Форма обратной связи как персональные данные юристы. Роскомнадзор - обращения граждан и юридических лиц
Дата публикации статьи: 20 июня 2017 г.
Задать любой вопрос авторам статей Вы можете по e-mail
Возможно Вас это удивит, но если у Вас на сайте есть форма обратной связи, или даже форма запроса обратного звонка - Вы уже являетесь оператором персональных данных и должны соблюдать соответствующее законодательство.
Сочетание имени и адреса электронной почты, имени и номера телефона - это персональные данные. Закон N 152-ФЗ "О персональных данных" существует уже давно, но до сих пор очень многие игнорировали его требования.
Случаи, когда компаниям выписывали штрафы - уже реальны. Но случаев было мало, и многие продолжали игнорировать требования Закона из-за незначительности этих штрафов. Одну компанию в Тамбове оштрафовали на 1 000 рублей, несколько компаний в Астрахани на разные суммы от 5 000 до 10 000 рублей.
Что теперь изменится? С 1 июля 2017 кратно возрастают размеры штрафов за нарушения норм Закона "О персональных данных".
К примеру, если пользователь на сайте компании вводит свои персональные данные, и не оставляет явного согласия на их обработку (к примеру, постановкой соответствующей "галочки" при вводе данных в форму), то для юридического лица - владельца сайта предусмотрен штраф в размере до 75 000 рублей.
А если на сайте компании, собирающем персональные данные, нет возможности ознакомиться с Политикой обработки персональных данных компании - предусмотрен штраф до 30 000 рублей.
К тому же, Роскомнадзор теперь имеет право выписывать эти штрафы самостоятельно, без Прокуратуры.
Внимание! Выполнение пунктов по данному списку НЕ ГАРАНТИРУЕТ соблюдения Вами всех норм Закона N 152-ФЗ "О персональных данных", в котором содержатся и другие требования к операторам персональных данных. Речь идёт только об устранении явных правонарушений, видимых любому посетителю Вашего сайта.
Кому лучше доверить приведение сайта к нормам Закона?
Саму "Политику обработки персональных данных" как документ нужно разрабатывать индивидуально, с учётом особенностей сайта и бизнеса. Заниматься этим должен владелец сайта или юрист.
Что касается размещения текста Политики на сайте и "галочек" согласия на формах обратной связи - с этим вопросом Вам будем рады помочь мы, Ваш сервис "Сайтомонтаж" :)
Сегодня много говорят о законе об обработке персональных данных № 152-ФЗ «О персональных данных», пугают большими штрафами и нагоняют ужаса в интернет. В этой статье я не буду разбирать сам закон, это вы можете почитать в интернет. Мы разберем технический момент, как оформить контактную форму в соответствии с законом.
В шаблоне AB-Inspiration есть встроенная форма обратной связи, в шаблоне страницы «Контакты». К сожалению мы уже не можем использовать данную страницу, и в ближайшем будущем я удалю ее из шаблона.
Вместо встроенной страницы «Контакты» мы будем использовать «Contact Form 7». Это отличный плагин для создания различных форм, в том числе и формы обратной связи.
Это руководство подходит для всех сайтов созданных на WordPress, не важно пользуетесь вы шаблоном AB-Inspiration или нет.
Итак, первое, что нужно сделать, это установить и активировать плагин «Contact From 7» (если он у вас еще не установлен)
- В админке зайдите в раздел «Плагины» — «Добавить новый»
- В поле поиска введите запрос «Contact From 7»
- В списке плагинов найдите плагин с названием «Contact Form 7» автор Takayuki Miyoshi (https://ru.wordpress.org/plugins/contact-form-7/)
- Нажмите Установить
- Затем нажмите Активировать
Установка контактной формы на страницу Контакты
Теперь нам нужно установить контактную форму на страницу Контакты. При установке и активации плагина у вас уже создается одна контактная форма. Ее мы и будем использовать.
Чтобы установить форму, нам нужно скопировать шорткод формы. Для этого:
- перейдите в раздел Contact from 7 — Формы
- Скопируйте шорткод формы
3. Перейдите в раздел «Страницы» — «Добавить новую»
4. Напишите название страницы
5. В поле для текста вставьте скопированный шорткод формы
Теперь у нас есть форма обратной связи на странице. До и после шорткода вы можете добавить текст.
Как добавить галочку политики конфиденциальности
Следующим шагом необходимо добавить к форме галочку согласие с политикой конфиденциальности и обработки персональных данных.
Для этого нам необходимо отредактировать форму.
3. В коде, перед кнопкой «Отправить» поставьте мышку и нажмите на кнопку «checkboxes»
4. Отметьте галочкой «Required», чтобы поле было обязательным
5. пропишите латинскими буквами название поля, например politika
6. В поле пропишите текст-согласие (Например, Согласен (-на) с политикой конфиденциальности и обработки персональных данных. Или Нажимая на кнопку ясогласен (-на) с условиями Соглашения.)
7. Нажмите на кнопку «Insert tag»
Откройте страницу с формой. Перед кнопкой Отправить должен появится чекбокс с текстом.
Ссылка на страницу политики обработки данных
Еще один важный момент. Перед кнопкой отправить должна быть ссылка на саму страницу, где описывается политика конфиденциальности и обработки персональных данных. Процесс будет состоять из 3-х этапов.
1. Создать страницу «Политика конфиденциальности и обработки персональных данных»
Такую страницу необходимо заранее создать. Примеры текста для такой страницы вы можете найти в интернет и переделать под себя.
После того, как вы создадите такую страницу, скопируйте ее адрес.
Если вы не знаете HTML, то для формирования ссылки можете воспользоваться редактором записей.
1. Страницы — Добавить новую
2. В поле для текста напишите, например: «Соглашение»
4. Перейдите во вкладку Текст
5. скопируйте код
Теперь нужно вставить этот код перед кнопкой Отправить.
1. Перейдите в раздел «Contact from 7» — «Формы»
2. Откройте форму для редактирования
3. Перед кнопкой вставьте скопированный код
Откройте страницу с формой и перед кнопкой «Отправить» вы увидите ссылку на страницу с политикой конфиденциальности.
Просим Вас внимательно ознакомиться с Порядком приема и рассмотрения электронных обращений в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор):
1. Официальный сайт Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций является дополнительным средством для обеспечения возможности обращений граждан объединений граждан и юридических лиц в Роскомнадзор.
Обращаем Ваше внимание, что форма электронного обращения не предназначена для подачи заявления на предоставление государственных услуг.
Заявления на предоставление государственных услуг подаются в Роскомнадзор:
В электронном виде - через «Единый портал государственных и муниципальных услуг» (www.gosuslugi.ru),
В бумажном виде - заявителем лично или посредством почтовой связи.
2. Работа с обращениями граждан, объединений граждан и юридических лиц осуществляется в соответствии с Работа с обращениями граждан, объединений граждан и юридических лиц осуществляется в соответствии с Федеральный закон Российской Федерации от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (DOCX, 29.42 Kb).
3. Обращения граждан, объединений граждан и юридических лиц поступившие в электронном виде, в соответствии с действующим законодательством могут быть направлены в управления Роскомнадзора, к непосредственному ведению которых относится разрешение поставленных в обращениях вопросов.
4. В обращении гражданин в обязательном порядке указывает свои фамилию, имя, отчество (последнее - при наличии), и адрес электронной почты. Гражданин вправе приложить к такому обращению необходимые документы и материалы в электронной форме.
5. Обращение, содержащие нецензурные либо оскорбительные выражения, угрозы жизни, здоровью и имуществу должностного лица, а также членов его семьи может быть оставлено без ответа по существу поставленных в нём вопросов.
Обращение не принимается к рассмотрению, если текст написан по-русски с использованием латиницы или набран целиком заглавными буквами и не разбит на предложения.
6. Срок рассмотрения обращения - 30 дней. В случаях, когда для рассмотрения обращения гражданина требуется больше времени, то срок может быть продлен, но не более чем на 30 дней.
Из-за наличия на сайте формы обратной связи
Некоторые астраханские организации, название которых начинается на букву «а», в начале 2017 года получили штраф за то, что на своем сайте создавали форму обратной связи. Прокуратура усмотрела в наличии формы нарушение закона о персональных данных. Нарушителям полагается штраф в 5 000 и 10 000 рублей.
А так удобно…
Форма обратной связи — удобная услуга. Можно оставить свое имя и телефон, сотрудник фирмы сам позвонит, не нужно тратиться на звонок. «Мы торгуем новыми квартирами. На нашем сайте была самая распространенная форма обратной связи — в которую люди, если хотели, вбивали свое имя и телефон. Прокуратура усмотрела в этом нарушение закона о персональных данных, суд поддержал решение прокуратуры, и нам выписали штраф в пять тысяч рублей», — говорит сотрудник астраханской строительной фирмы Сергей.
Судя по постановлению, владелец сайта нарушил пункт 2 статьи 18 федерального закона «О персональных данных», где говорится об обязанностях оператора при сборе персональных данных.
Формулировка пункта туманна: «Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные».
Начнем с буквы «а»
Астраханский интернет-специалист директор ООО «Институт региональной информатизации» Сергей Бузычкин, рассказал нам, что продавцы квартир – не единственные, кто сейчас вынужден платить штраф за нарушение закона о персональных данных, ему стало известно о трех похожих случаях. Примечательно, что прокуратура, видимо, взялась штрафовать по алфавиту — название трех фирм, которые обратились к Бузычкину за разъяснением по аналогичному вопросу, начинается на букву «а».
Насколько законны такие штрафы? Фирма Сергея Бузычкина оказывает помощь в ведении сайтов многим астраханским фирмам. Когда появились тревожные звоночки о штрафах, интернет-специалисты удивились. Ведь, кажется, нет ничего криминального в том, что пользователю предлагается указать свой телефон и имя (которое можно написать какое угодно, необязательно свое собственное). Ведь сообщаем же мы и свое имя, и номер телефона при знакомстве — и никакая прокуратура получателя этих данных не штрафует. Но в интернете, оказывается, все по-другому.
«Закон относит к персональным данным фамилию, имя, отчество, дату рождения, место регистрации, паспортные данные, сведения об образовании, иные данные, то есть любую информацию, относящуюся к прямо или косвенно определяемому физическому лицу. Значит, указание в формах обратной связи имени уже подпадает под сбор персональных данных», — сообщает Сергей Бузычкин.
Так можно или нельзя?
А вот юрист Андрей Скрыль, которого мы попросили прокомментировать ситуацию, недоумевает: «В действующей редакции данного закона конкретной нормы, обязывающей операторов совершать процедуру сбора данных каким-то иным путем, отсутствуют. Отсутствуют и отсылки на какие-либо другие положения иных нормативных актов, обязывающих уплачивать штрафы за получение информации о потребителе услуг. Чтобы так штрафовать, необходимо доказать утечку либо распространение данных. А штрафовать за форму это уже, по моему мнению, перебор. Заполнение такой формы проводится вручную, значит, человек сам решает, указывать ли ему свои персональные данные или нет».
Мы обратились за комментариями в региональную прокуратуру. Но на момент публикации официальный ответ получен не был.
Подводные камни
Астраханские фирмы на букву «а» уже научились на собственных ошибках, заплатив штрафы. Чтобы подобное не повторилось с фирмами на остальные буквы алфавита, Сергей Бузычкин решил приглашать всех желающих на просветительские семинары.
«К сожалению, персональные данные — это не единственный подводный камень в вопросах использования IT и интернет-сайтов, который может привести к плачевным последствиям. С 1 января 2017 года изменился порядок раскрытия информации на официальных сайтах застройщиков, что также требует внимания владельцев сайтов», — считает IT-специалист.
Чем же страшна утечка персональных данных для простых граждан, то есть для тех, кто ее на сайте размещает? В случае если речь об имени и номере телефона, то если эта информация попадет к неблагонадежным гражданам, абонент может стать жертвой спама. Впрочем, телефонные операторы научились с ним эффективно бороться, судя по тому, что некогда надоедающая нам смс-реклама такси появилась, вызвала общественное недовольство и начисто исчезла.
Сколько в Астрахани сайтов?
По данным индекса готовности регионов России к информационному обществу, по итогам 2014 года доля предприятий, имеющих веб-сайты, в Астраханской области составляла 30,37%. Мы были на 66-м месте в России по данному показателю. То есть как минимум три тысячи малых и средних предприятий имеют свои сайты. Как минимум, потому что некоторые компании используют не один, а сразу несколько сайтов. И в целом за 2015-2016 годы активность использования интернета повысилась и количество сайтов увеличилось. Для любой коммерческой организации логично иметь на сайте инструмент диалога с клиентами, поэтому формы обратной связи используют практически все. Отдельным компаниям требуется не только форма обратной связи, но еще и регистрация клиентов на сайте. Похоже, казна пополнится многомиллионной суммой штрафов от предпринимателей, которые не успели сориентироваться в законодательстве. Форма обратной связи есть практически у всех астраханских фирменных сайтов, если оштрафовать половину таких коммерческих страничек в сети, получится 7 500 000 рублей.
Например, девушка создала форум для беременных, чтобы потом размещать там рекламу. При регистрации участники указывают информацию о себе. Эта девушка - оператор персональных данных. Она получает сведения о других людях и что-то с этими данными делает: систематизирует по возрасту и интересам, проверяет активность пользователей, использует для рассылки, приглашений или просто хранит.
Любое из этих действий - это обработка персональных данных. Любой, кто это действие производит, - оператор.
У меня есть электронные почты друзей, список контактов в телефоне, аккаунты разных людей в соцсетях. Получается, я тоже оператор и должен получать согласие этих людей на то, чтобы хранить и удалять их данные?
Нет, в таких случаях согласие не нужно. Под действие закона не попадают персональные данные, которые обрабатывают для личных и семейных нужд. Это могут быть контакты нужных людей в телефонном справочнике, визитки коллег и партнеров, профили друзей на фейсбуке.
Форма обратной связи тоже попадает под действие закона?
Если в ней человек может ввести свои персональные данные - то да, попадает.
В законе нет исключений по поводу формы и способа сбора персональных данных. И уточнения, что именно является сбором, тоже нет. Минкомсвязи считает, что сбор - это какая-то документально оформленная процедура получения данных о человеке. Форма обратной связи подходит под это определение .
Сама по себе форма обратной связи не попадает под действие закона только потому, что она есть. Важно, какие данные передает посетитель через эту форму , можно ли по ним прямо или косвенно идентифицировать человека и нанести ему вред в случае утечки и распространения.
Если посетитель сайта указывает в форме свое имя, фамилию, телефон и электронную почту - это персональные данные. Тот, кто эти данные получает, обрабатывает и хранит, считается оператором персональных данных и должен соблюдать закон.
А если получаешь только имя без фамилии и номер телефона, это тоже попадает под персональные данные? А если только номер телефона?
По закону персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Это определение ничего не дает и не проясняет.
Если понимать буквально, то персональными данными можно считать что угодно. Юристы спорят по этому поводу уже много лет.
Минкомсвязи конкретики не дает и говорит так: более точно определить состав персональных данных, в том числе привести их перечень, представляется нереализуемым. Никаких четких пояснений от других ведомств по этому поводу тоже нет.
Если будет спор по поводу принадлежности почты или логина к персональным данным, всё решит суд. Несколько решений по поводу персональных данных суды уже вынесли. Из них следует очевидное: персональными данными считаются ФИО , паспортные данные, адрес, номера телефонов, информация о членах семьи, из пенсионного дела и трудового договора. Еще из них следует неочевидное: ИНН сам по себе не является персональными данными, а данные о факте пересечения границы - являются.
Сам по себе логин - это вроде бы не персональные данные. По набору символов нельзя понять, что это за человек и даже какого он пола.
Но если на аватарку человек поставит свою настоящую фотографию или при регистрации укажет почту, где в названии будет его фамилия с инициалами, а в доменном имени - название компании, то в совокупности это уже персональные данные.
Никто толком не знает, какие данные персональные
В законе нет никаких исключений по теме сайта, организационно-правовой форме и набору данных.
Чтобы не рисковать, лучше сделать так.
Если вы где-нибудь с какой-нибудь целью собираете любую информацию о каких-то физических лицах, нужно зафиксировать их согласие и подготовить документы. Если это сделать для страховки, даже когда не надо, ничего страшного не будет. А если этого не сделать, могут быть претензии от пользователей и Роскомнадзора.
Я делаю сайт для клиента, обрабатываю и храню данные на своей стороне. При этом владелец сайта не обязан быть оператором персональных данных?
Владелец сайта обязан быть оператором персональных данных и соблюдать закон. По закону можно собирать персональные данные и передавать их кому-то на обработку. Владелец сайта может передать данные клиентов вебмастеру, интернет-магазин - сервису рассылки.
Чтобы так делать, владелец сайта должен получить у посетителей разрешение и объяснить им, кому и зачем он передаст их данные.
Ответственность на владельце
Тот, кому он передаст данные на обработку, отдельное разрешение получать не должен, а соблюдать закон - должен.
Отвечать за соблюдение закона перед посетителями сайта будет его владелец.
Владельца сайта Роскомнадзор и суд будут определять по совокупности данных. Если на сайте размещена информация о конкретном юридическом лице или ИП , спросят с него. Если таких данных нет, спросят с администратора домена.
А как они поймут, что я храню и обрабатываю данные, чтобы выписать штраф? Это в российском дата-центре можно маски-шоу устроить и вынести сервер, а за границей такие номера не проходят.
Роскомнадзор узнает о нарушениях двумя способами:
- сам проведет проверку;
- отреагирует на чью-то жалобу.
Если Роскомнадзор обнаружит нарушения, сайт могут заблокировать, а компанию оштрафуют.
По закону операторы обязаны хранить персональные данные на российских серверах. Есть несколько исключений, но это частности. Любой интернет-магазин или сервис по подписке должен хранить базу с персональными данными граждан в России.
Потом можно передавать эти данные за границу. Это законно, но при определенных условиях . Иначе нельзя было бы бронировать гостиницы и покупать билеты на самолет за границей.
Роскомнадзор может потребовать предоставить подтверждение по поводу места хранения баз данных. Например, договор с дата-центром, хостингом или документы на собственный сервер. Если выяснится, что персональные данные хранятся с нарушениями и не в России, будут проблемы.
Кроме закона о персональных данных есть требования Федеральной службы по техническому и экспортному контролю и ФСБ. Еще к проверке может подключиться прокуратура. Им хватит полномочий, чтобы узнать, где на самом деле хранятся данные, и разобраться с нарушениями.
А если у нас сайт на английском?
Закон о персональных данных нужно соблюдать, если сайт используется для работы на территории РФ . Теоретически Роскомнадзор имеет право и может его заблокировать.
Вот какие признаки используют, чтобы это понять:
- доменное имя связано с РФ или субъектом;
- есть русскоязычная версия сайта;
- расчет за товары или услуги происходит в рублях, доставка возможна на территорию РФ ;
- потребители содержимого сайта - россияне;
- есть реклама на русском, которая ведет на этот сайт.
Если есть какое-то сочетание этих факторов, оператор персональных данных должен соблюдать закон, даже если это иностранная компания. А это значит, что документы должны быть доступны и понятны в РФ . Достаточно иметь их на русском языке, чтобы их понимал Роскомнадзор и граждане России. На нерезидентов за пределами страны наш закон о персональных данных не распространяется.
Как определять гражданство посетителя, закон не объяснил. Операторам предложили решать эту проблему самостоятельно. А если четкой позиции и инструментов нет, стоит соблюдать закон в отношении всех персональных данных, которые собрали на территории России.
Дублировать те же документы на иностранных языках для россиян нет смысла. Но эти правила придумали не в России. Есть конвенция Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера. Так что, если собираете данные иностранцев, подумайте, как соблюдаете закон той страны, резидентами которой они являются.
В Европе за однократное нарушение правил обработки персональных данных штрафуют на сотни тысяч евро. В России максимальный штраф с 1 июля 2017 года - 75 тысяч рублей.
Могу ли я не регистрироваться в Роскомнадзоре, если поменяю поле в форме обратной связи с «Ваше имя» на «Ваша компания»?
Закон о персональных данных защищает данные только физических лиц. Он не распространяется на данные о компаниях. Но то, что указано в форме обратной связи, - это формальность. Важно, какие именно данные и с какой целью собирает владелец сайта.
Если это на самом деле название компании и телефон офиса, такая информация не попадает под действие закона. Но если сайт собирает почтовые адреса и телефоны сотрудников компаний, чтобы потом делать по ним рассылку или передавать их третьим лицам, могут быть проблемы как со стороны этих сотрудников, так и от Роскомнадзора.
В Роскомнадзоре должны зарегистрироваться все операторы персональных данных. Исключения только для случаев, перечисленных в п. 2 ст. 22 закона о персональных данных .
Вот публикую я пост в фейсбуке и упоминаю своего друга - значит, я данные обрабатываю? Кэш поста хранится на телефоне, значит, я данные храню? А если сделаю репост в твиттер, то я их еще и предоставляю третьей стороне. И как с этим жить?
Это не нарушение закона. В этом случае оператором персональных данных выступает социальная сеть. Каждый, кто там зарегистрировался, дал согласие на публикацию, обработку и использование его данных.
Все пользователи фейсбука