Обработка персональных данных (ФЗ-152) для владельцев сайтов. Как не получить штраф и не попасть под блокировку?

Сергей Асанов

23 сентября 2020

Что относится к персональным данным? Чем отличается Политика конфиденциальности от Согласия на обработку персональных данных и от Пользовательского соглашения? Что всё-таки нужно делать с сайтом, чтобы не получить штраф или бан от Роскомнадзора. Обо всём этом простым языком. Разбираемся вместе.

Illustration of forms

О чём этот закон?

Если коротко, это закон о том, что такое персональные данные, кто имеет право их хранить и обрабатывать, и как это правильно делать. Главная цель закона — защищать персональные данные.

Что относится к персональным данным?

На этот вопрос до сих пор нет однозначного ответа. Поэтому коротко рассказываем о трактовке закона юристами и судами на сегодняшний день, после выхода нового постановления правительства в сентябре 2019 года.

В законе сказано, что персональные данные — это всё что связано с человеком, и по чему можно его опознать. Обычно это совокупность данных. Например, имя с фамилией и телефоном — это точно персональные данные.

Казалось бы, e-mail сам по себе не является персональными данными, если он не состоит из имени и фамилии. Однако, если вы отправляете на этот email рассылку рекламного характера в отсутствие соглашения на обработку персональных данных, то вы тоже нарушаете закон. (Постановление № 4А-288/2016 от 4 октября 2016 г. по делу № 4А-288/2016).

Примерно так же обстоят дела с ФИО и даже просто именем без фамилии и отчества. Компания все равно должна соблюдать закон о персональных данных и публиковать политику конфиденциальности (Постановление № 4А-288/2016 от 4 октября 2016 г. по делу № 4А-288/2016).

Аналогичная ситуация с куки, Яндекс.Метрикой и Гугл.Аналитикой. Было несколько громких дел, где российские суды признали это персональными данными.

Если ваши пользователи авторизуются для входа в личный кабинет по логину и паролю, то это не является персональными данными. Но в личном кабинете скорее всего есть профиль пользователя, в котором указано имя и email, поскольку почти ни одна регистрация не обходится без подтверждения по email или телефона. А это уже персональные данные.

Даже обезличенный id пользователя в совокупности со временем просмотра веб-страницы, URL, HTTP referer, User Agent и куки были признаны персональными данными в деле Ростелекома (Постановление № 13 ААС от 01.07.2016 по делу № А56-6698/2016).

Какой вывод можно сделать?

Если у вас на сайте есть любые формы обратной связи, подписки, регистрации или авторизации, либо вы используете куки и счётчики посещаемости — то вы собираете персональные данные.

Любой современный сайт немыслим без форм, куки или счётчиков аналитики. Поэтому можно сказать, что если у вас есть сайт, то скорее всего вы являетесь Оператором персональных данных. В этом случае мы рекомендуем перестраховаться и выполнить все требования закона.

Что необходимо сделать на сайте?

  1. Под каждой формой на сайте разместите текст «Нажимая на кнопку “Отправить”, вы соглашаетесь с Политикой обработки персональных данных». Ссылка должна вести на страницу с Политикой обработки персональных данных. Если это форма подписки на рассылку, то текст должен быть с чекбоксом, где пользователь сам должен поставить галочку.

  2. Создать страницу «Политика обработки персональных данных». Что на ней должно быть — рассказываем далее.

  3. Предупредить пользователей о том, что вы собираете куки, и также получить их согласие. Это можно сделать с помощью небольшого всплывающего блока с кнопкой «Согласен».

  4. Зарегистрироваться на сайте Роскомнадзора, чтобы вас внесли в реестр Операторов персональных данных.

Как составить Политику обработки персональных данных?

Роскомнадзор дал рекомендации по составлению такого документа. Если вы не хотите во всём этом разбираться, то можете воспользоваться специальными бесплатными генераторами. Например, генератором Тильды: https://tilda.cc/ru/privacy-generator/

Политика конфиденциальности, Политика обработки персональных данных и Пользовательское соглашение. В чём разница?

Политика конфиденциальности и Политика обработки персональных данных — это одно и то же. Это согласие на использование и обработку персональных данных.

Пользовательское соглашение — это договор об условиях использования вашего сайта как сервиса по оказанию определённых услуг. Начиная использовать ваш сервис, либо пройдя регистрацию, пользователь считается принявшим условия соглашения. Что будет в этом соглашении, решаете вы. Пользовательское соглашение может включать в себя множество разделов, в том числе и политику обработки персональных данных.

Какой штраф будет, если ничего не делать?

Если игнорировать закон, вас ждёт штраф до 300 000 рублей. Но обычно это 50 000 рублей. Если на ваш сайт обратит внимание Роскомнадзор, то, как правило, сначала вы получите письмо, в котором будут перечислены выявленные на сайте нарушения, связанные с неправомерной обработкой персональных данных. В отдельных случаях, помимо наложения штрафов, Роскомнадзор может заблокировать сайт без решения суда.

Подведём итоги

Разобраться, что такое персональные данные, достаточно сложно. Суд в любом случае может принять своё решение, отличное от вашего. Если у вас есть сайт, то вы почти наверняка собираете персональные данные в каком-либо виде. Чтобы не получить штраф и бан Роскомнадзора, нужно зарегистрироваться в Роскомнадзоре и получить согласие пользователей на обработку персональных данных, а для этого под всеми формами разместить ссылку на Политику конфиденциальности, подготовить саму страницу Политики конфиденциальности и сделать всплывающий блок, предупреждающий пользователей о сборе куки.