Пет-проект и персональные данные: как соблюсти минимальные необходимые требования и не попасть на штрафы

Этой статьей я продолжу серию постов для тех, кто только собирается запускать свой интернет-проект. 

Вот тут можно прочитать первую часть о том, как выбрать форму для своей деятельности (самозанятый, ИП, ООО) и начать принимать платежи: Как монетизировать пет-проект: документы, платежи, касса.

Довольно сложно объяснить все законодательство о персональных данных в одной статье, поэтому в тексте есть упрощения и обобщения. Текст ориентирован на предпринимателей, а не на юристов и я постараюсь обойтись без большого количества отсылок к законодательству.

В отношении обработки персональных данных моя личная позиция следующая: в текущем виде российское законодательство представляется довольно избыточным (особенно, что касается отдельной процедуры регистрации в качестве оператора персональных данных и сбора согласия пользователя на обработку ПД). Но закон есть закон - нам необходимо его соблюдать. 

В материале мы рассмотрим следующие вопросы:

1. Что вообще является персональными данными

2. Что обязательно должно быть у вас на сайте (в вашем сервисе)

3. Как подать уведомление о начале обработки ПД в реестр РКН

4. Трансграничная передача персональных данных

5. Можно ли не соблюдать 152-ФЗ, если юр.лицо зарегистрировано не в РФ

6. Как передать или получить ПД для обработки от партнера

7. Что делать, если пришло уведомление от РКН

Что вообще является персональными данными

Проблема в том, что законодательство точно не устанавливает, какая именно информация однозначно относится или однозначно не относится к персональным данным. Судебная практика на этот счет тоже противоречива - например, есть судебные решения, которые указывают, что email пользователя - это персональные данные, другие решения - что он таковым не являются (и оба решения вынес Верховный суд РФ).

Для примера приведу вот такую таблицу, в которых собраны разные позиции ведомств (особенно здорово - температура тела и заработная плата) 

Моя позиция - считать персональными данными все данные, которые вы получили от пользователя (у него) или о пользователе (самостоятельно) и соблюдать минимальные требования 152-ФЗ. 

2. Что обязательно должно быть у вас на сайте (в вашем сервисе)

• Если у вас есть формы для регистрации, формы заявки (когда клиент оставляет свой номер, а вы ему перезваниваете), различные квизы (когда пользователь заполняет данные, а в конце оставляет свои контакты), если вы используете его номер телефона (ник в мессенджере для авторизации) - получите согласие пользователя на обработку его персональных данных.

• Согласие и политика обработки персональных данных - это 2 разных текста! РКН на это постоянно обращает внимание в своих требованиях в ходе мониторинга ресурсов.

Итак, для любой формы (не важно, как она реализована технически) делаем следующее:

• перед отправкой формы пользователь должен самостоятельно проставить галочку о согласии с обработкой ПД (по ссылке должен открываться текст согласия)

• галочка не должна быть установлена автоматически

• сохраняем логи (что пользователь согласился и поставил галочку)

• не согласен - форма не отправляется (нужно проверить, что данные не уходят)

• на сайте (ресурсе) должна быть в свободном доступе политика обработки персональных данных

Многие стандартные конструкторы (тильда, битрикс) в своих шаблонах содержат и согласие, и политику. Их можно использовать, но прочитайте текст - он должен быть понятным и вменяемым.

Вот пример политики у меня на сайте.

Вот пример согласия у меня на сайте.

Документы можно использовать как шаблон, только замените данные на свои (не копируйте не глядя, п. 2.3, 2.4, 3.2, 5.1., 8.4. Политики 1 абз., п. 4, 6, 8 согласия необходимо переработать под себя)

• Cookie-файлы и сервисы аналитики (метрики)

Коротко: на практике РКН и суды считаю обработку информации, собираемой при помощи куки, обработкой персональных данных, поэтому повесьте предупреждение, что вы их собираете и обрабатываете, отразите это в политике. Там же пропишите, что вы используете метрику (если используете).

• Фото сотрудников/клиентов, отзывы с реальными данными

Очень распространенная ситуация - блоки "О нас" с фотками команды или отзывы клиентов с их реальными фото. На это РКН постоянно обращает внимание при проверках!

Размещать их можно, но нужно (желательно) собрать у сотрудников/клиентов отдельное согласие на обработку персональных данных, разрешенных субъектом для распространения (шаблон откроется на Яндекс.Диске, его можно скачать, внести свои данные, проверить объем информации, который вы собираете и затем подписать у своих сотрудников (клиентов, партнеров). В открытом доступе размещать согласия не нужно - напишите на сайте, что согласия сотрудников получены, информация не подлежит копированию и распространению.

Еще один вариант: не использовать реальные фото, сокращать фамилию до инициала (например, Марина М., маркетолог). Хотя мы понимаем, что реальные фото вызывают намного больше доверия - поэтому лучше получить согласия.

3.Как подать уведомление о начале обработки ПД в реестр РКН

Если вы обрабатываете персональные данные (а вы их обрабатываете - даже если просто собираете, и сразу удаляете, даже если просто храните и ничего с ними не делаете), то вы должны уведомить РКН об обработке персональных данных.

Это относится ко всем - физическим лицам (кроме случаев, когда такая обработка производится исключительно для личных и семейных нужд), индивидуальным предпринимателям и юридическим лицам.

Подать уведомление можно на портале РКН. Исключения:

• данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

• данные обрабатываются в рамках исполнения законодательства по устойчивому функционированию транспорта

• данные обрабатываются без использования средств автоматизации (это может быть и информационная система, но без средств поиска и разграничения доступа). К такой обработке предъявляются отдельные требования, которые описаны в Постановлении правительства №687.

В уведомлении лучше сразу указать все цели обработки: персональные данные клиентов на сайте, сотрудников, потенциальных сотрудников (кандидатов).

4.Трансграничная передача персональных данных

• Если вы загружаете ПД клиентов в иностранные сервисы (Mailchimp, Notion, Trello, Google и т.д.) или если вы передаете ПД клиентов иностранным компаниям (например, для получения виз, покупки билетов, образования или поиска работы за рубежом) - вы осуществляете трансграничную передачу персональных данных.

• Недостаточно просто указать это в политике и в согласии - необходимо уведомить РКН до начала трансграничной обработки. Если вы не подавали такое уведомление - не указывайте трансграничку в политике (это готовый повод для штрафа).

• Уведомление о намерении осуществлять трансграничную передачу также подается на сайте РКН. Но прежде чем его подавать, вам нужно ознакомиться с Приказом 128 и Постановлением 24. Подавайте такое уведомление, только если вы хорошо понимаете, что делаете, а ваши документы по ПД проработаны.

• Если у вас небольшой проект, лучше рассмотрите альтернативы.

5.Можно ли не соблюдать 152-ФЗ, если юр.лицо зарегистрировано не в РФ

Частый вопрос от моих клиентов - можно ли не ориентироваться на 152-ФЗ, если у меня ИП/юр.лицо в другой юрисдикции.

РКН считает - если у вас есть русскоязычная версия сайта, вы оказываете услуги, которые можно получить на территории РФ и ориентируетесь на российскую аудиторию, то вы должны соблюдать все нормы 152-ФЗ.

Если ваш продукт направлен на разные аудитории (не только РФ), есть не только русскоязычная версия сайта, а еще и другие, вы используете для расчетов не только рубли, не размещаете рекламу на крупных русскоязычных порталах, то вы вполне можете занять позицию неприменимости 152-ФЗ (но вы все равно должны будете учитывать нормы страны регистрации своего субъекта в области ПД).

6.Как передать или получить ПД для обработки от партнера

• Если у вас много пользователей и вы поручаете обработку ПД своему подрядчику (например, маркетинговому или аналитическому агентству или подрядчику по обзвону) или если это вы - такой подрядчик и получаете ПД от своего заказчика, то пропишите обработку в договоре (это называется "Поручение на обработку персональных данных").

• В тексте должен быть указан перечень персональных данных, которые передаются, планируемые действия, цели обработки, обязанность обработчика производить действия с использованием баз данных на территории РФ ну и, конечно, все требования по защите ПД.

7.Что делать, если пришло уведомление от РКН

Если получили такое "письмо счастья" - внимательно прочитайте, к чему именно они предъявляют претензии, проанализируйте свой ресурс, внесите исправления и обязательно подготовьте им ответ. Если ответ и внесенные исправления их устроят - штрафа, вероятно, не будет.

В этой статье мы разобрали формальный подход, конечно, сама тема работы с ПД - очень объемная, особенно, в текущих технических реалиях. Крупные компании и сервисы с большим количеством пользователей имеют специальных сотрудников (DPO), которые занимаются управлением ПД и культурой их обработки.