несут административную ответственность как юридические лица;
• разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст. 13.14 КоАП – штраф на граждан в размере от 500 до 1 тыс. руб.; на должностных лиц – от 4 до 5 тыс. руб.);
• непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст. 19.7 КоАП РФ – штраф на граждан от 100 до 300 руб., на юрлиц – от 3 до 5 тыс. руб.).
Чтобы уточнить, обязаны ли вы или ваша организация подавать уведомление об обработке персональных данных, можно обратиться в Роскомнадзор. Дозвониться или получить ответ в электронном виде – реально.
Со сбором персональных данных связано много историй из жизни. Наверняка вы не раз замечали, что стоит вам набрать в поисковой строке браузера какой-то запрос – вас начинает преследовать реклама схожих товаров или услуг. Бывает и так, что вы заходите на какой-либо сайт, находитесь на нем некоторое время, возможно, что-то рассматривая более подробно, и уходите. А на следующий день вам звонят менеджеры фирмы с этого сайта и предлагают рассказать подробнее об одном из продуктов, который мог бы вас заинтересовать? Здесь мы имеем дело с очень интересным явлением.
Кликджекинг: законно ли?
Законно ли собирать персональные данные без согласия их собственника? В некоторых случаях – да: если, к примеру, обработка персональных данных необходима для защиты жизни, здоровья или для осуществления прав и законных интересов оператора или третьих лиц и еще в ряде случаев (п. 2–11 ст. 6 ФЗ «О персональных данных»). Но любое лицо, собирающее и обрабатывающее персональные данные не в соответствии с названными пунктами и без согласия на то субъекта персональных данных (читай: любого физического лица), делает это незаконно.
Но как? Как такие сайты умудряются узнавать номера телефонов?
Кликджекинг (от англ. clickjacking) – это технология обмана пользователей интернета, основанная на том, что на странице кроме видимых элементов располагаются невидимые.
Невидимые кнопки, ссылки размещаются поверх видимых кнопок и ссылок – там, где кликают пользователи. Соответственно, по клику происходит действие, которого пользователь не ожидал: например, подписка на какую-то группу в соцсети. Для себя я объяснила это еще проще: это как в Инстаграме – когда в сторис поверх ссылки на пост располагаешь картинку (к примеру, с надписью «Newpost»), то человек, нажимая на эту картинку, переходит в сам пост. Но при кликджекинге такие картинки могут быть прозрачными (невидимыми).
Разновидностью кликджекинга является соцфишинг (то же самое, но невидимые кнопки привязаны к соцсетям). Тогда могут не только звонить, но и писать в личные сообщения на платформе соцсети…
Технически такие махинации осуществляются скриптами – специальными программками. Но их можно выявить и удалить. (Если, конечно, это ваш сайт и вы только сейчас узнали о том, что кликджекинг – это незаконно.) Еще в 2015 году Яндекс ввел фильтр за кликджекинг, который «наказывает» недобросовестных сайтовладельцев снижением рейтинга их сайтов. Определить этот фильтр несложно. Заходим в Яндекс. Вебмастер, раздел «Диагностика», далее «Безопасность и нарушения». Если фильтр есть, там будет четко про это написано. И если уточнить у техподдержки, то обычно санкции подтверждаются.
А вот найти и обезвредить сам скрипт не всегда просто. Вам поможет технический специалист, разбирающийся в кодах сайта. Он определит, с какого сервиса тот или иной скрипт и не несет ли он в себе угрозу для сайта. Удалив все скрипты кликджекинга, можно смело идти в Яндекс. Вебмастер и жать кнопку «Все исправил» под сообщением о санкциях.
Если при обработке персональных данных организацией нарушаются ваши права, вы вправе обратиться в ближайшее территориальное управление Роскомнадзора. Адреса и контактные телефоны указаны на официальном сайте ведомства[33].
Где хранить персональные данные?
В декабре 2019 года Кодекс РФ об административных правонарушениях был дополнен новыми штрафами для операторов, не выполнивших при сборе персональных данных россиян, в том числе через интернет, предусмотренное законом требование о систематизации и хранении информации в базах данных исключительно на территории РФ. Перевожу на русский: все, кто использует хранилища для персональных данных за рубежом, должны заплатить штраф.
Размеры штрафов:
• для граждан – от 30 до 50 тыс. руб.,
• для должностных лиц – от 100 до 200 тыс. руб.,
• для юридических лиц – от 1 до 6 млн руб.
В случае повторного нарушения:
• для граждан – от 50 до 100 тыс. руб.,
• для должностных лиц – от 500 до 800 тыс. руб.
• для юрлиц – от 6 до 18 млн руб.
Самое неприятное, что для определения размера штрафов за хранение персональных данных россиян за пределами РФ ИП приравнивается к ООО. Наказание более чем внушительное.
Что такое ЦОД?
Часто с понятием ЦОД впервые сталкиваются, когда заполняют форму для регистрации в качестве оператора персональных данных[34]. Начинается прикидка: а мой комп – это ЦОД или нет? А ноутбук? А у ИП должен быть свой ЦОД или нет? И могу ли я давать доступ к этому ЦОДу? А кому?..
ЦОД – центр обработки данных, он же – дата-центр. Бывают ЦОД государственные, корпоративные (когда компания сама для себя строит ЦОД) и коммерческие, где можно в виртуальной среде разместить проект или даже арендовать машинный зал, а также облачные ЦОДы. В ФЗ «О персональных данных» указывается, что оператор «обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации». Фактически ЦОД – это та же база данных, но обособленная и довольно большая по объему. Даже микроЦОД способен хранить огромные базы данных.
Базы данных
Несмотря на то что при подаче уведомления в Роскомнадзор нужно описывать местоположение и характеристики ЦОДа, в законодательстве речь идет не о нем, а о базах данных. Причем нет узких определений этих баз данных и точных требований к тому, как именно с технической точки зрения они должны быть организованы. И даже известный ГОСТ Р 20886-85 не ограничивает форму хранения данных и позволяет называть локализованной базой данных все – от полноценного цифрового хранилища (любой архитектуры, и даже облачного) до простых табличек в Excel или бумажной картотеки. То есть под понятие базы данных попадет любой упорядоченный список данных – хоть в текстовом файле. Соответственно, заполняя электронное уведомление, нужно указать все места расположения всех упорядоченных массивов информации.
Россия входит в число стран, подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 года, и, значит, может обмениваться данными с другими участниками Конвенции без дополнительных формальностей. Передача данных в страну, не охваченную Конвенцией, требует согласия их владельца. Его можно получить в письменном виде или запросить через форму на сайте. Однако для соблюдения ФЗ «О персональных данных» важно, чтобы на территории России оставалась основная, наиболее полная и актуальная база персональных данных. При этом нет конкретного запрета на размещение ее копий или частей, в таких дочерних базах на прочих серверах, в том числе на территории другого государства.
Важно!Персональные данные можно хранить и обрабатывать за рубежом при условии, что данные будут использоваться в тех же целях, что и в основной базе данных!
И еще более важно!Субъект персональных данных (пользователь) должен дать согласие на трансграничную передачу своих данных и (или) на обработку (хранение) их в базе, расположенной за рубежом.
И помните, что оператор персональных данных обязан уведомить Роскомнадзор о наличии трансграничной передачи персональных данных, а субъект персональных данных имеет право получить от оператора информацию об осуществленной или о предполагаемой трансграничной передаче данных.
9.5. Как правильно размещать документы на сайте
Зачем думать о том, как правильно размещать документы на сайте? Бытует среди некоторых онлайн-бизнесменов такой миф, что главное, чтобы документы просто были, и пусть пользователь сам их ищет на сайте. Тем не менее разработать хотя бы минимальный комплект – значит сделать полдела, если речь идет о правовой защищенности бизнеса. Потому что даже самые правильные документы теряют свой смысл, если они неверно размещены на сайте.
Итак, как правильно внедрить документы для сайта на этот самый сайт?
Кликабельная ссылка – активная гиперссылка, нажимая на которую человек переходит к тексту документа и имеет возможность ознакомления с ним. Кликабельная ссылка нужна для того, чтобы, ставя «галочку» о согласии, пользователь выражал свое активное намерение принять положения реального документа, а не гипотетического. То есть, если человек ставит «галочку», предполагается, что он действительно переходит по ссылке и читает документ.
Из всех документов для сайта есть лишь один, на который можно не ставить кликабельную ссылку: это Политика обработки персональных данных. Однако она должна быть доступна для прочтения на каждой (!) странице сайта. Это требование ФЗ «О персональных данных». Если же у вас Политика объединена с согласием на обработку персональных данных, тогда ссылка в чек-боксе с «галочкой» тоже должна быть кликабельной.