Закон о персональных данных — так ли страшен черт, как его малюют

В июле 2017 года в силу вступил т.н. «Закон о персональных данных», который сильно напугал интернет-сектор. Основной хайп по этому поводу уже утих, владельцы сайтов добавили галочки с соглашением под каждой формой на своих сайтах и успокоились.

По сути, закон существовал и ранее, но никого не штрафовали, т.к. это было жутко неудобно даже для самого Роскомнадзора. Теперь же он может самостоятельно выписывать штрафы, якобы, даже за плохо оформленные формы обратной связи.

Звучит ужасающе, но я решил проверить как на самом деле будет действовать Роскомнадзор в случае отсутствия политики обработки персональных данных под формой обратной связи.

Исходные данные:

— Интернет-магазин с реальными физическими магазинами;
— Указаны юридические реквизиты в разделе контактов;
— Форма обратной связи содержит галочку и ссылку на «Политику обработки персональных данных», но по ссылке находится пустая страница;
— Поля стандартные: имя, телефон, текст сообщения;
— Владелец не зарегистрирован как оператор обработки ПД в Роскомнадзоре;
— Время проведения проверки: 20-е числа августа 2017 г.

Заявление в Роскомназдор составляется в элетронном виде. текст, к сожалению точно не сохранился, но примерное содержание:
Я хотел обратиться через форму обратной связи на сайте «таком-то» и заметил,
что политика обработки ПД у формы пустая. Опасаюсь за свои ПД, примите меры. Владелец не зарегистрирован как оператор обработки ПД.
Адрес сайта, адрес формы, адрес пустой политики ПД, реквизиты юр.лица на такой-то странице.Скриншоты с указанием что где.

Спустя чуть меньше недели поступил ответ.

Текст ответа Роскомнадзора



п.38 Административного регламента
38. Внеплановые проверки проводятся по следующим основаниям:
38.1. Истечение срока исполнения Оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства Российской Федерации в области персональных данных.
38.2. Поступление в Службу или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации, в том числе о следующих фактах:
38.2.1. Возникновение угрозы причинения вреда жизни, здоровью граждан.
38.2.2. Причинение вреда жизни, здоровью граждан.
38.3. Приказ руководителя Службы или руководителя территориального органа Службы, изданный в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации, и на основании требования прокурора о проведении внеплановой проверки в рамках надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.
(в ред. ПриказаМинкомсвязи России от 08.10.2014 № 340)
38.4 — 38.5. Исключены. — ПриказМинкомсвязи России от 08.10.2014 № 340.

Краткая суть: Владелец сам решает, регистрироваться или нет. Внеплановую проверку провести не могут, т.к. нет на это оснований.

Вердикт:

— Получить штраф по жалобе конкурента нереально (что, кстати, меня лично радует), т.к. согласно Административному регламенту проверка может быть произведена толкьо при угрозе здоровью, а это в интернете весьма проблематично.
— Теоретически можно получить штраф при плановой проверке, но небольшой сайт, скорее всего, не заметят на общем фоне интернета.

P.S. Интернет-магазин не пострадал в ходе проведения эксперимента.
Вы знаете лично людей, которых оштрафовали за форму обратной связи?

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Поделиться публикацией
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама
Комментарии 25
  • 0
    Кто то знает, есть ли хороший выверенный типовой текст политики обработки персональных данных?
    • 0

      Реально выверенный в мире всеобъемлющих и нечетких формулировок — это, как правило, означает "обкатанный на практике и обмазанный прецедентами за годи существования закона". Пройдут годы — будет выверенный текст.

    • +3
      Если в соответствии со 152фз вы обратитесь в роскомнадзор о защите своих личных пересональных данных, получите отписку, несмотря на все то что в этом фз написано. При этом совершенно не сложно при необходимости найти нарушения 152фз практически у кого угодно.
      • 0
        Да, но именно по обращениям этот механизм не работает.

        Я, честно говоря, думал, что будет наоборот. Впрочем, это даже к лучшем, т.к. иначе конкуренты завалили бы Роскомнадзор обращениями друг на друга.
        • +1
          Значит конкуренты будут заваливать обращениями не роскомнадзор, а прокуратуру:
          38.3. Приказ руководителя Службы или руководителя территориального органа Службы, изданный в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации, и на основании требования прокурора о проведении внеплановой проверки в рамках надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.
          (в ред. ПриказаМинкомсвязи России от 08.10.2014 № 340)
          • 0

            Раскачать прокуратуру прицельно против конкурента (ну, так, чтобы действительно дело пошло туда, куда требуется, и не пошло туда, куда не требуется) — таки ресурсоемкая задача. А фз152 — далеко не самая мощная пуля. Если уж прикладывать усилия — то с бОльшим ущербом для противника.


            РКН видится более "дешевым" спусковым крючком… но, как пока видно, оно так не стреляет. ну, хорошо, если так..

      • 0
        Меня самого оштрафовали (укажу сумму в комментариях)
        А комментариев почему-то пока нету :)
        • 0
          Есть ли какой-то формальный критерий либо сложившаяся практика, какой набор полей формы обратной связи может быть истолкован как персональные данные? Ну, например, ник + e-mail, это ведь еще не ПД? А ФИО + номер паспорта — это уже наверняка ПД. Где проходит граница?
          И второе. Как владельцы CRM-систем на практике решают вопрос с законодательством о ПД? Ведь данные о физ.лицах для CRM-систем часто собираются не только из форм обратной связи, где можно воткнуть ссылку на политику и галку, но и в ходе телефонных переговоров, личных встреч, поступают от третьих лиц, из сторонних источников и т.д.
          • +1
            Ее нет, границы.
            Согласно закону
            персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);


            • –1
              мне говорили, что ФИО нет, а ФИО + дата рождения — да. так как последнее позволят однозначно определить.
              • 0
                … однозначно определить с десяток, а то и с сотню человек в рамках страны.
                • +1
                  Это точная цитата из закона. Все остальное это практика правоприменения. Если я ничего не путаю, считается, что однозначто идентифицирует человека связка ФИО+дата рождения+место рождения, и то, накладки случаются. «двойникам» в этом случае не позавидуешь.
                  • 0
                    я о практике правоприменения.
                    т.е. в списках оставляли только ФИО убрав дату рождения.
              • +1
                На семинаре по ПД рассказали, что за «ник + e-mail» уже штрафовали.
                ПДн — настолько широко и расплывчато определено в законе, что попасть можно на чём-угодно.
              • +2
                Может ли РКН оштрафовать сам себя, за то что при оформлении обращения на сайте, не спрашивают заявителя о согласии на обработку ПД?
                • 0
                  Они уже свой IP блокировали как-то.
                • +2
                  Не могут, госорганы для себя решили, что под ФЗ-152 они не подпадают. Удобно.
                • +2
                  Закон о персональных данных — так ли страшен черт, как его малюют

                  Да, страшен. Сначала народу запихивают сучковатые черенки от лопат в не предназначенные для этого отверстия, а потом начинают рассказывать, что мол это полезно, да и сучки не такие большие. А со временем, мол, все привыкнут и вообще не будут эти черенки замечать. Тьфу!
                  • –2

                    Вы недооцениваете наш народ. Если черенки убрать, многие еще будут просить вернуть обратно.

                  • +1
                    По поводу оснований. Честно говоря, даже стыдно за такие посты.

                    1. Политика на сайте размещается на усмотрение оператора ПДн. Оператор может предоставить неограниченный доступ к политике и иными путями. Например, вывесив у себя в офисе, или разместить на сайте текст, что политика предоставляется по запросу и т.д.
                    2. Имя и телефон? ПДн, если это Ваше имя и Ваш телефон.

                    А если каждый кто не дочитав ФЗ будет строчить регуляторам? Тогда Регуляторы будут 90% своего времени тратить на отписку всем недочитавшим, за которое мы же и платим из своих налогов.
                    ИТОГО
                    Не вижу оснований для обращения к Регулятору.
                    Вижу основания для повышения осведомлённости в освещаемой области.
                    • 0
                      1. Да, но он этого не сделал. Страница просто пустая.

                      2. Тут я немного не понял. Вроде бы без разницы чьи они. Они персональные (хотя тут спорный вопрос про имя + телефон). А если считать, что человек может предоставить не свои, то можно хоть паспорт запрашивать и говорить, что это не персональные данные.
                      • 0
                        А что он нарушил? Пустая и пустая… Они вправе делать на своем ресурсе всё, что не противоречит законодательству ) Это не основание для обращения к Регулятору, а тем более для внеплановой проверки. Могу безвозмездно проконсультировать более детально, в рамки комментариев не войдёт, да и против правил GT )
                        • 0
                          Верно. В данном случае — противоречит или нет вопрос спорный, т.к. что такое «персональные данные» не может ответить пока никто, т.к. закон написан неоднозначно.

                          Я считаю, что противоречит и обратился в соответствующий орган власти. В общем-то, они тоже так считают, судя по тому, что направили сайту запрос на добавление в реестр операторов обработки ПД.
                    • +1
                      Вся эта бадья с персональными данными пришла из европы… Скажите спасибо Еврокомисии

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.