Павел Кантышев
10.04.2017

В октябре 2016 г. Тамбовская городская юридическая компания (ТГЮК) не смогла оспорить в областном суде решение мирового судьи: тот счел, что компания нарушает закон, собирая с заполнивших форму на ее сайте персональные данные, а предусмотренной законом защиты не предлагает. ТГЮК не публикует свою политику по обработке персональных данных и не сообщает, как защищает их. Компании предстоит заплатить административный штраф 1000 руб., следует из опубликованного на сайте sudact.ru постановления тамбовского суда.

Законодательство о защите персональных данных весьма широко трактует это понятие, отмечают юристы. ТГЮК апеллировала, что форма обратной связи на ее сайте предназначена лишь для приема сообщений и не собирает персональных данных, говорится в постановлении мирового судьи на сайте sudact.ru. Она состояла из трех элементов: имени, сообщения и его темы – с помощью этой формы невозможно определить физическое лицо, к тому же клиент не обязательно укажет настоящее имя.

Изначально форма обратной связи ТГЮК содержала контакты обратившегося: телефон и электронную почту, рассказывает ее представитель, компания убрала эти поля, чтобы соответствовать требованиям регулятора. Из-за этого, случается, компания теряет клиентов: не все догадываются написать свои контакты, сетует представитель ТГЮК. Компания думала над тем, чтобы разработать и опубликовать политику работы с персональными данными, но в итоге решила сократить форму, рассказывает он, добавляя: штраф компания заплатит.

В форме по умолчанию запрашивается подлинное имя, уверен представитель Роскомнадзора Вадим Ампелонский, а сочетание имени и электронной почты уже является персональными данными. Клиент мог ввести в форму обратной связи вымышленное имя, но смысл решения тамбовского суда в том, что кто-то мог ввести и истинные – и в таком случае клиент имеет право знать, как будут обрабатываться его данные, рассуждает партнер юридической фирмы Baker & McKenzie Эдуард Бекещенко.

В России нет прецедентной системы, но другие судьи будут ориентироваться на решение, что чревато рисками для других компаний с аналогичным состоянием защиты персональных данных, уверен основатель юридической компании "Катков и партнеры" Павел Катков. В последнее время Роскомнадзор действует по единым сценариям проверок, по его представлению прокуратура возбуждает административные дела, а суды в большинстве случаев соглашаются с их доводами, говорит управляющий партнер консалтингового агентства "Емельянников, Попова и партнеры" Михаил Емельянников.

Нарушителям грозит административная ответственность: сейчас максимальное наказание для юрлиц – 10 000 руб. Но с 1 июля вступят в силу поправки в Кодекс об административных правонарушениях, увеличивающие наказание до 30 000 руб. Однако гораздо более серьезной мерой является блокировка сайта – закон предусматривает ее возможность, указывает Катков.

Блокировку влечет решение суда об ограничении доступа, принятое по иску пользователя, Роскомнадзора или прокуратуры, но тогда именно с таким иском они и должны обращаться, уточняет Емельянников. По его словам, фактически сайт можно закрыть за любое признанное судом нарушение законодательства о персональных данных.

Если штраф можно выплатить и работать дальше, то блокировка сайта может повлечь убытки из-за простоя деятельности, уверен Катков. Поэтому он советует провести технико-юридический аудит сайта и поискать подобные слабые места. Кроме того, он рекомендует проверить внутренние системы защиты персональных данных, поскольку Роскомнадзор может взяться и за внутренние документы. Владельцам форм обратной связи, чтобы не быть оштрафованными, нужно брать согласие пользователя на обработку его данных, как того требует закон, говорит Ампелонский.

Емельянников советует размещать на сайте политику по обработке персональных данных, давать посетителям возможность соглашаться на обработку их данных. Он также рекомендует публиковать политику в отношении файлов cookies (в них браузер записывает данные о посещенных сайтах), включая их передачу аналитическим службам интернета. По словам Емельянникова, в последнее время Роскомнадзор считает персональными данные, полученные при анализе файлов cookies, IP-адреса пользователей и в целом все, что помогает сформировать профиль пользователя, достаточный для таргетирования рекламы. Отсутствие в профиле ФИО на это решение не влияет. Все эти документы Емельянников советует размещать на баннере, без закрытия которого согласием пользователя он не может продолжить пользоваться сайтом.

Рецепт Бекещенко из Baker & McKenzie: исключить из форм обратной связи все поля, которые хоть каким-то образом можно причислить к персональным данным (что зачастую лишает эту форму всякого смысла), либо, как требует закон, создать нужные документы и выложить их в открытый доступ.