152-фз и форма комментариев через disqus


#1

Есть сайт с комментариями под статьями. Очень не хочется становиться оператором персональных данных. Если отказаться от собственных форм, и не хранить комментарии с персональными данными (имя, email) у себя, а подключить тот же самый Disqus, то получается я перестану быть оператором персональных данных, и ответственность за хранение ПД перекладывается на Disqus? Как будет обстоять дело на практике в таком случае? Сможет ли чиновник, проверяющий соблюдение закона, понять, что я не являюсь оператором персональных данных даже несмотря на то, что у меня на сайте есть комментарии пользователей и форма для их ввода? Как уберечь себя от лишних подозрений?


#2

На самом деле неисповедимо состояние мозга наших чиновников, тем более конкретного инспектора, который захочет к вам прикопаться, так что трудно сказать, насколько быстро до него дойдёт и дойдёт ли вообще, что на вашем сайте (точнее на сервере) информация о пользователях не хранится. Кстати, надо не забывать, что сервера должны быть в России, а то могут и по этому поводу претензии предъявить.
В данном случае, приложение типа Дискус или подобное, конечно, должно избавлять от проблем, так как никакие данные пользователей не хранятся на ресурсе, где хостится ваш сайт, но по причинам, указанным выше, это в теории. На практике вероятно это придётся доказывать.
Из моего опыта и оценки происходящего в Роскомнадзоре, наверху-то точно всё прекрасно понимают, но они всё равно работают, так сказать, исходя от задачи: надо будет вас наказать - прикопаются, не надо - и не заметят. Вот тот же фейсбук до сих пор не заблокирован, хотя никакие сервера сюда не перенёс.
Больше проблем может оказаться с прокуратурой, у которой периодически встречаются обострения: не так давно по этому поводу отметилась астраханская прокуратура, прикопавшись к сайтам местных организаций. Вот, если они напишут представление, и дело пойдёт в местный Роскомнадзор, как поступит местный чиновник, сказать трудно.
Но в принципе по законодательству: данные не храните - вас наказывать не за что. Собираете и/или храните данные: вы - оператор ПДн и, так сказать, будьте любезны соблюдать законодательство.


#3

Кстати, вы упомянули фейсбук. А ведь в очень похожем положении оказываются виджеты групп из соцсетей, которые администраторы групп размещают на своих сайтах. В этих виджетах отображаются фотографии подписчиков (биометрические персональные данные), + имя и фамилия. Фактически персональные данные отображаются на вашем веб-сайте, хотя вы их не храните и не обрабатываете.


#4

Давайте разберемся, как форма с комментарием соотносится с понятием “персональные данные”.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). П. 1 ст. 3 закона.

Формально, такая информация как имя и адрес эл. почты уже относится к ПДн. Обрабатывая ПДн - Вы автоматически становитесь оператором ПДн (т.к. Вы как владелец сайта определяете цели обработки ПДн и их состав) вне зависимости от используемых технологий. Используя Disqus для хранения комментариев и пользовательских данных - это не отказ от обработки ПДн, это перемещение этого процесса на другую платформу - поручение обработки (ч. 3 ст. 6) и ответственным за ПДн все еще остается оператор ПДн.

На практике, конечно никто не относит имя + емаил к ПДн. В своей практике я не слышал от представителей Роскомнадзора подозрений в том, что форма комментариев содержит ПДн. Есть неформальное обоснование этому: “нельзя идентифицировать субъекта ПДн по этим данным, значит это не ПДн”. Это не верно (см. выше), но работает.

Но раз Вы озаботились темой ПДн, что-то уже почитали, можно сделать следующее.

Минимизировать риски и трудозатраты:

  • в Пользовательском соглашении написать, что информация, получаемая из формы комментариев, не относится к ПДн;
  • не заморачиваться с Дискус и работать дальше, как работали.

Выполнить формальные требования:

  • написать и опубликовать Политику оператора на сайте, где собираете ПДн;
  • почитать и выполнить требования ст. 18.1 закона “О персональных данных”;
  • перенести процесс хранения ПДН на территорию России.

Вам рекомендую первый вариант (а возможно и вообще ничего не предпринимать), а второй больше подходит для разных интернет-магазинов и онлайн-приемных, где объем ПДн уже существенные и интереса со стороны контролирующих органов больше.


#5

Интернет сложная штука и ФЗ-152 совсем не подходит, чтобы что-то там регулировать или объяснять. Условно, можно было бы сказать, что Вы являетесь обработчиком ПДн из виджета, то реально-то условия закона не исполняются. Это просто никому не нужно - регулировать эти взаимоотношения.

Но тут нужно отметить, что фотография в соц. сетях это не биометрические ПДн (ст. 11), сами сведения являются общедоступными, а оператором ПДн является Фейсбук, а не владелец сайта, где показан виджет.