6 мифов о работе с персональными данными
Не спешите регистрироваться в РоскомнадзореЧуть больше месяца назад в силу вступили поправки, которые касаются персональных данных. Ресурсы и интернет-сервисы бросились публиковать информацию об изменениях со своими комментариями и рекомендациями — по ним выходило, что закон о персональных данных теперь касается каждого, порядок их обработки изменился, и пользователям нужно предлагать отдельное соглашение.
Чуть больше месяца назад в силу вступили поправки, которые касаются персональных данных. Ресурсы и интернет-сервисы бросились публиковать информацию об изменениях со своими комментариями и рекомендациями — по ним выходило, что закон о персональных данных теперь касается каждого, порядок их обработки изменился, и пользователям нужно предлагать отдельное соглашение.
Это вызвало волнение среди владельцев сайтов — некоторые из них поспешили зарегистрироваться в качестве операторов персональных данных в Роскомнадзоре, другие приостановили работу форм обратной связи, а третьи вообще удалили ресурс. На самом деле большинство циркулирующей сейчас в Сети информации о персональных данных — мифы. И мы решили их развеять.
Миф 1. В закон о персональных данных внесли изменения
Многие сообщают, что с 1 июля 2017 года в силу вступили изменения в закон о персональных данных (152-ФЗ). На самом деле в этот день вступил в силу другой закон (13-ФЗ), согласно которому изменения внесены в Кодекс Российской Федерации об административных правонарушениях (КоАП). Документ лишь расширил перечень составов административных правонарушений и увеличил размеры штрафов за нарушение закона о персональных данных.
Например, за обработку персональных данных без согласия физлица для юридических лиц штраф составляет до 75 000 рублей. Ранее подобной формулировки вообще не существовало. Вероятность привлечения к ответственности владельцев сайтов сводилась к минимуму. В прежней редакции КоАП была установлена ответственность только за нарушение порядка сбора, хранения, использования или распространения информации о гражданах, а штрафы для юрлиц не превышали 10 000 рублей.
Также законодатель передал Роскомнадзору полномочия по возбуждению административных дел в области персональных данных. Ранее такие дела возбуждал прокурор и направлял их в суд.
Миф 2. Порядок обработки персональных данных на сайте изменился
Не стоит путать порядок обработки данных и санкции, предусмотренные за его нарушение. Для операторов персональных данных и лиц, осуществляющих обработку таких данных, ничего не изменилось. Законодатель просто привёл КоАП в соответствие с действующей редакцией закона о персональных данных.
Волнение вызвали новые формулировки нарушений. Например, теперь КоАП гласит (ч. 3, ст. 13.11), что законодатель вправе привлекать к ответственности операторов персональных данных, если они не обеспечили доступ к документу, определяющему политику оператора в отношении обработки персональных данных или не опубликовали такой документ. Это касается и тех, кто не зарегистрирован в Роскомнадзоре. Но такая норма уже была — она касается всё того же требования публиковать соглашение об обработке персональных данных пользователей.
Миф 3. Новый порядок касается владельцев всех сайтов в интернете
Ещё раз повторим, что нового порядка обработки данных не появилось. И распространять не изменившиеся нормы на все сайты не имеет смысла.
Если сайт не соответствует требованиям 152-ФЗ, но обрабатывает персональные данные — например, получает ФИО и номер телефона через форму обратной связи, — то его следует привести в соответствие с нормами закона. Но большинство сайтов с такой проблемой не столкнутся, так как не имеют отношения к обработке персональных данных.
Миф 4. Всем владельцам сайтов нужно регистрироваться в качестве операторов персональных данных
Одно из самых частых заблуждений: любой, кто имеет дело с персональными данными, должен регистрироваться в качестве оператора в реестре Роскомнадзора. На самом деле закон о персональных данных предусматривает случаи, когда этого делать не нужно. Например, сайт, который собирает персональные данные для заключения договора розничной продажи строительных материалов вправе обрабатывать их без уведомления Роскомнадзора. Он получает данные в связи с заключением договора, не распространяет их и не передаёт их третьим лицам.
Заблуждение было вызвано не самим законом, а публикациями интернет-сервисов и изданий. Пользователи не читали сам закон, а делали выводы из статей.
Миф 5. Cookies относятся к персональным данным
Мы часто сталкиваемся с мнением, что владельцы российских сайтов обязаны брать согласие с пользователей, если сайт использует данные cookies. Причина вот в чём. Сайты иностранных компаний, независимо от местонахождения пользователей, требуют согласие на использование файлов cookies. Деятельность этих компаний регламентирует иностранное законодательство — и во многих странах такое согласие действительно нужно. Владельцы российских сайтов решили, что в нашей стране нужно поступать аналогично, и разбираться не стали.
Сейчас законодательство о персональных данных (как и изменения, внесённые в КоАП) не регулируют использование данных cookies и не предусматривают санкций за их неправомерное использование. Cookies не относятся к персональным данным, так как в соответствии с законом персональные данные — это любая информация, которая позволяет идентифицировать человека. Даже фамилия, имя и отчество могут не являться персональными данными, если требуются дополнительные сведения, чтобы определить личность человека. Не говоря уже о cookies.
Миф 6. Обязательно соглашение с пользователем
Отдельный документ нужен не всегда. Возьмём интернет–магазин — по своей правовой природе предложение о продаже товаров считается публичной офертой, если на сайте прямо не указано иное. Когда человек предоставляет персональные данные в целях исполнения публичной оферты, то это уже легально.
Если же интернет-магазин имеет отдельную публичную оферту, то он может прописать условия обработки персональных данных и их защиты там. Тогда ему не придётся публиковать отдельное соглашение.
Другой пример: сервис предлагает платные услуги хостинга или регистрации доменов. Если основное соглашение об услугах содержит условия обработки персональных данных, отдельного соглашения с пользователем об их обработке не требуется.
Все требования к информированию о порядке обработки данных относятся к операторам персональных данных. Если сайт персональных данных не получает и не обрабатывает, то публиковать документы на нём не нужно.
Фотография на обложке: Dougal Waters / Getty Images