152-ФЗ для чайников

Федеральный закон "О персональных данных" был разработан и принят ещё в 2006 году и дорабатывается под современные реалии. Учитывая, что в интернете всё меняется с высокой скоростью, то и закон периодически трансформируется, что делает необходимым регулярно его отслеживать и вносить правки в правовую информацию или функционал сайта.

Масло в огонь подливает то, что Роскомнадзор получает постепенно всё больше власти, которой его обеспечивают ФСБ и прочие органы, одержимые тотальным контролем пользователей в интернете, что позволяет Роскомнадзору, а точнее его сотрудникам, частенько творить вообще всё, что заблагорассудится. Все знают про маленького человека, наделённого большой властью.

А власть у такого человечка в данном контексте весьма существенная, ведь буквально одним нажатием кнопки он может перечеркнуть все усилия бизнеса, вложенные в сайт и его продвижение, банально заблокировав привязанный к домену ресурс для пользователей РФ, и в некоторых случаях попутно с внушительными штрафами для владельца сайта. Чтобы этого не произошло, вот список рекомендаций и обязательных моментов для вашего сайта:

1. В любой форме захвата (заявке на звонок, запросе прайса и т.п.) должны быть чекбоксы, в которых пользователь ставит галочку, давая согласие на обработку персональных данных согласно политике сайта. Обратите внимание, пользователь именно что должен поставить галочку сам, то есть дать явное согласие.

2. Соответственно, в тексте рядом с галочкой или кнопкой должна быть ссылка на Политику, а лучше на раздел сайта, где содержаться хотя бы три базовых документа, регламентирующих сбор, обработку и уничтожение персональных данных. Например: https://talt54.ru/legal
И да, одним документом уже не отделаться.

3. Документы должны быть размещены следующие:

• общая политика обработки персональных данных, в которой владелец сайта обозначается как оператор персональных данных;
• соглашение на обработку персональных данных, которое пользователь принимает и даёт своё согласие на обработку его данных согласно перечню, указанному в этом документе;
• политика в отношении cookie-файлов, в которой прописывается, что пользователь согласен на сбор обезличенных данных электронными системами статистики типа Яндекс.Метрики, Google Аналитики и т.п., в этом списке крайне желательно упомянуть все счётчики, имеющиеся на вашем сайте и не лениться расширят список, если будет установлен новый счётчик.

4. Касательно cookie-файлов всё очень зыбко, так как официально Роскомнадзор не требует упоминания их, но из тяжёлого опыта общения с органом известно, что негласно, они требуют брать с пользователя согласие на использование куки.

5. Обязательно должно быть всплывающее окно, оповещающее пользователя о куки-файлах и сборе данных метриками, содержащее ссылки на правовые документы. Причём, опять же, пользователь должен дать явное согласие, нажав на кнопку, подразумевающую принятие политики, то есть у окна не должно быть крестика, нажав на который пользователь закроет назойливое окно и забудет про него.

6. В идеале сайт не должен подсаживать пользователю куки или стартовать скрипты метрик до тех пор, пока пользователь не обозначит своё согласие на сбор данных. Но подобное решение не всегда просто реализуемо и является больше мерой предосторожности. В реальности Роскомнадзор, скорее всего, не станет настолько глубоко копаться в коде сайта. Но ситуации бывают разные, вплоть до того, что какой-нибудь обиженный пользователь или ваш конкурент напишет жалобу на ваш сайт через портал Роскомнадзора и дополнительно составит заявление в прокуратуру, вот тогда проверки сайта под микроскопом избежать не удастся.

7. Также важно обращать внимание, какие у вас на сайте имеются формы захвата и какие цели они преследуют. В частности, если на сайте размещены вакансии и есть форма отклика на них, то в целях сбора данных необходимо прописать помимо стандартного набора данных информацию по резюме соискателей, их дате рождения, месте жительства и прочих данных, которые вы получаете от кандидата.

8. Не менее важно обратить внимание на то, что по закону вся правовая информация на сайте должна быть размещена так, чтобы быть доступной для пользователя из любой части сайта. Чаще всего стандартно ссылка на Политику размещается в футере (подвале) сайта.

9. Ещё один редкий в нынешнее время нюанс заключается в трансграничной передаче данных. Возникает подобное, когда ваш сервер, на котором размещён сайт, находится не на территории РФ, но при этом вы собираете данные российских пользователей. Наиболее правильная стратегия в данном сценарии перенести сайт на российский хостинг и забыть как страшный сон уведомление Роскомнадзора и согласование с ним трансграничной передачи персональных данных, а также документа, регламентирующего передачу.

Рекомендации

1. Обязательно следите за работоспособностью адреса электронной почты, указанного на сайте и почты, использованной для регистрации аккаунта в CMS, если система управления контентом требует некой регистрации (чаще всего применимо к конструкторам сайтов типа Tilda), так как Роскомнадзор сначала отправляет письмо с перечнем выявленных на сайте нарушений и требованием их устранить.

2. Не затягивайте с устранением нарушений и не пытайтесь спорить с сотрудником Роскомнадзора, его контакты будут в письме, а если их нет, то в поиске без проблем можно найти телефон отделения Роскомнадзора в вашем регионе.

3. Любые спорные вопросы решайте в телефонном разговоре, на про ваше электронное письмо они могут легко забыть. И во время созвона с сотрудником Роскомнадзора крайне желательно получить именно его email для более оперативной дальнейшей коммуникации.

4. Ответ о том, что все нарушения устранены должен содержать подробное описание КАК они устранены, желательно со ссылками на соответствующие страницы сайта, а сам документ должен быть распечатан, подписан владельцем бизнеса, отсканирован и отправлен по электронной почте.

5. Вполне очевидно, что не стоит паниковать, когда вам прислали требование устранения нарушений 152-ФЗ и готовиться скрываться от правосудия за границей. Письмом с требованием Роскомнадзор инициирует диалог с вами или вашей компанией, это не допрос КГБэшников в тёмном подвале с одной лампочкой и даже пыток не будет. В общем, если серьёзно, то выявленные нарушения не ведут сразу к штрафу, к нему ведёт ваше бездействие, и иногда, хамское поведение в отношении сотрудников Роскомнадзора.

Что будет за неисправление нарушений

Размеры штрафов были увеличены в 2023 в несколько раз и зависят от организационной формы:

• для должностного лица или ИП первый штраф от 100 до 300 тысяч рублей;
• за повторное нарушение для должностного лица от 300 до 500 тысяч рублей;
• для ИП за повторное нарушение от 500 тысяч до миллиона рублей- для компании первый штраф от 300 до 700 тысяч рублей;
• за повторное нарушение компанией штраф от одного до полтора миллиона рублей;

В заключение

Вероятность того, что РКН заметит ваш сайт и станет его проверять на соответствие законодательству, как правило, стремится к нулю, так как сайтов миллионы, а автоматизированных средств массового анализа у ведомства нет. Поэтому чаще всего проверка инициируется "неравнодушными гражданами", чаще всего конкурентами, которые легко могут отправить жалобу на ваш сайт через портал РКН, а Роскомнадзор, в свою очередь, обязан отреагировать.

Исходя из вышесказанного, в зоне поражения могут оказаться сайты заметных игроков рынке в конкурентной нише или веб-ресурсы компаний, находящихся в некой конфронтации с конкурентами.

Но это не означает, что ваш маленький сайт микробизнеса, имеющий одну заявку на обратный звонок, не должен соблюдать закон!