Роскомнадзор - обращения граждан и юридических лиц. Всё, что нужно знать о персональных данных Форма обратной связи обработка персональных данных

Например, девушка создала форум для беременных, чтобы потом размещать там рекламу. При регистрации участники указывают информацию о себе. Эта девушка - оператор персональных данных. Она получает сведения о других людях и что-то с этими данными делает: систематизирует по возрасту и интересам, проверяет активность пользователей, использует для рассылки, приглашений или просто хранит.

Любое из этих действий - это обработка персональных данных. Любой, кто это действие производит, - оператор.

У меня есть электронные почты друзей, список контактов в телефоне, аккаунты разных людей в соцсетях. Получается, я тоже оператор и должен получать согласие этих людей на то, чтобы хранить и удалять их данные?

Нет, в таких случаях согласие не нужно. Под действие закона не попадают персональные данные, которые обрабатывают для личных и семейных нужд. Это могут быть контакты нужных людей в телефонном справочнике, визитки коллег и партнеров, профили друзей на фейсбуке.

Форма обратной связи тоже попадает под действие закона?

Если в ней человек может ввести свои персональные данные - то да, попадает.

В законе нет исключений по поводу формы и способа сбора персональных данных. И уточнения, что именно является сбором, тоже нет. Минкомсвязи считает, что сбор - это какая-то документально оформленная процедура получения данных о человеке. Форма обратной связи подходит под это определение .

Сама по себе форма обратной связи не попадает под действие закона только потому, что она есть. Важно, какие данные передает посетитель через эту форму , можно ли по ним прямо или косвенно идентифицировать человека и нанести ему вред в случае утечки и распространения.

Если посетитель сайта указывает в форме свое имя, фамилию, телефон и электронную почту - это персональные данные. Тот, кто эти данные получает, обрабатывает и хранит, считается оператором персональных данных и должен соблюдать закон.

А если получаешь только имя без фамилии и номер телефона, это тоже попадает под персональные данные? А если только номер телефона?

По закону персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Это определение ничего не дает и не проясняет.

Если понимать буквально, то персональными данными можно считать что угодно. Юристы спорят по этому поводу уже много лет.

Минкомсвязи конкретики не дает и говорит так: более точно определить состав персональных данных, в том числе привести их перечень, представляется нереализуемым. Никаких четких пояснений от других ведомств по этому поводу тоже нет.

Если будет спор по поводу принадлежности почты или логина к персональным данным, всё решит суд. Несколько решений по поводу персональных данных суды уже вынесли. Из них следует очевидное: персональными данными считаются ФИО , паспортные данные, адрес, номера телефонов, информация о членах семьи, из пенсионного дела и трудового договора. Еще из них следует неочевидное: ИНН сам по себе не является персональными данными, а данные о факте пересечения границы - являются.

Сам по себе логин - это вроде бы не персональные данные. По набору символов нельзя понять, что это за человек и даже какого он пола.

Но если на аватарку человек поставит свою настоящую фотографию или при регистрации укажет почту, где в названии будет его фамилия с инициалами, а в доменном имени - название компании, то в совокупности это уже персональные данные.

Никто толком не знает, какие данные персональные

В законе нет никаких исключений по теме сайта, организационно-правовой форме и набору данных.

Чтобы не рисковать, лучше сделать так.

Если вы где-нибудь с какой-нибудь целью собираете любую информацию о каких-то физических лицах, нужно зафиксировать их согласие и подготовить документы. Если это сделать для страховки, даже когда не надо, ничего страшного не будет. А если этого не сделать, могут быть претензии от пользователей и Роскомнадзора.

Я делаю сайт для клиента, обрабатываю и храню данные на своей стороне. При этом владелец сайта не обязан быть оператором персональных данных?

Владелец сайта обязан быть оператором персональных данных и соблюдать закон. По закону можно собирать персональные данные и передавать их кому-то на обработку. Владелец сайта может передать данные клиентов вебмастеру, интернет-магазин - сервису рассылки.

Чтобы так делать, владелец сайта должен получить у посетителей разрешение и объяснить им, кому и зачем он передаст их данные.

Ответственность на владельце

Тот, кому он передаст данные на обработку, отдельное разрешение получать не должен, а соблюдать закон - должен.

Отвечать за соблюдение закона перед посетителями сайта будет его владелец.

Владельца сайта Роскомнадзор и суд будут определять по совокупности данных. Если на сайте размещена информация о конкретном юридическом лице или ИП , спросят с него. Если таких данных нет, спросят с администратора домена.

А как они поймут, что я храню и обрабатываю данные, чтобы выписать штраф? Это в российском дата-центре можно маски-шоу устроить и вынести сервер, а за границей такие номера не проходят.

Роскомнадзор узнает о нарушениях двумя способами:

• сам проведет проверку;
• отреагирует на чью-то жалобу.

Если Роскомнадзор обнаружит нарушения, сайт могут заблокировать, а компанию оштрафуют.

По закону операторы обязаны хранить персональные данные на российских серверах. Есть несколько исключений, но это частности. Любой интернет-магазин или сервис по подписке должен хранить базу с персональными данными граждан в России.

Потом можно передавать эти данные за границу. Это законно, но при определенных условиях . Иначе нельзя было бы бронировать гостиницы и покупать билеты на самолет за границей.

Роскомнадзор может потребовать предоставить подтверждение по поводу места хранения баз данных. Например, договор с дата-центром, хостингом или документы на собственный сервер. Если выяснится, что персональные данные хранятся с нарушениями и не в России, будут проблемы.

Кроме закона о персональных данных есть требования Федеральной службы по техническому и экспортному контролю и ФСБ. Еще к проверке может подключиться прокуратура. Им хватит полномочий, чтобы узнать, где на самом деле хранятся данные, и разобраться с нарушениями.

А если у нас сайт на английском?

Закон о персональных данных нужно соблюдать, если сайт используется для работы на территории РФ . Теоретически Роскомнадзор имеет право и может его заблокировать.

Вот какие признаки используют, чтобы это понять:

• доменное имя связано с РФ или субъектом;
• есть русскоязычная версия сайта;
• расчет за товары или услуги происходит в рублях, доставка возможна на территорию РФ ;
• потребители содержимого сайта - россияне;
• есть реклама на русском, которая ведет на этот сайт.

Если есть какое-то сочетание этих факторов, оператор персональных данных должен соблюдать закон, даже если это иностранная компания. А это значит, что документы должны быть доступны и понятны в РФ . Достаточно иметь их на русском языке, чтобы их понимал Роскомнадзор и граждане России. На нерезидентов за пределами страны наш закон о персональных данных не распространяется.

Как определять гражданство посетителя, закон не объяснил. Операторам предложили решать эту проблему самостоятельно. А если четкой позиции и инструментов нет, стоит соблюдать закон в отношении всех персональных данных, которые собрали на территории России.

Дублировать те же документы на иностранных языках для россиян нет смысла. Но эти правила придумали не в России. Есть конвенция Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера. Так что, если собираете данные иностранцев, подумайте, как соблюдаете закон той страны, резидентами которой они являются.

В Европе за однократное нарушение правил обработки персональных данных штрафуют на сотни тысяч евро. В России максимальный штраф с 1 июля 2017 года - 75 тысяч рублей.

Могу ли я не регистрироваться в Роскомнадзоре, если поменяю поле в форме обратной связи с «Ваше имя» на «Ваша компания»?

Закон о персональных данных защищает данные только физических лиц. Он не распространяется на данные о компаниях. Но то, что указано в форме обратной связи, - это формальность. Важно, какие именно данные и с какой целью собирает владелец сайта.

Если это на самом деле название компании и телефон офиса, такая информация не попадает под действие закона. Но если сайт собирает почтовые адреса и телефоны сотрудников компаний, чтобы потом делать по ним рассылку или передавать их третьим лицам, могут быть проблемы как со стороны этих сотрудников, так и от Роскомнадзора.

В Роскомнадзоре должны зарегистрироваться все операторы персональных данных. Исключения только для случаев, перечисленных в п. 2 ст. 22 закона о персональных данных .

Вот публикую я пост в фейсбуке и упоминаю своего друга - значит, я данные обрабатываю? Кэш поста хранится на телефоне, значит, я данные храню? А если сделаю репост в твиттер, то я их еще и предоставляю третьей стороне. И как с этим жить?

Это не нарушение закона. В этом случае оператором персональных данных выступает социальная сеть. Каждый, кто там зарегистрировался, дал согласие на публикацию, обработку и использование его данных.

Все пользователи фейсбука

Из-за наличия на сайте формы обратной связи

Некоторые астраханские организации, название которых начинается на букву «а», в начале 2017 года получили штраф за то, что на своем сайте создавали форму обратной связи. Прокуратура усмотрела в наличии формы нарушение закона о персональных данных. Нарушителям полагается штраф в 5 000 и 10 000 рублей.

А так удобно…

Форма обратной связи — удобная услуга. Можно оставить свое имя и телефон, сотрудник фирмы сам позвонит, не нужно тратиться на звонок. «Мы торгуем новыми квартирами. На нашем сайте была самая распространенная форма обратной связи — в которую люди, если хотели, вбивали свое имя и телефон. Прокуратура усмотрела в этом нарушение закона о персональных данных, суд поддержал решение прокуратуры, и нам выписали штраф в пять тысяч рублей», — говорит сотрудник астраханской строительной фирмы Сергей.

Судя по постановлению, владелец сайта нарушил пункт 2 статьи 18 федерального закона «О персональных данных», где говорится об обязанностях оператора при сборе персональных данных.

Формулировка пункта туманна: «Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные».

Начнем с буквы «а»

Астраханский интернет-специалист директор ООО «Институт региональной информатизации» Сергей Бузычкин, рассказал нам, что продавцы квартир – не единственные, кто сейчас вынужден платить штраф за нарушение закона о персональных данных, ему стало известно о трех похожих случаях. Примечательно, что прокуратура, видимо, взялась штрафовать по алфавиту — название трех фирм, которые обратились к Бузычкину за разъяснением по аналогичному вопросу, начинается на букву «а».

Насколько законны такие штрафы? Фирма Сергея Бузычкина оказывает помощь в ведении сайтов многим астраханским фирмам. Когда появились тревожные звоночки о штрафах, интернет-специалисты удивились. Ведь, кажется, нет ничего криминального в том, что пользователю предлагается указать свой телефон и имя (которое можно написать какое угодно, необязательно свое собственное). Ведь сообщаем же мы и свое имя, и номер телефона при знакомстве — и никакая прокуратура получателя этих данных не штрафует. Но в интернете, оказывается, все по-другому.

«Закон относит к персональным данным фамилию, имя, отчество, дату рождения, место регистрации, паспортные данные, сведения об образовании, иные данные, то есть любую информацию, относящуюся к прямо или косвенно определяемому физическому лицу. Значит, указание в формах обратной связи имени уже подпадает под сбор персональных данных», — сообщает Сергей Бузычкин.

Так можно или нельзя?

А вот юрист Андрей Скрыль, которого мы попросили прокомментировать ситуацию, недоумевает: «В действующей редакции данного закона конкретной нормы, обязывающей операторов совершать процедуру сбора данных каким-то иным путем, отсутствуют. Отсутствуют и отсылки на какие-либо другие положения иных нормативных актов, обязывающих уплачивать штрафы за получение информации о потребителе услуг. Чтобы так штрафовать, необходимо доказать утечку либо распространение данных. А штрафовать за форму это уже, по моему мнению, перебор. Заполнение такой формы проводится вручную, значит, человек сам решает, указывать ли ему свои персональные данные или нет».

Мы обратились за комментариями в региональную прокуратуру. Но на момент публикации официальный ответ получен не был.

Подводные камни

Астраханские фирмы на букву «а» уже научились на собственных ошибках, заплатив штрафы. Чтобы подобное не повторилось с фирмами на остальные буквы алфавита, Сергей Бузычкин решил приглашать всех желающих на просветительские семинары.

«К сожалению, персональные данные — это не единственный подводный камень в вопросах использования IT и интернет-сайтов, который может привести к плачевным последствиям. С 1 января 2017 года изменился порядок раскрытия информации на официальных сайтах застройщиков, что также требует внимания владельцев сайтов», — считает IT-специалист.

Чем же страшна утечка персональных данных для простых граждан, то есть для тех, кто ее на сайте размещает? В случае если речь об имени и номере телефона, то если эта информация попадет к неблагонадежным гражданам, абонент может стать жертвой спама. Впрочем, телефонные операторы научились с ним эффективно бороться, судя по тому, что некогда надоедающая нам смс-реклама такси появилась, вызвала общественное недовольство и начисто исчезла.

Сколько в Астрахани сайтов?

По данным индекса готовности регионов России к информационному обществу, по итогам 2014 года доля предприятий, имеющих веб-сайты, в Астраханской области составляла 30,37%. Мы были на 66-м месте в России по данному показателю. То есть как минимум три тысячи малых и средних предприятий имеют свои сайты. Как минимум, потому что некоторые компании используют не один, а сразу несколько сайтов. И в целом за 2015-2016 годы активность использования интернета повысилась и количество сайтов увеличилось. Для любой коммерческой организации логично иметь на сайте инструмент диалога с клиентами, поэтому формы обратной связи используют практически все. Отдельным компаниям требуется не только форма обратной связи, но еще и регистрация клиентов на сайте. Похоже, казна пополнится многомиллионной суммой штрафов от предпринимателей, которые не успели сориентироваться в законодательстве. Форма обратной связи есть практически у всех астраханских фирменных сайтов, если оштрафовать половину таких коммерческих страничек в сети, получится 7 500 000 рублей.

Роскомнадзор проверяет компании, рекламирующие свою деятельность в интернете, на предмет соблюдения закона о персональных данных. Обыкновенная форма обратной связи, размещенная на сайте, ныне приравнивается к незаконному сбору персональной информации. Оштрафованные уже есть, и список будет пополняться.

Заполнная пользователем форма обратной связи может подвести под штрафные санкции любую компанию, хоть российскую, хоть зарубежную. Чтобы избежать проблем, на страницу нужно добавить вопрос о том, согласны ли посетители сайта на обработку их персональных данных («если да – поставьте галочку»), а также соглашение о конфиденциальности.

«Тамбовская городская юридическая компания» уже поплатилась: за отсутствие окошка для галочки пришлось заплатить штраф. Наказаны и несколько астраханских компаний, рассказывают интернет-пользователи на страничке в Фейсбуке топ-менеджера компании Notamedia Алексея Бородкина , который посвятил происходящему отдельный пост .

Степан Степаныч я...

История с «Тамбовской городской юридической компанией» произошла минувшим летом: местное отделение Роскомнадзора обратило внимание на то, что на сайте ТКЮК размещена форма обратной связи, составленная из трех полей: «Имя», «Тема сообщения», «Текст». Поле «Имя» было помечено как не обязательное к заполнению. Тем не менее, Роскомнадзор счел нужным отреагировать и оштрафовать компанию на 1 тысячу рублей.

В форме не указано, что необходимо вводить имя «как в паспорте», однако представитель Роскомнадзора Вадим Ампелонский считает, что по умолчанию речь идет о подлинном имени пользователя. В сочетании с электронной почтой оно превращается в те самые «персональные данные», которые подлежат защите.

Юристы обратились в суд, аргументируя свою позицию тем, что по одному полю «Имя» идентифицировать личность пользователя невозможно, а, значит, нарушения нет. Тамбовский суд, однако, принял сторону ведомства. «Назначенное наказание ООО «ТГЮК» соответствует характеру и степени общественной опасности совершенного правонарушения» , – говорится в решении суда . Деньги пришлось заплатить небольшие, но сам прецедент – крайне досадный.

Огласите весь список!

В Астрахани, кстати, выписанные (на том же основании – нарушение закона о персональных данных) штрафы составили 5-10 тысяч рублей. Наказали там, в частности, компанию-застройщика, которая через сайт продавала свои квартиры. Форма обратной связи состояла всего из двух полей: «Имя» и «Телефон»; заполнив ее, можно было оставить заявку на звонок менеджера.

Астраханские журналисты обратили внимание на то, что названия всех оштрафованных Роскомнадзором компаний начинаются на букву «А». Возможно, ведомство методично проверяет все сайты по алфавиту?

«Какая-то чудовищная по своей нелепости история , – пишет Бородкин. – ...Получается, теперь на все формы обратной связи нужно вешать соглашения о конфиденциальности и галочку о согласии с обработкой персональных данных; кроме того, выходит, что сообщения с формы обратной связи надо хранить как персональные данные – а это тоже отдельный цирк с конями» .

Самый «цирк», пожалуй, в том, что на официальном сайте самого Роскомнадзора форма обратной связи есть, а вот «галочки» к ней – нет. Представитель ведомства Вадим Ампелонский парирует: согласно законодательству, при обращении в госструктуру согласие на обработку своих персональных данных не требуется...

По цвету пиджака

Понятно, что добавить на сайт текст соглашения и необходимое окошко не составляет большого труда. Вопрос в размытости признаков «состава преступления», считает Алексей Бородкин.

На сегодняшний день персональными данными может считаться «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». И вот это «косвенное определение» позволяет проверяющим, при желании, придраться к чему угодно, считает топ-менеджер: «Под это можно притянуть любую информацию о пользователе вплоть до цвета его пиджака» . Чтобы избежать регулярных конфликтов с оштрафованными предпринимателями, Роскомнадзору стоило бы выработать четкий перечень требований, которому должны соответствовать сайты. Тогда, по крайней мере, будет ясно, что запрещено – а что разрешено.

На сегодня за нарушение закона о персональных данных грозит административной ответственностью. Максимальный штраф для юридических лиц составляет 10 тысяч рублей. С 1 июля, после вступления в силу поправок к КоАП, сумма штрафа вырастет до 30 тысяч. Самое неприятное, что может грозить нарушителям, – блокировка сайта по решению суда.

Просим Вас внимательно ознакомиться с Порядком приема и рассмотрения электронных обращений в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор):

1. Официальный сайт Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций является дополнительным средством для обеспечения возможности обращений граждан объединений граждан и юридических лиц в Роскомнадзор.

Обращаем Ваше внимание, что форма электронного обращения не предназначена для подачи заявления на предоставление государственных услуг.

Заявления на предоставление государственных услуг подаются в Роскомнадзор:

В электронном виде - через «Единый портал государственных и муниципальных услуг» (www.gosuslugi.ru),

В бумажном виде - заявителем лично или посредством почтовой связи.

2. Работа с обращениями граждан, объединений граждан и юридических лиц осуществляется в соответствии с Работа с обращениями граждан, объединений граждан и юридических лиц осуществляется в соответствии с Федеральный закон Российской Федерации от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (DOCX, 29.42 Kb).

3. Обращения граждан, объединений граждан и юридических лиц поступившие в электронном виде, в соответствии с действующим законодательством могут быть направлены в управления Роскомнадзора, к непосредственному ведению которых относится разрешение поставленных в обращениях вопросов.

4. В обращении гражданин в обязательном порядке указывает свои фамилию, имя, отчество (последнее - при наличии), и адрес электронной почты. Гражданин вправе приложить к такому обращению необходимые документы и материалы в электронной форме.

5. Обращение, содержащие нецензурные либо оскорбительные выражения, угрозы жизни, здоровью и имуществу должностного лица, а также членов его семьи может быть оставлено без ответа по существу поставленных в нём вопросов.

Обращение не принимается к рассмотрению, если текст написан по-русски с использованием латиницы или набран целиком заглавными буквами и не разбит на предложения.

6. Срок рассмотрения обращения - 30 дней. В случаях, когда для рассмотрения обращения гражданина требуется больше времени, то срок может быть продлен, но не более чем на 30 дней.

Маргарита Ледовских

Рада приветствовать вас на нашем сайте. Меня зовут Маргарита Ледовских, я медиаюрист. 19 лет я работаю в сфере информационного права, из них 6 лет руковожу проектом "Право в сети".

Поиск по сайту

Оказываем услуги по регистрации сайтов в качестве СМИ

Подготовительный этап Во-первых, нужно время на подготовительные действия. Пишу об этом, поскольку иногда не учитывают эти моменты. Учредителям- физическим лицам как минимум нужно посетить банк и нотариуса, чтобы сделать нотариальные копии документов. Вы скажете, что можно оплатить через онлайн-банк, не выходя из дома, и это чистейшая правда, но даже в этом случае надо идти […]

Очень часто, если человек разозлен, обижен, от него можно услышать такие слова: «Да я на тебя подам иск о компенсации морального вреда». И вот уже может показаться, что если человек переживает, если в интернете о нем распространена какая-то негативная информация, он недоволен покупкой в интернет-магазине, в негодовании, что на него, по его мнению, подали незаконный […]