С 1 июля 2017 года вступили в силу поправки в статью 13.11 КоАП РФ, в соответствии с которыми были значительно повышены штрафы за нарушение законодательства в области персональных данных (ПД).

Делая покупки в интернет-магазинах, покупатели оставляют некоторые сведения о себе - ФИО, адрес доставки и другие контактные данные. Поэтому владельцам интернет-магазинов следует внимательно изучить данный вопрос и обеспечить исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при осуществлении торговли в сети интернет.

Подскажем, какая касса из нашего каталога подойдет под ваш бизнес.

Что относится к персональным данным физического лица, который является посетителем интернет-магазина

Персональные данные - это любая информация, которая прямо или косвенно относится к конкретному физическому лицу либо позволяет идентифицировать его (п. 1 ст. 3 Закона «О персональных данных» № 152-ФЗ).

В контексте организации работы интернет-магазина к персональным данным, в принципе, могут быть отнесены даже файлы Cookie – применяемые, в частности, для персонификации товарных предложений конкретным пользователям. Есть судебные прецеденты, подтверждающие отнесение таких файлов к персональным данным - например, Решение Арбитражного суда г. Москвы от 11.03.2016 года по делу № А40-14902/2016-84-126 11.

Персональные данные могут быть:

• обработаны;
• распространены;
• изменены;
• предоставлены тем или иным лицам (раскрыты);
• удалены.

Указанные действия совершает оператор персональных данных. Им может быть любое физлицо, организация либо государственный или муниципальный орган власти. В том числе, безусловно, и интернет-магазин - учрежденный физлицом (ИП) либо принадлежащий юридическому лицу.

Поэтому, становясь оператором персональных данных, интернет-магазин обязан соблюдать нормы Закона № 152-ФЗ. Но в каких случаях он приобретает такой статус?

Чтобы приобрести статус оператора персональных данных, хозяйствующему субъекту достаточно совершить любую процедуру, которая характеризует их обработку, в частности:

• сбор;
• запись;
• систематизацию;
• накопление;
• уточнение;
• применение;
• распространение.

То есть, осуществив хотя бы первую процедуру - сбор данных (на практике - получение от клиента через онлайн-форму) интернет-магазин становится оператором, и у него возникают обязательства по исполнению норм Закона № 152-ФЗ.

Отдельный сегмент правоотношений, в которых требуется соблюдение законодательства о персональных данных - взаимодействие интернет-магазина как работодателя и его наемных сотрудников (работающих как удаленно, так и в офлайновых подразделениях интернет-магазина). Однако, такие правоотношения, в целом, осуществляются в юрисдикции тех правовых норм, которые актуальны для взаимодействия работодателей и работников (удаленного или офлайнового) вне зависимости от вида осуществляемой ими деятельности.

В свою очередь, обмен данными именно между интернет-магазином и его клиентами образует отдельный и, фактически, уникальный - в части применения норм Закона № 152-ФЗ, сегмент правоотношений, в котором у хозяйствующего субъекта образуется широкий спектр прав и обязанностей в соответствии с законодательством.

Рассмотрим подробнее, какие именно обязательства должен выполнять интернет-магазин в связи с необходимостью исполнения норм Закона № 152-ФЗ.

Подпишись на наш канал в Яндекс Дзен - Онлайн-касса !
Получай первым горячие новости и лайфхаки!

Что нужно сделать интернет-магазину для соблюдения требований Федерального закона № 152-ФЗ

Главная обязанность любого оператора персональных данных (и интернет-магазин - не исключение) заключается в соблюдении порядка их обработки. Главное условие данного порядка - получение от субъекта персональных данных (то есть, покупателя) согласия на такую обработку.

Такое согласие может быть получено в любом достоверном виде (п. 1 ст. 9 Закона № 152-ФЗ). Но в предусмотренных законом случаях требуется такое согласие в письменном виде - то есть, на бумаге или с применением электронного документа, который заверен электронной подписью (п. 4 ст. 9 Закона № 152-ФЗ).

Покупка товаров в интернет-магазине прямо не отнесена законом к тем операциям, которые требуют письменного согласия субъекта персональных данных . Поэтому, получение такого согласия возможно, в принципе, в любом виде - который, однако, должен позволять однозначно удостоверить факт одобрения физлицом передачи персональных данных оператору.

Следующая обязанность оператора персональных данных - выполнение действий, направленных на реализацию законных прав субъектов персональных данных. В частности, речь идет о праве:

• на подтверждение факта получения ПД интернет-магазином и начала их обработки;
• на получение сведений о целях и способах обработки ПД;
• на ознакомление с лицами (исключая лиц, которые работают в штате оператора), которые участвуют в обработке ПД).

К числу иных важнейших обязанностей операторов персональных данных правомерно отнести соблюдение конфиденциальности данных. Если клиент интернет-магазина не дал согласия на распространение своих данных другим лицам, то хозяйствующий субъект не вправе этого делать - как и иным образом раскрывать персональные данные (ст. 7 Закона № 152-ФЗ). При этом, даже если согласие получено, то за действия третьих лиц, которые получили персональные данные клиента интернет-магазина, ответственность несет сам интернет-магазин (п. 5 ст. 6 Закона № 152-ФЗ).

Важный нюанс, характеризующий обработку персональных данных - обязанность оператора размещать данные на серверах, расположенных в России - если законом не определено иного (п. 5 ст. 18 Закона № 152-ФЗ). Российские интернет-магазины не попадают под исключения, и потому должны выполнять указанную норму закона.

Отдельный вопрос - необходимость оператора персональных данных подавать уведомление о том, что осуществляется их обработка, в Роскомнадзор - в соответствии с предписанием п. 1 ст. 22 Закона № 152-ФЗ. В общем случае такое уведомление подавать требуется. Но положениями п. 2 ст. 22 Закона № 152-ФЗ предусмотрен широкий спектр исключений из указанного правила.

В частности, подп. 2 п. 2 ст. 22 Закона № 152-ФЗ предусматривает, что уведомление вправе не подавать операторы при исполнении договора, заключенного с субъектом персональных данных и при условии неосуществления передачи персональных данных третьим лицам без согласия субъекта. Под такие критерии вполне попадает договор купли-продажи, заключаемым между магазином и покупателем. Поэтому, интернет-магазину в общем случае не нужно - при взаимодействии с заказчиками, подавать уведомления, о которых идет речь (но возможны и исключения из этого правила - далее в статье мы рассмотрим их).

Итак, основные обязанности оператора персональных данных сводятся:

• к получению согласия на их обработку;
• к обеспечению конфиденциальности ПД;
• к выполнению прочих требований законодательства (о размещении ПД на территории России, о выполнении запросов субъектов ПД, касающихся того, каким образом они используются).

Изучим подробнее, каким образом указанные обязанности могут быть технически выполнены интернет-магазином.

Онлайн-кассы для всех видов бизнеса! Доставка по всей России.

Оставьте заявку и получите консультацию в течение 5 минут.

Как получить согласие на обработку персональных данных через интернет

Итак, поскольку в отношении деятельности интернет-магазинов законом не установлено требований по письменному получению согласия на обработку персональных данных, такое согласие может быть получено любым достоверным способом. Но каким именно?

Варианты здесь возможны следующие:

1. Когда интернет-магазин запрашивает персональные данные через форму заказа.

В этом случае согласие на обработку данных может быть получено посредством задания условия, при котором отправка данных по заказу через форму возможна только при условии проставления галочки (или иного элемента формы, выполняющего аналогичную функцию) напротив строки, в которой написана формулировка наподобие «Даю согласие на обработку персональных данных, передаваемых оператору посредством настоящей формы».

В Согласии, как правило, отражаются:

• цель предоставления документа оператору (в случае с интернет магазином - для доставки товара и иных целей, определенных процедурой купли-продажи);
• перечень передаваемых оператору ПД;
• сроки и порядок хранения ПД;
• порядок передачи ПД тем или иным сторонним лицам (например, службе доставки товаров).

При этом, рядом с галочкой и ссылкой на Согласие следует прикрепить ссылку на особый документ, подробно разъясняющий порядок обработки интернет-магазином персональных данных в соответствии с Законом № 152-ФЗ - Политику конфиденциальности. Ее можно оформить как приложение к форме заказа. В описании ссылки должна присутствовать формулировка, которая может звучать как «С приложением к настоящей форме, в котором отражен порядок обработки персональных данных в соответствии с законодательством, ознакомлен».

Политика конфиденциальности - документ, который должен быть обязательно опубликован в общем доступе. Кроме того, она может рассматриваться как часть локальной нормативной базы организации, которая учреждает интернет-магазин. Сотрудники хозяйствующего субъекта, таким образом, должны быть обязаны следовать утвержденной Политике.

В состав Политики обычно входят:

• общие положения;
• формулировки, отражающие цели сбора хозяйствующим субъектом ПД;
• положения о юридических основаниях для сбора ПД;
• классификация используемых ПД, порядок и условия работы с ними;
• порядок обеспечения реализации субъектами ПД прав, установленных законом.

В Политике можно отразить:

• то, каким образом интернет-магазин обеспечивает права пользователей по запросу сведений об обработке ПД;
• то, каким образом организуется хранение данных (в данном случае могут быть приведены сведения, позволяющие установить факт размещения серверов с ПД покупателей в России).

1. Когда интернет-магазин запрашивает персональные данные через форму рекламной рассылки (подписки на тематические материалы с сайта - например, буклеты со скидками, промокодами).

Сбор персональных данных здесь возможно осуществить по аналогичной схеме - с применением галочки напротив пункта «Согласен», файлом Согласия и ссылкой на Политику конфиденциальности с формулировкой, отражающей факт прочтения Политики покупателем интернет-магазина.

В среде IT-специалистов и экспертов в области законодательства о персональных данных распространена точка зрения, по которой получение согласия человека на обработку персональных данных следует осуществлять в режиме, предполагающем установление «повышенной достоверности» его волеизъявления. Общераспространенная схема с применением галочки с Согласием и ссылки на Политику конфиденциальности рассматривается такими экспертами с критических позиций - и, надо сказать, небезосновательно, поскольку, по мнению экспертов:

• галочка может быть проставлена случайно;
• онлайн-форма может загрузиться с ошибкой - как вариант, без ссылки на Политику конфиденциальности, с отсутствием галочки или сопровождающих ее формулировок;
• случайно или намеренно пользователь может вписать в форму чужие персональные данные.

С учетом данных нюансов предлагается дополнить рассматриваемую систему - с сохранением ее основных элементов в виде галочки, Согласия и ссылки на Политику конфиденциальности, механизмом вторичного получения согласия. Вариантами организации такого механизма в случае с интернет-магазином могут быть:

1. Обязательная регистрация пользователя перед оформлением покупки.

Такая регистрация предполагает заполнение, фактически, той же формы с галочкой, Согласием и ссылкой на Политику конфиденциальности, при последующей отправке интернет-магазином на указанный пользователем e-mail письма с подтверждением регистрации (и одновременно для удостоверения факта предоставления согласия на обработку персональных данных и ознакомления с Политикой конфиденциальности).

В форме при этом предполагается указание логина и пароля, которые пользователь будет задействовать для последующего входа в свой аккаунт на сайте интернет-магазина.

Если пользователь не подтвердит регистрацию письмом, то согласие на обработку персональных данных не будет считаться полученным (но, вместе с тем, будет считаться, что пользователю предложено ознакомиться с Политикой конфиденциальности).

Рассматриваемый способ получения согласия на обработку данных с «повышенной достоверностью» может быть задействован магазином и в маркетинговых целях. Через персональный аккаунт покупателя его можно информировать о различных скидках и акциях, обмениваться с ним сообщениями и решать иные задачи, характерные для взаимодействия продавца и покупателя.

1. Подтверждение совершения отдельного заказа по e-mail (без обязательной регистрации аккаунта на сайте интернет-магазина).

Алгоритм такого подтверждения, в принципе, будет схож с тем, что характеризует процедуру регистрации аккаунта покупателя, за исключением применения логина и пароля пользователя. В данном случае подтверждение будет производиться, фактически, с единственной целью - получения согласия на обработку персональных данных и удостоверения факта ознакомления человека с предложением о прочтении Политики конфиденциальности.

Следующая масштабная задача интернет-магазина - обеспечение конфиденциальности персональных данных на практике.

1. Задай вопрос нашему специалисту в конце статьи.
2. Получи подробную консультацию и полное описание нюансов!
3. Или найди уже готовый ответ в комментариях наших читателей.

Как интернет-магазину обеспечить конфиденциальность ПД

В соответствии с п. 1 ст. 18.1 Закона № 152-ФЗ оператор персональных данных должен принимать меры, достаточные для исполнения обязанностей, предусмотренных законом. При этом, оператор определяет перечень соответствующих мер самостоятельно - если законом не предусмотрено иного.

Очевидно, что речь идет, прежде всего, о мерах, которые призваны обеспечивать конфиденциальность персональных данных - то есть:

• недопущение доступа к ним лиц, не имеющих разрешения к прочтению соответствующих ПД;
• недопущение несанкционированного использования, видоизменения, распространения ПД;
• обеспечение необходимой защиты ПД от различных кибер-угроз, видоизменения, распространения и совершения иных несанкционированных операций с ПД в силу технических сбоев.

Законом предлагаются следующие меры, направленные на решение указанных задач:

1. Назначение оператором, имеющим статус юридического лица, ответственного работника - который организует обработку ПД на предприятии.

1. Разработка оператором локальных нормативных актов, регулирующих порядок обработки ПД в соответствии с требованиями законодательства.

1. Применение технических средств для обеспечения защиты ПД.

1. Проведение внутреннего контроля процедур в рамках обработки ПД.

1. Проведение оценки вреда, который может быть нанесен субъектам ПД вследствие нарушений законодательства об обработке персональных данных и устранение последствий таких нарушений.

1. Проведение необходимой работы с сотрудниками на предмет повышения уровня их знаний в области защиты ПД.

По принципу правовой аналогии все указанные нормы применимы и в отношении индивидуальных предпринимателей, ведущих продажу онлайн. В том числе - если ИП работает самостоятельно, без привлечения работников. В потенциале у него, так или иначе, может появиться штат сотрудников, и к тому моменту у него должны быть действующие локальные нормативы, регулирующие порядок организации обработки персональных данных.

Следует знать, что в соответствии с п. 4 ст. 18.1 Закона № 152-ФЗ те документы, которые интернет-магазин должен издать в рамках исполнения указанных выше предписаний и рекомендаций, могут быть запрошены Роскомнадзором при проведении проверки хозяйствующего субъекта.

Так или иначе, меры, направленные на обеспечение оператором персональных данных исполнения требований закона (прежде всего, в части обеспечения конфиденциальности персональных данных) можно разделить на 2 группы:

• организационные (по сути, и в основе своей правовые);
• технические.

Организационные (правовые) меры касаются, главным образом, документальной регламентации применения указанных механизмов взаимодействия интернет-магазина (в лице владельца или его работников) с покупателем.

Отметим, что при реализации организационных и правовых мер предполагается разработка

договора купли-продажи (оферты) между магазином и покупателем, на основании которого согласие на обработку персональных данных оформляется в виде, отличном от письменного - с применением галочки в форме заказа и ссылки на Политику конфиденциальности.

Технические меры могут быть представлены в самом широком спектре - рассмотрим их подробнее.

Техническое сопровождение оборудования. Решим любые проблемы!

Оставьте заявку и получите консультацию в течение 5 минут.

В чем заключается техническая сторона обеспечения конфиденциальности ПД

Основной источник правовых норм, которым нужно следовать при решении технических задач по обеспечению конфиденциальности персональных данных - положения ст. 19 Закона № 152-ФЗ.

В ней сказано, в частности, что обеспечение безопасности персональных данных может быть осуществлено за счет:

1. Установления угроз безопасности данных в рамках их обработки с использованием информационных систем .

На практике, реализация такой меры подразумевает применение различных антивирусных и дополняющих их решений - которые предполагается внедрить в систему управления сайтом. Такие решения призваны вовремя обнаруживать попытки автоматического или осуществляемого хакерами вручную несанкционированного доступа к персональным данным, собираемым с помощью форм заказов на сайте или хранящимся на серверах, которые администрируются интернет-магазином.

1. Применением технических средств для повышения уровня защищенности персональных данных .

Речь идет, прежде всего, о различных инструментах шифрования данных - так, чтобы при получении доступа к ним они были представлены в виде, при котором их прочтение без последующей дешифровки невозможно при условии, что сама дешифровка должна санкционироваться интернет-магазином.

1. Применением технических средств для восстановления удаленных, поврежденных или несанкционированным образом видоизмененных персональных данных .

Здесь речь может идти о решениях, которые применяются в целях:

• дублирования персональных данных на случай их удаления с исходного носителя (повреждения либо видоизменения);
• собственно, восстановления удаленных (поврежденных либо видоизмененных) данных с имеющихся носителей.

1. Применением технических средств, позволяющих разграничить доступ (определить уровни доступа) к персональным данным в зависимости от статуса лица, которое имеет полномочия на обработку персональных данных .

Так, например, менеджер интернет-магазина может иметь доступ лишь к контактным данным покупателя (для того, чтобы связаться с ним в случае возникновения тех или иных вопросов), а менеджер по доставке - еще и к адресу. Либо - у первого могут быть полномочия лишь на прочтение контактов, а у второго - и на их изменение.

1. Применением систем контроля над лицами, производящими обработку персональных данных .

Действительно, одних лишь локальных регламентов для обеспечения конфиденциальности персональных данных мало - нужен механизм контроля их исполнения. Решения здесь могут задействоваться самые разные - от выборочного мониторинга действий конкретных работников интернет-магазина до внедрения инструментов сплошного анализа трафика на предмет несанкционированной передачи персональных данных.

То, насколько защищенной должна быть информационная система для обработки персональных данных, определяется исходя из потенциального вреда, который может быть нанесен системе в силу влияния типичных для нее угроз. Перечни таких угроз и требования к защищенности системы, соответствующие степени угроз, определены в Постановлении Правительства России от 01.11.2012 № 1119.

Рассмотрим их подробнее.

Насколько защищенным должен быть интернет-магазин для безопасной обработки ПД

Владельцу интернет-магазина для того, чтобы определить, какие конкретно меры нужны для обеспечения необходимого уровня защиты персональных данных, следует воспользоваться таблицей по Приложению к Составу и содержанию организационных и технических мер, который утвержден приказом № 21.

Отметим, что данный перечень касается, прежде всего, все тех же кадровых нюансов организации работы интернет-магазина. Но даже если его владелец - ИП, работающий без штата работников, то ему, в частности, для обеспечения защиты персональных данных покупателей хотя бы на 1 уровне, придется:

• применять средства идентификации и аутентификации пользователей;
• управлять учетными записями пользователей;
• контролировать доступ к серверу, на котором располагаются ПД;
• использовать антивирус;
• выявлять инциденты, связанные с несанкционированным доступом к ПД.

Безусловно, значительную часть такой работы ИП (и юрлицу, конечно, тоже) имеет смысл делегировать стороннему партнеру - например, владельцу хостинга, на котором размещен сайт интернет-магазина. Но передача таких полномочий должна быть правильно закреплена юридически - с применением детально проработанных соглашений, которые грамотно разграничивают ответственность интернет-магазина и его партнера, обеспечивающего защиту персональных данных покупателей в соответствии с законодательством.

На практике многие из современных CMS-систем управления сайтами имеют необходимый функционал для обеспечения соответствия работы интернет-магазина указанным выше требованиям, касающимся установления уровней безопасности обработки персональных данных.

Но, безусловно, во многих случаях требуется их доработка и дополнение. Как правило, крупнейшие поставщики решений для управления сайтами и хостинговых услуг стараются предлагать своим клиентам продукты, максимально соответствующие по характеристикам тем требованиям, что установлены законом № 152 и ведомственными стандартами. Тем не менее, при выборе определенной CMS-системы всегда полезно запрашивать дополнительные консультации специалистов по поводу ее соответствия нормам законодательства о защите персональных данных.

Таковы основные нюансы, характеризующие выполнение интернет-магазином предписаний Закона № 152-ФЗ и сопутствующих ему правовых актов в части взаимодействия с покупателями товаров. Однако, такое взаимодействие может осуществлять и в иных правовых контекстах. В частности - отражающих расчеты между магазином и покупателем с применением инновационного типа ККТ

Как мы уже отметили в начале статьи, по Закону № 152-ФЗ к персональным данным относятся любые сведения, которые могут прямо или косвенно относиться к определенному человеку (или идентифицировать человека). Очевидно, что e-mail или телефон могут быть, как минимум, косвенными идентификаторами.

Что касается e-mail, то он может принимать вид наподобие [email protected], и при утечке такого электронного адреса из баз данных интернет-магазина сторонние лица могут без труда понять, что покупки в магазине совершал Степан Петров, родившийся в 1976 году в Москве и обучающийся в Массачусетском университете.

С телефоном сложнее - но и его при желании можно посчитать за косвенный идентификатор. Например, лицо, несанкционированно получившее номер от интернет-магазина, может позвонить по нему и, представившись человеком из курьерской службы, попросить абонента уточнить ФИО и адрес доставки - но на самом деле для оформления навязчивой рекламной рассылки.

Таким образом, несмотря на то, что по Закону № 54-ФЗ, регулирующему применение онлайн-касс , покупатели интернет-магазинов оставляют свои контакты для получения чеков добровольно, речь идет о передаче продавцу персональных данных.

Означает ли это, что в отношении операций с такими данными будут действовать те же требования, что характеризуют обработку прочих персональных данных?

Отметим, что часть таких требований сохраняет актуальность. Например, интернет-магазин, проводящий оплату через онлайн-кассу , обязан:

• гарантировать покупателям права на получение сведений об обработке ПД;
• обеспечить конфиденциальность данных;
• соблюсти прочие требования Закона № 152-ФЗ (в частности, о размещении ПД на российских серверах).

Самое примечательное - в число таких требований не будет входить получение согласия на обработку персональных данных.

Дело в том, что в п. 1 ст. 6 Закона № 152-ФЗ перечислен ряд исключений из правила о необходимости получения согласия. К таким исключениям относится обработка данных в рамках исполнения оператором функций и обязанностей, которые возложены на него законодательством. К таким функциям и обязанностям интернет-магазина правомерно отнести предписания Закона № 54-ФЗ - о формировании кассовых чеков при расчетах с покупателями.

Таким образом, согласие на получение e-mail и телефона - как разновидностей персональных данных, интернет-магазин запрашивать у покупателя не обязан.

Конечно, нет никаких правовых препятствий, чтобы запрашивать у покупателей согласие на обработку персональных данных, представленных e-mail и телефоном, одновременно с запросом согласия на обработку прочих персональных данных. То есть, в Согласии - которое скачивается при подтверждении формы заказа, и в сопутствующей ему Политике персональных данных, можно отразить, что часть данных - e-mail и телефон покупателя, будет использоваться интернет-магазином в целях исполнения положений Закона № 54-ФЗ. То есть - для отправки электронных кассовых чеков покупателю.

Но эта процедура, строго говоря, необязательна с точки зрения законодательства - хотя и несложна совершенно.

При этом, продавцу следует иметь в виду, что получение персональных данных в целях выполнения норм Закона № 54-ФЗ не попадает под исключения, прописанные в п. 2 ст. 22 Закона № 152-ФЗ - те, что относятся к обязательству по информированию Роскомнадзора о получении персональных данных. То есть - при приеме оплаты онлайн такое уведомление потребуется подать . Ведомство, получив от интернет-магазина уведомление, вносит его в реестр операторов персональных данных.

В уведомлении должны быть указаны:

1. Наименование документа - «Уведомление об обработке персональных данных».

1. Наименование оператора, его юридический адрес.

1. Правовые обоснования, цели обработки данных.

1. Типы обрабатываемых данных.

1. Категории лиц, которые становятся субъектами персональных данных.

1. Способы обработки данных.

1. Меры обеспечения безопасности обработки данных.

1. Сведения о расположении серверов, на которых хранятся персональные данные.

1. Сроки начала обработки данных.

1. Условия прекращения обработки данных.

Указывается ФИО и должность составителя уведомления. Он проставляет дату составления документа, подписывает его.

Таким образом, закон накладывает на владельцев интернет-магазинов внушительный объем обязательств. И санкции за их невыполнение - достаточно серьезные. Изучим их.

Ответственность и новые штрафы

За нарушение требований законодательства по данному вопросу предусмотрены следующие санкции:

1. Административные штрафы .

Основной их перечень определен в ст. 13.11 КоАП РФ. Но некоторые прописаны в корреспондирующих статьях Кодекса.

К числу типичных штрафов можно отнести:

• за обработку ПД без согласия их владельца - до 20 тыс. рублей на должностных лиц и ИП, до 75 тыс. рублей - на юридических лиц (ст. 13.11 КоАП РФ);
• за отказ в предоставлении физлицу информации, с которой он вправе ознакомиться по закону - до 10 тыс. рублей на должностных лиц и ИП (ст. 5.39 КоАП РФ);
• за неправомерную (не предусмотренную обозначенными целями) обработку ПД - до 10 тыс. рублей на должностных лиц и ИП, до 50 тыс. рублей на юридических лиц (ст. 13.11 КоАП РФ);
• за отсутствие опубликованной Политики конфиденциальности - до 6 тыс. рублей на должностных лиц, на ИП - до 10 тыс. рублей, на юрлиц - до 30 тыс. рублей (ст. 13.11 КоАП РФ);
• за отказ в ознакомлении физлица со сведениями об обработке его ПД - до 6 тыс. рублей на должностных лиц, до 15 тыс. рублей - на ИП, до 40 тыс. рублей - на юрлиц (ст. 13.11 КоАП РФ).

1. Уголовная ответственность .

В соответствии со ст. 137 УК РФ незаконный сбор персональных данных, составляющих личную тайну гражданина, может привести к штрафу до 200 тыс. рублей либо назначению исправительных работ, дисквалификации, лишению свободы на срок до 2 лет.

1. Определяемая в порядке гражданского судопроизводства .

Здесь речь может идти о самых разных санкциях, но к числу типичных можно отнести:

• обязательство по возмещению убытков, причиненных субъекту ПД вследствие нарушения оператором положений Закона № 152-ФЗ;
• обязательство по компенсацию морального ущерба субъекта ПД.

Так или иначе, с наибольшей вероятностью при нарушении интернет-магазином норм Закона № 152-ФЗ в отношении него будут применены административные санкции. При этом, следует иметь в виду, что самые строгие из них - в частности, штраф за неосуществление получения согласия на обработку данных (до 75 тыс. рублей) применяются при нарушении требований о письменном получении согласия на обработку персональных данных. Если допустимо получение согласия в любом достоверном виде, то при неосуществлении получения такого согласия применяется санкция в виде штрафа за неправомерную обработку данных (до 50 тыс. рублей).

Есть вероятность применения ряда дополнительных административных санкций к оператору. Например:

• в виде штрафа за несоблюдение требований по защите данных - до 2 тыс. рублей на должностных лиц и ИП, до 15 тыс. рублей - на юрлиц (ст. 13.12 КоАП РФ);
• в виде штрафа за непредоставление уведомления в Роскомнадзор - до 500 рублей на должностных лиц и ИП, до 5 000 рублей - на юрлиц (ст. 19.7 КоАП РФ).

Теоретически возможна блокировка сайта интернет-магазина - по решению суда. Например - если он допустит неправомерное публикование персональных данных покупателей без их согласия в отзывах о покупках.

В зависимости от конкретного нарушения и сферы правоотношений, в котором нарушение допущено, в отношении оператора персональных данных могут быть, таким образом, инициированы разные санкции.

В 2017 году с 1 июля увеличили штрафы за нарушение закона о персональных данных. Например, штраф за обработку персональных данных без согласия владельца составляет 75 тысяч рублей. Чем рискует компания, которая нарушает закон, и сколько ей придется заплатить.

Читайте в нашей статье:

По действующим правилам ответственность несет лицо, которое нарушает правила сбора, хранения, использования или распространения персональных данных. Максимальная сумма штрафа за нарушение требований закона о персональных данных составляет сейчас 75 тыс. руб. ( КоАП РФ).

Новые штрафы за разглашение персональных данных и другие нарушения действуют с 1 июля 2017 года

1 июля 2017 года произошло повышение штрафов, которые Роскомнадзор начислит за нарушение требований о работе с персональными данными, в 2018 году действуют те же правила. Компанию привлекут к административной ответственности, если она обрабатывает персональные данные:

• в случаях, которые не указал . Например, от покупателя интернет-магазина требуют сканы документов, подтверждающих личность;
• в целях, которые отличаются от заявленных. Например, отправляет рекламные сообщения на адрес электронной почты, которую покупатель указал при оформлении заказа в интернет-магазине (ч. 1 ст. 13.11 КоАП РФ).

В качестве наказания могут вынести предупреждение или оштрафовать. Штраф за нарушение обработки о персональных данных составляет:

• 1 – 3 тыс. руб. для граждан;
• 5 – 10 тыс. руб. для должностных лиц и предпринимателей;
• 30 – 50 тыс. руб. для компаний.

Есть исключения. Некоторые случаи могут подпадать под действие ч. 2 ст. 13.11 КоАП РФ. Также иное наказание предусмотрено за действия, в которых присутствует состав уголовного преступления.

Чтобы обезопасить себя от штрафа за персональные данные, нужно обрабатывать их только в заявленных целях и согласно ч. 1 ст. 3 закона о персональных данных.

Штраф за персональные данные достигает 75 тысяч

В ряде случаев граждане должны согласиться на обработку своих данных. Нарушением считается, если компания использует персональные данные граждан без их письменного согласия. Также компанию накажут за несоблюдение требования закона к составу данных, которые необходимо перечислить в документе о согласии на обработку . Например, если компания не указала, каким третьим лицам будут доступны данные после того, как гражданин согласится на их обработку.

По правилам ч. 2 ст. 13.11 КоАП РФ штраф за использование и обработку персональных данных без согласия их владельца составляет:

• 3 – 5 тыс. руб. для граждан;
• 10 – 20 тыс. руб. для предпринимателей и должностных лиц;
• 15 – 75 тыс. руб. для компаний.

Если у нарушения будут признаки уголовно наказуемого деяния, совершивший несет ответственность по ст. 137 или ст. 272 УК РФ.

Чтобы не возникло необходимости платить за обработку персональных данных штраф, нужно получать у граждан согласие на обработку персональных данных и соблюдать требования к списку сведений в документе о согласии.

Если компания не опубликует документ о политике использования данных, ее ждет штраф

Компания не опубликовала на интернет-ресурсе или иным образом не предоставила неограниченный доступ к документу, из которого граждане могут узнать о политике компании в отношении обработки персональных данных, либо к информации о том, как компания реализует требования к защите данных.

Согласно ч. 3 ст. 13.11 КоАП РФ за такое нарушение могут вынести предупреждение или назначить штраф. Штраф за такое нарушение составляет:

• 700 – 1,5 тыс. руб. для граждан;
• 3 – 6 тыс. руб. для должностных лиц;
• 5 – 10 тыс. руб. для предпринимателей;
• 15 – 30 тыс. руб. для компаний.

Чтобы предотвратить нарушение, компании нужно опубликовать у себя на сайте в общем доступе ссылки на документ о политике компании в отношении обработки данных и другие сведения о требованиях к защите данных.

Штраф получит лицо, которое не ответило на запрос граждан

Если компания не предоставила гражданину сведений о том, что касается обработки его данных, такое нарушение наказывают предупреждением или штрафом. Такие правила закрепили в ч. 4 ст. 13.11 КоАП РФ. В данном случае штраф за нарушение обработки персональных данных составляет:

• 1 – 2 тыс. руб. для граждан;
• 4 – 6 тыс. руб. для должностных лиц;
• 10 – 15 тыс. руб. для предпринимателей;
• 20 – 40 тыс. руб. для организаций.

Во избежание нарушения предоставляйте гражданам информацию по запросу в течение 30 дней (ч. 1 ст. 20 Закона о персональных данных).

Если информацию своевременно не уничтожить, это влечет штраф

Гражданин или его полномочный представитель потребовали уточнить персональные данные, блокировать их или уничтожить. Компания обязана сделать это, если данные утратили актуальность, оказались неполными или неточными, а также в случае незаконного получения или если они были собраны с целью, отличающейся от заявленной.

В ч. 5 ст. 13.11 КоАП РФ указано, что нарушение наказывается предупреждением или штрафом. Роскомнадзор начислит штраф за персональные данные по такому нарушению в сумме:

• 1 – 2 тыс. руб. для граждан;
• 4 – 10 тыс. руб. для должностных лиц;
• 10 – 20 тыс. руб. для предпринимателей;
• 25 – 45 тыс. руб. для компаний.

Если компания не хочет, чтобы ее оштрафовали, следует выполнить требования заявителя.

Компания получит штраф, если не обеспечила сохранность носителей с данными

Компания не обеспечила сохранность носителей, на которые записаны персональные данные, и не создала условий, исключающих несанкционированный доступ. Это является нарушением по ч. 6 ст. 13.11 КоАП РФ. Норма касается случаев, когда:

• персональные данные обрабатывают без средств автоматизации;
• нет состава уголовного преступления;
• данные оказались доступны постороннем улицу, которое их уничтожило, распространило или незаконно использовало иным образом.

В этом случае штраф за персональные данные начисляют в размере.

Не спешите закрывать статью. Вы наверняка мысленно задались вопросом — «А при чем здесь я?» — отвечаю, данный закон может коснуться и вас в том числе, а вы даже можете этого и не подозревать. Давайте по порядку.

Вступление

7 февраля 2017 года были внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Вступят в силу эти поправки уже скоро — 1 июля 2017 года.

Что такое персональные данные?

Под персональными данными можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу (субъекту персональных данных) – пункт 1 статьи 3 Федерального закона от 27 июля 2006 № 152-ФЗ. Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д.

Что изменится 1 июля 2017 года?

Новый Федеральный закон от 07.02. 2017 № 13-ФЗ значительно расширил перечень оснований для привлечения лиц к административной ответственности в области защиты персональных данных, а также увеличил размеры административных штрафов.

Что интересно, выписывать протоколы о правонарушении в этой области будет не прокуратура, как раньше, а Роскомнадзор. А это значит, что дела пойдут гораздо быстрее и штрафы будут рассылаться пачками, если не упаковками.

Причем тут мы

Наверное большая часть моих читателей все еще не понимает, как все это относится к ним. Но грань тут очень тонкая, как понять, являетесь ли вы оператором персональных данных?

Если с помощью вашего блога, сайта, портала, интернет-магазина вы получаете какие-либо персональные данные от пользователя (какие именно, смотреть выше) — то вы автоматически попадаете под этот закон. Элементарно, на вашем сайте можно зарегистрироваться, вводя свое имя, эл.почту, адрес? Поздравляю, вы уже попали под закон.

Это вас касается если:

Ваш сайт позволяет производить регистрацию пользователей (даже с минимальным набором данных «имя + e-mail»). Примеры:

• форумы;
• социальные сети;
• многие новостные сайты;
• интернет-магазины;
• блоги;
• сайты с частными объявлениями;
• и так далее.

Ваш сайт позволяет вносить в формы персональные данные пользователей , которые впоследствии публикуются на сайте или отправляются по e-mail. Например, если на сайте есть функция «перезвонить мне», возможность отправить быстрый заказ или подписаться на рассылку и тому подобное.

Ваш сайт просто уже содержит реальные персональные данные граждан.

Ваша компания (юридическое лицо или индивидуальный предприниматель) на постоянной основе занимаются обработкой персональных данных граждан. Это справедливо для:

• большинства юридических фирм;
• абсолютно всех регистраторов (в смысле компаний, занимающиеся регистрацией юрлиц и ИП, изменениями, ликвидацией и так далее);
• реестродержателей;
• бухгалтерских компаний, оказывающих услуги по аутсорсингу бухгалтерии и кадрового делопроизводства;
• банков, МФО и других компаний финансового сектора, работающих с данными граждан;
• медицинских учреждений;
• магазинов, салонов красоты и других подобных организаций с персональными клубными картами (это особенно популярно у сетевых магазинов косметики);
• образовательных организаций и учреждений (в том числе проводящих краткосрочные курсы или разовые тренинги);
• ТСЖ и управляющих компаний в сфере ЖКХ;
• турагентств;
• третейских судов;
• и так далее.

Ваша компания активно работает с внештатными сотрудниками (по гражданско-правовому договору).

Ваша компания использует CRM или аналогичные системы .

Что делать?

Нужно уметь правильно работать с персональными данными.

Как минимум нужно:

• получить письменное согласие с каждого пользователя, клиента или подписчика на обработку, хранение и распространение персональных данных;
• публиковать в открытом доступе информацию обо всём, что касается персональных данных пользователя;
• запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
• использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
• сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
• удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
• хранить базы данных в надежном месте, защищать их от взлома и утечки;
• научить сотрудников работать с персональными данными;

Исключения

Вас это не касается в следующих случаях, так как на них ФЗ «О персональных данных» не распространяется:

1. Обработка персональных данных производится физическими лицами исключительно для личных и семейных нужд, но если при этом не нарушаются права субъектов персональных данных;
2. Обработка персональных данных производится при работе с документами Архивного фонда Российской Федерации и аналогичных документов;
3. Персональные данные, отнесены к сведениям, составляющим государственную тайну;
4. Персональные данные относятся к публичной информации о деятельности судов в РФ.

К сожалению, я не юрист в этой области и я не смогу дать вам точных ответов что именно нужно сделать чтобы обезопасить себя на 100%. Что уж там, даже сами профи не могут дать однозначных ответов, так как существует очень много нюансов и неточностей, не говоря уже про то, что закон не вступил в силу. В любом случае, цель моего поста была именно предупредить Вас о том, что такая «хрень» существует. Ну а дальше, как говорится, предупрежден — значит вооружен

С 1 июля 2017 года вступили в силу более жесткие меры наказания в сфере нарушений законодательства о персональных данных (статья 13.11. КоАП РФ). Для юридических лиц штрафы вырастут с 10 000 до 75 000 рублей.

К кому это относится?

Данная статья применима к компании, если у неё:

• Есть форма заявки или личный кабинет на сайте.
• Маркетологи или менеджеры пользуются такими инструментами как e-mail рассылки, sms-рассылки, обзвон клиентской базы.
• Хранится в каком-либо виде клиентская база с персональными данными.

Т.е. эта норма относится практически ко всем действующим бизнесам. Помимо этого, закон распространяется и на работодателей, получающих сведения от сотрудников по трудовым договорам и по договорам гражданско-правового характера.

Что нужно делать?

Зарегистрироваться в РОСКОМНАДЗОРЕ

Если вы обрабатываете персональные данные (далее ПДн) в целях:

• Исполнения обязательств по договору и при этом не распространяете и не передаёте ПДн третьим лицам без согласия субъекта ПДн.
• Организации однократного пропуска субъекта ПДн на территорию, на которой находится оператор.
• Соблюдения трудового законодательства.
• А также если вы обрабатываете общедоступные данные.

этот пункт не для вас, можно переходить к следующему.

Если же вы используете инструменты е-mail или sms-рассылок, регулярно обзваниваете клиентов и т.п. — то вам необходимо зарегистрироваться в реестре операторов, осуществляющих обработку персональных данных на сайте Роскомнадзора. Это процедура бесплатная. Правда, никто не гарантирует, что собранная база операторов не будет использована Роскомнадзором для планомерной проверки последних требованиям закона.

Соблюдать требования обработки ПДн, а именно:

• Обрабатывать ПДн только с совместимыми целями сбора этих данных, т.е. обработка данных должна быть только по назначению (например, при регистрации в личном кабинете стоит осуществлять сбор паспортных данных только в том случае, если этого от вас требует отраслевое законодательство).
• Получить согласие на использование персональных данных.
• Опубликовать в открытом доступе политику обработки ПДн и сведения о реализуемых требованиях к защите ПДн.
• Информировать клиентов (по их запросу), о том, как используются (обрабатываются) их ПДн.
• Выполнять требования клиентов об уточнении ПДн, их блокировании или уничтожения. Это необходимо, когда ПНн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
• Обеспечить сохранность материальных носителей ПДн, исключая несанкционированный доступ, их уничтожение, изменение, блокирование, копирование и т.п.
• Хранить ПДн на территории Российской Федерации.

Обеспечить безопасность передачи и хранения данных

Одно из основных требований нового закона — это обеспечение безопасности передачи, хранения и использования персональных данных. Но в тексте статьи законодатели ограничились общими формулировками, поставив ссылку на рекомендации ФСБ

Попробуем разобраться подробнее. Весь процесс передачи и хранения данных можно условно разделить на 4 зоны.

Зона 1

Когда пользователь заходит на ваш сайт и заполняет на нем форму заявки, регистрируется или заходит в личный кабинет, его личные данные отправляются на сервер вашего сайта. Если это происходит по незащищенному протоколу http, особенно в открытых wi-fi сетях, данные относительно просто перехватываются злоумышленниками.

Проблема решается настройкой на вашем домене защищенного протокола https. После этой процедуры данные передаются в зашифрованном виде и уже слабо поддаются перехвату.

Зона 2

Все личные данные пользователя передаются на сервер (хостинг) вашего сайта.

Как обеспечить безопасность этой зоны:

• Подписать с сотрудником, ответственным за администрирование и доработку сайта, соглашение о неразглашении.
• Обязать хранить пароли от CMS и хостинга в зашифрованном виде.
• Обеспечить защиту от brute force взлома (перебор паролей) доступа к хостингу и CMS..

Зона 3

С сервера вашего сайта данные обычно передаются в CRM-систему (информационная система персональных данных, ИСПДн). Эта зона обычно не подвергается атакам, но и она должна быть защищена шифрованием траффика с использованием сертифицированных средств криптографической защиты информации.

Зона 4

Непосредственно защита вашего сервера, где развернута CRM-система. Защитить эту зону позволит:

• Использовать прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
• Определить круг сотрудников, работающих c CRM-системой.
• Определить уровни доступа к системе.
• Подписать с ними соглашение о неразглашении.
• Обязать хранить пароли в зашифрованном виде.

Получение согласия на использование персональных данных

Согласие пользователя можно получить двумя способами — в письменном виде на бумажном носителе и в электронном виде. Рассмотрим второй способ, как более простой и часто используемый.

Получение согласия можно разделить на два уровня

1. Согласие на обработку только в рамках, необходимых для оказания услуг (исполнения условий договора),
2. Согласие на дальнейшее коммерческое использование данных (рассылки и т.п).

Обычно в первом случае в качестве выражения согласия пользователем используется постановка галочки в «чекбоксе», под которым есть ссылка на страницу (или текст) политики использования конфиденциальных данных компании .

На ней подробно описано, что данные собираются только для целей исполнения договора, а постановка галочка нужна по закону. Дальнейшее прохождение формы регистрации (заявки) невозможно без постановки галочки, что, скорее всего, и будет являться доказательством получения согласия.

Во втором случае (коммерческое использование данных) желательно сделать подтверждение согласия по системе d ouble opt-in, при которой пользователь не только cсоглашается на обработку персональных данных, указывая свой e-mail и выказывая таким образом заинтересованность в ней, но и направляет подтверждение с указанного адреса.

Объединять первый и второй случай крайне не желательно . Тогда вам придется в политике использования конфиденциальных данных прописывать, что данные будут использоваться вами, в том числе, в маркетинговых целях. А это противоречит норме закона о необходимости сбора только тех данных, которые необходимы в рамках исполнения договора или оказания услуги.

Исходя из вышесказанного, нормальной практикой будет следующий алгоритм:

• При заполнении формы заявки/регистрации на сайте пользователь ставит первую галочку — согласие на обработку персональных данных только в рамках, необходимых для выполнения договора — и нажимает кнопку «Отправить» или «Зарегистрироваться».
• После чего ему показывается экран, где обещанием всяческих выгод выманивается согласие на коммерческое использование его данных.

Получение согласия от существующей клиентской базы

Если вы не озаботились получением согласия в прошлом — необходимо это сделать. При e-mail рассылках обычно используются «приветственные письма». Такое письмо рассылается по существующей базе и содержит:

• Текст обращения к клиенту. Что-то вроде «Мы раньше старались вас не спамить, а присылать только нужную информацию. Будем стараться и впредь, но законодательство обязывает нас получить ваше согласие на рассылку»
• Кнопка «Спасибо, присылайте»
• Кнопка «Отписаться»

Исключения для источников сбора персональных данных

Если вы собрали свою базу из открытых источников, а к ним относятся соц. сети, адресные книги, корпоративные сайты и т.п, то волноваться не стоит — требования закона к ним не относятся.

Как пользователь может убрать свои данные из базы

Если вас замучили ежедневные звонки или smsот компаний, которых вы даже не знаете, или ежечасные письма, захламляющие вашу почту — отказаться от этого будет не просто.

Законодатели предусмотрели два варианта принудить компанию удалить ваши данные из своей базы:

• Отправить ваше требование на юридический адрес компании в бумажном виде по почте.
• Или отправить требование в электронном виде, но для этого нужно получить квалифицированную электронную цифровую подпись. А это не быстро и не бесплатно.

Информация по теме

• Услуга по подготовки документов под требования закона по защите персональных данных (ФЗ 152)
• Услуга по внедрению системы обработки персональных данных в соответствии требованиями Регламента (ЕС) N 2016/679 (GDPR)

Здравствуйте, уважаемые читатели! Совсем недавно вступили в силу изменения в ст. 13.11 КоАП РФ, внесенные Федеральным законом от 07.02.2017 № 13-ФЗ. Персональные данные с 1 июля 2017 года стали для кого-то головной болью, а кто-то на эти изменения не обратил внимания. Как выясняется при анализе поправок — зря.

Законодательство о персональных данных весьма сложное и непонятное. Но ориентироваться в нем сейчас совершенно необходимо, чтобы не попасть под крупный штраф.

Если объяснять суть изменений в двух словах, то штрафы выросли на несколько порядков (до 75 тыс. руб. за одно нарушение), а совершить правонарушение без знания закона можно запросто даже не подозревая об этом.

Поэтому давайте по порядку разбираться во внесенных и вступивших в силу изменениях, на которые многие упорно не обращают внимание.

Сперва давайте в целом поговорим о том, что такое персональные данные.

Что относится к персональным данным физического лица

Отношения, возникающие по поводу обработки персональных данных регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Ключевым понятием, вокруг которого вертится все остальное, является понятие самих персональных данных.

В соответствии с п. 1 ст. 3 указанного закона это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Из этого определения следуют два важных вывода:

1. Субъектом персональных данных может быть только физическое лицо. Сведения о юридическом лице не являются и не могут являться персональными данными.
2. Чтобы сведения о физическом лице признавались персональными данными, они должны позволять идентифицировать его.

С первым выводом все понятно. Со вторым возникает серьезный вопрос: при каких условиях информация, имеющая отношение к человеку, начинает рассматриваться как персональные данные? Что является персональными данными по закону?

При ответе на этот вопрос выделяют два подхода:

1. Это только та информация, из которой можно сделать однозначный вывод о том, что речь идет о конкретном человеке.
2. Это любая информация, которая имеет отношение к физическому лицу и позволяет выделить его из общей массы людей.

Но это теоретические подходы. Правильный выбор затруднен из-за отсутствия в законе перечня примеров возможных видов персональных данных. В определенной степени этот пробел восполняется судебной практикой.

Например, в Определении Верховного Суда РФ от 24.06.2015 № 18-АПГ15-7 указано:

«...К данным сведениям относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация».

Апелляционное определение Санкт-Петербургского городского суда от 13.12.2016 N 33-26115/2016 по делу N 2-3830/2016 повторяет то же самое.

Особого внимания заслуживает информация, которую пользователи оставляют на посещаемых сайтах в сети Интернет. Анализ самой последней судебной практики (в частности, Постановления Девятого арбитражного апелляционного суда № 09-АП-17574/2016 от 23.05.2016 по делу № А40-14902/2016) позволяет сделать вывод, что сведения об IP-адресе пользователя, cookie, сведения о географическом местоположении устройства пользователя и т. п. тоже считаются персональными данными.

В целом суды придерживаются первого подхода — к персональным данным относится только та информация, из которой можно сделать однозначный вывод о том, что речь идет о конкретном человеке.

Обычно это связка «имя» и что-то еще. Например, номер мобильного телефона. Или адрес электронной почты. Или те же cookie и иные метаданные.

Поэтому если на сайте есть какая-либо форма для заполнения пользователями, в которой есть поле «Имя», то вместе с передаваемыми метаданными (IP, cookie) вся эта информация будет относиться к персональным данным, а значит владелец этого интернет-ресурса является оператором их обрабатывающим.

Если совсем по-простому, то при наличии на вашем сайте формы обратной связи, то вы обрабатываете персональные данные. А если есть форма подписки, как у меня, то и подавно.

Роскомнадзор придерживается позиции, что персональные данные — это любая информация, относящаяся к физическому лицу. Такую информацию озвучивает само ведомство. Факт идентификации или неидентификации субъекта персональных данных оператором не влияет на статус данных как персональных.

Отговорка «я не обрабатывают персональные данные, я их только собираю», не сработает.