Главная-Возврат и обмен-Форма обратной связи как персональные данные юристы. Роскомнадзор - обращения граждан и юридических лиц

Форма обратной связи как персональные данные юристы. Роскомнадзор - обращения граждан и юридических лиц

Дата публикации статьи: 20 июня 2017 г.
Задать любой вопрос авторам статей Вы можете по e-mail

Возможно Вас это удивит, но если у Вас на сайте есть форма обратной связи, или даже форма запроса обратного звонка - Вы уже являетесь оператором персональных данных и должны соблюдать соответствующее законодательство.

Сочетание имени и адреса электронной почты, имени и номера телефона - это персональные данные. Закон N 152-ФЗ "О персональных данных" существует уже давно, но до сих пор очень многие игнорировали его требования.

Случаи, когда компаниям выписывали штрафы - уже реальны. Но случаев было мало, и многие продолжали игнорировать требования Закона из-за незначительности этих штрафов. Одну компанию в Тамбове оштрафовали на 1 000 рублей, несколько компаний в Астрахани на разные суммы от 5 000 до 10 000 рублей.

Что теперь изменится? С 1 июля 2017 кратно возрастают размеры штрафов за нарушения норм Закона "О персональных данных".

К примеру, если пользователь на сайте компании вводит свои персональные данные, и не оставляет явного согласия на их обработку (к примеру, постановкой соответствующей "галочки" при вводе данных в форму), то для юридического лица - владельца сайта предусмотрен штраф в размере до 75 000 рублей.

А если на сайте компании, собирающем персональные данные, нет возможности ознакомиться с Политикой обработки персональных данных компании - предусмотрен штраф до 30 000 рублей.

К тому же, Роскомнадзор теперь имеет право выписывать эти штрафы самостоятельно, без Прокуратуры.

Внимание! Выполнение пунктов по данному списку НЕ ГАРАНТИРУЕТ соблюдения Вами всех норм Закона N 152-ФЗ "О персональных данных", в котором содержатся и другие требования к операторам персональных данных. Речь идёт только об устранении явных правонарушений, видимых любому посетителю Вашего сайта.

Кому лучше доверить приведение сайта к нормам Закона?

Саму "Политику обработки персональных данных" как документ нужно разрабатывать индивидуально, с учётом особенностей сайта и бизнеса. Заниматься этим должен владелец сайта или юрист.

Что касается размещения текста Политики на сайте и "галочек" согласия на формах обратной связи - с этим вопросом Вам будем рады помочь мы, Ваш сервис "Сайтомонтаж" :)

Сегодня много говорят о законе об обработке персональных данных № 152-ФЗ «О персональных данных», пугают большими штрафами и нагоняют ужаса в интернет. В этой статье я не буду разбирать сам закон, это вы можете почитать в интернет. Мы разберем технический момент, как оформить контактную форму в соответствии с законом.

В шаблоне AB-Inspiration есть встроенная форма обратной связи, в шаблоне страницы «Контакты». К сожалению мы уже не можем использовать данную страницу, и в ближайшем будущем я удалю ее из шаблона.

Вместо встроенной страницы «Контакты» мы будем использовать «Contact Form 7». Это отличный плагин для создания различных форм, в том числе и формы обратной связи.

Это руководство подходит для всех сайтов созданных на WordPress, не важно пользуетесь вы шаблоном AB-Inspiration или нет.

Итак, первое, что нужно сделать, это установить и активировать плагин «Contact From 7» (если он у вас еще не установлен)

  1. В админке зайдите в раздел «Плагины» — «Добавить новый»
  2. В поле поиска введите запрос «Contact From 7»
  3. В списке плагинов найдите плагин с названием «Contact Form 7» автор Takayuki Miyoshi (https://ru.wordpress.org/plugins/contact-form-7/)
  4. Нажмите Установить
  5. Затем нажмите Активировать

Установка контактной формы на страницу Контакты

Теперь нам нужно установить контактную форму на страницу Контакты. При установке и активации плагина у вас уже создается одна контактная форма. Ее мы и будем использовать.

Чтобы установить форму, нам нужно скопировать шорткод формы. Для этого:

  1. перейдите в раздел Contact from 7 — Формы
  2. Скопируйте шорткод формы

3. Перейдите в раздел «Страницы» — «Добавить новую»

4. Напишите название страницы

5. В поле для текста вставьте скопированный шорткод формы

Теперь у нас есть форма обратной связи на странице. До и после шорткода вы можете добавить текст.

Как добавить галочку политики конфиденциальности

Следующим шагом необходимо добавить к форме галочку согласие с политикой конфиденциальности и обработки персональных данных.

Для этого нам необходимо отредактировать форму.

3. В коде, перед кнопкой «Отправить» поставьте мышку и нажмите на кнопку «checkboxes»

4. Отметьте галочкой «Required», чтобы поле было обязательным

5. пропишите латинскими буквами название поля, например politika

6. В поле пропишите текст-согласие (Например, Согласен (-на) с политикой конфиденциальности и обработки персональных данных. Или Нажимая на кнопку ясогласен (-на) с условиями Соглашения.)

7. Нажмите на кнопку «Insert tag»

Откройте страницу с формой. Перед кнопкой Отправить должен появится чекбокс с текстом.

Ссылка на страницу политики обработки данных

Еще один важный момент. Перед кнопкой отправить должна быть ссылка на саму страницу, где описывается политика конфиденциальности и обработки персональных данных. Процесс будет состоять из 3-х этапов.

1. Создать страницу «Политика конфиденциальности и обработки персональных данных»

Такую страницу необходимо заранее создать. Примеры текста для такой страницы вы можете найти в интернет и переделать под себя.

После того, как вы создадите такую страницу, скопируйте ее адрес.

Если вы не знаете HTML, то для формирования ссылки можете воспользоваться редактором записей.

1. Страницы — Добавить новую

2. В поле для текста напишите, например: «Соглашение»

4. Перейдите во вкладку Текст

5. скопируйте код

Теперь нужно вставить этот код перед кнопкой Отправить.

1. Перейдите в раздел «Contact from 7» — «Формы»

2. Откройте форму для редактирования

3. Перед кнопкой вставьте скопированный код

Откройте страницу с формой и перед кнопкой «Отправить» вы увидите ссылку на страницу с политикой конфиденциальности.

Просим Вас внимательно ознакомиться с Порядком приема и рассмотрения электронных обращений в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор):

1. Официальный сайт Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций является дополнительным средством для обеспечения возможности обращений граждан объединений граждан и юридических лиц в Роскомнадзор.

Обращаем Ваше внимание, что форма электронного обращения не предназначена для подачи заявления на предоставление государственных услуг.

Заявления на предоставление государственных услуг подаются в Роскомнадзор:

В электронном виде - через «Единый портал государственных и муниципальных услуг» (www.gosuslugi.ru),

В бумажном виде - заявителем лично или посредством почтовой связи.

2. Работа с обращениями граждан, объединений граждан и юридических лиц осуществляется в соответствии с Работа с обращениями граждан, объединений граждан и юридических лиц осуществляется в соответствии с Федеральный закон Российской Федерации от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (DOCX, 29.42 Kb).

3. Обращения граждан, объединений граждан и юридических лиц поступившие в электронном виде, в соответствии с действующим законодательством могут быть направлены в управления Роскомнадзора, к непосредственному ведению которых относится разрешение поставленных в обращениях вопросов.

4. В обращении гражданин в обязательном порядке указывает свои фамилию, имя, отчество (последнее - при наличии), и адрес электронной почты. Гражданин вправе приложить к такому обращению необходимые документы и материалы в электронной форме.

5. Обращение, содержащие нецензурные либо оскорбительные выражения, угрозы жизни, здоровью и имуществу должностного лица, а также членов его семьи может быть оставлено без ответа по существу поставленных в нём вопросов.

Обращение не принимается к рассмотрению, если текст написан по-русски с использованием латиницы или набран целиком заглавными буквами и не разбит на предложения.

6. Срок рассмотрения обращения - 30 дней. В случаях, когда для рассмотрения обращения гражданина требуется больше времени, то срок может быть продлен, но не более чем на 30 дней.

Из-за наличия на сайте формы обратной связи

Некоторые астраханские организации, название которых начинается на букву «а», в начале 2017 года получили штраф за то, что на своем сайте создавали форму обратной связи. Прокуратура усмотрела в наличии формы нарушение закона о персональных данных. Нарушителям полагается штраф в 5 000 и 10 000 рублей.

А так удобно…

Форма обратной связи — удобная услуга. Можно оставить свое имя и телефон, сотрудник фирмы сам позвонит, не нужно тратиться на звонок. «Мы торгуем новыми квартирами. На нашем сайте была самая распространенная форма обратной связи — в которую люди, если хотели, вбивали свое имя и телефон. Прокуратура усмотрела в этом нарушение закона о персональных данных, суд поддержал решение прокуратуры, и нам выписали штраф в пять тысяч рублей», — говорит сотрудник астраханской строительной фирмы Сергей.

Судя по постановлению, владелец сайта нарушил пункт 2 статьи 18 федерального закона «О персональных данных», где говорится об обязанностях оператора при сборе персональных данных.

Формулировка пункта туманна: «Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные».

Начнем с буквы «а»

Астраханский интернет-специалист директор ООО «Институт региональной информатизации» Сергей Бузычкин, рассказал нам, что продавцы квартир – не единственные, кто сейчас вынужден платить штраф за нарушение закона о персональных данных, ему стало известно о трех похожих случаях. Примечательно, что прокуратура, видимо, взялась штрафовать по алфавиту — название трех фирм, которые обратились к Бузычкину за разъяснением по аналогичному вопросу, начинается на букву «а».

Насколько законны такие штрафы? Фирма Сергея Бузычкина оказывает помощь в ведении сайтов многим астраханским фирмам. Когда появились тревожные звоночки о штрафах, интернет-специалисты удивились. Ведь, кажется, нет ничего криминального в том, что пользователю предлагается указать свой телефон и имя (которое можно написать какое угодно, необязательно свое собственное). Ведь сообщаем же мы и свое имя, и номер телефона при знакомстве — и никакая прокуратура получателя этих данных не штрафует. Но в интернете, оказывается, все по-другому.

«Закон относит к персональным данным фамилию, имя, отчество, дату рождения, место регистрации, паспортные данные, сведения об образовании, иные данные, то есть любую информацию, относящуюся к прямо или косвенно определяемому физическому лицу. Значит, указание в формах обратной связи имени уже подпадает под сбор персональных данных», — сообщает Сергей Бузычкин.

Так можно или нельзя?

А вот юрист Андрей Скрыль, которого мы попросили прокомментировать ситуацию, недоумевает: «В действующей редакции данного закона конкретной нормы, обязывающей операторов совершать процедуру сбора данных каким-то иным путем, отсутствуют. Отсутствуют и отсылки на какие-либо другие положения иных нормативных актов, обязывающих уплачивать штрафы за получение информации о потребителе услуг. Чтобы так штрафовать, необходимо доказать утечку либо распространение данных. А штрафовать за форму это уже, по моему мнению, перебор. Заполнение такой формы проводится вручную, значит, человек сам решает, указывать ли ему свои персональные данные или нет».

Мы обратились за комментариями в региональную прокуратуру. Но на момент публикации официальный ответ получен не был.

Подводные камни

Астраханские фирмы на букву «а» уже научились на собственных ошибках, заплатив штрафы. Чтобы подобное не повторилось с фирмами на остальные буквы алфавита, Сергей Бузычкин решил приглашать всех желающих на просветительские семинары.

«К сожалению, персональные данные — это не единственный подводный камень в вопросах использования IT и интернет-сайтов, который может привести к плачевным последствиям. С 1 января 2017 года изменился порядок раскрытия информации на официальных сайтах застройщиков, что также требует внимания владельцев сайтов», — считает IT-специалист.

Чем же страшна утечка персональных данных для простых граждан, то есть для тех, кто ее на сайте размещает? В случае если речь об имени и номере телефона, то если эта информация попадет к неблагонадежным гражданам, абонент может стать жертвой спама. Впрочем, телефонные операторы научились с ним эффективно бороться, судя по тому, что некогда надоедающая нам смс-реклама такси появилась, вызвала общественное недовольство и начисто исчезла.

Сколько в Астрахани сайтов?

По данным индекса готовности регионов России к информационному обществу, по итогам 2014 года доля предприятий, имеющих веб-сайты, в Астраханской области составляла 30,37%. Мы были на 66-м месте в России по данному показателю. То есть как минимум три тысячи малых и средних предприятий имеют свои сайты. Как минимум, потому что некоторые компании используют не один, а сразу несколько сайтов. И в целом за 2015-2016 годы активность использования интернета повысилась и количество сайтов увеличилось. Для любой коммерческой организации логично иметь на сайте инструмент диалога с клиентами, поэтому формы обратной связи используют практически все. Отдельным компаниям требуется не только форма обратной связи, но еще и регистрация клиентов на сайте. Похоже, казна пополнится многомиллионной суммой штрафов от предпринимателей, которые не успели сориентироваться в законодательстве. Форма обратной связи есть практически у всех астраханских фирменных сайтов, если оштрафовать половину таких коммерческих страничек в сети, получится 7 500 000 рублей.

Например, девушка создала форум для беременных, чтобы потом размещать там рекламу. При регистрации участники указывают информацию о себе. Эта девушка - оператор персональных данных. Она получает сведения о других людях и что-то с этими данными делает: систематизирует по возрасту и интересам, проверяет активность пользователей, использует для рассылки, приглашений или просто хранит.

Любое из этих действий - это обработка персональных данных. Любой, кто это действие производит, - оператор.

У меня есть электронные почты друзей, список контактов в телефоне, аккаунты разных людей в соцсетях. Получается, я тоже оператор и должен получать согласие этих людей на то, чтобы хранить и удалять их данные?

Нет, в таких случаях согласие не нужно. Под действие закона не попадают персональные данные, которые обрабатывают для личных и семейных нужд. Это могут быть контакты нужных людей в телефонном справочнике, визитки коллег и партнеров, профили друзей на фейсбуке.

Форма обратной связи тоже попадает под действие закона?

Если в ней человек может ввести свои персональные данные - то да, попадает.

В законе нет исключений по поводу формы и способа сбора персональных данных. И уточнения, что именно является сбором, тоже нет. Минкомсвязи считает, что сбор - это какая-то документально оформленная процедура получения данных о человеке. Форма обратной связи подходит под это определение .

Сама по себе форма обратной связи не попадает под действие закона только потому, что она есть. Важно, какие данные передает посетитель через эту форму , можно ли по ним прямо или косвенно идентифицировать человека и нанести ему вред в случае утечки и распространения.

Если посетитель сайта указывает в форме свое имя, фамилию, телефон и электронную почту - это персональные данные. Тот, кто эти данные получает, обрабатывает и хранит, считается оператором персональных данных и должен соблюдать закон.

А если получаешь только имя без фамилии и номер телефона, это тоже попадает под персональные данные? А если только номер телефона?

По закону персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Это определение ничего не дает и не проясняет.

Если понимать буквально, то персональными данными можно считать что угодно. Юристы спорят по этому поводу уже много лет.

Минкомсвязи конкретики не дает и говорит так: более точно определить состав персональных данных, в том числе привести их перечень, представляется нереализуемым. Никаких четких пояснений от других ведомств по этому поводу тоже нет.

Если будет спор по поводу принадлежности почты или логина к персональным данным, всё решит суд. Несколько решений по поводу персональных данных суды уже вынесли. Из них следует очевидное: персональными данными считаются ФИО , паспортные данные, адрес, номера телефонов, информация о членах семьи, из пенсионного дела и трудового договора. Еще из них следует неочевидное: ИНН сам по себе не является персональными данными, а данные о факте пересечения границы - являются.

Сам по себе логин - это вроде бы не персональные данные. По набору символов нельзя понять, что это за человек и даже какого он пола.

Но если на аватарку человек поставит свою настоящую фотографию или при регистрации укажет почту, где в названии будет его фамилия с инициалами, а в доменном имени - название компании, то в совокупности это уже персональные данные.

Никто толком не знает, какие данные персональные

В законе нет никаких исключений по теме сайта, организационно-правовой форме и набору данных.

Чтобы не рисковать, лучше сделать так.

Если вы где-нибудь с какой-нибудь целью собираете любую информацию о каких-то физических лицах, нужно зафиксировать их согласие и подготовить документы. Если это сделать для страховки, даже когда не надо, ничего страшного не будет. А если этого не сделать, могут быть претензии от пользователей и Роскомнадзора.

Я делаю сайт для клиента, обрабатываю и храню данные на своей стороне. При этом владелец сайта не обязан быть оператором персональных данных?

Владелец сайта обязан быть оператором персональных данных и соблюдать закон. По закону можно собирать персональные данные и передавать их кому-то на обработку. Владелец сайта может передать данные клиентов вебмастеру, интернет-магазин - сервису рассылки.

Чтобы так делать, владелец сайта должен получить у посетителей разрешение и объяснить им, кому и зачем он передаст их данные.

Ответственность на владельце

Тот, кому он передаст данные на обработку, отдельное разрешение получать не должен, а соблюдать закон - должен.

Отвечать за соблюдение закона перед посетителями сайта будет его владелец.

Владельца сайта Роскомнадзор и суд будут определять по совокупности данных. Если на сайте размещена информация о конкретном юридическом лице или ИП , спросят с него. Если таких данных нет, спросят с администратора домена.

А как они поймут, что я храню и обрабатываю данные, чтобы выписать штраф? Это в российском дата-центре можно маски-шоу устроить и вынести сервер, а за границей такие номера не проходят.

Роскомнадзор узнает о нарушениях двумя способами:

  • сам проведет проверку;
  • отреагирует на чью-то жалобу.

Если Роскомнадзор обнаружит нарушения, сайт могут заблокировать, а компанию оштрафуют.

По закону операторы обязаны хранить персональные данные на российских серверах. Есть несколько исключений, но это частности. Любой интернет-магазин или сервис по подписке должен хранить базу с персональными данными граждан в России.

Потом можно передавать эти данные за границу. Это законно, но при определенных условиях . Иначе нельзя было бы бронировать гостиницы и покупать билеты на самолет за границей.

Роскомнадзор может потребовать предоставить подтверждение по поводу места хранения баз данных. Например, договор с дата-центром, хостингом или документы на собственный сервер. Если выяснится, что персональные данные хранятся с нарушениями и не в России, будут проблемы.

Кроме закона о персональных данных есть требования Федеральной службы по техническому и экспортному контролю и ФСБ. Еще к проверке может подключиться прокуратура. Им хватит полномочий, чтобы узнать, где на самом деле хранятся данные, и разобраться с нарушениями.

А если у нас сайт на английском?

Закон о персональных данных нужно соблюдать, если сайт используется для работы на территории РФ . Теоретически Роскомнадзор имеет право и может его заблокировать.

Вот какие признаки используют, чтобы это понять:

  • доменное имя связано с РФ или субъектом;
  • есть русскоязычная версия сайта;
  • расчет за товары или услуги происходит в рублях, доставка возможна на территорию РФ ;
  • потребители содержимого сайта - россияне;
  • есть реклама на русском, которая ведет на этот сайт.

Если есть какое-то сочетание этих факторов, оператор персональных данных должен соблюдать закон, даже если это иностранная компания. А это значит, что документы должны быть доступны и понятны в РФ . Достаточно иметь их на русском языке, чтобы их понимал Роскомнадзор и граждане России. На нерезидентов за пределами страны наш закон о персональных данных не распространяется.

Как определять гражданство посетителя, закон не объяснил. Операторам предложили решать эту проблему самостоятельно. А если четкой позиции и инструментов нет, стоит соблюдать закон в отношении всех персональных данных, которые собрали на территории России.

Дублировать те же документы на иностранных языках для россиян нет смысла. Но эти правила придумали не в России. Есть конвенция Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера. Так что, если собираете данные иностранцев, подумайте, как соблюдаете закон той страны, резидентами которой они являются.

В Европе за однократное нарушение правил обработки персональных данных штрафуют на сотни тысяч евро. В России максимальный штраф с 1 июля 2017 года - 75 тысяч рублей.

Могу ли я не регистрироваться в Роскомнадзоре, если поменяю поле в форме обратной связи с «Ваше имя» на «Ваша компания»?

Закон о персональных данных защищает данные только физических лиц. Он не распространяется на данные о компаниях. Но то, что указано в форме обратной связи, - это формальность. Важно, какие именно данные и с какой целью собирает владелец сайта.

Если это на самом деле название компании и телефон офиса, такая информация не попадает под действие закона. Но если сайт собирает почтовые адреса и телефоны сотрудников компаний, чтобы потом делать по ним рассылку или передавать их третьим лицам, могут быть проблемы как со стороны этих сотрудников, так и от Роскомнадзора.

В Роскомнадзоре должны зарегистрироваться все операторы персональных данных. Исключения только для случаев, перечисленных в п. 2 ст. 22 закона о персональных данных .

Вот публикую я пост в фейсбуке и упоминаю своего друга - значит, я данные обрабатываю? Кэш поста хранится на телефоне, значит, я данные храню? А если сделаю репост в твиттер, то я их еще и предоставляю третьей стороне. И как с этим жить?

Это не нарушение закона. В этом случае оператором персональных данных выступает социальная сеть. Каждый, кто там зарегистрировался, дал согласие на публикацию, обработку и использование его данных.

Все пользователи фейсбука



Похожие публикации: