Допомагаємо вебмайстру

614
  • Що вважати персональними даними?
  • Як уникнути порушень закону 152-ФЗ?
  • Здрастуйте, шановні читачі блогу . Останнім часом часто ставлять це питання (в тому числі і в коментарях до багатьох статей). Тому вирішив відобразити свої ІМХО з цього питання. Якщо коротко, то я не знаю що на умі в Роскомнадзор і які саме персональні дані до таких будуть віднесені.

    Допомагаємо вебмайстру

    Однак, в силу того, що штрафи за порушення анонсовані неабиякі (під сотню тисяч рублів), має сенс «підстелити соломку» і виконати дані нам зверху приписи (хоча б частково, бо штрафи нараховують окремо по кожному пункту порушень).

    Краще це зробити і потім дізнатися, що ваш сайт не таки підпадає під цей закон (що це?), ніж не зробити і отримати штрафні квитанції за порушення описані в законі 152-ФЗ. У всякому разі, я так для себе вирішив.

    Що вважати персональними даними і чому це так важливо?

    З початку липня цього року, у зв’язку з доповненнями в законі 152-ФЗ, істотно підвищується ймовірність отримати по носі (у вигляді штрафу пристойного розміру) від Роскомнагляду за порушення правил роботи з персональними даними користувачів. Взагалі, це тема злободенна для нашої поточної політики, і на цьому ґрунті якраз і відбулося неприємне для нас (вебмайстрів) подія — одночасне посилення відповідальності та спрощення процедури накладення штрафів.

    Дополнения в закон 152-ФЗ о защите персональных данных Допомагаємо вебмайстру

    Тепер Роскомнадзор може виписати штраф без залучення прокуратури і розміри цих штрафів виходять якісь позамежні особливо для тих, хто оформився як юр. особа або ПІДПРИЄМЕЦЬ (ладно там гіганти інтернет-індустрії, але більшості це мало не здасться). Наприклад, за збір Емайлов без згоди опонента можна отримати штраф до 75 тис. рублів для юр.осіб, хоча фіз. особа відбудеться кількома тисячами.

    Виходить, що фіз. особа несе менше відповідальності і це логічно (власника сайту «хом’яка» з формою зворотного зв’язку на велику суму штрафувати рука не підніметься). Але до багатьох «серйозним» вебмайстрам може виникнути питання про незаконну підприємницьку діяльність, якщо сайт монетизують (а це нескладно зрозуміти. Непоганий спосіб для Роскомнадзора поєднати приємне (штрафи) з корисним (виявлення незаконних підприємців).

    Ключове питання полягає в тому, що вважати персональними даними, що підпадають під цей закон? ПІБ, адресу, паспортні дані, номер телефону або ж просто Емайл, ім’я cookie (Ip адреси, пошукові запити тощо) або того гірше, нік. Це питання взагалі ключовий по відношенню до 99% відсотків вебмайстрів рунета, які з цього списку зазвичай збирають тільки Емайлы, куки та імена (у формі додавання коментаря, у формі передплати або зворотного зв’язку).

    Однозначного трактування немає і це лякає, бо є свобода маневру в тому випадку, якщо Роскомнагляд захоче оштрафувати як можна більше власників сайтів. З іншого боку, в мережі є заклики не панікувати, посилаючись на слова голови Роскомнагляду, сказаними в одному з інтерв’ю:

    Что такое персональные данные по версии закона 152-ФЗ от РоскомнадзораДопомагаємо вебмайстру

    Повторю відповідь на питання поставлене у заголовку цієї публікації — я не знаю істини, але в силу масштабності можливих штрафів волію «підстелити соломки» і нівелювати ризики порушення найбільш перспективних пунктів, за які стягуються найбільші суми (десятки тисяч рублів за одне порушення).

    Як знизити ризик штрафу за порушення закону 152-ФЗ?

    Зрозуміло, що закон писався для серйозних сайтів з величезною аудиторією і великими обсягами зібраних персональних даних. По-другу чергу шерстити, напевно, інтернет-магазини та іншу комерцію, бо там штрафи однозначно будуть великі (юр.особи, ІП). Але цілком можливо, що справа дійде і до звичайних власників невеликих ресурсів. Тому певні дії все ж варто зробити.

    Тут ключовим є саме «знизити ризик», бо дати гарантію, що до вас після цього вже не докопаються, буде складно. По-перше, потрібно бути юристом, щоб зрозуміти всі можливі заковыки. По-друге, формулювання та трактування розпливчасті. По-третє, ключову роль можуть зіграти варіанти реалізації описаного нижче. По-четверте, «старий тупий дядько» може помилятися. Загалом, знизити ризик, але не зняти проблему повністю.

    Отже, що бажано зробити, щоб у Роскомнадзора не виникло бажання з вами ближче познайомитися:

  • Зберігати зібрані персональні дані на території Російської федерації. Тут все визначається, як я розумію, географічним розташування сервера, на якому працює сайт. Тобто хостинг бажано вибирати на території Росії. Власне, з-за цих проблем (зберігання особистих даних росіян за межами країни) і був заблокований Лінкедін (соцмережа для працівників і роботодавців).
  • Користувачів необхідно поставити до відома про ті заходи безпеки, які ви робите для зберігання повідомляються ними персональних даних та відповідальності, яку несуть сторони). Для цього зазвичай розміщують на сайті так звану «Політику конфіденційності», де потрібно буде все чітко і по пунктах розписати. Де її взяти? Ну, списати у кого-небудь або, наприклад, можна використовувати сервіси для її автоматичного складання:
  • Політика конфіденційності для комерційного і звичайного сайту (я його використовував, але потім трохи дооформити отриманий документ). Знайшов посилання на цей сервіс у Сергія Сосновського.
  • Те ж саме, але є обмеження при безкоштовному використанні
  • Потрібно, щоб посилання на сторінку з політикою конфіденційності була доступна з будь-якої сторінки вашого сайту, тому її потрібно зробити наскрізний, розмістивши, наприклад, у футері або в низу сайдбара.
  • Потрібно, щоб перед відправкою вам своїх персональних даних будь-яку форму на сайті користувач попередньо погоджувався з описаною вище політикою конфіденційності.
  • В ідеалі це має бути чекбокс, не поставивши галочку в якому користувач дані відправити не зможе. І природно, що посилання на ці самі правила обробки даних повинна бути поруч (користувача може зацікавити з чим він погоджується). Саме таку реалізацію я зараз бачу на сайтах деяких банків.
  • Але сам я зробив простіше — просто написав, що наживаючи кнопку ви, мовляв, погоджуєтеся зі всім і вся (див. внизу цієї статті під формою підписки на розсилку).
  • Бажано не збирати зайвої інформації про користувачів в різних формах і заявках. По-перше, це погіршує воронку конверсій (чим більше полів, тим менше бажання їх заповнювати), по-друге, можливо, зібрана вами інформація і не підпаде таки під шаблон Роскомнадзора.
  • Навіть якщо ви дані не збирати та не зберігайте, наприклад, використовуючи сторонні системи коментування (типу дискуса) або соціальні мережі для входу на сайт, то я б все одно в політиці конфіденційності про це згадав і описане вище розмістив попередження. Наприклад, Гугл Адсенс вимагає згадувати в політиці конфіденційності, що на сайті ведеться збір інформації з куків, нехай це і здійснює стороння сайту система контекстної реклами.
  • Дані потрібно надійно зберігати. Як це будуть перевіряти не знаю. До того ж, на першу вимогу ви дані користувача повинні будете видалити зі своєї бази. Ось це вже перевірити набагато простіше.
  • Ну і, природно, слідуючи пунктам закону 152-ФЗ ви повинні (зобов’язані) настукати на себе в Роскомнадзор. Конкретних штрафів за невиконання цієї вимоги не наводиться, але вони, швидше за все, є. Хоча я цей пункт проігнорував (ну, типу, зробив головне і забув повідомити, просто занурившись в рутину накопичилися за цей час справ).
  • Думаю, що посилання на мою версію політики зберігання персональних даних користувачів ви знайдете праці (з деяких сторінок на неї аж за три посилання веде). Варіанти оформлення своїх форм підписки, зворотного зв’язку, коментування, замовлень і т. п. ви теж виберіть самі, виходячи зі своїх міркувань. Мені ж залишається тільки відкланятися і сказати спасибі тим, хто дочитав до цього пропозиції.

    Удачі вам! До зустрічей на сторінках блогу