Закон о персональных данных, вступивший в силу 1 сентября 2015 года, обязывает записывать и хранить персональные данные граждан РФ на российских же серверах. Он уже успел наделать шуму и в профессиональном сообществе представителей IT-индустрии, и среди обычных пользователей интернета. Как владельцам сайтов, запрашивающих информацию о пользователях, жить в согласии с новым законом? Да просто не давать повода Роскомнадзору считать собираемые и хранимые данные персональными! О том, как это сделать, рассказывает Анна Кожевина, финансовый директор интернет-холдинга Spyk.
Анна Кожевина, финансовый директор полносервисного digital-агентства Spyk, специализирующегося на agile-маркетинге и объединяющего в себе три главных экспертизы – креатив/брендинг, веб-продакшн, интернет-маркетинг. Среди клиентов компании: Adobe Systems, 2GIS, «Ростелеком», Logitech, Cisco и др. Основные производственные мощности компании расположены в Сибири, клиентский офис находится в Москве.
Анна Кожевина
По данным Openstat, более трети сайтов с доменами в зоне.ru на начало прошлого года реально были размещены за рубежом. Поэтому закон так или иначе потенциально затрагивает десятки тысяч российских компаний. Дать реальную оценку всем нюансам закона и его подзаконных актов пока очень сложно (хотя ответы на некоторые важные вопросы дает специально созданный сайт).
Но прежде чем консультироваться с юристами, изучать конвенцию Совета Европы или торопливо переносить данные в российские дата-центры, стоит обратить внимание на один момент. Речь идет единственно и только о персональных данных. То есть если данные нельзя будет назвать персональными с точки зрения буквы закона, то не будет и темы для разговора! И в некоторых случаях к этому можно прийти простыми решениями интерфейса.
Что вообще такое персональные данные? Это совокупность информации, необходимой и достаточной для идентификации конкретного физического лица. Что это означает на практике?
Все обезличенные данные вроде cookie, IP-адресов или другой информации, сохраняемой кэш-функцией, нельзя назвать персональными. При этом номер телефона, хоть и относится к так называемым персональным обезличенным данным, но его хранение на сайте не регулируется новым законом, так как в публичном доступе базы с номерами мобильных телефонов граждан РФ не существует (толстенные справочники исчезли из обращения вместе с телефонными будками и вряд ли когда-нибудь вернутся).
Предыдущая версия закона также отличалась тем, что автоматизированная обработка персональных данных все-таки не запрещала участвовать в этом процессе человеку, но новая редакция закрывает эту лазейку.
Паспортные данные или ИНН, вместе или по отдельности друг от друга - безусловно, являются персональными.
ФИО, фотография или фактический адрес проживания не позволяют указать на конкретное лицо, если они хранятся не в
совокупности друг с другом. Но ФИО и фотография, или ФИО и фактический адрес (например, в анкете соискателя работы), размещенные вместе, уже относятся к персональным данным.
Это простое знание может здорово помочь владельцам интернет-магазинов и других сайтов, использующих личный кабинет, форму регистрации или требующих от пользователей заполнять поля с данными для получения промокода, участия в программе лояльности или доставки товаров.
Итак, подобрав нужную комбинацию запрашиваемых данных или немного изменив формулировки, можно по большому счету забыть об этом законе (по крайней мере до внесения новых поправок).
Все довольно просто: указание телефона + имени и фамилии + электронной почты - это не сбор персональных данных (по причинам, указанным выше).
Это - вполне безопасный формат сбора данных.
А вот если заполнить все поля на этом сайте, по ним можно будет установить конкретного человека.
Запрос имени и фамилии + логина + пароля к аккаунту + электронной почты + адреса доставки - также не сбор персональных данных, потому что адрес доставки может и не означать места жительства и не позволяет однозначно указать на физическое лицо.
Но при этом запрос имени и фамилии + логина + пароля к аккаунту + электронной почты + места жительства (или фактического адреса, именно в такой формулировке!) - относятся к персональным данным, так как не оставляют возможности для разночтений и указывают на конкретного человека.
Новый закон, конечно, заставит предпринимать определенные действия владельцев платежных сервисов, рекрутинговых компаний или медицинских учреждений, если их серверы находились не на территории России, но во многих случаях потребует от владельцев сайтов лишь немного подкорректировать свой интерфейс.
В качестве примера: перед вами две формы запроса данных. Левую лучше не использовать, если вы опасаетесь проблем с Роскомнадзором, связанных с законом «о локализации персональных данных». Правая же абсолютна безопасна.