Закон о персональных данных появился в 2006 году. Однако его положения до недавних пор были не совсем ясны, исполнялись факультативно (читать — по желанию). Несколько лет назад контрольным органом, отвечающим за соблюдение 152-ФЗ, стал Роскомнадзор (РКН). Эти ребята шутить не любят. Проверки участились, а штрафы увеличились. Теперь за несоблюдение требований можно «влипнуть» на круглую сумму (раньше штраф составлял несколько тысяч рублей, сейчас речь идет о десятках тысяч и даже сотнях).
На особом положении, не в самом лучшем смысле этого слова, оказались владельцы сайтов. Они обязаны получить разрешение на обработку персональных данных в РКН. В противном случае стоит поздороваться с серьезными проблемами.
Меры пресечения ужесточаются, но для многих 152-ФЗ до сих пор остаётся детской бабайкой, из которой выросли и не страшно. Те, кто работает с персональными данными, стали вести себя как отличники-подлизы — сделали вид, что все поняли и «состряпали» отписку в виде политики в отношении работы с персональными данными. В число таких хитрецов вошел jivosite (живосайт) — популярный онлайн-консультант для сайта. Но обо всем по порядку.
Персональные данные — что это и как с ними работать?
Грубо говоря, персональные данные (ПДн) — это информация о личности, позволяющая ее идентифицировать. К ним относятся имя, адрес, номер телефона, фактический или юридический адрес и т.д. Список довольно обширный, зависит от целей сбора.
Организовать сбор ПДн и их обработку может официально зарегистрированный оператор. Процедуру регистрации нужно пройти в РКН. Результатом обращения станет внесение в открытый реестр.
Случаев, когда может понадобиться сбор этих сведений много: трудоустройство на работу, получение медицинских, образовательных услуг, покупка через интернет и т.д. Во всех случаях нужно получить согласие на обработку персональных данных гражданина.
Если у вас есть сайт
Владельцы сайтов, собирающие сведения о личности должны быть зарегистрированы, как операторы. Либо обратиться за помощью к третьим лицам, уже внесенным в реестр. Для этого заключается пользовательское соглашение.
Идеально:
- Форма обратной связи, размещенная на сайте, содержит текст «Нажимая на кнопку НАЗВАНИЕ, я согласен на обработку персональных данных». К тексту прикрепляется активная ссылка на сам документ. Это можно сделать в настройках, при создании формы.
- В открытом доступе размещен локальный приказ «Политика в отношении обработки персональных данных».
- Местоположение сайта — РФ. Роскомнадзор проверит это простым запросом.
- Указан адрес электронной почты, куда пользователи могут обратиться с просьбой об удалении или блокировке ПДн.
- Компания (владелец сайта) является оператором ПДн либо действует через третьих лиц, внесенных в реестр РКН.
Чем опасна утечка?
Рассмотрим этот вопрос не со стороны бизнеса, а со стороны человека. В своем большинстве мы активные пользователи интернета. «Скачем» от страницы к странице, бездумно оставляя галочки согласия. Недобросовестные предприниматели «сливают» клиентские базы, с целью дополнительного заработка. И начинается: «Здравствуйте, мы хотели бы предложить вам услуги центра, о котором вы никогда не слышали, не разрешали вам звонить, но послушайте». Это не самое страшное, хоть и жутко нервирует. Уже сейчас зафиксирован рост утечки ПДн через социальные сети и другие источники. Сведения попадают в руки мошенников. Это чревато финансовыми потерями и прочими неприятностями.
Соблюдение политики конфиденциальности — это не пустой звук. Речь идёт об информационной безопасности граждан. Ужесточение 152-ФЗ не несёт цели «задавить» бизнес. Цель — защитить граждан.
Нарушение у Jivosite
Jivosite — популярный онлайн-консультант. Им пользуется большинство владельцев сайтов, которым необходима форма обратной связи.
Давайте рассуждать логически: сервис, по сути, помогает владельцам сайтов консультировать клиентов, упрощает связь с ними. То есть в данном аспекте jivosite является тем самым третьим лицом, о котором мы говорили в начале. В идеале зарегистрированы в РКН должны быть и владелец сайта и онлайн-консультант. Если для владельцев сайта есть некоторые лазейки, то для онлайн-консультанта — это обязательное требование.В противном случае, всю ответственность перед перед государственными органами за соблюдение закона несет в первую очередь владелец сайта, так как именно на его странице собираются ПДн.
Проверяем. Сделать это можно на сайте Роскомнадзора. В идеале, ссылка на страницу проверки должна быть размещена на сайте оператора, если он на самом деле таковым является. У jivosite ссылки нет.
На сайте РКН вбиваем ИНН онлайн-консультанта. Результатов нет, а следовательно они не внесены в реестр. Jivosite не гарантирует сохранность персональных данных. Собирать, обрабатывать и проводить иные работы с ПДн они не имеют право.
Надо отдать этим ребятам должное — иллюзию соблюдения 152-ФЗ они создали. Jivosite в открытом доступе разместили локальный приказ «Политика в отношении обработки ПДн». Это хорошо, но без регистрации в РКН, это «филькина грамота».
Таким образом они подставляют и себя, и своих клиентов. Jivosite получает «пятерку» за изобретательность и жирную «двойку» за не совсем законное использование персональных сведений.
А клиенты Jivosite должны сейчас же обратиться в Роскомнадзор. В противном случае их оштрафуют по полной программе. Аргумент «Мы думали Jivosite — оператор» в данном случае не прокатит. Незнание не освобождает от ответственности.