Публикация персональных данных на сайте 2024

Почти все владельцы сайтов обрабатывают персональные данные — например, собирают почтовые адреса для рассылки.

1 июля 2017 года вступают в силу изменения в законе о персональных данных, из-за которых в разы вырастут штрафы. Максим Лагутин, эксперт по персональным данным в компании Б-152, рассказывает, на кого это повлияет и как избежать штрафов.

Максим Лагутин
Эксперт по защите персональных данных,
основатель консалтинговой компании Б-152

Сейчас по статье 13.11 есть только одно нарушение со штрафом 10 000 рублей для юрлиц. После 1 июля их станет семь и общий штраф может составить до 295 000 рублей.

Почему сейчас? Все штрафы, которые вступают в силу с 1 июля, являются наиболее частыми нарушениями, которые Роскомнадзор выявлял в течение последних пяти лет. Ужесточение нашего законодательства связано с ужесточением законодательства в Евросоюзе.

Например, если в форме обратной связи нет ссылки на соглашение на обработку персональных данных, компания должна будет заплатить 50 000 рублей. Если на сайте нет политики конфиденциальности, ИП оштрафуют на 10 000 рублей, компанию — на 30 000 рублей.

Кого будут штрафовать?

Операторов персональных данных. Оператор — любая организация, ИП и физическое лицо, которые обрабатывают персональные данные, например, собирает электронные адреса для рассылки.

Определение из закона 152-ФЗ «О персональных данных»:

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Что такое персональные данные?

Любые данные о человеке, по которым его можно опознать. Точного перечисления в законе нет, но, например, если логин пользователя нам ни о чем не говорит, то электронная почта — это уже персональные данные.

Определение из закона 152-ФЗ «О персональных данных»:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Часто используемые персональные данные

Неважно, используете ли вы эту информацию по отдельности или в сочетании — если вы как-то получаете ее от пользователей, вы — оператор персональных данных.

• Email
• Телефон
• Имя, фамилия, отчество (и по отдельности)
• Адрес
• Дата рождения
• Фотография
• Ссылка на персональный сайт и профиль в соцсетях

Трактовка расплывчатая, но исходя из позиции судов и Роскомнадзора даже cookie , данные об IP-адресе, местоположении без указания фамилии и имени являются персональными данными. В деле LinkedIn (который заблокировали за использование cookie, сведений о поведении пользователя на странице и сведений о местонахождении) и провайдера Скартел позиция судов и Роскомнадзора подтверждается.

Если на вашем сайте есть любая форма сбора данных — обратной связи, подписки на рассылку, регистрации или личный кабинет, это считается обработкой персональных данных.

Я не обрабатываю персональные данные, а только собираю

Хранение и сбор тоже попадают под определение обработки. Даже если вы собираете данные и через пару минут удаляете, это будет считаться обработкой персональных данных.

Определение из закона 152-ФЗ «О персональных данных»:

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Что делать с сайтом

Вам нужно сделать так, чтобы сайт соответствовал требованиям 152-ФЗ. Эти требования применимы для всех — физических лиц и компаний. Убедитесь, что вы соблюдаете следующие условия:

Хостинг и база данных с персональными данными должна располагаться на территории России. Об этом прямо говорят данные проверок Роскомнадзора (снова LinkedIn) и закон № 242-ФЗ, который обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года.

Это касается иностранных компаний с юрлицом в России и без него, а также российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. Все осложняется тем, что требования Роскомнадзора до конца не ясны, приходится догадываться самим.

Если вы не понимаете, где хранить данные и что делать, обратитесь с запросом в Роскомнадзор или Минкомсвязи. И возможно у вашего хостинг-провайдера есть готовые решения на такой случай.

Под каждой формой сбора данных, включая сбор email, разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». В тексте должна быть ссылка на документ — Пользовательское соглашение, договор или согласие на обработку персональных данных. Текст самого документа можно разместить на отдельной странице.

В Тильде в каждом блоке с формой сбора данных есть поле, в котором можно разместить текст о согласии на обработку данных и ссылку на соглашение и таким образом выполнить требование закона.

Какая информация должна быть в соглашении об обработке персональных данных

Согласно ч.4 ст. 9 закона 152-ФЗ «О персональных данных» в соглашении обязательно должна быть следующая информация:

наименование или фамилия, имя, отчество и адрес оператора , получающего согласие субъекта персональных данных;

Разместить на сайте в общем доступе (например, в подвале сайта) ссылку на документ — политику организации в отношении обработки персональных данных на сайте.

Пример политики организации в отношении обработки персональных данных на сайте

Показывать всем новым пользователям сайта предупреждение с текстом о том, что вы собираете метаданные пользователя (cookie, данные об IP-адресе и местоположении) для функционирования сайта и, если он не хочет, чтобы эти его данные обрабатывались, то должен покинуть сайт.

На Тильде блок с предупреждением находится в категории «Другое» под номером Т657

Подать уведомление , чтобы внести организацию в реестр операторов персональных данных Роскомнадзора — можно сделать через сайт.

Уведомление можно не подавать, если вы:

обрабатываете только данные работников и только для исполнения требований трудового законодательства (без передачи данных в банки, например, оформления зарплатного проекта)

Подтверждать статус оператора в Роскомнадзоре не нужно. Вы или ваша компания итак уже является оператором, если имеет доступ к персональным данным.

Как в 2024 году работодателям уведомлять Роскомнадзор об обработке персональных данных

В 2024 года все (без исключения) работодатели обязаны направить в Роскомнадзор (РКН) уведомление об обработке персональных данных. Как его заполнить? Как передать в РКН уведомление о начале обработки персональных данных? Что будет, если проигнорировать и ничего не направить? Нужно ли это делать ИП?

Ответим на вопросы, также вы сможете ознакомиться с примерами заполнения уведомлений в РКН в 2024 году.

Уведомить РКН обязаны все работодатели – иначе штраф

До начала обработки персональных данных сотрудников, работодатель обязан уведомить об этом территориальный орган Роскомнадзора. С 1 сентября работодатель обязан уведомлять о начале обработки персданных, даже если обрабатывает их в целях трудового законодательства. Если не отправить уведомление, организацию оштрафуют на сумму до 5000 руб. (письмо Роскомнадзора от 19.08.2022 № 08-75348).

Таким образом, обязанность по уведомлению возложена на всех работодателей (и организации и ИП). Ведь все работодатели обрабатывают персональные данные своих сотрудников. Получив уведомление, РКН вносит работодателя в реестр операторов персональных данных.

РКН утвердил 3 формы уведомлений

26 декабря 2022 года вступил в силу приказ Роскомнадзора, которым утверждены 3 формы уведомлений:

1. уведомление о намерении осуществлять обработку персональных данных;
2. уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных;
3. уведомлене о прекращении обработки персональных данных.

Если говорить, что “новшества”, то первые два уведомления отличаются от прежних форм тем, что теперь для каждой категории физлиц нужно отдельно:

• указывать цели обработки информации;
• перечислять, какие персональные данные обрабатываете;
• уточнять, на основании какого нормативного акта обрабатываете данные именно этой категории физлиц;
• указывать, что будете делать с полученными данными и как собираетесь их обрабатывать — электронно или на бумаге.

Например, компания работает с персональными данными работников и клиентов. Сначала в первых двух уведомлениях потребуется указать цели, перечень персональных данных, категорию физлиц, правовые основания и способы обработки только по работникам. Затем – то же самое по клиентам компании и другим категориям физлиц.

Что касается третьего уведомления у о прекращении обработки персональных данных, то в нем нужно указать только причину и дату, когда прекратили обрабатывать персданные.

Заполняем уведомление о намерении осуществлять обработку персональных данных: образец

Допустим, мы (работодатель) хотим заполнить уведомление в отношении своих работников. Это значит мы собираем данные с целью, например, оформления трудовых отношений с работниками, ведения кадрового учета, выплаты заработной платы, а также осуществления трудовых взаимоотношений с работниками в соответствии с видами деятельности, указанными в уставе организации.

Четких и фиксированных формулировок для заполнения уведомления не существует. Главное – чтобы было понятно о чем идет речь. Однако для разных категорий могут быть самые разные цели обработки персональных данных. В таблице мы обобщили несколько примеров:

Перед вами выдержка из такого уведомления:

Уведомление можно направить в электронном виде через специальную форму на сайте Роскомнадзора. Если направили уведомление в электронном виде, подпишите его электронной подписью и отправьте через сайт Роскомнадзора или через Госуслуги. Чтобы подписать уведомление и направить его через сайт Роскомнадзора установите специальный плагин на сайте ведомства.

Если заполнили уведомление на бумаге, подпишите его у руководители и направьте в территориальный орган Роскомнадзора в вашем регионе.

Уведомления об изменении/прекращении персональных данных

• Когда в работе с персданными что-то поменяется, заполните второе уведомление — о внесении изменений. Например, если раньше предупреждали Роскомнадзор, что обрабатываете данные сотрудников, а потом стали работать с другими категориями (например, с клиентами). Уведомление об изменениях в обработке персданных похоже на первое. Формируйте его по аналогии, оставляя пустыми графы, в которых сведения не поменялись.
• С уведомлением о прекращении обработки персональных данных проблем быть не должно: в нем нужно указать только причину и дату, когда прекратили обрабатывать персданные.

Образцы от РКН

Роскомнадзор подготовил и разместил на своем официальном сайте примеры заполнения соответствующих уведомлений:

• об обработке (о намерении осуществлять обработку) персональных данных;
• об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных;
• о внесении в реестр операторов сведений о прекращении оператором обработки персональных данных.

Пять ошибок интернет-магазинов при работе с персональными данными

С 1 сентября 2022 года продавцы могут быть оштрафованы за отказ продавать товары или услуги клиенту, если тот отказывается представить свои персональные данные. Речь идет о случаях, когда принуждение к передаче данных не предусмотрено законом. Поправки внесены в ст. 14.8 КоАП.

И это еще один шаг на пути ужесточения требований к работе с личной информацией.

На сегодняшний день ни один интернет-магазин не обходится без сбора и хранения персональных данных (далее — ПД) покупателей. И это вполне объяснимо: чтобы оплатить товар на сайте и заказать доставку, покупатель должен оставить свои контакты: телефон или адрес электронной почты, адрес проживания. Кроме того, большинство магазинов в целях удержания клиентов делают информационные рассылки, внедряют программы лояльности и таким образом формируют базы клиентов.

Согласно Федеральному закону от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных) интернет-магазин в данном случае является оператором ПД, а покупатель — их субъектом. И это накладывают на продавцов жесткие требования.

В этой статье остановимся на нескольких ошибках, которые могут привести к штрафам.

• Отсутствие на сайте политики в отношении обработки персональных данных
• Обработка персональных данных покупателей без их согласия
• Передача персональных данных третьим лицам без согласия на это
• Отсутствие предупреждения об использовании куки-файлов
• Неуведомление Роскомнадзора об обработке персональных данных
• Запрет на принудительный сбор персональных данных клиентов

Отсутствие на сайте политики в отношении обработки персональных данных

Если интернет-магазин занимается обработкой персональных данных покупателей, то он обязан опубликовать на своем сайте этот документ. Обычно политика состоит из шести разделов:

• общие цели политики;
• цели сбора ПД;
• правовые основания обработки ПД;
• объем и категории обрабатываемых данных, категории субъектов ПД;
• порядок и условия обработки ПД;
• актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к ПД.

Под обработку данных попадают различные операции: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Политика размещается на сайте, чтобы посетитель сайта смог ознакомиться с ней, кликнув по ссылке.

Посмотрите пример оформления Политики в отношении обработки персональных данных в интернет-магазине Vprok.ru.

Некоторые продавцы включают политику в Пользовательское соглашение. Например, так делает магазин O’stin.

Обработка персональных данных покупателей без их согласия

Недостаточно просто предупредить покупателей о том, что онлайн-магазин обрабатывает ПД. Нужно еще заручиться их согласием на это (ст. 9 Закона о персональных данных).

На сайте Роскомнадзора приводится шаблон согласия. Можно также посмотреть, как оформляют согласие конкретные интернет-магазины.

Роскомнадзор рекомендует интернет-магазинам получать согласие, если правоотношения с пользователем не оформлены в виде акцепта публичной оферты или в виде иных форм договорных отношений.

Как видно на примере выше, получить согласие на обработку ПД можно посредством проставления «галочки» в соответствующей веб-форме. Обратите внимание, что использовать предустановленную «галочку» нельзя. Важно, чтобы посетитель самостоятельно совершил действие.

Роскомнадзор обращает внимание на то, что в случае обработки биометрических и специальных категорий ПД (указаны в ст. 10 Закона о персональных данных) согласие должно быть оформлено в письменной форме.

Передача персональных данных третьим лицам без согласия на это

С 1 марта 2021 года согласие на обработку ПД, разрешенных для распространения, оформляется отдельно от иных согласий (Федеральный закон от 30.12.2020 № 519-ФЗ). Субъект вправе установить запреты на передачу ПД неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Приказ Роскомнадзора от 24.02.2021 № 18 установил требования к содержанию согласия на обработку ПД, разрешенных для распространения.

Отсутствие предупреждения об использовании куки-файлов

Куки — это файлы с информацией, полученной при посещении веб-ресурса. Интернет-магазины используют их для отслеживания и запоминания определенной информации о посетителе, чтобы адаптировать сайт в соответствии с его интересами и потребностями.

Такие файлы применяются для анализа работы пользователя с сайтом: позволяют изучить посещение страниц, используемых ссылок и время пребывания пользователя на странице.

Стоит отметить, что Закон о персональных данных конкретно не уточняет, входят ли куки в понятие ПД. Но подавляющее большинство интернет-магазинов учитывают потенциальные риски и предупреждают пользователей.

Неуведомление Роскомнадзора об обработке персональных данных

В ст. 22 Закона о персональных данных указана такая обязанность оператора ПД, как направление уведомления Роскомнадзору. Оператор должен исполнить это требование еще до начала обработки.

Уведомление не требуется в том случае, если объем собираемых ПД ограничивается только фамилией, именем и отчеством. Но магазин обычно запрашивает либо номер телефона, либо адрес электронной почты, либо и то и другое. Следовательно, направить уведомление придется.

Также уведомление не потребуется, если персональные данные не распространяются, не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения договора.

Форма уведомления представлена на сайте Роскомнадзора. В течение 30 дней после его отправки регулятор внесет сведения в Реестр операторов персональных данных.

Запрет на принудительный сбор персональных данных клиентов

Президент РФ Владимир Путин подписал Федеральный закон от 28.05.2022 № 145-ФЗ, который вводит штрафы за отказ продавцов заключать, исполнять, изменять или расторгать договор с потребителем из-за его нежелания предоставить персональные данные. Изменения вступят в силу с 1 сентября 2022 года.

За совершение этих действий предусмотрены штрафы:

• на должностных лиц — от 5 000 до 10 000 руб.;
• на юрлиц — от 30 000 до 50 000 руб.

В каких случаях штраф может сработать? Иногда при совершении покупки через интернет от клиента требуют чуть ли не паспортные данные. Чтобы пресечь такие избыточные требования к покупателю, было решено законодательно ограничить действия продавца.