Госдума в феврале приняла в третьем чтении законопроект, ужесточающий административную ответственность за нарушения в сфере защиты персональных данных граждан. Штрафы после этого вырастут в среднем в два раза. Редакторов СМИ и владельцев интернет-ресурсов эта новость тоже касается. Опубликована ли на вашем сайте политика конфиденциальности? Правильно ли она составлена? Кому и зачем вообще нужно публиковать такие документы? Разбираемся вместе с экспертами Центра защиты прав СМИ (некоммерческая организация, внесенная Минюстом РФ в реестр НКО-иноагентов).
Кого это касается?
Публиковать на сайте свою политику конфиденциальности должны все, кто с его помощью собирает персональные данные граждан. Поэтому для начала напомним, что к персональным данным относятся любые сведения, с помощью которых можно идентифицировать личность человека: фамилия, имя и отчество, дата рождения, адрес, фотография и т.д.
Вы являетесь оператором персональных данных, если на вашем сайте:
— пользователи заполняют профили при регистрации;
— на сайте есть механизм подписки, например, на почтовую рассылку;
— пользователи заполняют формы обратной связи, подачи объявлений, оформления заказов и т.п.
Кто в этом случае владелец сайта — гражданин или юридическое лицо, значения не имеет. На него будет распространяться требование части 2 ст. 18.1 ФЗ «О персональных данных»:
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Кроме того, нужно сказать, что на практике Роскомнадзор как орган, контролирующий соблюдение законодательства о персональных данных, требует публикации политики конфиденциальности, даже если по собираемым данным нельзя точно идентифицировать личность пользователя. Например, если для подписки на новостную рассылку по электронной почте вы собираете только имя и e-mail, то публиковать политику конфиденциальности тоже придется.
Что такое политика конфиденциальности?
Как мы увидели выше, закон обязывает опубликовать «документ, определяющий политику в отношении обработки персональных данных». Точного требования к названию такого документа в законе нет, поэтому он может называться по-разному: политика конфиденциальности, пользовательское соглашение, положение об обработке персональных данных или как-то иначе. Суть не в названии документа, а в его содержании и местоположении.
Что должна содержать политика конфиденциальности?
В документе должны находиться вот такие сведения:
1. Данные об операторе. Здесь нужно указывать реальное юридическое или физическое лицо — владельца сайта, а не название интернет-ресурса. Если это сайт зарегистрированного СМИ, указывать нужно название редакции.
2. Цели использования данных. Пользователь должен понимать, где будут использоваться его данные и для чего. Это очень важная часть документа. Если позднее выяснится, что оператор использует данные пользователей в целях, не указанных в политике (например, передает третьим лицам), это будет считаться нарушением.
3. Какие именно персональные данные собирает оператор. Здесь стоит знать, что политика Роскомнадзора такая: оператор не должен собирать персональных данных больше, чем это нужно для его деятельности. То есть если вы, к примеру, предлагаете подписаться на новости, но при этом запрашиваете дату рождения и адрес проживания пользователя, это будет выглядеть странным и может быть признано нарушением. В таких случаях необходимо объяснить, для каких целей вы собираете такие сведения.
,
,
4. Порядок и условия обработки персональных данных. Здесь описывается, как данные будут храниться, когда и как уничтожаться, как они будут (если будут) передаваться третьим лицам. В последнем случае оператор должен гарантировать, что, передавая кому-то еще данные пользователя, он предупреждает о необходимости соблюдать конфиденциальность данных.
В этой же части указывается практически значимая информация: какие права есть у пользователя, куда он может обратиться с запросом об обработке его данных, с заявлением об отзыве своего согласия и т.д.
Где публиковать?
Закон точно не определяет место, где на сайте должна располагаться политика конфиденциальности. Но по смыслу требований и по существующей практике ссылку на документ нужно размещать так, чтобы пользователь имел возможность ознакомиться с текстом политики в тот момент, когда он заполняет форму со своими данными. То есть непосредственно под этой формой.
Лучший вариант — это получение подтверждения от пользователя. То есть, заполнив форму со своими данными, посетитель сайта должен поставить галочку рядом с текстом вроде «Я принимаю условия политики конфиденциальности». При этом фраза «политики конфиденциальности» является гиперссылкой на текст документа. Прочитает пользователь его или нет — его дело. Но пока он не поставит галочку, отправка формы будет недоступна.
Как вариант, можно использовать текст без галочки примерно такого содержания: «Нажимая кнопку «Отправить» («Зарегистрироваться», «Подписаться» и т.п.), я принимаю условия политики конфиденциальности» (два последних слова — опять же гиперссылка на документ).
Ссылку на политику конфиденциальности можно дополнительно разместить в «подвале» сайта.
«Куки» и IP-адреса — тоже данные
Когда пользователь работает с сайтом, некоторые сведения о нем остаются на сервере. О них тоже стоит сказать отдельно.
Во-первых, веб-сервер записывает IP-адреса устройств, через которые пользователь заходит на сайт. По ним в большинстве случаев можно определить географическое положение посетителя, его интернет-провайдера.
Большинство сайтов при работе использует cookie — маленькие файлы с данными. Веб-сервер пересылает «куки» на компьютер пользователя, а браузер затем отправляет их обратно. Так сервер «узнает», например, на какие страницы сайта пользователь уже заходил, какие данные вводил и другие сведения.
Роскомнадзор, следуя международной практике, считает, что информация об IP-адресах пользователей и файлы «куки» — это тоже данные, использование которых должно происходить с разрешения посетителя ресурса. То есть об этом пользователь должен быть предупрежден в самом начале своей работы с сайтом.
Немного об ответственности
За нарушение законодательства о персональных данных предусмотрена административная ответственность по статье 13.11 КоАП.
За отсутствие политики конфиденциальности сейчас тоже грозит штраф. Для юрлиц он составит 15–30 тыс. рублей, в ближайшем будущем он вырастет до 30–60 тыс. рублей.
Не забывайте, что политика конфиденциальности не только должна быть опубликована — она должна соблюдаться. Иначе вам тоже может грозить штраф. Его размер будет зависеть от конкретного правонарушения, но в общих случаях он составит для юрлиц 30–50 тыс. рублей (скоро вырастет до 50–100 тыс. рублей).
И еще один важный момент: по действующему законодательству персональные данные россиян должны храниться на территории России. Это предостережение актуально для тех, кто использует для своих сайтов зарубежный хостинг. Штраф за невыполнение этого условия серьезный: к примеру, для юридических лиц он составит 1–6 млн рублей.
,