В России ПД охраняются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». За нарушение требований по обработке таких сведений предусмотрены штрафы, которые не превышают 30 000–150 000 руб. (кроме нарушения требования по локализации базы данных на территории РФ, где санкция достигает 6 млн руб.)
Однако российское законодательство развивается в сторону ужесточения ответственности операторов ПД (лиц, обрабатывающих ПД). По аналогии с Европейским регламентом по защите ПД (GDPR) планируется ввести оборотные штрафы, например 4% от годового оборота компании, а в некоторых случаях — предусмотреть уголовную ответственность.
Ужесточение ответственности по составам таких правонарушений, которые связаны с утечками данных, — это вполне реальная перспектива.
Что нужно сделать в первую очередь, если у вас есть сайт, через который идет сбор ПД клиентов, чтобы соблюсти требования к приватности?
- категории данных (Ф. И. О., телефон, адрес и т. д.);
- из каких стран;
- кто источник предоставления данных;
- с какой целью собираете ПД, на каком основании и на какой срок;
- где производится хранение и обработка ПД (IT-системы);
- кому передаете ПД (есть ли обработчики и субобработчики).
Затем создать реестр ПД (можно в Excel) и внести в него эти данные, постоянно обновляя.
Разместите всплывающий баннер, который пользователь сразу заметит при посещении страницы сайта и сможет принять или отклонить сбор cookie.
Сookie — небольшие текстовые файлы со служебной информацией о посещении сайта. Вот примеры того, что хранится в них:
- тип устройства, с которого пользователь зашел на сайт;
- личные данные для авторизации (имя, email, логин, пароль);
- пользовательские настройки сайта (язык и геоданные);
- настройки рекламных предпочтений;
- статистика использования сервисов;
- товары в корзине и в избранном (если пользователь не авторизовался) и др.
В идеале на всплывающем баннере необходимо разбить cookie на обязательные (технические — без них сайт не сможет работать, а пользователь их не может отключить) и необязательные (рекламные, статистические и прочие, от которых пользователь может отказаться).
Ее надо разместить на главной странице, чтобы пользователь ее сразу нашел, а также на каждой странице сайта, с которой ведется сбор ПД.
Оптимальный способ избежать риска административной ответственности и блокировки сайтов заключается в предотвращении споров на уровне создания порталов. Расположение документов с политикой обработки персональных данных, формой согласия и правилами работы интернет-ресурса должно быть интуитивно понятным для пользователей.
Политика не равна согласию на обработку данных. Этот документ не стоит путать и с пользовательским соглашением на портале или договором оферты. Содержание политики должно соответствовать ч. 2 ст. 18.1 ФЗ-152.
По наблюдению Роскомнадзора, частая ошибка — размещать на сайте политики другого лица.
Хороший тон для компании — размещать все согласия на обработку ПД и политики приватности с правами пользователя и контактами ответственного за обработку ПД лица (офицера по защите данных) на видном месте. Пользователь не должен делать много кликов, чтобы найти заветную политику приватности.
Активизируется работа Роскомнадзора, направленная на проверку соблюдения норм указанного закона со стороны операторов персональных данных. Ведомству позволили не только проверять наличие имеющихся локальных актов в отношении персональных данных, собираемых оператором, но и принятие последним мер по защите персональных данных, которые указаны в соответствующих локальных актах.
Это может быть публичный договор — к нему посетитель сайта присоединяется для получения услуг и товаров, которые вы предоставляете. Если договор неприменим, используйте уведомление или согласие об обработке ПД, где кратко и на понятном языке расскажите пользователю о сути сбора его ПД и его правах.
Pre-checked box — самая частая ошибка на сайтах. Иначе согласие не считается добровольно данным. Для каждого документа — свое индивидуальное окошко. Если предлагаете ознакомиться с пользовательским соглашением, собираете согласие на обработку и просите изучить политику приватности — создайте три окошка для проставления галочек пользователем, а не одно.
Иначе грозит штраф до 6 млн руб. (ч. 8 ст. 13.11 КоАП) и блокировка ресурса на территории РФ, что произошло с соцсетью LinkedIn.
- Запрещен сбор ПД с использованием базы данных сайта, находящегося за пределами РФ.
- Запрещен сбор ПД посредством форм сбора иностранных сервисов, база данных которых расположена за пределами РФ.
- Нарушением считается обработка ПД, осуществляемая посредством иностранных метрических программ в отсутствии правовых оснований.
Механизмы публичного права удобны, когда речь идет о массовых ситуациях обработки данных, где государство может осуществлять централизованный контроль. Один из таких механизмов — возможность наложить административный штраф как одну из эффективных мер по контролю за соблюдением правил обработки персональных данных.
Если вы обрабатываете ПД лиц из других стран и ваш сайт функционирует на нескольких языках, изучите законодательные требования о приватности в тех государствах, на чьих пользователей направлен таргет (кому вы предлагаете свои услуги и товары). Если вы предлагаете товары и услуги лицам с территории ЕС, то следует соблюдать требования GDPR (российский ФЗ № 152-ФЗ сближается с Европейским регламентом, но различия еще остаются).
США (страна регистрации компании Google) c точки зрения Роскомнадзора и Регулятора в области приватности в ЕС не обеспечивает должный уровень защиты ПД. А сама американская корпорация серьезно нарушала права субъектов ПД, за что Google получил штрафы. В крайнем случае, если от Google-аналитики отказаться нельзя, стоит самостоятельно разработать дополнительные меры защиты ПД. На сайте обязательно должен быть указан весь перечень сторонних сервисов, которым передаются ПД пользователя.
Очень часто данные хранятся десятилетиями и не уничтожаются. Проверьте, в какие IT-системы разошлись ПД с сайта, и не забудьте их везде почистить. Разумно будет установить автоудаление данных после определенного срока. Такая политика снижает риск утечек данных, о которых мы часто слышим из СМИ, в случае атак.
- Изучите применимое для вас законодательство в области приватности в зависимости от страны регистрации и реального ведения бизнеса (таргета ваших услуг).
- Уведомьте Роскомнадзор об обработке ПД.
- Выясните, есть ли трансграничная передача ПД в третьи страны.
- Составьте реестры ПД и реестры информационных систем, в которых эти ПД обрабатывается.
- Разработайте политику обработки ПД, согласия и уведомления на обработку ПД.
- Назначьте ответственного за обработку ПД (офицер, в Европе он называется DPO — Data protection officer).
- Регулярно проводите обучение сотрудников, работающих с ПД.
- Актуализируйте технические и организационные меры безопасности внутри компании.
- При необходимости получите сертификаты безопасности у компетентных органов.
- Проведите оценку угроз безопасности информации.
- Если внутри компании нет сотрудника с соответствующей компетенцией, обратитесь к консультанту для выстраивания процессов.
Полностью исключить риски хакерских атак невозможно. Несмотря на это, стандартный режим конфиденциальности должен включать ясную идентификацию лиц, которые уполномочены работать с персональными данными, полученными компанией. Подобная работа на уровне компаний становится обычной практикой, которую надо активно осваивать.
P. S. Законодательство о персональных данных направлено на защиту граждан от недобросовестного использования информации о личности. Между тем вопрос о пределах защиты данных должен решаться в каждом случае с учетом цели регулирования. С примером дисбаланса в данной области сегодня столкнулись партнеры коллегии адвокатов Евгения Червец и Мария Любимова, которые стали жертвами уличного происшествия. Когда девушки переходили на зеленый свет московскую улицу Петровку по пешеходному переходу, их сбил двигавшийся с высокой скоростью курьер одной из служб доставки на электросамокате. Проведя несколько часов с полицейскими и написав соответствующее заявление, пострадавшие и адвокаты так и не смогли получить полные данные о сбившем их мужчине, чтобы сообщить в службу доставки. Мотивом отказа в предоставлении информации о личности курьера стала охрана персональных данных.