Не так давно мне пришлось столкнуться с законом о защите персональных данных на личном опыте. По одному из сайтов, которые мы сначала написали, а потом начали продвигать, пришло письмо счастья из Роскомнадзора. Полное содержание раскрывать не имеет смысла, но суть его сводилась к тому, что они путем анализа выяснили, что сайт собирает персональные данные и должен в таком случае это делать в рамках закона. Я решил узнать, что значит «в рамках закона» и стал рыть интернет на предмет описания решения проблемы, но как ни странно проблему решают либо платно, либо дают крайне абстрактное описание, которое не дает ничего.

Не найдя решения в сети я решил сначала написать в Роскомнадзор ответственному лицу (оно указано в вашем письме как исполнитель), но не получив ответа в течение недели я позвонил. Итак, описываю все, что мне удалось выяснить от сотрудником отвечающих за защиту персональных данных:

  • Что является персональными данными? В самом Роскомнадзоре сослались на федеральный закон №152, привожу выдержку из него: «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». И это все, никакой конкретики! По сути вас могут притянуть за любую информацию. В качестве примера я уточнил, является ли адрес электронной почты персональными данными, на что получил ответ, что да при условии, что это почта содержит имя и фамилию лица (например, ivanov.ivan@mail.xt), но собирая данные с вашего сайта с формы обратной связи вы не можете угадать какую почту указывает посетитель. Однако не знание вас не спасет от штрафа в 75 000 руб. за каждую форму, на которой отсутствует «согласие на обработку персональных данных). Получается что персональными данными может быть абсолютно все, что, по мнению Роскомнадзора, может относиться к физическому лицу.
  • Как обеспечить полное соответствие закону о персональных данных наших сайтов? Мои сайты – это сайты интернет-магазинов, инфосайты и лидогенераторы будут соответствовать ФЗ №152, если я размещу на них 2 вещи: согласие на обработку персональных данных в каждой форме обратной связи и повешу в общем доступе «политику персональных данных». Скриншот формы с согласием на обработку ПД прилагаю, пример политики обработки персональных данных приложу в pdf файле в самом конце этой статьи, а так же ряд других документов, которые я так же начал составлять для других проектов (возможно, кому-то пригодится).

152 ФЗ о защите персональных данных: личный опыт

  • Начали ли уже штрафовать сайты, которые не соответствуют требованиям федерального закона о защите персональных данных? В Роскомнадзоре на этот вопрос не ответили, но могу сказать, что по всем известным мне сайтам не было ни одного штрафа (прошу не считать как рекомендацию для не соблюдения закона). На сегодняшний день идут по большей части письма уведомительного и предупредительного характера, но на которые необходимо отвечать официально. Мне сказали, что достаточно ответа по e-mail, но у меня получилось его отправить без возврата только с 5 раза, поэтому мы дублировали письма и по почте, в том числе с уведомлением о вручении.
  • Как Роскомнадзор находит сайты, которые работают с персональными данными? Официального ответа не было, но по моим наблюдениям могу сказать, что весь процесс происходит исключительно в ручном режиме, так как если бы все было автоматически, то писем «счастья» было бы больше в тысячи раз. Так же заметил, что при регистрации нового домена его проверка будет 100% и только вопрос времени, когда к вам придет письмо, если вы работаете с персональными данными. В качестве примера по одному из проектов, который мы только начали верстать письмо пришло в первые 3 недели регистрации, после появления на сайте главной страницы с формой обратной связи.

Возможно, тема и потеряла актуальность, но, тем не менее, решил поделиться своим опытом, а так же документами с коллегами по цеху и просто тем, кому это нужно и самое главное не прошу за это денег. В качестве вывода и итога всей шумихи связанной с ПД скажу, что точно нужно сделать, если у вас есть форма подписки или форма обратной связи:

  1. В каждой форме разместить согласие на обработку персональных данных или строку ознакомительного характера, не обязательно делать чек-бокс, можно просто прописать «нажимая кнопку «отправить» вы соглашаетесь с политикой персональных данных на сайте».
  2. Составить текст политики персональных данных для вашего сайта.

152 ФЗ о защите персональных данных - в футере ссылка

Если есть вопросы, оставляйте комментарии, и я обязательно на них отвечу. Ниже файлы для скачивания: