Кажется, я рискую погрязнуть в разнообразных ФЗ окончательно, но куда деваться, если всё меняют именно теперь. Сайтовладельцам нужно срочно обратить внимание на 152-ФЗ, «Закон о персональных данных».
С 1 июля 2017 года резко повышаются размеры штрафов. Сейчас идет речь о 10 000 рублей в худшем случае, а с июля можно будет нажить неприятностей почти на 300 000.
Если вкратце, то владельцы сайтов должны:
- брать у посетителей согласие («Поставьте галочку, чтобы продолжить») на хранение и обработку персональных данных;
- разместить на сайте «правила»/«политику конфиденциальности»/«соглашение» или что-нибудь в этом роде, охватывающее вопрос;
- обеспечить выполнение прочих требований закона — скажем, хранить базу собранных данных на российских серверах.
Тем временем нарушителей уже привлекают, в последние месяцы накапливаются прецеденты. Причем нарушить 152-ФЗ, судя по произошедшим историям, — раз плюнуть.
Пытаемся разобраться
Персональными данными считаются не только номер паспорта или размер банковского счета (как мог бы предположить неподготовленный обыватель), но и адрес электронной почты, например. Особенно в связке с именем.
То есть «сбором» считается практически любое использование формы обратной связи. И то, что посетители сами добровольно заполняют в ней графы, не принципиально.
С трактовкой отдельных положений закона пока не все понятно. Скажем, люди интересуются — если назвать графу не «ваше имя», а «ваш ник», будет ли это считаться сбором имен? Юристы отвечают так и эдак.
Одна из оштрафованных компаний пыталась использовать аргумент «посетитель не обязан указывать полное настояшее имя» в суде — и его отклонили. Суд решил, что «по умолчанию» запрашиваются именно подлинные ФИО.
Пруфы, или примеры штрафов за нарушения 152 закона
Их лучше искать в новостях, там все актуальнее, но, скажем, один из первых случаев (еще прошлогодний!) произошел в Тамбовской области. Причем за нарушение был оштрафован не кто-нибудь, а юридическая компания.
Изначально их форма включала в себя имя, тему сообщения, само сообщение, номер телефона и адрес электронной почты. После скандала (и проигранного суда) два поля с контактами убрали. Для подстраховки, чтобы соответствовать новым требованиям. Кардинальное решение.
Также вы можете поискать заметки про Астрахань, где уже в 2017 устроили проверку компаний по алфавиту. Во всяком случае, известные названия оштрафованных фирм начинались с «А». Конкретно источники описывают форму для связи с сайта продавцов недвижимости: там собирали имена и телефоны. Тоже пытались оспорить штраф в суде и уступили.
Кого касается Закон о персональных данных?
Требования 152-ФЗ касаются всех. Оператором персональных данных могут признать и юридическое лицо, и физическое.
То есть теоретически пострадать рискует и владелец интернет-магазина, и простой смертный, который, например, общается с народом на собственном сайте («Оставьте комментарий, ваш e-mail не будет опубликован») или ведет тематическую рассылку про котиков. Хотя суммы штрафов и прочие санкции различаются.
Вот такие пироги 🙂