С 1 июля вступили в силу поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Они касаются практически любого сайта — личного или корпоративного, если сайт собирает, обрабатывает и хранит данные пользователей. Под определение обработки персональных данных попадает использование на сайте любой формы обратной связи, в которой от посетителя просят ввести, к примеру, почтовый адрес, или имя и фамилию и т. д.
Такой сайт обязан зарегистрироваться в реестре операторов персональных данных Роскомнадзора, а также подготовить и опубликовать на сайте соглашение о персональных данных с возможностью согласиться или отказаться от их обработки и хранения. За нарушение этого правила полагается штраф до 75 000 рублей. Причем штраф может налагаться за каждый случай нарушения, то есть, к примеру, за каждого посетителя, который отправил свои данные на сайте без соответствующей «галочки» о согласии на обработку персональных данных.
Новые правила могут стать проблемой в первую очередь для компаний малого бизнеса, которые по каким-то причинам не знали о новых правилах или не успели переделать свой сайт. Однако на деле новые правила часто не соблюдают и крупные компании, а также федеральные министерства и ведомства. Так «Роем!» не удалось обнаружить «галочку» о согласии на обработку данных на сайте Росскомнадзора и на сайте президента России. Ряд министерств уже привел свои сайты в соответствие с новыми правилами, как это сделали Минкомсвязь и Минкультуры. Ряд министерств вообще не размещал на сайте форму обратной связи или принимает обращения граждан через специально созданный интерфейс — электронную приемную, так это делает Госдума.
Анастасия Кузнецова, партнер юридического консалтинга Claims, поясняет, что новым требованиям должны подчиняться и государственные сайты:
В соответствии со ст. 3 Федерального закона «О персональных данных» оператором персональных данных являются не только юридические и физические лица, но и государственные и муниципальные органы. Таким образом, все нормы закона, устанавливающие обязанности операторов, ограничения и негативные последствия несоблюдения закона распространяют свое действие и на государственные органы.
Госорганы, в отличие от частных компаний и физлиц, не обязаны создавать «документы, определяющие политику оператора в отношении обработки персональных данных», так как деятельность госорганов в этой сфере урегулирована нормативно. Однако существует отдельное постановление Правительства, из которого следует, что на сайте госоргана должны быть размещены «правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства в сфере персональных данных».
Редакция «Роем!» изучила сайты основных федеральных министерств и ведомств и выяснила, что больше половины из них либо вовсе не соблюдают новые правила по сбору персональных данных, либо выполняют их не полностью. В некоторых случаях точно установить, нарушены ли правила достаточно сложно, так как, к примеру, страница с политикой обработки персональных данных может находится в любом месте сайта, так как это не оговорено законом. Также структура сайтов может изменяться. Редакция готова корректировать данные, если выяснится, что какой-то из сайтов привел форму обратной связи в соответствие с новыми правилами.
Проверка сайтов производилась на неделе с 3 по 7 июля 2017 года. Таблицу следует читать так: если на сайте есть форма обратной связи (второй слева столбец), то должны быть и правила обработки персональных данных, и возможность принять их или отказаться. Таким образом, если госсайт не нарушает законодательство в том случае, если он отмечен галочками во всех столбцах, или же не отмечен галочкой в первом столбце, т.е. не имеет формы обратной связи.
Возможно, вскоре госсайты доработают. Так советник главы Минэкономразвития Елена Лашкина сказала «Роем!», что проблема будет исправлена в ближайшее время:
Информация об обработке персональных данных указана на странице «Общественная приемная». Кроме того, форма обратной связи в ближайшее время будет модернизирована. По итогам, интернет приемная Министерства будет не только отвечать актуальным требованиям законодательства в сфере персональных данных, но и существенно расширит свой функционал и упростит процесс подачи обращений. Благодарю за столь пристальное внимание к нашему сайту.
С другой стороны, представитель Минфина сказал «Роем!», что они не собираются ничего менять, ссылаясь в том числе на ФЗ от 2 мая 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан», в соответствии с которым «не установлено требование по оформлению заявителем согласия на обработку персональных данных при подаче обращений»:
Минфин не вправе устанавливать для заявителей дополнительные ограничения при подаче ими электронных обращений. Электронное обращение, поступившее в Минфин, подлежит рассмотрению аналогично обращению на бумажном носителе в порядке, установленном регламентом министерства. Для получения дополнительных разъяснений необходимо обращаться в адрес Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
Редакция «Роем!» также попыталась связаться с другими участниками списка. Кроме Минфина и Минэка на настоящий момент ответили только в пресс-службе Минздрава, которая напомнила, что по закону может отвечать на запрос в течение семи дней.