Категории
Категории
Все публикации
Менеджер паролей
40
Учёт и инвентаризация
7
Цифровые активы
13
Чек-листы
7
Новости
27
Инструкции
20
Интервью с экспертом
6
TeamDo для HoReCa
18
TeamDo для рекламных агентств
3
TeamDo для медицинских организаций
8
Российское ПО
3
Информационная безопасность
2
Артём Басанец
  • 1 мин
  • 39
Информационная безопасность

152-ФЗ: для сайтов, лендингов и лично для вас

Публикации о нововведениях в КоАП и 152-й федеральный закон о персональных данных отшумели весной и летом 2025 года. «Страшилки» об оборотных штрафах и санкциях произвели впечатление. Теперь размеренно и спокойно, как говорят юристы, нарабатывается правоприменительная практика. 

Федеральный закон № 152-ФЗ «О персональных данных» устанавливает правила обработки и защиты личной информации граждан в России, защищая их права на неприкосновенность частной жизни. Закон определяет, что такое персональные данные (ПДн), устанавливает обязательства операторов по их сбору, хранению и использованию, а также предусматривает ответственность за нарушения. 

  • Какие ошибки и нарушения стали типичными? 
  • На что обратить внимание компании, медцентру или отелю, который собирает и обрабатывает приватные данные на своем сайте? 
  • Что конкретно вы, как частное (физическое) лицо, обязательно должны знать, заполняя в анкете графы: ФИО, дата рождения и данные паспорта?

Разбираемся с экспертами. 

Ольга РАЙХ

─ основатель Юридического центра «Аврора»,
─ эксперт при уполномоченном по защите по защите прав предпринимателей Томской области,
─ член экспертного совета по рекламе при УФАС Томской области.

Цифрофобия: утечка персональных данных ─ на 1-м месте

ВЦИОМ составил рейтинг цифровых страхов россиян, оценив их в диапазоне от минус  100 до 100 пунктов.

Цифрофобия оказалась довольно рациональной, а страхи людей вполне себе прагматичными: они не о будущем ─ они о реальном повседневном опыте и личной безопасности.

Топ-5 фобий выглядит так:

  1.  утечка или похищение персональных данных (51 п.);

  2.  распространение фейковых новостей, риск не суметь отличить правду от вымысла (41 п.);

  3.  зависимость от стабильной работы интернета и цифровых платформ (38 п.);

  4.  взлом гаджетов, которые подключаются к интернету (37 п.);

  5.  превышение полномочий коммерческими компаниями на сбор данных (35 п.).

Печально-тревожный топ цифрофобий возглавляет главный страх ─ опасение кражи персональных данных (ПДн). 

Но все взрослые люди точно знают, украсть невозможно только то, чего нет. Поэтому алгоритм безопасности начинается ─ с предоставления приватных данных кому-то или в открытый доступ. Где и как это происходит почти на автомате?

Неправильный чек-бокс = нет согласия на обработку 

С любой горящей темой мы привыкли «бежать» в интернет, чтобы «загуглить». Но сегодня, когда 50% всего интернета это сгенерированный контент, добыть прикладную и достоверную информацию становится всё сложнее. Бесконечные тексты без авторства, одинаковые SEO-советы на сотнях сайтов, статьи без ссылки на источники. 

Поэтому предлагаем опираться на реальную практику юристов-профессионалов. 

Заполнить анкету на сайте, зарегистрироваться на эфир или вебинар стало для каждого из нас обычным делом. Форма вроде всегда стандартная: почта, имя, телефон, кнопка «зарегистрироваться» и уже казалось бы стандартная ремарка мелким шрифтом внизу: «Я согласен на обработку персональных данных и с политикой  конфиденциальности».

Есть ли нюансы оформления и заполнения таких анкет? Каким должно быть полноценное согласие на обработку ПДн?

Что такое чек-бокс для сбора персональных данных

Чек-бокс ─ это элемент графического интерфейса («квадратик» для проставления «галочки»), в котором  пользователь должен самостоятельно сделать отметку, чтобы юридически дать согласие на обработку его личной информации. 

Использование чек-бокса, как формы сбора данных, обязательно при заказе товара, подписке на рассылку, регистрации на мероприятие или создание личного кабинета, заказе обратного звонка, записи на консультацию и др. 

1. «Галочки» в чек-боксе не должно быть по умолчанию ─ её самостоятельно ставит только сам пользователь. 

В 2022 году к понятию «Согласие» закон наряду с характеристиками «конкретное», «информированное», «сознательное» добавил такие определения как «предметное» и «однозначное». То есть пользователь должен однозначно понимать для чего берут, обрабатывают его данные, предусмотрена ли их передача и кому.

Этот момент крайне важен, например, при онлайн-оформлении кредита. Как правило, в типовом договоре уже есть уведомление, как будет действовать банк при его неуплате. Поэтому, в случае невозврата, жалоба заемщика «мы не соглашались, чтобы наши данные передавали коллекторам для взыскания задолженности» признается безосновательной. 

2. Пользователь (потребитель, заказчик, участник, заемщик и т.д.) должен чётко знать и понимать какие, кому и для чего он дает реквизиты. 

3. На сайте «Политика обработки ПДн» должна быть гиперссылкой на текст самой Политики ─ большой, исходный документ, по которому работает сторона, принимающая и запрашивающая ваши приватные данные.

4. К «Согласию на обработку ПДн» на сайте также должно быть «подключено» само Согласие, чтобы заполняя чек-бокс и проставляя «галочку» можно было ознакомиться с полным оригиналом документа.

5. Согласие на обработку ПДн и Согласие на получение рассылки ─ это два разных документа, и заполняются каждый по отдельности. 

Чем опасна формулировка «некорректно оформленный чек-бокс»

Даже поверхностный аудит многих сайтов и размещенных на них чек-боксов отражает две типичные ошибки: 

─ нет политики в отношении обработки персональных данных;

─ нет текста Согласия на обработку персональных данных;

─ чек-боксы оформлены некорректно (= «галочка» проставлена заранее).

Надзорные органы приравнивают неправильно оформленный чек-бокс (с той же заранее поставленной «галочкой») к отсутствию согласия на обработку ПДн. Вроде формальность, но штрафы (ч. 2 ст. 13.11 КоАП) кусающие:

  • для ИП от 100 000 до 300 000 ₽, при повторе — до 1 000 000 ₽; 
  • для самозанятых от 10 000 до 15 000 ₽, при повторе — до 30 000 ₽.

Политика обработки персональных данных не есть Политика конфиденциальности ─ это разные документы. 

В Политике обработки ПДн подробнейшим образом прописан порядок сбора, обработки, хранения, защиты ПДн, цель и объем, в каком аккумулируются ПДн, кто из сотрудников работает с ними и какую ответственность понесет в случае нарушения. Это единые правила для всех субъектов оператора ПДн ─ работодателя, соискателя, контрагента, клиента, посетителя сайта и т.д.).

Политика конфиденциальности ─ более декларативный документ, который «закрывает» правила работы с чувствительной информацией для конкретного посетителя сайта.

Персональные данные: когда вас спрашивать не будут 

Персональные данные — это информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (субъекту персональных данных), в том числе:

  • фамилия, имя, отчество;
  • дата рождения;
  • адрес местожительства;
  • паспортные данные, СНИЛС, ИНН;
  • социальное, имущественное, семейное положение;
  • сведения о доходах, образовании, профессии
  • номер банковской карты;
  • фотографические изображения;
  • и другие.

Когда оператор вправе обрабатывать персональные данные без согласия

Обработка персональных данных БЕЗ согласия (п. 1 ст. 6 и п. 2 ст. 10 закона № 152-ФЗ) допустима и производится в следующих случаях. 

1. Когда оператор ПДн должен выполнить определенные функции, полномочия и обязанности, возложенные на него законодательством РФ. Например, мы все видим на сайтах медцентров и клиник данные о врачах. Это «распространение сведений неопределенному кругу лиц». Но! Медорганизация в этом случае выступает как оператор, и обязана разместить такую информацию в установленном законом объеме. 

2. Если субъект ПДн (физлицо) участвует в судопроизводстве: судебные органы, не запрашивая согласия, берут данные для рассмотрения гражданских и уголовных дел в судах, в том числе суде присяжных.   

3. Если ПДн необходимы для исполнения договора, по которому физлицо выступает выгодоприобретателем или поручителем, независимо от того, кто является инициатором документа (п. п. 2 - 11 ч. 1 ст. 6 закона № 152-ФЗ). 

Например, индивидуальный предприниматель арендует у вас помещение и вы указываете в договоре его паспортные данные. Или наоборот, вы запрашиваете адрес покупателя для доставки ему товара; берете у клиента адрес электронной почты, чтобы отправить ему кассовый чек; при проведении общественно значимого мероприятия для безопасности (вашей и третьих лиц) записываете ФИО и паспортные данные посетителей.

Cookie = или ≠ персональные данные 

Если на сайте используются метрические программы (Яндекс.метрика, Яндекс AppMetrica) или через сайт обрабатываются cookie, обязательно должны быть:

  • всплывающее окно-уведомление, где указано, что сайт использует сookie, а также дано разъяснение для чего это необходимо; 
  • активная «кнопка» («принимаю» или «согласен»), чтобы подтвердить ─ посетитель согласен с обработкой своих файлов.

Cookie тоже являются персональными данными, поскольку они могут содержать информацию, которая как раз и позволяет идентифицировать пользователя. Например, IP-адрес, логин, историю посещений, предпочтения и др. 

Поэтому их сбор и обработка тоже должны отвечать требованиям закона о персональных данных, включая получение согласия пользователя, за исключением случаев, когда cookie необходимы для работы сайта. 

Персональные данные: только по согласию 

Обработать персональные данные и получить согласие клиента вам обязательно потребуется (п. 1 ч. 1 ст. 6 закона № 152-ФЗ), если вы:

1. собираете приватные сведения для маркетингового исследования или рекламных рассылок; 

2. принимаете непосредственно на сайте отзывы от своих партнеров или клиентов с их фото, ФИО и другими приватными данными таких авторов; 

3. размещаете ФИО, должность, контакт своих сотрудников, например, чтобы посетители вашего корпоративного сайта могли обратиться к ним за дополнительной информацией или консультацией.   

В этом (третьем) случае письменное согласие на обработку ПДн нужно получить от самих работников. Плюс на сайте сделать ссылку: «Оператором получено согласие на распространение ПДн субъекта (сотрудника,  (работника) неопределенному кругу лиц».

Оператор персональных данных: обязанности отдельной главой 

Ключевые требования, которые предъявляет 152-ФЗ к оператору:

  • получение согласия на обработку данных;  
  • обеспечение их безопасности. 

Обязанности оператора изложены в законе № 152-ФЗ «О персональных данных» в отдельной, объемной главе. Она включает сразу пять статей ─ с 18 по 22.1.

Главные требования со стороны Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора) и прямая обязанность всех, кто работает с ПДн автоматизированным способом: 

  • подать уведомление о начале обработки ПДн; 
  • предприятия со статусом юридического лица должны назначить ответственных за обработку Пдн, а также издать локальные акты  по их обработке и Политику обработки ПДн;
  • опубликовать на сайте оригиналы документов «Политика обработки ПДн» и «Согласие на обработку ПДн»;
  • принять правовые, организационные и технические меры, чтобы обеспечить хранение и защиту аккумулированных ПДн;
  • проверить включена ли компания, организация в Реестр операторов персональных данных;
  • если возникнут любые изменения в алгоритме обработки ПДн, объеме, цели и пр., подать уведомление об изменениях в Роскомнадзор;
  • уведомить о прекращении обработки ПД.

 

Электронные формы заявлений

IT-экспертиза

Должен ли разработчик корпоративных сайтов, интернет-магазинов обеспечить безопасность ПДн, которые потом будет обрабатывать пользователь на сайте?

CEO платформы TeamDo Анна КРАМПЕЦ
Анна КРАМПЕЦ

─ СЕО платформы TeamDo,
─ CEO агентства Online-Media.

При разработке сайта агентство должно обеспечить заказчику техническую защиту персональных данных. Это означает, что сайт будет сложно «взломать», данные пользователя из форм-заявок, реквизиты платежей, регистрации и др. не попадут «третьи руки». Но агентство не может гарантировать защиту данных после запуска сайта, когда ресурсом начинают управлять сотрудники заказчика.

Кроме того, агентство должно разбираться в нюансах, которые законодательство предъявляет к сайтам: требования к ресурсам медицинских организаций, образовательных учреждений и сайтам розничной торговли разные.

Разработку «Политики конфиденциальности» лучше делать совместно с юристом заказчика. Такие документы как «Политика обработки ПДн» и «Согласие на обработку ПДн» однозначно готовят юристы заказчика ─ это их зона ответственности. И подать уведомление о начале обработки ПДн в Роскомнадзор также должен заказчик от своего имени.

Должен ли разработчик облачных CRM изначально обеспечить безопасность ПДн, которые потом будет обрабатывать в их системах пользователь?

Агентству или веб-студии собрать пакет документов по защите ПДн для каждого своего клиента-пользователя СRM ─ совершенно не реальная задача.

Разработчик предоставляет ресурсы ─ хостинг программное обеспечение, мощности и т. д. Он по определению не может знать, какие данные и с какой целью потом будет заносить его клиент на сервис, и как конкретно взаимодействовать уже со своими покупателями, гостями или заказчиками. 

Но большинство разработчиков облачных CRM позаботились и обновили свое ПО под нормы и требования 152-ФЗ: разработанные ими сервисы сами «гарантируют» безопасность данных, которые в них хранятся. Однако поручить обработку ПДн даже такой CRM всё равно должен пользователь, а не разработчик.