Проверка штрафов
Форма обратной связи новый закон. Роскомнадзор - обращения граждан и юридических лиц. А если получаешь только имя без фамилии и номер телефона, это тоже попадает под персональные данные? А если только номер телефона

Форма обратной связи новый закон. Роскомнадзор - обращения граждан и юридических лиц. А если получаешь только имя без фамилии и номер телефона, это тоже попадает под персональные данные? А если только номер телефона

Маргарита Ледовских

Рада приветствовать вас на нашем сайте. Меня зовут Маргарита Ледовских, я медиаюрист. 19 лет я работаю в сфере информационного права, из них 6 лет руковожу проектом "Право в сети".

Поиск по сайту

Оказываем услуги по регистрации сайтов в качестве СМИ

Подготовительный этап Во-первых, нужно время на подготовительные действия. Пишу об этом, поскольку иногда не учитывают эти моменты. Учредителям- физическим лицам как минимум нужно посетить банк и нотариуса, чтобы сделать нотариальные копии документов. Вы скажете, что можно оплатить через онлайн-банк, не выходя из дома, и это чистейшая правда, но даже в этом случае надо идти […]

Очень часто, если человек разозлен, обижен, от него можно услышать такие слова: «Да я на тебя подам иск о компенсации морального вреда». И вот уже может показаться, что если человек переживает, если в интернете о нем распространена какая-то негативная информация, он недоволен покупкой в интернет-магазине, в негодовании, что на него, по его мнению, подали незаконный […]

Например, девушка создала форум для беременных, чтобы потом размещать там рекламу. При регистрации участники указывают информацию о себе. Эта девушка - оператор персональных данных. Она получает сведения о других людях и что-то с этими данными делает: систематизирует по возрасту и интересам, проверяет активность пользователей, использует для рассылки, приглашений или просто хранит.

Любое из этих действий - это обработка персональных данных. Любой, кто это действие производит, - оператор.

У меня есть электронные почты друзей, список контактов в телефоне, аккаунты разных людей в соцсетях. Получается, я тоже оператор и должен получать согласие этих людей на то, чтобы хранить и удалять их данные?

Нет, в таких случаях согласие не нужно. Под действие закона не попадают персональные данные, которые обрабатывают для личных и семейных нужд. Это могут быть контакты нужных людей в телефонном справочнике, визитки коллег и партнеров, профили друзей на фейсбуке.

Форма обратной связи тоже попадает под действие закона?

Если в ней человек может ввести свои персональные данные - то да, попадает.

В законе нет исключений по поводу формы и способа сбора персональных данных. И уточнения, что именно является сбором, тоже нет. Минкомсвязи считает, что сбор - это какая-то документально оформленная процедура получения данных о человеке. Форма обратной связи подходит под это определение .

Сама по себе форма обратной связи не попадает под действие закона только потому, что она есть. Важно, какие данные передает посетитель через эту форму , можно ли по ним прямо или косвенно идентифицировать человека и нанести ему вред в случае утечки и распространения.

Если посетитель сайта указывает в форме свое имя, фамилию, телефон и электронную почту - это персональные данные. Тот, кто эти данные получает, обрабатывает и хранит, считается оператором персональных данных и должен соблюдать закон.

А если получаешь только имя без фамилии и номер телефона, это тоже попадает под персональные данные? А если только номер телефона?

По закону персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Это определение ничего не дает и не проясняет.

Если понимать буквально, то персональными данными можно считать что угодно. Юристы спорят по этому поводу уже много лет.

Минкомсвязи конкретики не дает и говорит так: более точно определить состав персональных данных, в том числе привести их перечень, представляется нереализуемым. Никаких четких пояснений от других ведомств по этому поводу тоже нет.

Если будет спор по поводу принадлежности почты или логина к персональным данным, всё решит суд. Несколько решений по поводу персональных данных суды уже вынесли. Из них следует очевидное: персональными данными считаются ФИО , паспортные данные, адрес, номера телефонов, информация о членах семьи, из пенсионного дела и трудового договора. Еще из них следует неочевидное: ИНН сам по себе не является персональными данными, а данные о факте пересечения границы - являются.

Сам по себе логин - это вроде бы не персональные данные. По набору символов нельзя понять, что это за человек и даже какого он пола.

Но если на аватарку человек поставит свою настоящую фотографию или при регистрации укажет почту, где в названии будет его фамилия с инициалами, а в доменном имени - название компании, то в совокупности это уже персональные данные.

Никто толком не знает, какие данные персональные

В законе нет никаких исключений по теме сайта, организационно-правовой форме и набору данных.

Чтобы не рисковать, лучше сделать так.

Если вы где-нибудь с какой-нибудь целью собираете любую информацию о каких-то физических лицах, нужно зафиксировать их согласие и подготовить документы. Если это сделать для страховки, даже когда не надо, ничего страшного не будет. А если этого не сделать, могут быть претензии от пользователей и Роскомнадзора.

Я делаю сайт для клиента, обрабатываю и храню данные на своей стороне. При этом владелец сайта не обязан быть оператором персональных данных?

Владелец сайта обязан быть оператором персональных данных и соблюдать закон. По закону можно собирать персональные данные и передавать их кому-то на обработку. Владелец сайта может передать данные клиентов вебмастеру, интернет-магазин - сервису рассылки.

Чтобы так делать, владелец сайта должен получить у посетителей разрешение и объяснить им, кому и зачем он передаст их данные.

Ответственность на владельце

Тот, кому он передаст данные на обработку, отдельное разрешение получать не должен, а соблюдать закон - должен.

Отвечать за соблюдение закона перед посетителями сайта будет его владелец.

Владельца сайта Роскомнадзор и суд будут определять по совокупности данных. Если на сайте размещена информация о конкретном юридическом лице или ИП , спросят с него. Если таких данных нет, спросят с администратора домена.

А как они поймут, что я храню и обрабатываю данные, чтобы выписать штраф? Это в российском дата-центре можно маски-шоу устроить и вынести сервер, а за границей такие номера не проходят.

Роскомнадзор узнает о нарушениях двумя способами:

сам проведет проверку;
отреагирует на чью-то жалобу.

Если Роскомнадзор обнаружит нарушения, сайт могут заблокировать, а компанию оштрафуют.

По закону операторы обязаны хранить персональные данные на российских серверах. Есть несколько исключений, но это частности. Любой интернет-магазин или сервис по подписке должен хранить базу с персональными данными граждан в России.

Потом можно передавать эти данные за границу. Это законно, но при определенных условиях . Иначе нельзя было бы бронировать гостиницы и покупать билеты на самолет за границей.

Роскомнадзор может потребовать предоставить подтверждение по поводу места хранения баз данных. Например, договор с дата-центром, хостингом или документы на собственный сервер. Если выяснится, что персональные данные хранятся с нарушениями и не в России, будут проблемы.

Кроме закона о персональных данных есть требования Федеральной службы по техническому и экспортному контролю и ФСБ. Еще к проверке может подключиться прокуратура. Им хватит полномочий, чтобы узнать, где на самом деле хранятся данные, и разобраться с нарушениями.

А если у нас сайт на английском?

Закон о персональных данных нужно соблюдать, если сайт используется для работы на территории РФ . Теоретически Роскомнадзор имеет право и может его заблокировать.

Вот какие признаки используют, чтобы это понять:

доменное имя связано с РФ или субъектом;
есть русскоязычная версия сайта;
расчет за товары или услуги происходит в рублях, доставка возможна на территорию РФ ;
потребители содержимого сайта - россияне;
есть реклама на русском, которая ведет на этот сайт.

Если есть какое-то сочетание этих факторов, оператор персональных данных должен соблюдать закон, даже если это иностранная компания. А это значит, что документы должны быть доступны и понятны в РФ . Достаточно иметь их на русском языке, чтобы их понимал Роскомнадзор и граждане России. На нерезидентов за пределами страны наш закон о персональных данных не распространяется.

Как определять гражданство посетителя, закон не объяснил. Операторам предложили решать эту проблему самостоятельно. А если четкой позиции и инструментов нет, стоит соблюдать закон в отношении всех персональных данных, которые собрали на территории России.

Дублировать те же документы на иностранных языках для россиян нет смысла. Но эти правила придумали не в России. Есть конвенция Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера. Так что, если собираете данные иностранцев, подумайте, как соблюдаете закон той страны, резидентами которой они являются.

В Европе за однократное нарушение правил обработки персональных данных штрафуют на сотни тысяч евро. В России максимальный штраф с 1 июля 2017 года - 75 тысяч рублей.

Могу ли я не регистрироваться в Роскомнадзоре, если поменяю поле в форме обратной связи с «Ваше имя» на «Ваша компания»?

Закон о персональных данных защищает данные только физических лиц. Он не распространяется на данные о компаниях. Но то, что указано в форме обратной связи, - это формальность. Важно, какие именно данные и с какой целью собирает владелец сайта.

Если это на самом деле название компании и телефон офиса, такая информация не попадает под действие закона. Но если сайт собирает почтовые адреса и телефоны сотрудников компаний, чтобы потом делать по ним рассылку или передавать их третьим лицам, могут быть проблемы как со стороны этих сотрудников, так и от Роскомнадзора.

В Роскомнадзоре должны зарегистрироваться все операторы персональных данных. Исключения только для случаев, перечисленных в п. 2 ст. 22 закона о персональных данных .

Вот публикую я пост в фейсбуке и упоминаю своего друга - значит, я данные обрабатываю? Кэш поста хранится на телефоне, значит, я данные храню? А если сделаю репост в твиттер, то я их еще и предоставляю третьей стороне. И как с этим жить?

Это не нарушение закона. В этом случае оператором персональных данных выступает социальная сеть. Каждый, кто там зарегистрировался, дал согласие на публикацию, обработку и использование его данных.

Все пользователи фейсбука

Сегодня много говорят о законе об обработке персональных данных № 152-ФЗ «О персональных данных», пугают большими штрафами и нагоняют ужаса в интернет. В этой статье я не буду разбирать сам закон, это вы можете почитать в интернет. Мы разберем технический момент, как оформить контактную форму в соответствии с законом.

В шаблоне AB-Inspiration есть встроенная форма обратной связи, в шаблоне страницы «Контакты». К сожалению мы уже не можем использовать данную страницу, и в ближайшем будущем я удалю ее из шаблона.

Вместо встроенной страницы «Контакты» мы будем использовать «Contact Form 7». Это отличный плагин для создания различных форм, в том числе и формы обратной связи.

Это руководство подходит для всех сайтов созданных на WordPress, не важно пользуетесь вы шаблоном AB-Inspiration или нет.

Итак, первое, что нужно сделать, это установить и активировать плагин «Contact From 7» (если он у вас еще не установлен)

В админке зайдите в раздел «Плагины» — «Добавить новый»
В поле поиска введите запрос «Contact From 7»
В списке плагинов найдите плагин с названием «Contact Form 7» автор Takayuki Miyoshi (https://ru.wordpress.org/plugins/contact-form-7/)
Нажмите Установить
Затем нажмите Активировать

Установка контактной формы на страницу Контакты

Теперь нам нужно установить контактную форму на страницу Контакты. При установке и активации плагина у вас уже создается одна контактная форма. Ее мы и будем использовать.

Чтобы установить форму, нам нужно скопировать шорткод формы. Для этого:

перейдите в раздел Contact from 7 — Формы
Скопируйте шорткод формы

3. Перейдите в раздел «Страницы» — «Добавить новую»

4. Напишите название страницы

5. В поле для текста вставьте скопированный шорткод формы

Теперь у нас есть форма обратной связи на странице. До и после шорткода вы можете добавить текст.

Как добавить галочку политики конфиденциальности

Следующим шагом необходимо добавить к форме галочку согласие с политикой конфиденциальности и обработки персональных данных.

Для этого нам необходимо отредактировать форму.

3. В коде, перед кнопкой «Отправить» поставьте мышку и нажмите на кнопку «checkboxes»

4. Отметьте галочкой «Required», чтобы поле было обязательным

5. пропишите латинскими буквами название поля, например politika

6. В поле пропишите текст-согласие (Например, Согласен (-на) с политикой конфиденциальности и обработки персональных данных. Или Нажимая на кнопку ясогласен (-на) с условиями Соглашения.)

7. Нажмите на кнопку «Insert tag»

Откройте страницу с формой. Перед кнопкой Отправить должен появится чекбокс с текстом.

Ссылка на страницу политики обработки данных

Еще один важный момент. Перед кнопкой отправить должна быть ссылка на саму страницу, где описывается политика конфиденциальности и обработки персональных данных. Процесс будет состоять из 3-х этапов.

1. Создать страницу «Политика конфиденциальности и обработки персональных данных»

Такую страницу необходимо заранее создать. Примеры текста для такой страницы вы можете найти в интернет и переделать под себя.

После того, как вы создадите такую страницу, скопируйте ее адрес.

Если вы не знаете HTML, то для формирования ссылки можете воспользоваться редактором записей.

1. Страницы — Добавить новую

2. В поле для текста напишите, например: «Соглашение»

4. Перейдите во вкладку Текст

5. скопируйте код

Теперь нужно вставить этот код перед кнопкой Отправить.

1. Перейдите в раздел «Contact from 7» — «Формы»

2. Откройте форму для редактирования

3. Перед кнопкой вставьте скопированный код

Откройте страницу с формой и перед кнопкой «Отправить» вы увидите ссылку на страницу с политикой конфиденциальности.

В начале этого года астраханские СМИ сообщили, что в городе начали штрафовать организации, у которых есть собственный сайт. Поводом послужило размещение на сайте форм обратной связи. Прокуратура усмотрела в этом нарушение закона о персональных данных и выписала штрафы.
Форма обратной связи достаточно удобный инструмент выстраивания коммуникации с потенциальными покупателями. Формы обратной связи часто используют интернет-магазины, практически на всех сайтах застройщиков можно встретить подобный вид коммуникации. В чем же была претензия Роскомнадзора? Судя по постановлению, владелец сайта нарушил п.2 ст.18 федерального закона "О персональных данных", где говорится об обязанности оператора при сборе персональных данных.

Что нужно сделать, чтобы не нарушать закон и иметь формы обратной связи на сайте? Если у вас нет никаких форм обратной связи на сайте, то можете спать спокойно. По крайней мере в этой части. Но, если вы внедрили на своем сайте формы обратной связи, обратного звонка, подписки и прочего, где просите указать имя, номер телефона, то вы автоматически начинаете сбор и обработку персональных данных. Т.е. вы становитесь оператором по обработке персональных данных, а следовательно должны предупреждать своих пользователей о том, что вы собираетесь эти данные от них получить и что в дальнейшем будете с ними делать и как защищать их сохранность.

И так, для начала подготовьте в компании документ под названием "Политика конфиденциальности". Лучше, если этот документ будет именно официальным, с соответствующим приказом по компании (мы сделали это по предприятию, которое является владельцем домена). Опубликуйте "Политику конфиденциальности" на своем сайте. Сделайте "в подвале" сайта, где вы любите писать "копирайт" ссылку на данную "Политику конфиденциальности". Важно, в каждой форме, где пользователь будет вводить свои данные (имя и номер телефона) поставить "галочку", что пользователь ознакомлен с "Политикой конфиденциальности" и дает свое согласие на обработку персональных данных. Ниже, в этой же форме, дайте ссылку на страничку, где размещен этот документ. Без активной "галочки", т.е. своего согласия пользователь не сможет отправить вам запрос через форму. Сделайте это со всеми своими формами, в т.ч. и на лэндингах, если таковые имеются.

Как написать "Политику конфиденциальности"? Погуглите, как она написана в крупных компаниях и как написали ее те, кто работает в вашей же отрасли. Добавьте свое. Основная мысль документа должна быть отражена в том, какие данные вы собираете, для чего, как обрабатываете, как собираетесь хранить и предупреждать их утерю. Вообщем, есть даже готовые образцы, которые можно также нагуглить.

Просим Вас внимательно ознакомиться с Порядком приема и рассмотрения электронных обращений в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор):

1. Официальный сайт Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций является дополнительным средством для обеспечения возможности обращений граждан объединений граждан и юридических лиц в Роскомнадзор.

Обращаем Ваше внимание, что форма электронного обращения не предназначена для подачи заявления на предоставление государственных услуг.

Заявления на предоставление государственных услуг подаются в Роскомнадзор:

В электронном виде - через «Единый портал государственных и муниципальных услуг» (www.gosuslugi.ru),

В бумажном виде - заявителем лично или посредством почтовой связи.

2. Работа с обращениями граждан, объединений граждан и юридических лиц осуществляется в соответствии с Работа с обращениями граждан, объединений граждан и юридических лиц осуществляется в соответствии с Федеральный закон Российской Федерации от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (DOCX, 29.42 Kb).

3. Обращения граждан, объединений граждан и юридических лиц поступившие в электронном виде, в соответствии с действующим законодательством могут быть направлены в управления Роскомнадзора, к непосредственному ведению которых относится разрешение поставленных в обращениях вопросов.

4. В обращении гражданин в обязательном порядке указывает свои фамилию, имя, отчество (последнее - при наличии), и адрес электронной почты. Гражданин вправе приложить к такому обращению необходимые документы и материалы в электронной форме.

5. Обращение, содержащие нецензурные либо оскорбительные выражения, угрозы жизни, здоровью и имуществу должностного лица, а также членов его семьи может быть оставлено без ответа по существу поставленных в нём вопросов.

Обращение не принимается к рассмотрению, если текст написан по-русски с использованием латиницы или набран целиком заглавными буквами и не разбит на предложения.

6. Срок рассмотрения обращения - 30 дней. В случаях, когда для рассмотрения обращения гражданина требуется больше времени, то срок может быть продлен, но не более чем на 30 дней.