6 простых шагов для обеспечения соответствия сайта 152-ФЗ

13.01.2023

В данной статье мы постараемся раскрыть основные моменты, реализация которых в процессе использования сайта позволит снизить риск внимания регуляторов к владельцу сайта.

29/01/24
Б-152
6 простых шагов для обеспечения соответствия сайта 152-ФЗ
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Стремительное развитие Интернета обуславливает наличие на его просторах бесчисленного количества сайтов. Сайты создаются в силу огромного количества причин: необходимость размещения какой-либо информации, реклама товаров и/или услуг, привлечение клиентов, предоставление им поддержки или получение обратной связи и так далее.

Но, разумеется, использование такого удобного для бизнеса инструмента сопряжено с соблюдением ряда правил, касающихся обработки персональных данных (далее — ПДн) клиентов, нарушение которых может повлечь негативные последствия для владельца сайта.

В данной статье мы постараемся раскрыть основные моменты, реализация которых в процессе использования сайта позволит снизить риск внимания регуляторов к владельцу сайта.
Поскольку владелец сайта в соответствии с п. 2 ч. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152) является оператором, осуществляющим обработку ПДн субъектов (посетителей сайта), он обязан направить уведомление об обработке персональных данных в Роскомнадзор.

Способы подачи уведомления указаны на сайте Роскомнадзора (далее — РКН) и могут быть реализованы следующим образом:
• в бумажном виде;
• в электронном виде с использованием усиленной квалифицированной электронной подписи;
• в электронном виде с использованием средств аутентификации ЕСИА.
Если не направить данное уведомление, владелец может быть привлечен к ответственности по ст. 19.7 Кодекса Российской Федерации об административных правонарушениях (далее — КоАП РФ). За это грозит штраф для должностных лиц — от 300 до 500 рублей, а на юридических лиц — от 3 000 до 5 000 рублей.
1. Подача уведомления в реестр операторов, осуществляющих обработку ПДн
Б-152 помогает закрыть это направление, забирая на себя функции ответственного за персональные данные в аутсорсинг.
В силу ч. 5 ст. 18 ФЗ-152 оператор при сборе ПДн, в том числе посредством сети Интернет, обязан обеспечить запись, систематизацию, накопление, хранение, уточнение, извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Это очень важная норма закона, которая обязывает владельца сайта обеспечить размещение технических мощностей, на которых функционирует сайт, и хранение обрабатываемых им данных (при осуществлении их сбора) на территории Российской Федерации.

Нарушение данной нормы может повлечь очень серьезные последствия для оператора. Так, в силу ч. 8 ст. 13.11 КоАП РФ, невыполнение оператором указанной обязанности влечет наложение административного штрафа на граждан в размере от 30 000 до 50 000 рублей, на должностных лиц — от 100 000 до 200 000 рублей, на юридических лиц — от 1 000 000 до 6 000 000 рублей.

Как видно, санкции за совершение данного правонарушения являются очень серьезными, и мы рекомендуем владельцам сайтов уделять особое внимание соблюдению данных требований закона.
2. Использование баз данных, находящихся на территории Российской Федерации
Проверить соответствие нормам закона и при необходимости получить рекомендации по устранению несоответствий поможет аудит процессов обработки персональных данных и информационных систем на соответствие требованиям обработки персональных данных по 152-ФЗ.
В силу ч. 1 ст. 6 ФЗ-152 обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных ФЗ-152.

Всего в ст. 6 ФЗ-152 предусмотрено 12 видов оснований обработки ПДн субъектов, но применительно к функционированию сайта, пожалуй, в качестве самых распространенных можно выделить следующие:

• обработка осуществляется с согласия субъекта ПДн;

• обработка необходима для исполнения (или заключения) договора, стороной которого либо выгодоприобретателем или поручителем по которому является (или будет являться) субъект ПДн.

В случае, если обработка ПДн осуществляется на основании согласия субъекта ПДн, владельцу сайта следует позаботиться о том, чтобы получить его от посетителя. Такое согласие должно быть в соответствии с требованиями ФЗ-152 конкретным, предметным, информированным, сознательным и однозначным.

Формы получения согласий на практике встречаются разные: это может быть специальная веб-форма, заполняемая посетителем, чек-бокс, или соответствующее условие в политике конфиденциальности, размещаемой на сайте. Наиболее прозрачными для пользователя являются первые два способа.

Несмотря на то, что «вшивать» согласие в политику конфиденциальности не запрещено, пользователю может быть трудно сориентироваться в документе, содержащем и иные положения об обработке ПДн. Как минимум, при получении согласия через политику рекомендуется устанавливать некий «якорь» в документе, чтобы пользователь переключался именно на условие, декларирующее его согласие с условиями обработки.

В части чек-боксов владельцу сайта следует обеспечить техническую возможность хранения логов, подтверждающих получение согласия от посетителя (путем проставления галочки в чек-боксе).
Например, если под формой сбора есть чек-бокс с текстом «Согласен на обработку персональных данных», слово «согласен» должно быть гиперссылкой на текст такого согласия, которое будет размещено отдельной страничкой. Эта рекомендация основана на выступлениях РКН в рамках проводимых его сотрудниками «дней открытых дверей», а также «проверочных мероприятий без взаимодействия с контролируемым лицом».

Что касается второго основания — оно может быть использовано, когда пользователь предоставляет свои данные в связи с заключением договора с оператором ПДн. Под заключением договора подразумевается, например, принятие посетителем сайта пользовательского соглашения, оферты, Terms of Use и т. д.

В данном случае пользователь совершает конклюдентные действия, направленные на заключение договора. Однако за содержанием таких договоров надзирает Роспотребнадзор, и он выносит предостережения операторам в случае, если ими нарушаются права субъектов ПДн.

Также владельцу сайта следует иметь ввиду, что в силу ч. 1 ст. 13.11 КоАП РФ обработка ПДн без наличия законных оснований влечет наложение административного штрафа на граждан в размере от 2 000 до 6 000 рублей, на должностных лиц — от 10 000 до 20 000 рублей, на юридических лиц — от 60 000 до 100 000 рублей.
3. Наличие законного основания для обработки ПДн
Также рекомендуется под форму сбора согласия размещать помимо чек-бокса и сам текст согласия.
Нужна консультация по Аудиту
на соответствие 152-ФЗ?
В силу ч. 2 ст. 18.1 ФЗ-152 оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, в том числе на страницах принадлежащего оператору сайта в сети Интернет, с использованием которых осуществляется сбор ПДн, а также обеспечить возможность доступа к указанному документу.
Например, владелец сайта интегрирует на сайте окошко для возможности отправки посетителем каких-либо вопросов или обратной связи. Как правило, в таких окошках предлагается указать ФИО, номер телефона, email посетителя. Соответственно, поскольку в данном процессе осуществляется сбор ПДн посетителя, владелец сайта обязан поместить на указанной странице ссылку на политику конфиденциальности (но не под самой формой обратной связи).

Если этого не сделать, оператор может быть привлечен к ответственности по ч. 3 ст. 13.11 КоАП РФ, что влечет наложение административного штрафа на граждан в размере от 1  500 до 3 000 рублей, на должностных лиц — от 6 000 до 12 000 рублей, на ИП — от 10 000 до 20 000 рублей, на юридических лиц — от 30 000 до 60 000 рублей.
4. Размещение политики конфиденциальности
Из данной нормы следует, что на каждой странице сайта, где происходит сбор ПДн, оператор обязан обеспечить наличие ссылки на политику конфиденциальности.
Cookie-файлы, как правило, являются неотъемлемой частью процесса функционирования сайта. Сам cookie-файл представляет из себя небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя. Веб-клиент (обычно веб-браузер) всякий раз при попытке открыть страницу соответствующего сайта пересылает этот фрагмент данных веб-серверу в составе HTTP-запроса.

В частности, при регистрации пользователя на какой-либо онлайн-платформе он, как правило, заполняет ряд данных о себе: пол, дату рождения, семейное положение, место жительства, учебы и т. д. При взаимодействии с онлайн-платформой пользователь демонстрирует свои интересы — например, путем подписки на сообщества определенной тематики, а также может предоставить разрешение на определение своей геолокации.

Все это в совокупности формирует определенный массив информации о пользователе, большая часть которого хранится в cookie-файлах.

В данной связи владельцу сайта следует помнить, что в соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152) персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Cookie-файлы относятся к ПДн — это следует как из определения ПДн в ФЗ-152, так и из разъяснений сотрудников РКН и состоявшейся судебной практики. Следовательно, для их использования (за исключением так называемых «обязательных cookie, без которых невозможно использование сайта) необходимо согласие субъекта ПДн.

Благоприятной практикой для владельца сайта в данном случае будет реализация следующих шагов:

• размещение баннера об использовании cookie-файлов на сайте, указание их типов, предоставление возможности посетителю кастомизировать разрешаемые к установке cookie-файлы;

• получение согласия посетителя на установку cookie-файлов путем нажатия соответствующей кнопки на баннере;

• раскрытие более подробной информации о типах cookie в политике конфиденциальности или ином документе (например, т.н. «cookie policy»).

В противном случае к владельцу сайта могут быть применены санкции, указанные в п. 3 настоящей статьи.
5. Cookie-файлы
Владелец сайта должен иметь ввиду, что с 1 марта 2023 года изменились требования ФЗ-152, связанные с трансграничной передачей ПДн.

Признаки трансграничной передачи ПДн являются следующими:

• передача ПДн (не других данных) на территорию иностранного государства;

• пересечение ПДн границы Российской Федерации;

• передача ПДн иностранному получателю (физическому, юридическому лицу или государственному органу).

Например, под признаки такой передачи подпадает использование владельцем сайта сервиса веб-аналитики Google Analytics.

Если на сайте происходит трансграничная передача ПДн, то владелец сайта обязан предварительно подать уведомление о намерении осуществлять трансграничную передачу ПДн. С подробностями и требованиями к подаче такого уведомления можно ознакомиться по ссылке.

Осуществление трансграничной передачи ПДн без законных оснований, как и некоторые из иных ранее рассмотренных административных правонарушений повлечет привлечение оператора к ответственности по ч. 1 ст. 13.11 КоАП РФ.
6. Трансграничная передача персональных данных
Выводы
Использование сайта как инструмента для бизнеса с одной стороны, предоставляет его владельцу ряд преимуществ для привлечения клиентов, а с другой стороны — возлагает и значительное количество обязанностей, в том числе, в области законодательства о защите персональных данных.

Вместе с тем, при грамотном планировании функционала сайта, обеспечении его прозрачной работы, размещении всех необходимых документов, риски проявления внимания со стороны регулятора к владельцу сайта будут незначительными.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме