Как изменения в законе «О персональных данных» повлияют на ecommerce и не только
Разбор полётов и чек-лист для операторов персональных данных.
1 июля 2017 года вступили в силу поправки в Кодекс об административных правонарушениях РФ, которые касаются сбора, хранения и обработки персональных данных (ПД). Многие об этом уже написали, но мы хотим разобраться в сути персональных данных, посоветовать, как интернет-магазинам избежать проблем с проверяющими органами, и поделиться собственным опытом.
Федеральный закон от 07.02.2017 N 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» вызвал нешуточный ажиотаж среди всех, кто собирает и хранит персональные данные. На самом же деле поправки предусматривают только смену проверяющего органа, увеличение штрафов и детализацию нарушений. Сам порядок обработки и защиты персональных данных не изменился.
Успейте купить корпоративный пакет COSSA-2025 со скидкой!
Cossa анонсирует главный рекламный формат на весь 2025 год: сразу 8 различных опций.
Пакет идеально подходит для онлайн-сервисов, стартапов, интернет-компаний и digital-агентств.
Успейте приобрести пакет до повышения цены!
Если раньше у вас было всё в порядке и вы не боялись проверок, скорее всего, можете выдохнуть спокойно. А если беспокоитесь — воспользуйтесь нашим чек-листом в конце статьи.
С другой стороны, если до этого вы могли относиться к персональным данным спустя рукава из-за небольших штрафов (до 10 тыс. ₽) и долгого процесса рассмотрения дел (ими занималась исключительно прокуратура), то теперь нужно собраться. Роскомнадзор будет разбираться гораздо быстрее, а штрафы доходят до 75 тыс. ₽ для юридических лиц.
Что изменилось
Ранее статья 13.11 КоАП РФ практически не работала сразу по трём причинам:
-
отсутствовала чёткая детализация нарушения;
-
штраф для юридических лиц составлял всего 10 000 ₽, а для физических лиц — 500 ₽;
-
протоколами об административном нарушении занималась прокуратура, у которой полно более важных и приоритетных дел.
Сейчас ситуация кардинально изменилась. Кроме детализации нарушений и резкого увеличения штрафов, возможность составления протоколов предоставили Роскомнадзору. Последний весьма активен в «прочёсывании» интернета и, вероятно, что этим своим правом организация воспользуется при первой же возможности. Поэтому тем компаниям (и интернет-магазинам) которые являются операторами персональных данных, стоит проверить соответствие своих сайтов текущим нормам законодательства.
Сколько теперь придётся заплатить за нарушения закона
Увеличение штрафных санкций за нарушение правил обработки персональных данных становится заметным не только для небольших сайтов, но и для крупных магазинов, оперирующих большими оборотами.
Сегодня в законе предусмотрены следующие штрафы для юридических лиц:
-
Неправомерная обработка персональных данных (например, продажа сведений третьим лицам) — от 30 до 50 тыс. ₽.
-
Обработка без письменного согласия пользования или с нарушением требований, установленных ФЗ № 152 — от 15 до 75 тыс. ₽.
-
Отсутствие действующей политики в области обработки персональных данных — от 15 до 30 тыс. ₽.
-
Невыполнение запросов, которые касаются уточнения типов запрашиваемых данных и целей их сбора — от 20 до 40 тыс. ₽.
-
Невыполнение требования пользователя, касающегося удаления его данных — от 25 до 45 тыс. ₽.
-
Утечка данных в результате нарушений действующих правил обработки или недостаточной защиты — от 25 до 50 тыс. ₽.
-
Несвоевременное выполнение предписаний со стороны государственных контролирующих органов — от 3 до 6 тыс. ₽ (для должностных лиц).
Что может послужить основанием для проверки сайта
Существуют два ключевых основания: жалоба и проведение плановых проверок (если вы являетесь оператором персональных данных). По данным Роскомнадзора, по сравнению с 2013 годом количество жалоб выросло почти на 60% — с 10 016 до 33 814 обращений. Не забывайте о том, что никто не застрахован от жалобы со стороны конкурентов. Кроме того, количество проводимых проверок также растёт: с 743 в 2013 году до 2053 в 2016-м.
Что считается персональными данными и кто является оператором ПД
Больше всего вопросов вызывает само понятие персональных данных. Чёткого перечня нет ни в Кодексе, ни в новых поправках к нему, но в п. п. 1 п. 1 ст. 3 ФЗ «О персональных данных» № 152-ФЗ от 27.07.2006 установлено, что персональные данные — это любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
Несмотря на то что многие считают персональными данными ФИО, физический адрес проживания или регистрации, адрес электронной почты, номер мобильного или стационарного телефона, дату (место) рождения, профессию и уровень образования, большинство из этих данных не является ПД. По крайней мере, в отдельности друг от друга.
Понятие персональных данных, установленное в законе, расшифровывается в научно-практическом комментарии этого закона под редакцией заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А. А. Приезжевой:
«Если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность. При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо. Так, к числу данных, которые не могут рассматриваться, по крайней мере, по отдельности друг от друга в качестве персональных, могут быть отнесены: фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения. Другие идентификаторы сами по себе не определяют однозначно конкретное физическое лицо. Такие данные должны быть отнесены к персональным данным только в том случае, если они хранятся и обрабатываются совместно с идентификаторами, которые сами по себе определяют физическое лицо».
Таким образом, если совокупности данных недостаточно, чтобы точно определить конкретного человека, эти данные не считаются персональными.
Несколько примеров. Какие данные не являются «персональными»:
- Электронная почта и имя.
- Электропочта и дата рождения.
- Электропочта, имя и телефон.
- Электропочта и big data (данные о поведенческих привычках пользователя).
Другими словами, всё упирается в перечень данных. Если их достаточно для идентификации пользователя (например, одновременно email, ФИО и дата рождения), такие данные будут считаться персональными, а владелец сайта попадает под понятие «оператор персональных данных». Однако с учётом п. 2 ст. 22 ФЗ «О персональных данных» не все должны направлять уведомление об обработке персональных данных в уполномоченный орган (подробнее об этом расскажем дальше).
С другой стороны, если вы собираете на своём сайте данные, которые не дают возможности чётко идентифицировать пользователя (к примеру, только адреса электронной почты, даже в совокупности с именем), то никаких уведомлений об обработке персональных данных направлять в уполномоченный орган не требуется. Но в любом случае стоит разместить на сайте форму согласия пользователя с обработкой его ПД (чекбокс), а также политику обработки ПД.
Вопреки расхожему мнению, к персональным данным не относится информация о поведении пользователя на сайте и всё, что принято относить к big data, поскольку по этим данным невозможно идентифицировать пользователя.
Кейс Retail Rocket: почему сервис-провайдер может не быть оператором персональных данных
Казалось бы, платформа для мультиканальной персонализации должна также подпадать под действие закона. Как можно давать пользователям персональные рекомендации, не используя персональные данные?
Но Retail Rocket получает с сайта интернет-магазина обезличенную информацию, по которой невозможно идентифицировать конкретное физическое лицо.
Схема взаимодействия между Retail Rocket и интернет-магазинами выглядит так:
-
Пользователь предоставляет информацию о себе для исполнения заказа на сайте интернет-магазина.
-
Информация сохраняется на сервере интернет-магазина.
-
Размещённый на сайте интернет-магазина трекинг-код формирует поведенческую статистику пользователя.
-
Методом выборки информации с сайта интернет-магазина у исполнителя на основании статистики поведения пользователя формируется база товарных рекомендаций.
-
Статистика поведения пользователя сохраняется на сервере исполнителя и содержит обезличенную информацию о пользователе и иных идентификаторах.
Таким образом, для формирования товарных рекомендаций наша платформа не использует персональные данные.
Что же касается платформы массовых рассылок, то, как мы уже выяснили выше, адрес электронной почты, имя или дата рождения без других точных данных, позволяющих идентифицировать пользователя, также не являются персональными данными.
По этому поводу у нас есть кейс-история. Наш юрист оставил свой адрес электронной почты на сайте одного интернет-магазина. Этот адрес был передан третьим лицам, чья компания зарегистрирована за пределами Российской Федерации и соответственно данные хранит тоже за пределами страны, что должно считаться нарушением ФЗ-152 «О персональных данных».
Далее мы направили жалобу в Роскомнадзор с изложением всех фактов и просьбой о внеплановой проверке этого интернет-магазина:
Согласно ответу Роскомнадзора «адрес электронной почты является персональными данными при условии наличия дополнительной информации, позволяющей отнести его к конкретному физическому лицу (субъекту персональных данных)».
Обработка персональных данных третьей стороной
Ч. 3 ст. 6 ФЗ-152 гласит:
«Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путём принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона».
При этом «лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных» (ч. 4 ст. 6 ФЗ-152).
Таким образом, если оператор ПД — интернет-магазин — поручает третьему лицу — сервис-провайдеру — обработку персональных данных в целях, обозначенных в политике конфиденциальности (в нашем случае это email-рассылки и формирование товарных рекомендаций), сервис-провайдер не должен получать от пользователей дополнительное согласие.
Ответственность перед субъектом персональных данных при этом несёт оператор ПД (интернет-магазин), а сервис-провайдер или иное третье лицо отвечает перед оператором.
Ещё раз подчеркнём: если вы собираете данные, недостаточные для идентификации пользователя, вы не являетесь оператором ПД и не попадаете под действие закона.
Что делать, если вы всё-таки являетесь оператором персональных данных
Для соблюдения требований закона соблюдайте следующие правила:
1. Получите согласие пользователя на обработку его персональных данных
Для этого разместите в виде отдельного документа пользовательское соглашение. В качестве основы можно взять аналоги на других сайтах. Закон явно запрещает сбор лишней информации, поэтому ни в соглашении, ни у самого пользователя (например, для рассылки электронной почты) не должен запрашиваться адрес его проживания.
Согласие пользователя необходимо фиксировать и хранить в виде log-файла вне зависимости от способа подтверждения (галочка, код из СМС). Также обязательно подписание подобного документа до момента получения от пользователя персональных данных.
В качестве хороших примеров документов приведём следующие сайты:
-
Политика конфиденциальности, как у интернет-магазина Ozon или re-store.
-
Официальное уведомление, как на сайте «М-видео».
-
Правила продажи, например, как у «Читай-города».
-
Пользовательское соглашение, как на сайте интернет-магазина Lamoda.
Документ должен включать следующие данные:
- Информация об операторе персональных данных.
- Чёткое указание целей сбора персональных данных.
- Перечень данных, которые будут собираться.
- Список действий, которые могут быть совершены с этими данными.
- Способ отзыва согласия пользователя на хранение данных.
- Срок хранения персональных данных.
- Контактные данные для запроса информации пользователем о своих персональных данных.
2. Используйте информацию только для оговорённых целей
Если вы предлагаете зарегистрированному пользователю дополнительные сервисы или услуги, требующие использования персональных данных, то необходимо повторное получение согласие по примеру предыдущего пункта. Если цель, для которой собирались сведения, была достигнута, то они должны быть уничтожены автоматически при условии, что в соглашении не оговорено иное.
3. Разместите на сайте «Политику обработки персональных данных»
Она должна находиться в открытом доступе и на видном для пользователя месте и описывать все принципы обработки данных пользователей.
4. Направьте уведомление об обработке в Роскомнадзор
Сделать это можно в электронном или бумажном виде.
В документе должна быть указана следующая информация:
- Наименование оператора персональных данных.
- Цель сбора и обработки информации.
- Перечень видов собираемых данных.
- Список субъектов, данные которых обрабатываются.
- Основание обработки информации.
- Список действий с полученной информацией.
- Наличие и описание видов мер, направленных на защиту собираемой информации.
- ФИО и контактные данные лица, отвечающего за обработку персональных данных.
- Дата начала обработки.
- Информация о местонахождении базы, где содержатся данные.
- Подтверждение соответствия нормативам требований обеспечения безопасности персональных данных.
Если интернет-магазин собирает ПД исключительно с целью должного исполнения обязательств перед пользователем или покупателем, он вправе не направлять в адрес Роскомнадзора уведомление о своём намерении обрабатывать ПД.
Согласно под. 2 п. 2 ст. 22 ФЗ «О персональных данных», оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных при следующих условиях.
-
Данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных.
-
ПД не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных.
-
Эта информация используется оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.
Таким образом, если интернет-магазин обрабатывает персональные данные исключительно с целью исполнения обязательств по размещённому на сайте договору оферты, к примеру, для исполнения обязательств по доставке товара покупателю, регистрация в Роскомнадзоре не нужна.
5. Отвечайте на официальные запросы от пользователей или государственных органов
После получения подобного запроса необходимо направить официальный ответ в течение 30 дней. Обратите внимание, что подобный документ может рассматриваться в качестве письменного доказательства при разбирательстве, поэтому отвечать необходимо по существу.
6. Удаляйте или изменяйте персональные данные по запросу
На это владельцу сайта отводится 7 дней, по истечении которых база должна быть полностью обновлена.
Выполнение требований избавит вас от риска получить штраф за неправильное обращение с персональными данными. Соблюдение подобных пунктов требует, по большому счёту, только затрат на первоначальном этапе, а вложенные инвестиции обернутся сторицей в виде спокойствия.
Что касается обращений со стороны Роскомнадзора и отдельных пользователей, то их количество будет небольшим, поэтому ответы на них не отнимут много времени.
Советы в заключение
Если вы поняли, что являетесь оператором ПД, прежде всего проверьте политику конфиденциальности (или срочно создайте, если по каким-то причинам у вас её не было), чтобы она соответствовала всем требованиям закона о персональных данных.
Добавьте чекбокс, в котором пользователь будет соглашаться на обработку персональных данных. Он должен быть в каждой форме на сайте и иметь содержание вида «Нажимая кнопку „Зарегистрироваться“, я принимаю условия Пользовательского соглашения и даю своё согласие на обработку персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ „О персональных данных“ на условиях и для целей, определённых Политикой конфиденциальности» — с обязательной ссылкой на саму политику конфиденциальности.
Сохраняйте доказательства получения согласия. Чтобы доказать законность сбора, хранения и обработки данных Роспотребнадзору, вам понадобятся свидетельства согласия от пользователей. Это может быть адрес электронной почты, IP-адрес, с которого совершена подписка, дата подписки или СМС-код.
А если вы поняли, что по собираемыми вами данным нельзя идентифицировать конкретного человека, можете выдохнуть спокойно и не реагировать на панику вокруг.
Читать по теме:
Мнение редакции может не совпадать с мнением автора. Ваши статьи присылайте нам на 42@cossa.ru. А наши требования к ним — вот тут.