Обзоры расширений Joomla

 

В предыдущей статье «Обзор компонента GDPR для Joomla. Соответствие GDPR и 152 ФЗ» был рассмотрен компонент, позволяющий выполнить некоторые законодательные требования, связанные с регламентом GDPR. Ниже изложены отдельные моменты касательно регламента GDPR и Федерального закона Российской федерации № 152-ФЗ «О персональных данных» в разрезе сайтов. Под «сайтом» можно понимать также юридическое лицо (фирму/компанию), представленное в интернете в виде сайта. Некоторые моменты актуальны для Закона Украины от 01.06.10 г. № 2297-VI «О защите персональных данных», а, возможно, и для подобных законодательных документов других стран.

Данная информация носит исключительно ознакомительный характер и не должна использоваться для применения на практике без предварительной консультации с юристом. Информация не является исчерпывающей и не претендует на грамотное юридическое пояснение законодательных документов. Она базируется исключительно на моём понимании документов, сложившимся на основании чтения неофициальных и официальных источников (я не юрист).

На кого распространяется регламент GDPR и закон 152 ФЗ

По большому счёту, это относится ко всем или почти ко всем сайтам. Исключения – сайты, где вообще не собираются данные пользователей, не используются файлы cookies, не применяются системы сбора статистики/аналитики и не применяются сторонние ресурсы (виджеты, чаты, сети доставки контента и т.д.). Но даже в этом случае можно придраться. На сервере могут собираться данные об IP адресах пользователей в связке с юзерагентом (браузером) и версией операционной системы.

Формально, регламент GDPR распространяется на все 28 стран Евросоюза (Австрия, Бельгия, Болгария, Великобритания, Венгрия, Германия, Греция, Дания, Ирландия, Испания, Италия, Кипр, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Хорватия, Чехия, Швеция и Эстония), закон 152 ФЗ – действует на территории России. Но оба они направлены на защиту персональных данных пользователей. В интернете нет границ. Вы не можете наперёд знать, пользователи из каких стран могут зайти на Ваш сайт. Поэтому данные законодательные документы могут касаться и Вашего сайта. А если Ваша фирма зарегистрирована в одной из вышеперечисленных стран или ведёт там свой бизнес, то эти документы Вас 100% касаются.

Также если на сайте применяется язык или валюта, которая обычно используется в одном (или больше) из государств-членов Европейского союза, России или есть возможность заказывать товары и услуги на их языке, то эти законодательные документы, с большой долей вероятности, касаются и Вас.

Стоит отметить, что многое из изложенного в статье относится к соблюдению Закона Украины «О защите персональных данных» от 01.06.2010 № 2297-VI.

Что такое персональные данные

Исчерпывающего, чёткого списка того, что именно является персональными данными я не нашёл. Согласно Федеральному закону № 152-ФЗ «О персональных данных» под персональными данными подразумевается любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (источник). На одном из под доменов официального сайта Европейского союза есть краткий перечень таких данных. Объединив эти списки, я получил перечень того, что можно считать персональными данными:

  1. E-mail (152-ФЗ).
  2. Логин/псевдоним (регламент GDPR).
  3. Номер мобильного телефона (152-ФЗ, регламент GDPR).
  4. Фамилия, имя, отчество (152-ФЗ).
  5. Год, месяц, дата и место рождения (152-ФЗ).
  6. Адрес места регистрации и проживания (152-ФЗ, регламент GDPR).
  7. Семейное, социальное, имущественное положение (152-ФЗ).
  8. Образование, профессия, доходы (152-ФЗ, регламент GDPR).
  9. Паспортные данные (152-ФЗ).
  10. Текущее местоположение (координаты на карте) (регламент GDPR).
  11. Онлайн-идентификатор (IP-адрес, cookie и т.д.) (регламент GDPR).
  12. Медицинская информация (регламент GDPR).
  13. Другая информация о человеке, которая на прямую или косвенно может его идентифицировать (152-ФЗ, регламент GDPR).

В скобочках указан «источник», из которого был добавлен тот или иной пункт списка выше. По большому счёту, в регламенте GDPR и в законе 152-ФЗ понятие персональных данных очень-очень схожи. Особенно с учетом неопределённости трактовки и отсутствия чёткого исчерпывающего списка таких данных.

В 26 пункте регламента GDPR есть фраза: «Персональные данные с использованием псевдонима, который можно приписать физическому лицу после использования дополнительной информации, необходимо рассматривать как информацию о физическом лице, которую можно идентифицировать» (источник).

В 30 пункте регламента GDPR есть фраза: «Физические лица могут быть связаны с онлайн-идентификаторами с помощью их устройств, приложений, инструментов или протоколов, в том числе IP-адресов, идентификаторов «cookie» или других идентификаторов, таких как метки радиочастотной идентификации. Это может оставить подсказки, которые, особенно в сочетании с уникальными идентификаторами и другой информацией, полученной с серверов, можно использовать для создания профилей физических лиц и их идентификации.» (источник).

Учитывая всё перечисленное, можно сказать, что все или почти все данные, которые пользователи вводят у Вас на сайте – это персональные данные. Даже если они их не вводят, а просто зашли на сайт, то косвенно Вам предоставляются их персональные данные – «Онлайн-идентификаторы (IP-адрес, cookie и т.д.)».

Требования регламента GDPR и 152-ФЗ

Кратко рассмотрим основной перечень требований закона 152 ФЗ и регламента GDPR к сайтам.

  1. Получить явное согласие у пользователя на сбор, обработку и хранение персональных данных (152-ФЗ, регламент GDPR).
  2. Предоставить пользователю возможность отказаться от согласия на обработку персональных данных (регламент GDPR).
  3. Возможность продемонстрировать согласие пользователя на обработку персональных данных (регламент GDPR).
  4. Информировать пользователей о цели сбора персональных данных (152-ФЗ, регламент GDPR).
  5. Информировать пользователей о сборе статистических данных, использовании cookies, геолокации и т.д. (152-ФЗ, регламент GDPR).
  6. Политика конфиденциальности и другая информация касательно персональных данных должна быть изложена в простой форме и информировать о том, кто собирает данные, какие данные собираются, на какой срок и т.д. Ссылка на такую информацию должна быть легкодоступна (152-ФЗ, регламент GDPR).
  7. Обеспечить сбор минимального количества персональных данных (152-ФЗ, регламент GDPR).
  8. Обеспечить надёжное хранение персональных данных. Например, шифрование данных, псевдонимизация (хранение данных, которые можно идентифицировать с конкретным человеком отдельно от данных, которые к нему относятся) (152-ФЗ, регламент GDPR).
  9. Обеспечить возможность пользователю просмотреть все свои персональные данные, хранящиеся на сайте (регламент GDPR).
  10. Обеспечить возможность пользователю удалять все свои персональные данные, хранящиеся на сайте (152-ФЗ, регламент GDPR).
  11. Назначить лицо, ответственное за защиту персональных данных пользователей (152-ФЗ, регламент GDPR).
  12. Уведомление пользователей об инцидентах, связанных с утечкой их персональных данных (регламент GDPR).
  13. Указать, в какой стране находится хостинг сайта. Хостинг должен располагаться на территории Российской Федерации (152-ФЗ).
  14. Зарегистрируйтесь в Роскомнадзоре в качестве оператора, работающего с персональными данными (152-ФЗ).

В скобочках в списке выше указано, для какого законодательного документа актуален тот или иной пункт. Как видите, в общих чертах регламент GDPR и 152 ФЗ во многом схожи.

Как соответствовать требованиям

Рассмотрим некоторые рекомендации, которые помогут в приведении сайтов в соответствие с регламентом GDPR и закону 152 ФЗ.

  1. Минимизируйте собираемые данные. Собирайте только ту информацию, без которой не сможете обойтись. Для этого может понадобиться сократить форму регистрации, контактов и т.д. В данном вопросе Вам может помочь RSForm Pro.
  2. Минимизируйте использование внешних сервисов типа: Яндекс.Метрика, Google Analytics, онлайн консультанты (чаты) т.д.. Или дайте возможность пользователю легко отключить эти сторонние сервисы. В этом Вам может помочь компонент GDPR. Можно также использовать альтернативные расширения, которые находятся на Вашем сайте. Для статистики – JRealtime Analytics, для онлайн консультанта (чата) – JChatSocial Enterprise.
  3. Опубликуйте на сайте понятную и исчерпывающую политику конфиденциальности и другую информацию касательно пользовательских данных. Разместите ссылки на это в легко доступном месте. В этом может помочь компонент GDPR или DJ-CookieMonster.
  4. Требуйте от пользователя согласия на обработку его персональных данных. Дайте ему возможность отказаться от ранее данного согласия. Документируйте такие согласия и отказы. В этом Вам может помочь компонент GDPR.
  5. Дайте пользователю возможность самостоятельно или по запросу удалить все свои данные с Вашего сайта или получить их копию. В этом Вам может помочь компонент GDPR.
  6. Шифруйте все персональные данные.
  7. Используйте HTTPS.
  8. Обеспечьте защиту сайта от взлома. В этом Вам может помочь RSFirewall и ряд организационных мер.
  9. Шифруйте резервные копии сайта и храните их на защищённых серверах. В этом Вам может помочь Akeeba Backup Pro.
  10. В случае взлома сайта разошлите письма пользователям с уведомлением об инциденте. Для этого есть компонент GDPR.

Формально соответствовать некоторым правилам несложно. Достаточно найти какой-то шаблон политики конфиденциальности, немного его изменить, разместить на сайте, добавить чекбоксы с согласием на обработку персональных данных во все формы и поместить сообщение об использовании cookies.

Но это подойдёт в случае, если Вы не солидная компания, работающая с очень важными персональными данными типа номеров банковских карт, паспортных данных и подобное. Чем больше данных у Вас собирается и хранится, чем более они важны, тем больше ответственность и тем сложнее выполнять требования законодательных документов.

На мой взгляд, вряд ли контролирующие органы будут штрафовать владельцев сайтов, где из персональных данных только e-mail, логин и IP устройства пользователя, за несоблюдение всех требований или даже за утечку данных. Тем более, что владельца подобного сайта может оказаться не так уже легко найти и доказать его связь с сайтом. А вот юридическим лицам, владельцам крупных интернет-магазинов труднее. Их найти легче, да и взять с них можно больше.

Если подходить к вопросу ответственно, то это может стать трудоёмкой, дорогостоящей и регулярной задачей. Так как защита сайта от взлома и обеспечение сохранности персональных данных пользователей – это не разовая работа. Как минимум:

  1. Обратиться к юристу для выяснения всех тонкостей вопроса.
  2. Назначить ответственное лицо за защиту персональных данных пользователей.
  3. Составить свою собственную политику конфиденциальности и постоянно поддерживать её в актуальном состоянии, периодически обращаясь за консультацией к юристу.
  4. Размещать сайт на надёжном хостинге.
  5. Постоянно обновлять CMS и все её расширения.
  6. Использовать расширения, соответствующие требованиям GDPR.
  7. Интегрировать компонент GDPR в CMS и все её расширения.
  8. Установить компоненты по защите сайта от взлома, настроить его и держать в актуальном состоянии.
  9. Обучать вопросам безопасности всех, кто имеет доступ к сайту (администраторы, модераторы).
  10. Обеспечить защиту от вирусов всех устройств, с которых производится доступ к сайту и хостингу (администрирование).
  11. Отслеживать состояние безопасности сайта.
  12. Периодически проходить аудиты безопасности.

И это далеко не исчерпывающий список.

Штрафы

За невыполнение регламента GDPR накладывается штраф до 20 000 000 евро или до 4 % от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше (источник). Из презентации сотрудников компании «PwC Россия» можно узнать, что штраф за нарушение регламента GDPR:

  • Может не применяться.
  • Должен быть действенным, соразмерным и вразумляющим.
  • Может быть наложен в дополнение или вместо других мер.
  • За нарушение нескольких положений по одной или связанным операциям размер штрафа не должен превышать максимального для самого тяжёлого нарушения.

В той же презентации есть информация о том, что будет учтено при определении размера:

  • Природа, тяжесть и продолжительность нарушения.
  • Число затронутых лиц и масштаб причинённого им вреда.
  • Совершено нарушение умышленно или по неосторожности.
  • Принятие мер по снижению последствий нарушения.
  • Предшествующие схожие нарушения.
  • Выдавались ли требования по тому же вопросу.
  • Уровень сотрудничества с регулятором для устранения нарушения и снижения негативного эффекта.
  • Доходы (снижение убытков), полученные от нарушения.

Касательно штрафов за невыполнение федерального закона Российской федерации № 152-ФЗ «О персональных данных» приведу такие данные (источник):

  • Уголовная ответственность за незаконный сбор или распространение сведений о частной жизни, составляющих личную или семейную тайну человека, без его согласия. Наказанием может стать штраф до 300 000 руб. и выше, принудительные работы, а также лишение свободы на срок до 4 лет.
  • Административная ответственность физических или должностных лиц, индивидуального предпринимателя или компании за невыполнение 152-ФЗ на 10 000 руб. Штраф может быть наложен не только на компанию, но и на работника: руководителя или ответственного за организацию обработки персональных данных.
  • Компания может быть оштрафована на сумму до 20 000 руб., если не выполнит в срок предписание Роскомнадзора или не ответит на его запрос.
  • Нарушения трудового законодательства, в том числе главы 14 Трудового кодекса, наказываются штрафом до 50 000 руб.
  • Гражданско-правовая ответственность. Закон «О персональных данных» даёт физическим лицам право на возмещение морального и имущественного вреда, а также понесённых убытков. Размер возмещения будет определяться судом, и заранее он ничем не ограничен.

Сравнение 152 ФЗ и регламента GDPR

В разделе выше я уже приводил сравнение требований регламента GDPR и 152 ФЗ, а также их схожесть/отличия в плане определения, что такое персональные данные пользователя. Ниже приведу таблицу с основными отличиями, которые заметил в ходе своего «исследования».

 

 

Регламент GDPR

152 ФЗ

Актуально для России

Не всегда

Да

Актуально для Украины

Не всегда

Не всегда

Актуально для Евросоюза

Да

Не всегда

Право пользователя получить копию своих данных

Да

Нет

Необходимость уведомлять об утечках данных

Да

Нет

Штраф

До 20 000 000 евро или до 4 % от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше

Может достигать суммы превышающей 300 000 руб.

 

Безусловно, отличий гораздо больше, но я не ставил цель детального сравнения.

На мой взгляд, тема несколько раздута. В сети появилось очень много платных курсов, бесплатных консультаций и т.д., в которых обещают рассказать, как надо делать, чтобы Вас не оштрафовали. Многие юридические компании, компании по обеспечению информационной безопасности, а также производители программного обеспечения подогревают вопрос, предлагая свои платные услуги.

Уверен, что крупные, серьёзные организации, работающие с по-настоящему важными персональными данными, уже давно внедрили нужные меры по защите данных и уделяют этому внимание на постоянной основе. А владельцам «маленьких сайтиков» достаточно подождать выхода обновления для своих CMS и дополнительных расширений, связанных с вышеописанными законодательными документами, а также установить компонент типа GDPR. Причём, можно не бежать сломя голову. Трезво оцените собираемые Вами данные и риски пользователей от их утечки. Прочитайте законы и решите, что Вам делать.

Касательно защиты сайтов от взлома и тем самым сохранности персональных данных пользователей всё ещё проще. Это необходимо делать с первых секунд жизни сайта в сети. И не потому, что есть какие-то «страшные» законы или контролирующие органы.

Но и явным образом пренебрегать регламентом GDPR, законом 152 ФЗ и другими аналогичными законодательными документами, действующими на территориях стран проживания Ваших пользователей, не стоит. Интернет - относительно молодая среда, но он достаточно сильно проник в жизнь людей и это проникновение будет только увеличиваться. В связи с этим, считаю, что подобное регулирование со стороны государства закономерно и важно. Хотя бы потому, что мошенничество и преступность в сети, к сожалению, обыденность. Не имея соответствующей законодательной базы, сложно привлечь к ответственности даже юридическое лицо, не говоря о физических лицах. Искренне надеюсь, что подобное регулирование будет использоваться во благо обществу, а не для материальной наживы проверяющих и не для усиления тотального контроля с целью подавления мнения в угоду правящему режиму.

 

Полезные ссылки: