Год назад штрафы за неправильную обработку персональных данных выросли на сотни тысяч рублей. Например, за распространение персональных данных без согласия клиента организации теперь должны платить от 300 000 до 700 000 рублей. Новость разлетелась в СМИ 23 декабря 2023, но предпраздничное настроение ее отчасти затмило.
Владельцы бизнесов, интернет-магазинов и онлайн-сервисов стали обращаться за юридической помощью с середины января. Вопросы в бот приходят и сейчас, хотя в Телеграм-канале я периодически публикую посты-шпаргалки для решения правовых проблем, связанных с работой с персональными данными и рекламными рассылками.
За 2024 год я и мои коллеги составили и исправили сотни положений о порядке обработки персональных данных, согласий на обработку персональных данных и согласий на рекламную рассылку. И хорошо бы вам тоже пойти к юристу, но попробую сэкономить ваши время и деньги, рассказав, как сформировать эти документы самостоятельно и исправить ошибки в них.
Что такое персональные данные
Персональные данные — это совокупность сведений о человеке. Поэтому просто имя — Марина, например — единицей персональных данных не считается. Его недостаточно, чтобы идентифицировать конкретную Марину среди других Марин и не Марин тоже.
А вот если к имени присоединятся другие сведения — только фамилия, только номер телефона, только адрес электронной почты, только ссылка на аккаунт в социальной сети – то речь пойдет уже о единице персональных данных (ПД), так как дополнительная информация позволяет идентифицировать конкретного человека.
Примеры:
«Марина, +70000000000» — это единица ПД.
«Марина, marinamarinina93ivanova.@аааааа.ru» — это единица ПД.
Адрес электронной почты, особенно если в нем читаются имя и/или фамилия и год рождения тоже могут считаться единицей персональных данных. В этом виде она содержит достаточно информации, чтобы понять, о ком именно идет речь.
Фактически если у вас есть сведения о человеке, которые позволяют его идентифицировать, вы являетесь оператором ПД.
ОператорПД — любой, кто как минимум собирает и хранит данные. Чтобы быть им, необязательно работать с информацией каким-то особенным методом. Достаточно просто узнавать ее и фиксировать.
Персональные данные на сайте
На вашей онлайн-площадке есть простая форма обратной связи? Тогда вы — оператор персональных данных и должны выполнять требования законодательства.
Да, даже если просите посетителя указать только имя и номер телефона, чтобы перезвонить. Получить согласие на обработку персональных данных все равно необходимо: без нее работать с ПД нельзя.
Как сделать согласие на обработку персональных данных на сайте
Универсального шаблона документа не существует, поэтому придется создавать собственный вариант. Посмотрите на это с позитивной стороны: в тексте согласия на обработку персональных данных для сайта вы сможете прописать именно то, что актуально в вашей ситуации.
Предостережение: я просто обязана вам напомнить, что копировать чужие согласия на обработку ПД и другие документы из Сети — дело неблагодарное. За чужие ошибки придется платить своим рублем.
В согласии на обработку персональных данных на сайте укажите:
Полное наименование компании, ее юридический адрес, ОГРН и ИНН.
Адреса сайтов, собирающих, хранящих и обрабатывающих данные. Пропишите наименование протокола (http или https), сервера (www), домена, имени каталога на сервере и имени файла веб-страницы. Иными словами, от вас требуется полная ссылка.
Цели сбора данных. Самая популярная цель — информирование пользователя. Оно может выполняться посредством отправки электронных писем и СМС.
Список ПД, которые вы собираете. Данные должны быть релевантны цели сбора. Если ваша цель — информировать клиента по электронной почте о поступлении товара в продажу, то требовать оставить домашний адрес и номер телефона незаконно: это будет избыточной информацией.
Список действий по работе с ПД. Здесь придется честно признаться, что именно вы собираетесь делать со сведениями. Кстати, для экономии времени можете воспользоваться этим перечнем и выбрать подходящие варианты: собирать, записывать, систематизировать, накапливать, хранить, уточнять (обновлять, изменять), извлекать, использовать, передавать (предоставлять доступ), обезличивать, блокировать, удалять, уничтожать.
Срок действия согласия пользователя. Укажите, в течение какого времени данное посетителем сайта согласие будет актуально.
Условия отзыва согласия на обработку персональных данных вашим сайтом. Здесь пропишите, какие действия нужно выполнить пользователю, чтобы отозвать согласие на обработку персональных данных. Например, написать письмо на вашу электронную почту или направить письменное требование в свободной форме на почтовый адрес вашей организации.
Важно, чтобы все, что вы указываете в форме согласия на обработку персональных данных, не противоречило ФЗ-152 «О персональных данных».
Как и в статье про оферту, я поделилась базовой структурой согласия на обработку персональных данных. Написать согласие простым и понятным для рядового пользователя языком мало. Нужно разместить документ на сайте. Обычно он прикрепляется в виде отдельного файла на каждой странице сайта, где вы собираете персональные данные. Не забудьте об этом, иначе колоссальная работа будет выполнена зря — Роскомнадзор выпишет штраф, если не найдет Согласия на вашей площадке.
Штрафы за неправильную работу с персональными данными на сайте
В начале статьи я говорила, что штрафы за неправильную обработку персональных данных теперь могут ударить по кошельку не только начинающего, но и крупного предпринимателя.
Пока подобных случаев немного, поскольку Роскомнадзор для начала направляет уведомление о необходимости исправить нарушения. Их приходит много: постоянные читатели Телеграм-канала неоднократно рассказывали о таких письмах. Большинство владельцев бизнеса быстро реагируют и исправляют недочеты. Разумеется, ситуация не из приятных, и стресса она приносит достаточно.
Но есть и немало других случаев, когда из-за работы с ПД компанию могут оштрафовать.
Например, с «Яндекс.Еды» взыскали 5 000 рублей в пользу клиента в качестве компенсации морального вреда. Суть дела в том, что сотрудник «Яндекс.Еда» слил в открытый доступ информацию о заказах, чем нарушил требование законодательства о безопасном хранении и использовании сведений. Клиент нашел данные в интернете, обратился в суд и выиграл его.
Я не устану напоминать, что нужно следить за безопасностью обработки ПД, и обучать сотрудников правилам их обработки. Тем более в скором времени должны принять закон об увеличении размера штрафов за утечку персональных данных.
Согласие на получение рекламной рассылки
С согласием на обработку персональных данных на сегодня закончу, однако тему соглашений на этом не закрою. На повестке дня согласие на получение рекламной рассылки. Я упоминала его выше в контексте получения согласия на обработку ПД на сайте. Поэтому предлагаю разобраться и с ним тоже.
«Оно вшито в мою оферту, а оферта на сайте», — подумает предприниматель и поспешит закрыть эту статью, обрадовавшись, что добрую ее часть можно не читать. Он ошибается: рано или поздно ФАС отправит ему штраф. Если вы это прочитали, значит, у вас есть все шансы избежать такой же участи.
Согласие на получение рекламной рассылки недействительно, если оно вшито, вклеено или вставлено в любой документ. Оно всегда должно быть самостоятельным элементом вашего сайта.
Образца типового согласия на получение рекламной рассылки не будет, но будет инструкция, как написать этот документ самому::
Начните с формулировки наподобие: «Я выражаю согласие [название, адрес, ИНН и ОГРН вашей компании] на получение мною рекламных сообщений…».
Добавьте способы получения рекламных рассылок: «…по электронной почте, посредством СМС-сообщений». Выберите либо допишите все подходящие варианты.
Пропишите подтверждение того, что пользователь верно указал информацию о каналах связи с ним, а эти каналы связи действительно принадлежат ему. Например: «Я гарантирую, что внесенные мною на Сайте номера телефонов, адреса электронных почт, ссылки на профили в социальных сетях принадлежат мне» — выберите или допишите необходимое. Затем добавьте формулировку по типу: «В случае прекращения использования указанных каналов связи я обязуюсь уведомить об этом руководство компании, которой принадлежит настоящий сайт».
Пропишите условия отказа от рекламной рассылки на сайте: «Я согласен с тем, что рекламные сообщения направляются мне до момента моей отписки от их получения посредством нажатия на специальную кнопку «Отписаться от рассылки» / направления письма об отказе получения рассылки на адрес электронной почты компании» — выберите подходящий или добавьте свой вариант.
Пропишите срок действия соглашения на получение рекламной рассылки на сайте: «Согласие на получение рекламных сообщений действительно в течение всего времени до момента моего отказа от их получения, описанного в пункте 4».
Не забывайте, что с 17.04.2024 штрафы за направление рекламной рассылки без предварительного согласия от получателя:
для индивидуальных предпринимателей — от 20 000 до 100 000 рублей;
для юридических лиц — от 300 000 до 1 000 000 рублей.
Теперь важно правильно разместить соглашение на получение рекламной рассылки на сайте: об этом есть несколько постов в телеграм-канале Юристы о бизнесе | Legal Up. Искренне рекомендую почитать: пишем нечасто и только о важном.
Судебных решений по штрафам за рекламную рассылку довольно много.
Чаще всего получатели рекламных рассылок жалуются в ФАС. Показательный пример – дело ПАО «МегаФон», которое рассматривалось летом 2024 года.
Суть: ПАО «МегаФон» привлекли к ответственности, УФАС назначило штраф 300 000 рублей, но суд его отменил, так как на момент совершения «МегаФоном» правонарушения действовали еще старые «тарифы» по штрафам за рекламную рассылку.
Будьте внимательны при составлении и правке документов и учитывайте индивидуальные особенности своих бизнесов. К сожалению, в рамках публикаций я не могу охватить значимые нюансы разных отраслей. Но готова рассмотреть вашу ситуацию отдельно и оказать правовую помощь не только при составлении, но и при внедрении документов.
Комментарии (52)
ganzmavag
01.12.2024 11:37TL;DR
штрафы за неправильную обработку персональных данных теперь могут ударить по кошельку не только начинающего, но и крупного предпринимателя
Например, с «Яндекс.Еды» взыскали 5 000 рублей в пользу клиента в качестве компенсации морального вреда.
ifap
01.12.2024 11:37Вы путаете административный штраф с возмещением морального вреда в гражданско-правовом порядке. Хотя Ваш пафос понимаю и разделяю.
ganzmavag
01.12.2024 11:37Я всего лишь комментирую текст. Прочитайте сами этот фрагмент:
Но есть и немало других случаев, когда из-за работы с ПД компанию могут оштрафовать.
Например, с «Яндекс.Еды» взыскали 5 000 рублей в пользу клиента
Тут вообще в целом автор пугает огромными штрафами, уверенно пишет, что ФАС точно придёт к каждому, у кого есть форма обратной связи, при этом из реальных примеров за весь огромный текст только эти 5000 рублей. Зато на эмоции не поскупились.
ifap
01.12.2024 11:37Mea culpa! Автор и впрямь избыточно оптимистичен, что объяснимо: лучший клиент - пуганый клиент. С другой стороны, под лежачий камень вода не течет: представьте что за ту утечку на Я.Е подал бы хотя бы каждый сотый потерпевший. 5к (+ судебные) х N получаем мама не горюй.
Wesha
01.12.2024 11:37Так это ж адвокатская контора какая-то. Не
обманешьнапугаешь клиента — не продашь (свои услуги, всего $100500 без СМС и регистрации).
Airrr
01.12.2024 11:37А НЕ собирать направо-налево данные не пробовали? Бороться с причиной, а не следствием.
80% всех данных вообще можно не собирать. Плюс ввести ответственность за не_удаление их.
Заказал человек посылку\еду\билет - через неделю-месяц стереть нафиг эти данные.
Зачем их хранить?
jack_lark
01.12.2024 11:37ПДн по билетам на межгород коллекционирует Минтранс. возможно делится с МВД, КГБ и черт знает еще с кем. транспортники обязаны ПДн в Минтранс сливать, а потом могут у себя удалять, уже ни на что не влияет.
по сайтам план такой:
2.1. убираем "форму для обратной связи".
2.2. вместо нее ставим контакты: e-mail в виде mailto, whatsapp, telegram. кому надо тот пусть пишет письма и сообщения. кому не надо пусть проходит мимо.
2.3. убираем форму согласия на сбор ПДн.
2.4. на этом все, подводных камней я не вижу, затраты около нуля.
Wesha
01.12.2024 11:37whatsapp, telegram
Предлагаете енти Ваши ПДн напрямую иноагентам сливать? /s
jack_lark
01.12.2024 11:37уже слили.
запретите wa/tg в РФ на этом основании и посмотрим что будет. мне даже интересно.
Wesha
01.12.2024 11:37Уже слили
Простите, не могли бы Вы развернуть вот эту вот мысль поподробнее? А то тут есть варианты.
hint000
01.12.2024 11:37Глава Ростелекома об этом заявил публично:
https://www.vedomosti.ru/technology/news/2024/11/19/1075948-glava-rostelekoma
strvv
01.12.2024 11:37А он, такая няшка, не причем, как и сбер и куча других контор, которые собирали, на всякий случай, всё что под руку придется. Вдруг понадобится.
Для их бигдата или LLM или ещё какой-либо фигни. Профсоюзы и прочие приземлённые организации уже лет 5 уничтожают старые данные в начале нового или в конце старого года, а эти бедняжки не могут определиться наТБм зачем им наши избыточные данные, большую часть которых они собирают не спрося у нас разрешения и откуда только не тянут.
Как и куча банков с 0выми счетами с 0 процентов и 0 оплаты, чтобы ваши данные формально они могли сохранить и дальше и открывают их когда закрываешь все сношения с данными говноконторами по продажам воздуха, дорого.
5Coins
01.12.2024 11:37А если человек просто регистрируется на сайте? Ник для форума и email в качестве логина. Поля для имени и фамилии есть, но необязательные (при заходе через соцсети они, правда, заполняются автоматом) — это уже персональные данные? Когда обязательные только никнейм и email?
salnicoff
01.12.2024 11:37А тут сами надзоры не могут решить, является это П.Д. или нет.
strvv
01.12.2024 11:37Общедоступные ПДн, 4 класс. То что пользователь формально сообщил всему миру, не защищается и низкий уровень ущерба. 1119 пп и 21 приказ ФСТЭК
rsashka
01.12.2024 11:37Так во всех соцсетях регистрируешься под своим реальным именем (по крайней мере этого они требуют), что формально соответствует вашему (точнее ФСТЭК) определению об общедоступности и сообщении о себе всему миру. Но ведь это не означает, что после этого ваши данные перестали требовать защиты?
salnicoff
01.12.2024 11:37Не факт, что это вообще П.Д. E-mail не идентифицирует человека, он может быть корпоративным на несколько сотрудников. Равно как и ник на каком-нибудь форуме.
alexey-simf
01.12.2024 11:37А если "корабль" назвать иначе?
"Номер телефона" + "форма обращения" + "дата, в которую вы хотите получать дополнительную скидку" - это является персональными данными?
Пример: "+7 999 000 11 22", "Мальчик Вова", "01-01-2024"Wesha
01.12.2024 11:37Номер телефона" + "форма обращения" + "дата, в которую вы хотите получать дополнительную скидку"
Пример: "+7 999 000 11 22", "Мальчик Вова", "01-01-2024"(Восхищённо:) Господа, а этот соображает!
Shaman_RSHU
01.12.2024 11:37А никого не смущает, что ПДн содержатся в поле "Субъект|Subject" сертификата? Я имею ввиду ГОСТовые сертификаты, которые нужны для юридически-значимого электронного документооборота.
Открытая часть доступна всем участникам обмена и содержит:
ФИО, СНИЛС, ИНН, адрес регистрации...
Обработка ПДн производится автоматически, где работает криптография, но никто никаких согласий у субъекта не берёт
salnicoff
01.12.2024 11:37Это, скорее всего, подведут под общедоступные в силу закона данные. Например, директор любой организации указан в выписке по юрлицу. Не хочешь разглашения — не становись директоров.
Shaman_RSHU
01.12.2024 11:37Я говорю не про директора организации (не про ЭП, которые выдает УЦ ФНС).
Тут речь про ЭП физических лиц (оставим за рамками вопрос зачем обычному физику ЭП - государство всё больше создаёт трудностей, чтобы без ЭП не обойтись).
Получается, что ПДн физика содержится в сертификате. Расхождение между требованиями 63-ФЗ "Об ЭП" (вернее Приказа ФСБ №795) и 152-ФЗ "О ПДн", хотя у нас везде сплошь и рядом расхождения в подзаконных актах, разрабатываемых разными ведомствами.
salnicoff
01.12.2024 11:37А тут сделали то же самое. Хочешь быть директором — твои данные станут публичными, хочешь иметь цифровую подпись — они тоже станут публичными. А публичные данные не защищаются. Дальше, может, с недвижимостью такое сделают — имеешь квартиру, значит, согласился на публичность своих данных...
Shaman_RSHU
01.12.2024 11:37Вывод то все равно один - все труднее и труднее сохранять приватность своих данных
ky0
Технически, даже полного ФИО, даты рождения и адреса проживания недостаточно - у Марины может быть сестра-близняшка. Только уникальные нерасшаренные номера (почта и номер телефона тоже могут быть общими).
ganzmavag
Сестра-близняшка с таким же именем?
ky0
Ну, конечно - мы же теоретизируем. Теоретически этот набор данных может привести "не к тому" человеку? Может. Значит под определение ПД из закона ("любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу") оно технически не подходит.
Я понимаю, что законотворцы не про чёткие определения, но пусть тогда хотя бы проведут грань - сколько человек должно попасть в выборку? Указание конкретного подъезда дома, в котором живут 10 Марин - это ПД? А просто дома, в котором - 25?
rsashka
Как в анекдоте, "теоретически мы миллионеры ...?"
Думаю, что если информация приводит к конкретному заявителю, то будет уже не важно, есть ли у нее сестра близняшка или нет.
vlzh92
Важно не то, как вы себе объясняете этот закон, а то как им пользуется РКН и ФАС. Их логика и изложена
Wesha
То есть если я в эту простую форму обратной связи введу "Магазин, убей сибя апстену","Злой Покупатель","+7-495-123-4567", то это мои персданные и их нужно защищать? Ну ОК.
(Тут вопрос не в том, что "не надо защищать", а что не надо просить того, чего не надо. Зачем, например, магазину в "простой форме обратной связи" знать имя?)
salnicoff
Тут начинают всплывать всякие законы по работе с обращениями граждан, которые исключают анонимное обращение.
Wesha
Так то ж для органов власти. С каких пор магазин стал органом власти?
salnicoff
59-ФЗ — это про органы власти, согласен. А кроме него есть еще куча всяких пунктов в законах. Например, вернуть деньги за некачественный товар анониму нельзя.
Wesha
Неправда ваша, дяденька Биденко: деньги за некачественный товар анониму великолепно возвращаются — если он докажет, что он этот товар а) действительно купил, б) в Вашем магазине, путём предъвления а) собственно некачественного товара (в тяжёлых случаях — остатков устройства, упаковки продукта), и б) кассового чека.
salnicoff
Для возврата денег нужно заполнять расходный кассовый ордер, и бухгалтерия потребует Ф.И.О. и номер паспорта. :-(
Heggi
Это если возвращается налом. А если на карту - то не надо (возвращал пару раз товар в ДНС, паспортные данные не требовали, просто переводили на карту)
salnicoff
На карту — да, потому что банк получателя знает.
Wesha
Это что, если Вы возвращаете кусок тухлой колбасы, за которую вы выложили четвертную купюру, Вас тоже просят паспорт предъявить??? «Дикари, плакать хочется!» ©
salnicoff
Сам возврат паспорта не требует. Паспорт нужен для выдачи денег. См. приказы по оформлению первички и по кассовым операциям.
Wesha
Когда я отдавал деньги магазину, шой-то моим паспортом никто не интересовался.
salnicoff
Есть такое. Исторически сложилось. В СССР нужно было контролировать отток денег — чтобы не расхищали социалистическую собственность. Потому и появиласть форма расходника с Ф.И.О. и паспортными данными. Потом начали давить на уже частный бизнес со стороны налоговой, которая в каждом расходовании денег видела схему уклонения от налога на прибыль, поэтому получателей денег велено было идентифицировать (а прием оставить анонимным, потому что это прием). А затем горе-бизнесмены решили, что чем больше персональных данных, тем лучше — и сами стали требовать Ф.И.О. при каждом чихе.
hint000
Незаконно потребует, о том и речь. И задолго до нынешнего ФЗ можно было возмущенным тоном спросить на каком основании они требуют паспорт (хотят получить ПД) (честно Ф.И.О. назвать - не проблема для меня, возмущение именно о паспорте). Распоряжение директора магазина таким основанием не могло быть. В подобной ситуации продавцы удивлённо переглянулись, но, не найдя убедительного ответа, оформили возврат без паспорта.
Это в целом работающий метод в случае явно незаконных требований - спрашивать обоснование.
mzal
Если это наличные, то задолго до нынешнего ФЗ можно было ответить на этот возмущенный тон, что порядок ведения кассовых операций установлен не директором магазина а Банком России. После этого покупатели, удивленно переглядываясь, заполняют заявление с паспортными данными.
Wesha
Слабаки эти ваши покупатели. «Мои персданные? Over my dead body. Назовите документ, страницу, параграф, где такое написано!» Если называют — требуете показать. «То есть как это — „у вас нету“: вы ведёте бизнес и сами не знаете, как правильно???»
Ещё люблю всякие анкеты, где требуют «номер телефона». Пишу от балды, на все претензии заявляю «а тут не написано, что это должен быть „МОЙ номер телефона“!»
NAI
с тех что если организация осуществляет публично значимые ф-ции (п.4 ст.1 59 ФЗ) то она обязана его соблюдать. Четких критериев публично-значимости нет, т.е. все зависит от суда, гуглится много дел где одних признают публично значимыми, а других нет
jack_lark
я всегда считал, что принятие решения "брать в работу анонимное обращение или игнорировать" - на усмотрение должностного лица, т.к. прямого запрета работать по онанимным обращениям нет.
salnicoff
Прямого запрета для коммерческих организаций нет. Но на практике почти всегда надо давать ответ не анониму, что требует обработки персональных данных. :-(
Wesha
Дайте мне пример любого use case — и я Вам расскажу, как его можно решить без ПД.
salnicoff
Я тоже могу рассказать — можно везде писать левые данные, благо сверять с базой паспортов или «Госуслугами» пока не требуют.