Здравствуйте, уважаемые друзья. Как подготовить сайт к требованиям 152-ФЗ «О персональных данных»? Этот вопрос уже интересует многих владельцев сайтов, а 1 июля 2017 года, когда вступят в силу изменения в законе, будет волновать абсолютно всех владельцев сайтов. Поэтому следует подумать об этом заранее.
Итак, 1 июля 2017 года существенно ужесточена ответственность за нарушения при взаимодействии с персональными данными физических лиц. Эти изменения коснутся буквально всех, кто так или иначе работает с персональными данными физических лиц, в том числе, владельцев сайтов, которые собирают персональные данные посетителей.
То есть если у вас на сайте есть:
- форма обратной связи,
- форма подписки на рассылку,
- форма комментирования.
Вы автоматически подпадаете под действие этого закона. А если вы ещё и что-то продаёте или оказываете услуги, тогда тем более должны побеспокоиться о приведении сайта в соответствии с требованиями 152-ФЗ «О персональных данных».
А учитывая тот факт, что даже в законе термин «персональные данные» приведён очень обобщённо, и более не будет требоваться согласование проверки с прокуратурой, это может существенно осложнить жизнь многих владельцев сайтов.
За что могут наказать владельца сайта
На самом деле нарушений может быть много, это сбор данных без согласия (штраф для граждан 3000-5000 рублей), передача данных третьим лицам (штраф для граждан 1000-3000 рублей) и, конечно же, отсутствие доступа к политике конфиденциальности (штраф для граждан 750-1500 рублей).
Поэтому в первую очередь на ваших сайтах должна появиться политика конфиденциальности, так как закон гласит:
Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети. (Предусмотрено пунктом 2 статьи 18.1 Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»).
И обязательно под всеми формами сбора данных нужно упомянуть о согласии на обработку персональных данных.
Как создать политику конфиденциальности и пользовательское соглашение
Можно прогуляться в сети и найти множество примеров, взять за основу понравившийся образец и переделать под себя.
А можно не тратить время, и за 5 минут сделать политику конфиденциальности совершенно бесплатно, юридически правильно, в соответствии с требованиями 152-ФЗ.
Для этого нужно перейти на сайт 152ФЗ.РФ.
Здесь можно проверить сайт на соответствие ФЗ.
Но, можете не тратить время, ведь и так понятно, что сайт не соответствует.
Сразу можно переходить к созданию нужных документов для сайта.
Для обычного сайта подойдёт бесплатный тариф. Выполнив простые пошаговые инструкции, вы получите два pdf-документа:
- политика конфиденциальности;
- пользовательское соглашение.
Если что-то не получится или заполните неправильно, всегда можно повторить процедуру. Это бесплатно.
В качестве примера предлагаю посмотреть видео по созданию документов для моего блога.
Что делать с готовыми документами для сайта
Созданные документы нужно будет разместить на сайте. Размещают такие ссылки обычно в подвале сайта. Сделать это можно самому, или используя код, который предоставит сервис после создания документов.
Я создал отдельные страницы, где и разместил содержимое этих документов со ссылкой на сервис. А ссылки на эти страницы разместил в подвале.
А также под формами на сайте нужно добавить текст, примерно такого вида:
Нажимая на кнопку, я принимаю пользовательское соглашение и подтверждаю, что ознакомлен и согласен с политикой конфиденциальности данного сайта
В качестве образца смотрите, как это сделано на моём блоге.
Заключение
Этих действий будет достаточно, для того чтобы привести сайт в соответствии с требованиями 152-ФЗ «О персональных данных».
Конечно, есть ещё требование ФЗ-242 о том, что хостинг и база данных с персональными данными должны располагаться на территории РФ. Но для многих это не проблема, так как хостинги и БД и так находятся в РФ.
Создавайте свою политику, приводите сайты в порядок и спите спокойно. Всем желаю удачи!
С уважением, Максим Зайцев
Добрый день, Максим.
1. Получается, свои данные мы выставим всем напоказ, как же так?
2. Как найти в Украине такую форму, чтобы оформить сайт в соответствии с законами Украины, а так же, чтобы не было противоречий с Российскими законами? Можете помочь ссылкой на похожую статью украинских сайтов, если есть кто на примете, конечно? Я, видно, неправильно ввожу запрос, не могу найти нужного.
Здравствуйте, Ирина. Да, получается именно так, если мы собираем данные пользователей, значит должны открываться сами. По законодательству Украины ничего не подскажу, не изучал этот вопрос.
Доброго времени, Максим! Недавно запустила новый сайт, пошла на сервис, а там … упс — сервис теперь только платный. Одно радует — сообщили, что кто успел попасть на бесплатный тариф, так на нем и останется.
Людмила, добрый день. Да, сервис стал платный, но сейчас уже есть огромное множество примеров на других сайтах. Нужно лишь переделать под себя
Эти документы нужны если удалить форму комментариев с сайта, а вместо обратной связи просто указать адрес электронной почты.
Максим, стандартные комментарии можно заменить на комментарии от соцсетей, а форму обратной связи, да, ссылкой. И никаких форм для подписки. В таком случае никаких нарушений не будет.
Знак вопроса забыл?
Если на сайте используются формы комментирования от vk или fb и др, все равно это нужно?
Нет, не нужно. Но, и других форм по сбору данных не должно быть на сайте.
Привет, Максим! Как-то не очень по душе мне эти новости. Это получается, теперь каждый владелец сайта должен чуть ли не до трусов раздеться, образно говоря? Вот читаю я статью 2 закона 152-ФЗ, которая гласит, что «целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну».
Но при этом, одновременно, я, как владелец сайта, должен указать сквозняк не только на свой электронный, но и адрес регистрации по месту жительства, если я правильно понимаю. То есть на мое право неприкосновенности частной жизни всем наплевать получается? Я, например, со своим профессионально деформированным сознанием, представляю такую ситуацию: вот читает какой-нибудь городской сумасшедший некий сайт и что-то ему там не понравилось. Открывает он ссылку с адресом места жительства автора сайта, идет к его дому с флаконом зелёнки или кислоты и плещет ему в лицо, делая инвалидом. Такой вид проявления несогласия с чьим-то мнением сегодня у нас особенно пользуется популярностью. Как с этим быть? Такое развитие событий законодатель предусмотрел? Это, конечно, крайности, но всё в нашей жизни может быть.
Артём, привет. Я тоже совсем не в восторге от новых изменений. И согласен с тобой. Но, законодатели не стремятся нас защищать, им нужен рычаг для манипуляции. Хотят наложить лапу на всё.
Максим, привет ! Согласна с Артемом.Так же не хочу светить свой адрес регистрации в интернете, с какой стати, я не ИП , не ООО , я такой же как и все интернет пользователь и также, как и все осталные имею право на защиту своих персональных данных. Я ничего не продаю, подписок у меня никаких нет, что до комментариев, так все шаблоны так устроены, что оставляя комментарий пользователь вводит свой электронный адрес, но я ведь его не заставляю оставлять комментарий. а , если пользователь оставляет комментарий, значит он сам соглашается, я же не стою в это время над ним с топором :). И даже не зеленки я боюсь, как писал Артем, хотя и это вполне возможно, а сколько в интернете сейчас мошенников, а они уж, неприменно, найдут способ, как воспользоваться нашими персональными данными.
Елена, привет. Если только одна форма комментариев, тогда можно не переживать и данные не светить. Комментарии всегда можно заменить на комменты от соцсетей или Disqus. Если нет факта сбора и обработки данных, значит и нарушений нет. А такие комменты исключают эти факты.
Максим, а если убирать форму комментариев, ту что была на сайте, то я так понимаю ранее написанные комментарии тоже исчезнут?
Всё зависит от шаблона, в некоторых можно убрать только форму, а комменты останутся, а в некоторых убирается всё. Тут нужно смотреть код шаблона.
Елена, в систему сторонних комментариев типа дискус или hypercomments, насколько я знаю, можно импортировать базу стандартных вп-комментов, ранее размещённых на блоге. Есть там такая функция.
Артем спасибо за наводку, буду изучать, пока для меня это «темный лес».
У меня не импортировались ни туда, ни туда
Это самое опасное. Потому что данные реального человека доступны всем. Делай с ними, что хочешь.
Максим, не знал про новые требования. Спасибо за информацию.
Всегда пожалуйста, Иван.
Максим, привет. Уточни, а нужно ли подавать заявление в Роскомнадзор, чтобы зарегистрироваться, как оператор персональных данных?
В нашем случае подавать заявление не нужно, мы же не планируем передавать данные третьим лицам.
А то, что мы ведем рассылку на сторонних сервисах, это не считается передачей данных третьим лицам?
У них своя политика и пользовательское соглашение, официально мы ничего никому не передаём. И наши базы подписчиков доступны только нам. Да, тут можно подтянуть много вопросов, но они должны возникнуть у контролирующих органов только после подтверждения факта передачи и распространения данных.
А что если написать свое правило.
Добавить к форме сбора данных галочку и далее сноску, что оставляя комментарий на сайте, его автор соглашается с тем, что его e-mail и ник будет хранится в БД сайта и он не имеет никаких претензий.
Т.е без согласия автора комментария, он не сможет добавить свой отзыв. Тем самым, владелец блога никого не заставляет оставлять комментарии.
Уверен, есть масса юридически грамотных выходов, от этого одностороннего закона.
Автор комментария обычно оставляет вымышленные email и ник (редко имя), а от владельца сайта требуют полный адрес проживания….
Согласен, что данные комментатора не редко липовые, но таковы требования ФЗ. Разумеется, если добавить к форме предложенную формулировку, то формально ответственность с себя снимаем. Только это не отменяет указания их данных в политике.
Максим, вот какая мысль посетила по поводу всех этих манипуляций с персональными данными. На мой взгляд, здесь следует разграничивать понятия «персональные данные» и «контактные данные». Вот размещает человек на блоге Имя и Мэйл в форме комментирования. Но являются ли эти данные персональными данными? По-моему, нет. Ведь по этим данным невозможно идентифицировать личность конкретного человека, который оставил коммент, и даже по ip — нет. Даже, если полностью ФИО указать — тоже не персональные данные, если это не уникальные ФИО. Другое дело, когда на сайте интернет-магазина, к примеру, чтобы оформить заказ, требуется указать полные ФИО, адрес, номер телефона и т.д., то есть совокупность идентифицирующих признаков. Тут никаких сомнений, требования 152 ФЗ выполнять надо. Поэтому, считаю, что 152-ФЗ в первую очередь — для бизнеса. Наши бложики тут рядом не пляшут. Ежедневно появляются десятки тысяч сайтов. Я представляю, как «прикурит» РКН, если будет «лопатить» еще и наши бложики))).
С другой стороны, в новой редакции закона, в ст. 3, персональные данные — ЛЮБАЯ информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Дали настолько широкое определение, что по сути РКН может сюда подтянуть всё что угодно, даже школьное прозвище. Поэтому, будем смотреть судебную практику, а она обязательно появится после 1 июля.
Артем, вот именно, определение персональных данных настолько абстрактно, что сюда можно приплести всё, что угодно. С 1 июля будет видно, как ещё один кривой закон начнёт работать.
А если сайт за бугром? то все норм? это только на тех кто русские хостинги и регистраторы юзает распространяется?
Олег, по закону № 242-ФЗ, оператор персональных данных должен быть зарегистрирован на территории РФ, если речь идёт об обработке данных граждан РФ. Если сайт за границей, запретить его работу и организовать проверку будет сложно.
Очень нужная информация. Я все документы создала, вот только вставляю их код в подвал, ничего не происходит, а если ставить в сайдбар то все появляется. Но тем не менее если захожу на сайт проверки и вбиваю свой сайт на соответствие он мне пишет: Важные правовые документы не были найдены.
Может я что-то не так делаю, неправильно код вставляю, подскажите как решить эту проблему.
Проблему решила, оказывается нужно было выждать время, чтобы все устаканилось. Теперь если я проверяю мне пишут: С сайтом все в порядке
Ведь он использует наш виджет
Екатерина, такое бывает. Вы правильно сделали, что не стали паниковать. Рад, что всё получилось.
Здравствуйте, Максим. Я в теме сайтов новичок, поэтому вопросы могут оказаться глупыми)
1. Получается, чтобы избежать возни с созданием политики и соглашения нужно:
а) избавиться от формы подписки;
б) убрать комментарии ИЛИ заменить на формы комментирования от соц сетей;
в) вместо формы обратной связи указать лишь почтовый ящик.
И вроде как проблема решена…. Однако, на сайте 152Ф3.РФ в определении оператора персональных данных в перечне присутствуют социальные сети. И даже картинка соответствующая… Получается, что под перечень попадают все кнопки расшаривания, которые так усиленно используем на каждой странице. И вроде как наоборот, комментирование через СС показывает чуть ли не фото пользователя, в том числе и виджеты СС для групп (возможно от виджетов тоже надо избавляться?). В то время как стандартные комменты можно упростить до логина/псевдонима (не имени) и без почты, если уж совсем параноить…. (Кому нужен ответ на комментарий приходите снова или пишите на почту)
я запуталась….
Здравствуйте, Елена. Комментарии, кнопки и виджеты СС — это уже сторонние модули, где данные пользователей хранятся в базах данных этих сетей. Вы в этом случае не являетесь оператором персональных данных, так как не имеете доступа к данным пользователей.
И еще в догонку)))) По поводу регистрации в Роскомнадзоре.
Вы пишете что заявку подавать не надо, т.к. данные не передаются третьим лицам. Думаю это согласно п. 2.2 статьи 22 ФЗ152. Но в статье речь идет о заключении договора, а у нас «пользовательское соглашение». Разве юридически они равнозначны?
P.s. Можете конечно послать меня к юристам, но спрашиваю у Вас) Возможно вы там уже были)))
Елена, руководствовался этим пунктом, но с юристами не консультировался. Если уточните, поделитесь информацией!
Максим на форумы этот закон распространяется?
Распространяется на все сайты, находящиеся на территории РФ, и занимающиеся обработкой персональных данных. Форумы, где нужно пройти регистрацию не исключение.
Максим, фраза «находящиеся на территории РФ» — это только домены RU, SU, РФ ?
Здравствуйте, Аркадий. Главным требованием здесь является — база данных должна находится на территории РФ. Так что если сайта работает с российскими посетителями и обрабатывает данные, должен соблюдать этот закон.
Здравствуйте, Максим! Мой сайт находится в зоне .ru, но хостинг где-то в Европе (Офферхост). Переходить на другой хостинг не планировала (только этот освоила, всё устраивает, да и не знаю, как переходить). Как быть? За это могут оштрафовать тоже, даже если я сделаю документы и размещу их на сайте?
Здравствуйте, Юлия. Напишите в службу поддержки хостинга и узнайте, как они работают с официальными запросами проверяющих органов. Если они на официальный запрос предоставят нужные данные, тогда можно не переезжать. Если же нет, нужно будет переносить сайта на российский хостинг или убирать все формы с сайта.
Максим добрый день. Я тоже немного запуталась с этими документами и сделала немного по своему. Я создала документы пдф, скачала, раскодировала, перевела в ворд и немного поправила для своего сайта, удалив свои данные с адресом, как-то мне не по себе светить все вплоть до номера квартиры. Решила от греха убрать фидбернер и вычистить форму комментов, оставив только имя. Решила прикрепить чекбокс с ссылкой на политику. Страницы я создала, но вот думаю, нужно их закрыть от индексации? Ведь они неуникальные? Ида, сервис правовые документы не находит. Это из-за того, что я удалила с текста свои данные? или из-за того, что вообще это не пдф на сайте?
Здравствуйте, Лара. Страницы, если вы их сделали внутренними страницами сайта можете не закрывать, уникальность для них совсем не главное. Сервис не находит правовые документы, так как ищет по заданным критериям. Сказать, что именно он не нашёл трудно. Но, отсутствие адреса в политике — это нарушение требований ст. 9 ФЗ-152. Такие у нас законы
Добрый день, Максим.
А как определяется, что тот или иной сайт подпадает под действие закона 152-ФЗ «О персональных данных»? Если доменное имя зарегистрировано российским регистратором? Если владелец сайта является резидентом РФ? Или если сайт находится в доменной зоне .ru?
Здравствуйте, Виктор. Да, сайты в зоне RU, SU, РФ однозначно подпадают под действие закона. И все остальные, кто работает с российскими пользователями и обрабатывает их данные.
Добрый день, Максим
Я являюсь гражданином другой страны (РБ), сайт зарегистрирован в зоне ru. хостинг Хостия (Германия). Как быть? За это могут оштрафовать тоже, даже если я сделаю документы и размещу их на сайте?
Сергей, к вашему сайту могут быть применены только ограничения на посещения пользователей из России. Штраф вы точно не получите, закон распространяется на территории РФ.
Я понимаю что мне можно не париться по этому поводу или …?
Сергей, штраф вы не получите, но сайт для пользователей РФ могут заблокировать. Но, для этого должно быть основание, так что пока переживать нет смысла.
огромное спасибо
Привет Максим, скажи а можно на одной странице разместить пользовательское соглашение и политику конфиденциальности?
Виктор, добрый вечер. Это должны быть отдельные страницы.
А зачем создавать дополнительное пользовательское соглашение? В законе говорится о политике конфиденциальности. Можно же там все, что нужно отразить.
Да, можно всё в один документ совместить, если это будет удобно.
Здравствуйте. Действие закона распространяются на сайты в зоне COM? Сервер в Германии, зона домена com, сам я из РФ.? В этом случаи как? Не могу найти ответ на этот вопрос вообще нигде!((
Здравствуйте, Вячеслав. Да, распространяется. Размещайте политику и соглашение. И уточните у хостинга, какие они предоставляют данные по запросу органов других стран.
Максим? а Вы как ИП работаете? Я просто вот к чему. У Вас в политике указан адрес проживание. Он же доступен каждому человеку который может зайти на Ваш блог! Абсурдная ситуация получается. По закону Вы обязаны позаботится о чужих данных, а свои выставить на показ. О какой защите тут может быть речь?
Я что подумал. может такое соглашение, где прописывается личный адрес проживание только для бизнесменов, а мне как физ лицу составят соглашение где не будет указан мой адрес?
Пока думаю просто убрать поле E-mail в комментах. Обратной связи у меня нет. Уведомлении о cookies так уж и быть, выставлю.
Вячеслав, нет никакой разницы, как вы работаете. В ФЗ указание адреса является обязательным требованием для всех операторов персональных данных. Если не хотите светить адрес, уберите все формы и переделайте комментарии.
Да, Максим, уже переделал форму. Заблокировал поля Имя и Сайт. поле E-Mail вовсе удалил. Поскольку сайт мой находится в Германии. Из базы данных удалил все Имена, E-Mail адреса и IP тоже. Теперь люди могут оставить комментарий только заполнив поле для текста комментария и все, при отправки комментария WordPress не будет заносить IP комментатора в базу и хранится в Германии он соответственно не будет!!
При таком раскладе я не нарушаю этот чудесный закон? И, если позволю людям заполнять поле «Ваш сайт» надеюсь не чего страшного. Надеюсь адрес сайта не является персональной информацией?
При таком раскладе, к вам претензий быть не должно!
Доброго времени Максим. Скажи пожалуйста,вот у тебя в низу на сайте всплывает плашка с надписью:» (Мой блог использует cookie-файлы)».
Такое уведомление обязательно устанавливать на свой сайт, или это сам движок wordpress по умолчанию выводит?
Здравствуйте, Андрей. Это сообщение выводится плагином Cookie Notice by dFactory, и не столько для ФЗ, сколько в качестве требования AdSense.
Большое спасибо!
Максим, еще один вопрос по теме cookie файлов. Если не выводить эту надпись то ,что грозит за это? Можно ли просто в футере сайта сделать ссылку на использования файлов cookie и открывать ее например в popup окне?
Андрей, никаких санкций за это не предусмотрено. Это требование Google, так как по закону стран ЕС, вебмастер обязан уведомлять посетителей об использовании cookie. Сообщение можно вообще не выводить, если у вас мало посетителей из стран ЕС.
Максим, спасибо за полезную статью. Я тоже видел этот сервис пару недель назад- показалось очень подозрительным, что нужно оставлять свой телефон, почту. Явно что-то продавать потом будут. Вам не звонили после регистрации? Не «впаривали» ничего?
Меня это оттолкнуло, не стал заканчивать формирование документа там. В итоге нашел нормальный генератор пользовательского соглашения, простой и без всяких заморочек вот здесь: https://advegital.com/solutions/politika-obrabotki-personalnykh-dannykh-obrazets.html
Пишут, что тоже полностью соответствует законодательству.
Здравствуйте, Андрей. И воспользовался бесплатным предложением, никакой регистрации там не нужно, только данные, которые будут в пользовательском соглашении. Никаких предложений о покупке мне не поступало. Спасибо, что поделились ещё одним источником!
Привет Максим!
Я воспользовался услугами сайта 152фз.рф. За 490р установил виджет и мне его настроила тех.поддержка сайта.
+ еще дали промокод на 50% скидку.
Марат, привет! Посмотрел реализацию на твоём сайте, все сделано качественно! А код всегда можно использовать для второго сайта или поделиться с другом.
Нам фрилансер помогал делать формы на https://ucalc.pro/ так там какая-то опция под ФЗ-152 уже готовая, так что мы без проволочек отправили на проверку сайт и все благополучно прошли.
Лена, ucalc действительно имеете множество фишек, которые сегодня внедряют многие, формы обратной связи, формы расчётов и так далее. Ваш спец сделал верный выбор, так как в дальнейшем сопровождение таких форм упрощается, нежели индивидуальная разработка.
Большое спасибо за статью! Вы очень помогли.
Здравствуй, Максим! Подскажи,пожалуйста, как вставить политику с чекбоксом в форму подписки FeedBurner?
Здравствуйте, Сергей. Проверку в этой форме не организовать, поэтому в чекбоксе нет смысла. Нужно добавить текст вида «Нажимая на кнопку вы соглашаетесь с политикой…» и сделать ссылку на политику. А сам этот код можно добавить в код формы, перед кнопкой. Пример показать не могу, так как коды в комментариях не проходят.
Спасибо, Максим!
Здравствуй, Максим! Я всё таки нашёл выход из положения. Всё таки получилось у меня поставить чекбокс в форму подписке FeedBurner.
Сергей, это отлично. Поделитесь своим способом?
Максим, я не пишу статьи про сайты и т.д. Я Вам написал в общих чертах ВКонтакте.
Благодарю за полезную информацию! А то собрался делать сайт, стал делать формы через stepform.io/ru а оказывается всякие там законы напридумывали. Знакомый ставил форму с галочкой (пока не нажмешь, форму не отправишь) и ссылкой на документ, где информация о персональных данных. Я так понял, можно ведь и без галочки, а главное чтобы инфа про это была пользователю?
Да, можно без галочки, но обязательно уведомить посетителя о сборе персональных данных и политике в этом отношении.
Очень полезная статья!