Жаров оштрафует сам себя?
06.02.2020 14:13
Роскомнадзор
[руководитель — Александр Жаров] оштрафовал компанию, на сайте которой была форма обратной связи, обвинив ее в отсутствии соглашения о конфиденциальности и выраженного согласия пользователей на сбор данных. По такому критерию под штрафные санкции можно подвести множество компаний, в том числе иностранных, на сайтах которых есть такая форма.
В качестве примера он приводит «Тамбовскую городскую юридическую компанию» [Александра Аникеева и Сергея Кузнецова], оштрафованную Роскомнадзором за наличие на сайте формы обратной связи. Подписчики Бородкина вспомнили в комментариях похожие случаи: в начале 2017 г. за наличие такой формы уплатили штрафы несколько компаний из Астрахани.
Если оштрафовать все поголовно сайты, которые используют форму обратной связи, под удар попадут не только российские, но и зарубежные компании. Как отмечает Бородкин, на сайте самого Роскомнадзора тоже есть такая форма, без галочки о согласии на обработку данных. То есть, ведомство должно оштрафовать само себя. Кроме того, если относиться к сведениям в таких формах, как к персональным данным, тогда их следует хранить как персональные данные, в соответствии с законодательством РФ. По мнению Бородкина, в таком случае сайтам будет проще отказаться от форм обратной связи, что повредит бизнесу.
В пример Бородкин приводит инцидент с «Тамбовской городской юридической компанией», произошедший летом 2016 г. Местный филиал Роскомнадзора выписал компании штраф на сумму 1 тыс. руб. за то, что на ее сайте была форма обратной связи. Форма состояла из трех пунктов: имя, тема сообщения, текст сообщения. Графа «Имя» была помечена как необязательная для заполнения. Соглашения о конфиденциальности к форме не прилагалось, галочки о согласии пользователя не было.
ТГЮК посчитала штраф несправедливым и обратилась в суд, где попыталась доказать, что этих данных недостаточно для идентификации личности. Однако в октябре 2016 г. суд вынес решение не в пользу компании, и штраф остался в силе. Если данные такого характера были признаны персональными, то под это же определение можно подвести информацию, например, из поисковой строки «Яндекса», считает Бородкин.
Одна из наказанных компаний занимается строительством и продает на своем сайте квартиры. Форма обратной связи, по словам сотрудников, используется самая примитивная — она запрашивает имя и телефон, чтобы компания могла перезвонить потенциальному клиенту. Из этих двух пунктов к персональным данным относится имя, однако имя пользователь может ввести произвольное.
Астраханских юристов и журналистов насторожил тот факт, что названия всех оштрафованных компаний начинались на букву «а». Местные СМИ высказали предположение, что компании подвергались наказанию по алфавитному списку.
«Если тенденция продолжится, то мы станем свидетелями настоящей гражданской войны в Интернете — конкуренты наперебой будут стучать друг на друга за незакрытые галками поля для ввода», — пояснил Бородкин. Он рекомендует компаниям «на всякий случай навесить на формы обратной связи все требуемые Роскомнадзором поля». К этой практике собирается прибегнуть и его компания. Однако дополнительные галки и соглашения загромождают интерфейс, считает Бородкин, что приводит к неудобству для пользователя и, как следствие, негативно влияет на бизнес. Он советует «прилагать все силы, чтобы об этой насквозь дурацкой ситуации узнали лица, принимающие решения «наверху» — и помогли скорректировать ситуацию в нужную сторону».
Роскомнадзору он предлагает «так или иначе скорректировать/пояснить определение персональных данных». Сейчас под этим понятием понимается «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». «Все проблемы начинаются от слова «косвенно определенному», потому что под это можно притянуть любую информацию о пользователе вплоть до цвета его пиджака», — уверен Бородкин. Также он рекомендует ведомству «выпустить четкий перечень требований, которому должны соответствовать сайты».
В октябре 2016 г. Тамбовская городская юридическая компания (ТГЮК) не смогла оспорить в областном суде решение мирового судьи: тот счел, что компания нарушает закон, собирая с заполнивших форму на ее сайте персональные данные, а предусмотренной законом защиты не предлагает. [...]
В форме по умолчанию запрашивается подлинное имя, уверен представитель Роскомнадзора Вадим Ампелонский, а сочетание имени и электронной почты уже является персональными данными.
Клиент мог ввести в форму обратной связи вымышленное имя, но смысл решения тамбовского суда в том, что кто-то мог ввести и истинные — и в таком случае клиент имеет право знать, как будут обрабатываться его данные, рассуждает партнер юридической фирмы Baker & McKenzie Эдуард Бекещенко.
В России нет прецедентной системы, но другие судьи будут ориентироваться на решение, что чревато рисками для других компаний с аналогичным состоянием защиты персональных данных, уверен основатель юридической компании «Катков и партнеры» Павел Катков. В последнее время Роскомнадзор действует по единым сценариям проверок, по его представлению прокуратура возбуждает административные дела, а суды в большинстве случаев соглашаются с их доводами, говорит управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников.
Нарушителям грозит административная ответственность: сейчас максимальное наказание для юрлиц — 10 000 руб. Но с 1 июля вступят в силу поправки в Кодекс об административных правонарушениях, увеличивающие наказание до 30 000 руб.
Однако гораздо более серьезной мерой является блокировка сайта — закон предусматривает ее возможность, указывает Катков.
Блокировку влечет решение суда об ограничении доступа, принятое по иску пользователя, Роскомнадзора или прокуратуры, но тогда именно с таким иском они и должны обращаться, уточняет Емельянников.
По его словам, фактически сайт можно закрыть за любое признанное судом нарушение законодательства о персональных данных.
Если штраф можно выплатить и работать дальше, то блокировка сайта может повлечь убытки из-за простоя деятельности, уверен Катков. Поэтому он советует провести технико-юридический аудит сайта и поискать подобные слабые места. Кроме того, он рекомендует проверить внутренние системы защиты персональных данных, поскольку Роскомнадзор может взяться и за внутренние документы.
Владельцам форм обратной связи, чтобы не быть оштрафованными, нужно брать согласие пользователя на обработку его данных, как того требует закон, говорит Ампелонский.
Емельянников советует размещать на сайте политику по обработке персональных данных, давать посетителям возможность соглашаться на обработку их данных. Он также рекомендует публиковать политику в отношении файлов cookies (в них браузер записывает данные о посещенных сайтах), включая их передачу аналитическим службам интернета. По словам Емельянникова, в последнее время Роскомнадзор считает персональными данные, полученные при анализе файлов cookies, IP-адреса пользователей и в целом все, что помогает сформировать профиль пользователя, достаточный для таргетирования рекламы. Отсутствие в профиле ФИО на это решение не влияет. Все эти документы Емельянников советует размещать на баннере, без закрытия которого согласием пользователя он не может продолжить пользоваться сайтом.
Рецепт Бекещенко из Baker & McKenzie: исключить из форм обратной связи все поля, которые хоть каким-то образом можно причислить к персональным данным (что зачастую лишает эту форму всякого смысла), либо, как требует закон, создать нужные документы и выложить их в открытый доступ.
В феврале астраханская газета «Волга» сообщала о компаниях, которые были оштрафованы за нарушавшую закон о защите персональных данных форму обратной связи. Был аналогичный случай и в Тюмени. Форма обратной связи есть и на сайте самого Роскомнадзора — например, желающим получить ответ на свое предложение по улучшению работы сайта предлагается оставить имя, фамилию и адрес электронной почты. По закону для обработки обращения в госструктуру согласие на обработку своих персональных данных не нужно, говорит Ампелонский.
Павел Кантышев
Источник: "Ведомости", 10.04.2017
Форма обратной связи
Компаниям, на чьих сайтах есть формы обратной связи, придется добавить к ним соглашение о конфиденциальности, а также начать спрашивать пользователей, согласны ли они на обработку персональных данных. Если соглашения и соответствующей галочки о согласии не будет, компанию может оштрафовать Роскомнадзор. К такому заключению пришел на своей странице в соцсети Facebook директор по продукту компании Notamedia Алексей Бородкин.
В качестве примера он приводит «Тамбовскую городскую юридическую компанию» [Александра Аникеева и Сергея Кузнецова], оштрафованную Роскомнадзором за наличие на сайте формы обратной связи. Подписчики Бородкина вспомнили в комментариях похожие случаи: в начале 2017 г. за наличие такой формы уплатили штрафы несколько компаний из Астрахани.
Если оштрафовать все поголовно сайты, которые используют форму обратной связи, под удар попадут не только российские, но и зарубежные компании. Как отмечает Бородкин, на сайте самого Роскомнадзора тоже есть такая форма, без галочки о согласии на обработку данных. То есть, ведомство должно оштрафовать само себя. Кроме того, если относиться к сведениям в таких формах, как к персональным данным, тогда их следует хранить как персональные данные, в соответствии с законодательством РФ. По мнению Бородкина, в таком случае сайтам будет проще отказаться от форм обратной связи, что повредит бизнесу.
Инцидент с ТГЮК
В пример Бородкин приводит инцидент с «Тамбовской городской юридической компанией», произошедший летом 2016 г. Местный филиал Роскомнадзора выписал компании штраф на сумму 1 тыс. руб. за то, что на ее сайте была форма обратной связи. Форма состояла из трех пунктов: имя, тема сообщения, текст сообщения. Графа «Имя» была помечена как необязательная для заполнения. Соглашения о конфиденциальности к форме не прилагалось, галочки о согласии пользователя не было.
ТГЮК посчитала штраф несправедливым и обратилась в суд, где попыталась доказать, что этих данных недостаточно для идентификации личности. Однако в октябре 2016 г. суд вынес решение не в пользу компании, и штраф остался в силе. Если данные такого характера были признаны персональными, то под это же определение можно подвести информацию, например, из поисковой строки «Яндекса», считает Бородкин.
Случаи в Астрахани
О том, что компании в Астрахани штрафуют за наличие на сайте формы обратной связи, местные СМИ сообщили в феврале 2017 г. Основание для штрафа было то же, что и в случае с ТГЮК — нарушение
закона о персональных данных. Сумма штрафа составляла 5-10 тыс. руб.
Одна из наказанных компаний занимается строительством и продает на своем сайте квартиры. Форма обратной связи, по словам сотрудников, используется самая примитивная — она запрашивает имя и телефон, чтобы компания могла перезвонить потенциальному клиенту. Из этих двух пунктов к персональным данным относится имя, однако имя пользователь может ввести произвольное.
Астраханских юристов и журналистов насторожил тот факт, что названия всех оштрафованных компаний начинались на букву «а». Местные СМИ высказали предположение, что компании подвергались наказанию по алфавитному списку.
Что делать?
«Если тенденция продолжится, то мы станем свидетелями настоящей гражданской войны в Интернете — конкуренты наперебой будут стучать друг на друга за незакрытые галками поля для ввода», — пояснил Бородкин. Он рекомендует компаниям «на всякий случай навесить на формы обратной связи все требуемые Роскомнадзором поля». К этой практике собирается прибегнуть и его компания. Однако дополнительные галки и соглашения загромождают интерфейс, считает Бородкин, что приводит к неудобству для пользователя и, как следствие, негативно влияет на бизнес. Он советует «прилагать все силы, чтобы об этой насквозь дурацкой ситуации узнали лица, принимающие решения «наверху» — и помогли скорректировать ситуацию в нужную сторону».
Роскомнадзору он предлагает «так или иначе скорректировать/пояснить определение персональных данных». Сейчас под этим понятием понимается «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». «Все проблемы начинаются от слова «косвенно определенному», потому что под это можно притянуть любую информацию о пользователе вплоть до цвета его пиджака», — уверен Бородкин. Также он рекомендует ведомству «выпустить четкий перечень требований, которому должны соответствовать сайты».
****
За нарушение закона о персональных данных сайт может быть заблокирован
В октябре 2016 г. Тамбовская городская юридическая компания (ТГЮК) не смогла оспорить в областном суде решение мирового судьи: тот счел, что компания нарушает закон, собирая с заполнивших форму на ее сайте персональные данные, а предусмотренной законом защиты не предлагает. [...]
В форме по умолчанию запрашивается подлинное имя, уверен представитель Роскомнадзора Вадим Ампелонский, а сочетание имени и электронной почты уже является персональными данными.
Клиент мог ввести в форму обратной связи вымышленное имя, но смысл решения тамбовского суда в том, что кто-то мог ввести и истинные — и в таком случае клиент имеет право знать, как будут обрабатываться его данные, рассуждает партнер юридической фирмы Baker & McKenzie Эдуард Бекещенко.
В России нет прецедентной системы, но другие судьи будут ориентироваться на решение, что чревато рисками для других компаний с аналогичным состоянием защиты персональных данных, уверен основатель юридической компании «Катков и партнеры» Павел Катков. В последнее время Роскомнадзор действует по единым сценариям проверок, по его представлению прокуратура возбуждает административные дела, а суды в большинстве случаев соглашаются с их доводами, говорит управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников.
Нарушителям грозит административная ответственность: сейчас максимальное наказание для юрлиц — 10 000 руб. Но с 1 июля вступят в силу поправки в Кодекс об административных правонарушениях, увеличивающие наказание до 30 000 руб.
Однако гораздо более серьезной мерой является блокировка сайта — закон предусматривает ее возможность, указывает Катков.
Блокировку влечет решение суда об ограничении доступа, принятое по иску пользователя, Роскомнадзора или прокуратуры, но тогда именно с таким иском они и должны обращаться, уточняет Емельянников.
По его словам, фактически сайт можно закрыть за любое признанное судом нарушение законодательства о персональных данных.
Если штраф можно выплатить и работать дальше, то блокировка сайта может повлечь убытки из-за простоя деятельности, уверен Катков. Поэтому он советует провести технико-юридический аудит сайта и поискать подобные слабые места. Кроме того, он рекомендует проверить внутренние системы защиты персональных данных, поскольку Роскомнадзор может взяться и за внутренние документы.
Владельцам форм обратной связи, чтобы не быть оштрафованными, нужно брать согласие пользователя на обработку его данных, как того требует закон, говорит Ампелонский.
Емельянников советует размещать на сайте политику по обработке персональных данных, давать посетителям возможность соглашаться на обработку их данных. Он также рекомендует публиковать политику в отношении файлов cookies (в них браузер записывает данные о посещенных сайтах), включая их передачу аналитическим службам интернета. По словам Емельянникова, в последнее время Роскомнадзор считает персональными данные, полученные при анализе файлов cookies, IP-адреса пользователей и в целом все, что помогает сформировать профиль пользователя, достаточный для таргетирования рекламы. Отсутствие в профиле ФИО на это решение не влияет. Все эти документы Емельянников советует размещать на баннере, без закрытия которого согласием пользователя он не может продолжить пользоваться сайтом.
Рецепт Бекещенко из Baker & McKenzie: исключить из форм обратной связи все поля, которые хоть каким-то образом можно причислить к персональным данным (что зачастую лишает эту форму всякого смысла), либо, как требует закон, создать нужные документы и выложить их в открытый доступ.
В феврале астраханская газета «Волга» сообщала о компаниях, которые были оштрафованы за нарушавшую закон о защите персональных данных форму обратной связи. Был аналогичный случай и в Тюмени. Форма обратной связи есть и на сайте самого Роскомнадзора — например, желающим получить ответ на свое предложение по улучшению работы сайта предлагается оставить имя, фамилию и адрес электронной почты. По закону для обработки обращения в госструктуру согласие на обработку своих персональных данных не нужно, говорит Ампелонский.
Павел Кантышев
Источник: "Ведомости", 10.04.2017
