Политика, уведомления и тексты под формами должны совпадать с тем, какие именно скрипты и сервисы подключены на сайте, какие данные они получают и кому эти данные реально передаются. Если в документах указано одно, а по факту на сайте работают другие трекеры, формы или интеграции, это выглядит как недостоверное информирование пользователя и часто становится отдельной проблемой при проверках.
