Открытка Роскомнадзору: Любую компанию с формой обратной связи на сайте можно оштрафовать

Развитие событий: Филипп Кулин (DiPHOST): фильтрация Рунета Роскомнадзором используется для выяснения отношений и конкурентной борьбы в отношении "Ока-инфо" (4 декабря 2017)

Директор по продуктам Notamedia Алексей Бородкин обратил внимание на новый потенциальный риск для компаний, владеющих сайтом, даже если речь идет об элементарной открытке из пары страниц.

Роскомнадзор выписал компании штраф за нарушение закона о персональных данных из-за - внимание - формы обратной связи на сайте (стандартного состава "имя-тема-текст сообщения", причем имя является необязательным полем). Оспорить решение не удалось,- пишет Бородкин.

Речь идет о решении, принятом территориальным управлением Роскомнадзора в Тамбове. Специалисты РКН обнаружили, что "Тамбовская городская юридическая компания» разместила на сайте форму обратной связи. При этом документ о политике конфиденциальности в отношении обработки персональных данных на сайте отсутствовал. Компанию оштрафовали на 1 тыс. руб. , и она обратилась в суд. По ее мнению, идентифицировать человека невозможно, поскольку форма содержала всего три элемента: имя, тема и текст сообщения. Причем графа «имя» для заполнения необязательна. Однако эти доводы суд не убедили, и штраф отменить не удалось.

Лучшие комментарии

  • Контекст комментария

    Максим Лагутин

    Во-первых, это началось еще в феврале, когда астраханские сайты начали штрафовать за отсутствие согласия в форме обратной связи на 10 000 рублей (пруфлинк — http://astravolga.ru/v-astraxani-nachaki-shtrafovat-organizacii-u-kotorih-est-sobstvenniy-sait/)

    Во-вторых, сейчас позиция судов и Роскомнадзора такова, что даже пользовательские данные (cookie, сведения о местоположении, IP и тд) также могут быть отнесены к персональным данным (пруфлинки на судебные дела — http://bit.ly/delo_linkedin и http://bit.ly/delo_provider)

    В чем риск?
    Сейчас штраф за отсутствие согласия может составлять 10к, но с 1 июля штрафы за это повысятся до 50к (пруфлинк на повышение штрафов — https://rg.ru/2017/02/10/administrpravo-dok.html)

    Что делать в такой ситуации?
    Под формой обратной связи разместить галочку -Отправляя персональные данные из данной формы, я даю согласие на обработку персональных данных-, где текст -согласие на обработку персональных данных- будет являться ссылкой на текст самого согласия (должна соответствовать требованиям ч.4.ст.9 152-ФЗ «О персональных данных»).
    Или разместить ссылку на условия пользования сайтом, это тоже подойдет.

    По итогам прохождения проверок по персональным данным в последние 3 года, могу сказать, что такой вариант устроит Роскомнадзор.

  • Контекст комментария

    Алексей Бородкин

    Продублирую то, что я уже писал в комментариях:

    1. Вся эта история создает нехороший прецедент, когда при желании можно докопаться до _любой_ формы ввода на сайте (вплоть до поисковой строки — ну а чо, по поисковым запросам вполне можно косвенно пользователя идентифицировать). Из разряда совсем параноидальных идей — при желании так можно легко и быстро блокировать практически любой западный сайт, от магазинов до СМИ и соцсетей.

    2. ОК, обвешиваем формы обратной связи галочками и считаем их источником персданных. У нас сразу появляется интересное следствие: тогда мы должны хранить данные, полученные с формы, по всем правилам хранения персональных данных, т.е. вариант «храню это все где-то в админке на своем зарубежном серваке» не особо прокатит. Как совершенно справедливо указал Макс Лагутин в комментариях к моему посту, пока что РКН не особо шерстит коммерческие структуры на предмет того, как они в действительности хранят перс.данные, но от этого никто не застрахован.

    В свете повышения штрафов от РКН вся эта история становится совсем неуютной.

Добавить 14 комментариев

  • Ответить

    Вау, круто! Я бы тоже очень хотел знать что происходит с моими данными, когда я отправляю форму. Тем более юридическая компания.

    Она как бэ должна знать последствия непубликации политики конфиденциальности.

    Браво РКН!

  • Ответить
    Владимир Мяу и компания

    Браво РКН!

    А просто написать там, что ты «Василий Алибабаевич», не пробовал? Вот как я, например?

    Ну и оттуда:

    Зачем размещать на сайте политику конфиденциальности

    — Прямого ответа на этот незамысловатый вопрос я так и не нашел там, но могу поэтому сразу же догадаться до собственного ответа. Зачем-зачем? А как иначе их всех кормить.

  • Ответить

    Политика конфиденциальности публикуется для того, чтобы пользователь знал, что происходит с его данными при отправке на сайт оператора данных. Кроме того, она обязуется оператора данных придерживаться указанной политики.

    Случай конечно притянут за уши, но возникает вопрос: переусердствовать РКН, или он так эффективно работает, что даже небольшому сайтику пришлось подвинутся? Это вопрос статистики дел, так что не стоит делать из этого делать сенсацию. Тем более у новости вранье в заголовке.

  • Ответить
    Альтер Эго > starmarine10 контекст

    «эффективная власть». Она же «аффективная»

    Роскомнадзор мог показать свою удаль в новогодние праздники и чуть позже. Когда «СПСР-Экспресс» и Boxberry получили с граждан, случайно воспользовавшихся их услугами (доставку, зачастую, выбирали магазины, а не покупатели) копии паспортов без санкции Роскомнадзора (что требуется по закону, но разрешений на работу с паспортными данными в Роскомнадзоре логисты не взяли). Роскомнадзор заявил, что он возьмёт выяснит — на каком основании «СПСР-Экспресс», Boxberry собирали с клиентов копии паспортов?! И… И дело кончилось примерно ничем не кончилось.

  • Ответить

    Критиковать очень просто, а построить эффективную бюрократию сложнее. Может и случай с формой и притянут за уши, но в заключении суда я не нашел ни противоречий, ни маразма, ни коррупции. А это уже очень круто. Следующий шаг сделать так, чтобы регулирующий орган был не только работающим, но и эффективным.

  • Ответить
    Альтер Эго

    C персональными данными всё очень просто. Когда появился закон, в документах и на сайтах появилась галочка: «Я согласен на передачу и обработку моих персональных данных, в том числе передачу их третьим лицам и т.д.» даже там, где эти персональные данные не особо нужны и бывало люди поначалу не знали что ответить, если ты отказывался их передавать. Теперь просто отказывают в оказании услуги. Это единственное следствие закона.

    Так или иначе, оператор персональных в соответствии с главой 3 (часть 7) Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» должен ответить как минимум на эти вопросы:
    — каковы цели обработки моих персональных данных;
    — каковы применяемые способы обработки персональных данных;
    — каково наименование и место нахождения оператора, и лиц, которые имеют доступ к моим персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
    — каковы сроки обработки моих персональных данных, в том числе сроки их хранения.

    Кто-нибудь их задавал? Кому-нибудь на них ответили?

  • Ответить

    А у меня был такой случай. Прокуратура сделала предупреждение владельцам сайта. Сайт компании которая оказывает косметологические услуги и лечение, компания не является государственным учреждением.

    Требование прокуратуры: обязательное наличие версии для слабовидящих. Ссылаются на федеральные законы №8, №181 и поправки к ним.

    Спросил на одном форуме о законности таких требований и вообще, что могло послужить поводом для такого предупреждения (кто-то же должен пожаловаться?). И там один участник ответил, что в его регионе прокуратура обратила внимание на несколько его клиентов и дала понять, что следующим этапом проверок будет — наличие форм обратной связи…

  • Ответить

    Во-первых, это началось еще в феврале, когда астраханские сайты начали штрафовать за отсутствие согласия в форме обратной связи на 10 000 рублей (пруфлинк — http://astravolga.ru/v-astraxani-nachaki-shtrafovat-organizacii-u-kotorih-est-sobstvenniy-sait/)

    Во-вторых, сейчас позиция судов и Роскомнадзора такова, что даже пользовательские данные (cookie, сведения о местоположении, IP и тд) также могут быть отнесены к персональным данным (пруфлинки на судебные дела — http://bit.ly/delo_linkedin и http://bit.ly/delo_provider)

    В чем риск?
    Сейчас штраф за отсутствие согласия может составлять 10к, но с 1 июля штрафы за это повысятся до 50к (пруфлинк на повышение штрафов — https://rg.ru/2017/02/10/administrpravo-dok.html)

    Что делать в такой ситуации?
    Под формой обратной связи разместить галочку -Отправляя персональные данные из данной формы, я даю согласие на обработку персональных данных-, где текст -согласие на обработку персональных данных- будет являться ссылкой на текст самого согласия (должна соответствовать требованиям ч.4.ст.9 152-ФЗ «О персональных данных»).
    Или разместить ссылку на условия пользования сайтом, это тоже подойдет.

    По итогам прохождения проверок по персональным данным в последние 3 года, могу сказать, что такой вариант устроит Роскомнадзор.

  • Ответить

    Продублирую то, что я уже писал в комментариях:

    1. Вся эта история создает нехороший прецедент, когда при желании можно докопаться до _любой_ формы ввода на сайте (вплоть до поисковой строки — ну а чо, по поисковым запросам вполне можно косвенно пользователя идентифицировать). Из разряда совсем параноидальных идей — при желании так можно легко и быстро блокировать практически любой западный сайт, от магазинов до СМИ и соцсетей.

    2. ОК, обвешиваем формы обратной связи галочками и считаем их источником персданных. У нас сразу появляется интересное следствие: тогда мы должны хранить данные, полученные с формы, по всем правилам хранения персональных данных, т.е. вариант «храню это все где-то в админке на своем зарубежном серваке» не особо прокатит. Как совершенно справедливо указал Макс Лагутин в комментариях к моему посту, пока что РКН не особо шерстит коммерческие структуры на предмет того, как они в действительности хранят перс.данные, но от этого никто не застрахован.

    В свете повышения штрафов от РКН вся эта история становится совсем неуютной.

  • Ответить

    Сегодня день — просто не нарадуюсь.
    Через час после этой новости прочитал вот это
    kassa.yandex.ru/blog/54fz
    про то что теперь даже для онлайн покупок надо кассовый аппарат иметь с 1 июля.
    И что теперь всем SaaS сервисам надо кассовый аппарат заводить?!

  • Ответить

    Полное фуфло. И в статье и в комментах.

    http://xn—-7sbbaj7auwnffhk.xn--p1ai/article/10240

    В своем Обзоре обращений граждан за II квартал 2012 года Управление Роскомнадзора по Республике Карелия рассмотрело вопрос, являются ли фамилия и инициалы гражданина персональными данными .
    ———————————
    http://10.rkn.gov.ru/queries/lookup/people_2kv_2012/p1/

    По результатам рассмотрения Управление Роскомнадзора указало следующее: «Фамилия и инициалы гражданина — это, несомненно, персональные данные субъекта. Однако без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно. ФИО (фамилия, имя, отчество) наряду со многими другими способами используются для идентификации отдельного человека среди других. По своей природе это составной ключ, идентификатор, основанный на комбинациях трех параметров фамилии, имени и отчества, на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать.
    Характер сведений, опубликованных в статье, не позволяет определить пол человека, его имя и отчество. Фамилия гражданки С. не является уникальной и довольно распространена».
    На этом основании Управление Роскомнадзора не обнаружило в действиях редакции газеты признаков нарушения установленного законом порядка использования или распространения информации о гражданах (персональных данных).
    Таким образом, указание фамилии человека с инициалами не является нарушением Закона, если только фамилия не является уникальной.

  • Ответить

    А если я в этой форме для комментария напишу свои ФИО, серию и номер паспорта, будут «Роем» штрафовать? Номер паспорта позволяет однозначно идентифицировать? Позволяет, он же уникальный. Ну вот хочу я их тут написать, ведь законом не запрещено? Не запрещено.

    Дебилизм же, не?