По сути, закон существовал и ранее, но никого не штрафовали, т.к. это было жутко неудобно даже для самого Роскомнадзора. Теперь же он может самостоятельно выписывать штрафы, якобы, даже за плохо оформленные формы обратной связи.
Звучит ужасающе, но я решил проверить как на самом деле будет действовать Роскомнадзор в случае отсутствия политики обработки персональных данных под формой обратной связи.
Исходные данные:
— Интернет-магазин с реальными физическими магазинами;
— Указаны юридические реквизиты в разделе контактов;
— Форма обратной связи содержит галочку и ссылку на «Политику обработки персональных данных», но по ссылке находится пустая страница;
— Поля стандартные: имя, телефон, текст сообщения;
— Владелец не зарегистрирован как оператор обработки ПД в Роскомнадзоре;
— Время проведения проверки: 20-е числа августа 2017 г.
Заявление в Роскомназдор составляется в элетронном виде. текст, к сожалению точно не сохранился, но примерное содержание:
Я хотел обратиться через форму обратной связи на сайте «таком-то» и заметил,
что политика обработки ПД у формы пустая. Опасаюсь за свои ПД, примите меры. Владелец не зарегистрирован как оператор обработки ПД.
Адрес сайта, адрес формы, адрес пустой политики ПД, реквизиты юр.лица на такой-то странице.Скриншоты с указанием что где.
Спустя чуть меньше недели поступил ответ.
38.1. Истечение срока исполнения Оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства Российской Федерации в области персональных данных.
38.2. Поступление в Службу или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации, в том числе о следующих фактах:
38.2.1. Возникновение угрозы причинения вреда жизни, здоровью граждан.
38.2.2. Причинение вреда жизни, здоровью граждан.
38.3. Приказ руководителя Службы или руководителя территориального органа Службы, изданный в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации, и на основании требования прокурора о проведении внеплановой проверки в рамках надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.
(в ред. ПриказаМинкомсвязи России от 08.10.2014 № 340)
38.4 — 38.5. Исключены. — ПриказМинкомсвязи России от 08.10.2014 № 340.
Краткая суть: Владелец сам решает, регистрироваться или нет. Внеплановую проверку провести не могут, т.к. нет на это оснований.
Вердикт:
— Получить штраф по жалобе конкурента нереально (что, кстати, меня лично радует), т.к. согласно Административному регламенту проверка может быть произведена толкьо при угрозе здоровью, а это в интернете весьма проблематично.
— Теоретически можно получить штраф при плановой проверке, но небольшой сайт, скорее всего, не заметят на общем фоне интернета.
P.S. Интернет-магазин не пострадал в ходе проведения эксперимента.
Комментарии (25)
paranoik
20.09.2017 13:02+3Если в соответствии со 152фз вы обратитесь в роскомнадзор о защите своих личных пересональных данных, получите отписку, несмотря на все то что в этом фз написано. При этом совершенно не сложно при необходимости найти нарушения 152фз практически у кого угодно.
Akuma Автор
20.09.2017 13:39Да, но именно по обращениям этот механизм не работает.
Я, честно говоря, думал, что будет наоборот. Впрочем, это даже к лучшем, т.к. иначе конкуренты завалили бы Роскомнадзор обращениями друг на друга.
Serge78rus
20.09.2017 17:20+1Значит конкуренты будут заваливать обращениями не роскомнадзор, а прокуратуру:
38.3. Приказ руководителя Службы или руководителя территориального органа Службы, изданный в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации, и на основании требования прокурора о проведении внеплановой проверки в рамках надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.
(в ред. ПриказаМинкомсвязи России от 08.10.2014 № 340)
san-x
20.09.2017 23:55Раскачать прокуратуру прицельно против конкурента (ну, так, чтобы действительно дело пошло туда, куда требуется, и не пошло туда, куда не требуется) — таки ресурсоемкая задача. А фз152 — далеко не самая мощная пуля. Если уж прикладывать усилия — то с бОльшим ущербом для противника.
РКН видится более "дешевым" спусковым крючком… но, как пока видно, оно так не стреляет. ну, хорошо, если так..
ideological
20.09.2017 13:40Меня самого оштрафовали (укажу сумму в комментариях)
А комментариев почему-то пока нету :)
vak0
20.09.2017 14:10Есть ли какой-то формальный критерий либо сложившаяся практика, какой набор полей формы обратной связи может быть истолкован как персональные данные? Ну, например, ник + e-mail, это ведь еще не ПД? А ФИО + номер паспорта — это уже наверняка ПД. Где проходит граница?
И второе. Как владельцы CRM-систем на практике решают вопрос с законодательством о ПД? Ведь данные о физ.лицах для CRM-систем часто собираются не только из форм обратной связи, где можно воткнуть ссылку на политику и галку, но и в ходе телефонных переговоров, личных встреч, поступают от третьих лиц, из сторонних источников и т.д.EnigMan
20.09.2017 15:38+1Ее нет, границы.
Согласно закону
персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
erwins22
21.09.2017 07:48-1мне говорили, что ФИО нет, а ФИО + дата рождения — да. так как последнее позволят однозначно определить.
EnigMan
21.09.2017 13:50+1Это точная цитата из закона. Все остальное это практика правоприменения. Если я ничего не путаю, считается, что однозначто идентифицирует человека связка ФИО+дата рождения+место рождения, и то, накладки случаются. «двойникам» в этом случае не позавидуешь.
erwins22
21.09.2017 13:57я о практике правоприменения.
т.е. в списках оставляли только ФИО убрав дату рождения.
Rohan66
21.09.2017 14:59+1На семинаре по ПД рассказали, что за «ник + e-mail» уже штрафовали.
ПДн — настолько широко и расплывчато определено в законе, что попасть можно на чём-угодно.
casphar
20.09.2017 17:05+2Закон о персональных данных — так ли страшен черт, как его малюют
Да, страшен. Сначала народу запихивают сучковатые черенки от лопат в не предназначенные для этого отверстия, а потом начинают рассказывать, что мол это полезно, да и сучки не такие большие. А со временем, мол, все привыкнут и вообще не будут эти черенки замечать. Тьфу!k0ldbl00d
21.09.2017 09:15-2Вы недооцениваете наш народ. Если черенки убрать, многие еще будут просить вернуть обратно.
helb
21.09.2017 09:59+1По поводу оснований. Честно говоря, даже стыдно за такие посты.
1. Политика на сайте размещается на усмотрение оператора ПДн. Оператор может предоставить неограниченный доступ к политике и иными путями. Например, вывесив у себя в офисе, или разместить на сайте текст, что политика предоставляется по запросу и т.д.
2. Имя и телефон? ПДн, если это Ваше имя и Ваш телефон.
А если каждый кто не дочитав ФЗ будет строчить регуляторам? Тогда Регуляторы будут 90% своего времени тратить на отписку всем недочитавшим, за которое мы же и платим из своих налогов.
ИТОГО
Не вижу оснований для обращения к Регулятору.
Вижу основания для повышения осведомлённости в освещаемой области.Akuma Автор
21.09.2017 10:021. Да, но он этого не сделал. Страница просто пустая.
2. Тут я немного не понял. Вроде бы без разницы чьи они. Они персональные (хотя тут спорный вопрос про имя + телефон). А если считать, что человек может предоставить не свои, то можно хоть паспорт запрашивать и говорить, что это не персональные данные.helb
21.09.2017 10:08А что он нарушил? Пустая и пустая… Они вправе делать на своем ресурсе всё, что не противоречит законодательству ) Это не основание для обращения к Регулятору, а тем более для внеплановой проверки. Могу безвозмездно проконсультировать более детально, в рамки комментариев не войдёт, да и против правил GT )
Akuma Автор
21.09.2017 11:57Верно. В данном случае — противоречит или нет вопрос спорный, т.к. что такое «персональные данные» не может ответить пока никто, т.к. закон написан неоднозначно.
Я считаю, что противоречит и обратился в соответствующий орган власти. В общем-то, они тоже так считают, судя по тому, что направили сайту запрос на добавление в реестр операторов обработки ПД.
erwins22
21.09.2017 17:20+1Вся эта бадья с персональными данными пришла из европы… Скажите спасибо Еврокомисии
neznae4ko
Кто то знает, есть ли хороший выверенный типовой текст политики обработки персональных данных?
san-x
Реально выверенный в мире всеобъемлющих и нечетких формулировок — это, как правило, означает "обкатанный на практике и обмазанный прецедентами за годи существования закона". Пройдут годы — будет выверенный текст.