1 июля вступили в силу поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Они касаются практически любого сайта — личного или корпоративного, если сайт собирает, обрабатывает и хранит данные пользователей.
В чём проблема
Штрафов стало больше и их размер вырос. Например:
— 10 тысяч рублей для ИП и 30 тысяч рублей для компаний — штраф за то, что на сайте не разместили политику конфиденциальности;
— 75 тысяч рублей — штраф для компаний за то, что клиент не согласился на обработку своих данных (не поставил галку в соответствующем месте или на сайте вообще нет места, где это можно сделать);
— от 10 до 20 тысяч рублей для ИП и от 25 до 45 тысяч рублей для компаний — штраф за то, что не удалили пользователя из рассылки, если он об этом попросил.
Если нарушений больше одного, штрафы суммируются. Причём не важно, как давно существует ваш сайт, кто его обслуживает (вы сами, кто-то ещё, разработчики), штрафы начнут выписывать сразу же. Заниматься этим теперь будет Роскомнадзор.
Любой сайт, на котором есть форма для обратной связи (даже кнопочка «Обратный звонок»), подписка на рассылку и сама рассылка, регистрация, попадает под действие закона. Любой сайт, который позволяет пользователю войти в личный кабинет через соцсеть — тоже. Если у вас есть сайт-портфолио, где заказчик может оставить заявку или связаться через форму, вы тоже должны привести его в порядок.
Какие данные пользователя имеются в виду
— ФИО;
— Дата и место рождения;
— Телефон;
— Электронная почта;
— Фактический или физический адрес (например, «Москва, ул. Бауманская»);
— Фотография;
— Ссылка на соцсети или сайт пользователя;
— Профессия;
— Образование;
— Уровень дохода;
— Семейное положение.
Эти данные могут быть в любой комбинации.
Что делать, чтобы не платить штрафы
1. Для начала — зарегистрироваться в реестре Роскомнадзора. Сделать это можно на специальной странице для отправки уведомлений в ведомство.
Регистрироваться не нужно, если сайт обрабатывает только данные сотрудников компании; данные клиентов, которые не передаются третьим лицам по условиям договора; данные, которые нужны, чтобы выписать человеку пропуск; если из данных имеются только ФИО; если пользователь сам опубликовал свои данные в интернете (например, его страница в соцсетях открыта поисковикам, а номер телефона или почта размещены на каком-то публичном ресурсе).
2. Подготовить и опубликовать на сайте соглашение о персональных данных с возможностью для пользователей согласиться или отказаться от обработки и хранения данных (для этого обязательно установите поле для галки или пометку).
3. Если есть физические договоры с клиентами или заказчиками, в каждый внести пункт о согласии клиента или заказчика на обработку данных. Предупреждайте посетителей сайта и клиентов о том, что их данные обрабатываются и хранятся.
4. Не требовать у пользователей данные, которые не нужны для конкретной задачи. Для подписки на рассылку не просите публиковать домашний адрес или телефон, а из формы «Заказать звонок» уберите все лишние требования, кроме номера телефона и имени.
5. Следите за тем, чтобы отписка от рассылки и SMS-уведомлений работала без сбоев. Разместите кнопки отписки на видных местах. Если хотя бы один человек пожалуется на то, что не смог отписаться (и вы храните в таком случае его данные незаконно) — будет штраф. Если вы — человек, кому без спроса приходят тупые SMS с распродажами, можно спокойно пожаловаться в Роскомнадзор.
Где можно хранить данные
В законе об этом ничего чётко не сказано. Лучше не рисковать и хранить все на российских серверах. Еще можно запросить подробности у самого Роскомнадзора (правда не факт, что они там разобрались).
Что всё это значит для пользователя
Ни один сайт не может хранить ваши личные данные без вашего согласия.
Ни один сайт не имеет права передавать ваши данные кому-то ещё без вашего разрешения. Лучше внимательно читать соглашение о персональных данных, чтобы знать, будет ли ещё кто-то помимо этого сайта иметь доступ к вашей личной информации. Если вам звонит какое-нибудь Дешели и не говорит, откуда взяли телефон — можно настучать в Роскомнадзор.
Ни один сайт не имеет права подписать вас без вашего ведома на рассылку, если только этот пункт не прописан в соглашении о персональных данных. Если до регистрации сайт вам это соглашение не показал и не предложил прочесть, можно пожаловаться куда надо.
А ещё вас должны отписать от любых нежелательных рассылок (SMS или почтовых) и удалить всю информацию о вас по первому требованию. Если магазин или сайт этого не сделает, вы можете подать в суд и потребовать компенсацию морального вреда. В законе об этом сказано.
Любой сайт, где есть авторизация, это же в принципе вообще почти каждый сайт.
А если нахуй послать их, то сайт заблочат? И как они найдут владельца, чтобы штраф выписать? Или это будет ультиматум "либо блок, либо штраф"? А если владелец не гражданин РФ? Правильно ли я понимаю, что весь зарубежный интернет со всеми зарубежными форумами и всем прочим по этому закону будет заблокирован, поскольку владельцам иностранных сайтов глубоко поебать на законы какого-то там ебнутого и находящегося за тысячи километров государства?
Короче, как мне видится, это ещё один предлог для блокировок любых сайтов без видимой причины.
все претензии по сайтам направляются в компанию, которая на этом сайте представлена. хоть Кока-кола, хоть кто. например, ей сайт сверстали индусы, нарисовали американцы, но компания работает на территории России и клиенты у нее россияне — надо закон соблюдать в любом случае.
Представляю занимательную профессию : ходить по сайтам, проверять на соответствие закону , искать компанию обладателя сайта и выписывать штрафы направо и налево
Комментарий недоступен
А я чувствую ко мне скоро набежит толпа клиентов, которые будут просить поправить их старый сайт под требования закона.
надо же куда-то трудоустроить детей сотрудников РКН)
Комментарий недоступен
Хз на сколько достоверно, но говорят что в РКН пишут бота который будет шеристить инет и искать сайты без оповещения о сборе персональных данных.
Учитывая как у нас все делается, они 100% владельца будут определять по WHOIS, а проверять наличие инфы по регулярке через жопу. И будет вообще весело если запустят.
На **ю Гаврилу государство вертит. Фиджет спиннером Гаврила был.
Это что вообще?
Вообще-то это скрин. А если еще более обще, то это вообще - жизнь.
Реклама
Саша, спасибо — я окартинил и отредактировал.
Комментарий недоступен
А вот щас обидно было.
Представители «всех этих интернет-компаний» тоже сидят на TJ.
Комментарий недоступен
Сам по себе закон - норм. Не особо нравится когда мой данные продают, а потом форекс-наебаторы раз в день звонят
Но то что заставляет делать РКН - неоч. Как и все что они делают
То есть я могу написать жалобу на МЧС? А то они как-то заебали смски бесполезные слать. Обещают шторм - а там дождик, молчат - а том уже двое утонули на другом конце Москвы.
МЧС используют данные из Госуслуг, а когда используют только это - пожаловаться на них нельзя) так же как нельзя будет например на смски от поликлиники, в которую ты ходишь по записи на госуслугах. тк поликлиника использует государственную систему хранения данных. об этом пункте у меня не написано
Еще одна галочка, которую надо будет поставить. Мало заебов с куками.
а самое классное, что я уже читаю 3ий обзор об этом законе, и везде по разному написано касаемо галки, один сервис сегодня рассылку сделал, там указано - сделать текст, и "нажимая кнопку отправить заказ вы принимаете <a href="URL">условия политики конфиденциальности</a> и соглашаетесь на обработку персональных данных"
я уж молчу о чудо стартапе, который за 7 косых все соглашения составляет
так нужна эта говно-галка или ссылкой в тексте пойдет?!
главное чтобы эта галка была в том месте, где пользователь оставляет свои данные. если есть корзина - то в корзине при оформлении заказа. если вы не магазин, но есть рассылка - в рассылке. если есть и то и другое, то в обоих местах. положение о персональных данных я бы посоветовала вообще вынести в отдельное место на сайте, рядом с "доставка" и "контакты"
АО «Изолюкс»
Обращаясь в наш магазин, вы даете согласие на обработку ваших персональных данных.
в футере серым текстом, в корзине Нажимая кнопку «Оформить заказ», я даю свое согласие на обработку персональных данных.
АО «Изолюкс»
Я осознаю, что проставление отметки «V» или «X» в поле слева от фразы «Я принимаю условия
в корзине нет галок, а в соглашении они упоминаются, треш какой то
На данный момент судебной практики по этому поводу нет. У меня клиенты решили рискнуть и оставить просто текст с ссылкой на страницу где все расписано, без галочки. Так как конверсия вообще люто рухнула из-за неё.
Комментарий недоступен
Жить стало сразу лутьшее
Спасибо за разъяснения, все четко и понятно.
Мне все это не нравится, особенно то, что надо хранить на российских серверах, но это Россия.
Я вот только не понял. А если я не ИП, не компания. Просто физическое лицо. У меня есть сайт объявлений и я храню там ФИО и номер телефона пользователей. Я тоже подпадаю под этот закон? Если да, то какие размеры штрафов?
Наверное, 10к всем физлицам
да, попадаешь. закон и на физиков распространяется.
Где-то это уже было :) Хорошо, хоть свою куки директиву не ввели.
А вот это точно?
да, там в законе так написано. если у сайта нет форм, которые собирают данные, но например есть кабинет подрядчика-заказчика, в котором есть его данные, вписанные из уже заключенного договора, и которые никуда не передаются - регистрироваться не надо)
Регистрироваться не нужно, а политика и галочка на сайте все равно нужны
а как это скажется на счетчики типа метрики?
сложный вопрос. в базовой конфигурации ничего не сохраняется. но там есть анализатор форм и тут ты по идее должен как-то договориться с яндексом про это.
Комментарий недоступен
Этому закону уже 10 лет, если что
Я обязан разместить на сайте правила. Но обязан ли я их распологать/давать ссылку непосредственно рядом с формой?
Комментарий удален модератором
Поскольку Администрация Сайта осуществляет обработку персональных данных Пользователя в целях исполнения настоящих Правил, в силу положений законодательства о персональных данных согласие Пользователя на обработку его персональных данных не требуется.
(c) vk.com
это как?
под законом попадает по сути любой сай, где есть пользовательская база. ибо там есть либо почта, либо авторизация через соцсети, в которой еще больше предоставляется
спасибо, ты все прояснил
Эта вся движуха отлично сочетается с борьбой с анонимностью в интернетах)
Вообще дебильные законы, но что поделать.
Также с первого июля вступил в силу иной закон об электронных кассовых аппаратах для интернет-магазинов и они обязаны теперь высылать электронный чек.
Для ФЗ152 мы сообществом модуль для Drupal сделали: https://www.drupal.org/project/fz152 Если вдруг потребуется. На данный момент там универсальная текстовка, все делается на автомате, достаточно включить и галочками протыкать какие формы собирают информацию, там же появится оповещение. Также будет страница с правовой инфой куда ссылкается галочка предупреждающая о сборе инфы.
Забавно, вчера порядка 180 сайтов использовало, и цифро вяло росла, а сегодня уже 402.
Закон поехавший и кривой, но там походу есть лайфхак.
По сути, там говорится что вся персональная информация должна храниться на сервере в РФ, без каких-либо деталей. Можно все сборы данных где есть персональные данные скидывать на какую-то спец. почту в Yandex - сервера их в РФ - данные там - закон формально не нарушен.
Ээээ.
А у меня на сайте есть графа "Перезвоните мне" где человек заполняект свое имя и телефон.
Это подпадает?
Да.
Комментарий недоступен
То чувство, когда держишь свой сайт на иностранном хостинге, и форма для обратной связи сделана иностранным конструктором, без возможности добавить галочку. Теперь панически всё переделывать что ли :(
Что за конструктор такой, что в нём легкая кастомизация формы сопряжена с проблемами?
Ребят, чёт я очкую. Скажите, вот такие два сайтеца поподают под какие-то пункты? Там как бы есть форма Я.Денег и в фрейме открывается Тинькофф. Это норм?
Сайтики:
http://dlisin.tk/
http://mrlisdim.tk/pay
Ничего криминального, своих формочек то у тебя нет, а российские платежные шлюзы, свои уточнения на этот счет наверняка уже добавили
Комментарий недоступен