Почти любой сайт может попасть в реестр Роскомнадзора
Год назад мы рассказали о штрафах за нарушение закона о персональных данных. Стало понятно, что о законе, которому много лет, мало кто знал и многие владельцы сайтов его не соблюдали. Раньше штрафы были небольшие, а с 1 июля из-за одного нарушения можно потерять до 75 тысяч рублей. Все сразу решили в нем разобраться.
Потом была шумиха с реестром Роскомнадзора, в который включали соцсети, сайты знакомств и мессенджеры. Кто не соглашался — тех блокировали (мы чуть не лишились Телеграма, помните?). В этот реестр Роскомнадзор включает организаторов распространения информации. И там может оказаться ваш сайт, ваша компания и вы лично.
Организатором могут признать почти любой сайт. Для этого достаточно дать пользователям возможность комментировать, обмениваться сообщениями и писать отзывы о товарах.
Всем владельцам сайтов, блогов и форумов нужно разобраться в том, как работает закон для организаторов распространения информации. Скорее всего, вы даже не думаете, что он вас касается и у вас есть дополнительные обязанности. Но если их не выполнить, есть опасность штрафа. Например, 300 тысяч рублей за то, что вы не уведомили Роскомнадзор о начале работы. Или миллион рублей за то, что вы не храните данные о пользователях и их сообщениях или храните их не в России.
Кто такие организаторы распространения информации?
Это владельцы сайтов, программ и любых инструментов, которые помогают обмениваться электронными сообщениями в интернете: отправлять, получать, делать рассылки и как-то их обрабатывать.
В законе нет ограничения, что это должны быть только юридические лица или официально зарегистрированные предприниматели. Это просто какое-то лицо. И нет условия, что у этого лица должен быть бизнес, большой портал или мессенджер с миллионами пользователей по всему миру. Нет вообще никаких условий, кроме этого определения.
Кого могут признать таким организатором?
Формально статус и обязанности организатора возникают по умолчанию. Чтобы им стать, достаточно запустить сайт, сервис или программу, где пользователи могут отправлять и получать какие-то сообщения.
Для организаторов распространения информации Роскомнадзор ведет реестр. Присутствие в этом реестре означает только одно: у государства есть полная информация о владельце конкретного сайта. Ведомства знают, кому принадлежат сайты из реестра, как связаться с этой компанией и людьми, что с них можно спрашивать, кому отправлять запросы или выставлять штрафы.
Если сайта нет в реестре, это не значит, что он не организатор и не должен выполнять обязанности по закону. Это значит, что пока Роскомнадзор и спецслужбы не обратили на сайт внимания.
Сейчас в реестре 98 записей: есть мессенджеры, женские форумы, правовые порталы, региональные СМИ, платформы блогов и поисковые системы. Кто-то зарегистрировался сам, кого-то внес Роскомнадзор.
На днях сайт «Роем-ру» писал, что тоже попал в список, хотя не считает себя организатором. Несколько лет назад на сайте можно было отправлять личные сообщения. Роскомнадзор узнал об этом и внес сайт в реестр. Потом личные сообщения удалили и руководство портала захотело выйти из реестра: никакого сервиса для обмена сообщениями они больше не предоставляли. По крайней мере, им так казалось с учетом неопределенности в законе.
Но Роскомнадзор решил иначе и не исключил сайт из реестра. Все дело в комментариях под новостями — этого оказалось достаточно, чтобы сайт считался организатором распространения информации в интернете. Сейчас ООО «Роем» по-прежнему в реестре под номером 7-РР.
Кого можно считать организатором распространения информации:
- Любой сайт, у которого есть комментарии под статьями. Даже если комментарии там никто не оставляет, а посещаемость 20 человек в день.
- Интернет-магазин с отзывами о товарах, которые могут комментировать другие пользователи.
- Форум рыболовов, домохозяек и бухгалтеров. Вообще любой форум без ограничения по темам и активности участников.
- Сайт с сообщениями от робота в личном кабинете или при заполнении формы.
- Личный блог или корпоративный журнал с комментариями.
Про мессенджеры, крупные порталы и соцсети все понятно и так.
Комментарии и отзывы — это тоже электронные сообщения?
Да.
В статье 2 закона 149-ФЗ написано, что такое электронное сообщение. Это любая информация, которую передают и получают в интернете. Комментарии под статьями, отзывы с возможностью комментирования и неформальная переписка где-то внутри сервиса — это тоже электронные сообщения.
Так считают эксперты, которые консультируют Роскомнадзор: кандидаты юридических наук, научные сотрудники и специалисты по информационному праву. Если вам тоже интересно разобраться, прочитайте комментарий к закону об информации А. И. Савельева.
В Конвенции ООН, которая действует и для России, тоже есть понятие электронного сообщения. Там оно даже шире, чем в российском законе: даже файл на флешке может быть электронным сообщением.
Системные сообщения тоже делают сайт организатором?
Да, формально системные сообщения тоже попадают под определение электронных. Но в отличие от сообщений, которые пользователи отправляют друг другу или оставляют в комментариях, здесь есть юридические нюансы. На системные сообщения не распространяются правила о хранении данных, которые установило правительство. Для них не нужен сервер в России, и они не интересны госорганам.
Уведомление Роскомнадзора о начале работы
Если вы запускаете сайт и становитесь организатором распространения информации, нужно составить уведомление. Правительство утвердило для этого специальные правила. На основании уведомления сайт вносят в реестр.
Вы можете уведомить Роскомнадзор сами или отправить данные в ответ на его запрос. И здесь вот такая штука. По закону сайт считается организатором распространения информации, когда на нем можно оставлять сообщения, а не когда он попадет в реестр. Решили ввести комментарии под статьями — вы автоматически организатор. И вы сразу же должны отправить уведомление в Роскомнадзор, а не ждать, пока он вас заметит и пришлет запрос. Иначе есть повод для штрафа даже у физлиц.
- 300 000 ₽
Пока практика складывается так, что Роскомнадзор сам решает, кого надо внести в реестр, и направляет им запросы. Дальше владелец сайта соглашается, заполняет уведомление и его вносят в реестр. Или не соглашается, и к нему блокируют доступ. Кажется, что организаторами считаются только те, кто уже в реестре, но это не так. Реестр нужен для удобства ведомств и органов. Так им легче найти владельца сайта, чтобы запросить нужную информацию.
Сейчас в реестре меньше ста сайтов, но это не значит, что другие не организаторы. У Роскомнадзора нет столько времени и ресурсов, чтобы проверять и учитывать все форумы, новостные порталы и корпоративные блоги. Да и цели всех контролировать тоже нет.
Это не значит, что завтра вас не оштрафуют из-за уведомления — по закону имеют право. В то же время, даже если Роскомнадзор пришлет вам уведомление и вы вовремя на него ответите, штрафа вполне может не быть. Сейчас на практике это работает именно так, но в законе требования жестче, и они официально действуют.
Вы сами решайте, подавать уведомление или ждать запроса. Может быть, вам никогда не придет такой запрос и вами вообще не заинтересуется государство. А может быть, оно вами уже заинтересовалось и пока присматривается к вашим публикациям. Или с вашими публикациями все нормально, а вот в комментариях есть что-то интересное.
Хранение данных
Все организаторы распространения информации должны хранить данные о пользователях и их сообщениях в течение года: протоколы, логи, авторизации, платежи и даже спам.
Сейчас это касается только фактов сообщений: один пользователь написал другому какой-то текст или оставил комментарий такого-то числа и прикрепил к нему видео. С 1 июля 2018 года хранить нужно и сами сообщения: тексты, видео, картинки и звуки. Правда, только полгода.
В правилах правительства написано, что и как нужно хранить. Все данные в течение этого времени должны храниться в России. Параллельно сервер может быть и за границей, но в России — обязательно.
- 1 000 000 ₽
Предоставление доступа к информации
Еще одна обязанность организаторов — предоставлять органам любую информацию о пользователях и их сообщениях. Таких органов несколько, и это не только ФСБ.
Правительство утвердило специальные правила, как именно владелец сайта должен взаимодействовать с органами. Если интересно — почитайте пункты 7—15 и отдельный документ. Добавим только, что решения суда для этого не нужно, а рассказывать о взаимодействии запрещено.
Допустим, у вас есть сайт с комментариями. Туда приходят странные спамеры и оставляют какие-то сообщения из бессмысленных слов. Вы трете эти комментарии. Спустя несколько дней к вам приходят из ФСБ и просят показать текст сообщений и все логи: откуда пришли люди, когда и что написали. Вдруг оказалось, что это были не бессмысленные слова, а какие-то коды. Такой запрос нельзя проигнорировать. Если информация не сохранилась или вы хранили ее не в России, придется платить штраф — до 5 тысяч для физлиц и до миллиона для ИП и компании.
Может быть, из-за спама к вам и не придут, а вот из-за комментариев с незаконными призывами, запрещенной рекламой или разжиганием вражды — вполне возможно.
Еще есть требования по автоматизации доступа и декодированию сообщений. Там все пока не очень понятно. И это точно касается только тех сайтов, которые представляют интерес для органов. Но за это тоже штрафуют. Телеграму, например, выписали 900 тысяч рублей, и оспорить этот штраф не удалось даже в Верховном суде.
Если вы пишете про рыбалку, личные финансы или косметику, соблюдая при этом закон и контролируя содержание комментариев, вас это вряд ли когда-нибудь коснется. А вот если вы или ваши гости обсуждаете происшествия, политику, законы, религию, суды или что-то незаконное, то может коснуться по-серьезному. Это не значит, что такое нельзя обсуждать, но у свободы слова и тайны переписки есть ограничения даже по Конституции. Если вдруг к вам поступит запрос, то следовать нужно точно не советам в интернете. Как минимум вы будете разрабатывать отдельный план с ФСБ, но никому об этом не расскажете. И вряд ли узнаете, что какой-то другой сайт уже разработал такой план и дал доступ к перепискам: по закону об этом говорить нельзя.
Идентификация пользователей
С 2018 года у организаторов распространения информации со встроенными мессенджерами еще одна обязанность: они должны идентифицировать всех пользователей по номерам телефонов. Неважно, какой логин или никнейм у комментатора — владелец сайта обязан знать и предоставить по запросу номер его телефона.
Мы подробно рассказывали об идентификации в мессенджерах — к ним есть и другие требования. Это не касается тех сайтов, где нельзя обмениваться мгновенными личными сообщениями. То есть не каждый организатор распространения информации — это мессенджер. Но любой мессенджер — организатор.
Фрилансер с личным блогом — это тоже организатор?
В законе есть исключения, когда сайт хоть и похож на организатора, но на него все эти требования не распространяются. Если сайт создан физическим лицом для личных нужд, то Роскомнадзору до такого сайта дела нет, в реестр он не попадет и госорганам ничего предоставлять не обязан.
Правительство установило перечень личных нужд. Если вы лично создали сайт и он покрывает ваши потребности из этого списка, вы не должны выполнять обязанности организатора распространения информации:
- Приобретение знаний, умений, навыков, опыта в целях интеллектуального, нравственного, культурного, творческого, физического и профессионального развития.
- Образование и наука.
- Создание результатов творческой деятельности (именно так и написано, мы сами не поняли).
- Покупка товаров, работ, услуг, поиск работников, размещение вакансий.
- Ведение домашнего хозяйства, садоводства, разведение животных.
- Получение информации о характеристиках и свойствах товаров, качестве услуг, результатах работ.
- Отдых и воспитание детей.
Если вы как физлицо без бизнеса создали сайт или ведете блог, в котором публикуете свои статьи про рыбок, детей или саморазвитие, — вас не внесут в реестр, даже если там есть комментарии. Если вы на своем опыте учите кого-то писать тексты, проектировать интерфейсы или худеть, вам тоже ничего не нужно делать — учите дальше.
Когда личный или корпоративный блог все равно организатор
Не все сайты и блоги для личных нужд попадут под это исключение. Есть условия, когда даже личные блоги должны выполнять обязанности организатора:
- количество пользователей на сайте или в блоге больше 10 000;
- публикуются посты и материалы на общественно-политические темы;
- блог ведется в интересах какой-то компании;
- можно отправить сообщения всем сразу, без разбора.
Пример с книгами. Маркетолог издательства рассказывает о книгах, которые издает его работодатель. Кажется, что это личный блог, но на самом деле нет. Здесь есть интересы юрлица, поэтому исключение не сработает и личные нужды могут не спасти от реестра.
Пример с рассказами о городах. Блогер пишет на сайте об архитектуре в городах, критикуя представителей власти на местах и поддерживая в комментариях общественно-политические заявления. Он тоже может попасть в реестр. И он тем более туда попадет, если хоть и пишет от себя, но на самом деле сайт оформлен на ИП или фирму.
Пример с налогами. Бухгалтер рассказывает в личном блоге, как экономить на налогах, оформлять ИП и вести бухучет в компании. Кажется, что он делает это от себя как эксперт, но на самом деле рекламирует так свое ООО. А этот блог — часть пиара бухгалтерской фирмы или финансового сервиса.
Нет никаких ограничений по количеству информации в интересах компаний или частоте публикации общественно-политических постов. Это решается индивидуально и не вами.
У меня ИП и небольшой интернет-магазин. Меня касаются эти требования?
Да, эти требования касаются вообще всех: физлиц, предпринимателей и фирм. Исключения для личных нужд распространяются только на обычных людей, а на предпринимателей нет.
Если у вас в интернет-магазине можно оставлять комментарии к статьям, обсуждать цены или характеристики товаров, вы организатор распространения информации. Формально вы обязаны отправить уведомление в Роскомнадзор. Штрафы за несоблюдение требований для ИП такие же, как для юрлиц, — 300 тысяч за неотправленное уведомление.
Отправлять его или нет, решать только вам и вашему юристу.
Зачем это придумали? Такое только в России?
Такое не только в России. Наоборот, эти нормы появились в нашем законе гораздо позднее, чем в других странах. В Европе и США выдача данных о трафике по запросу правоохранительных органов — это нормальная практика. Наши законодатели взяли зарубежный опыт и адаптировали его к российским реалиям.
Основное назначение этих изменений — борьба с терроризмом и преступностью. Государственным органам, которые этим занимаются, нужен доступ к информации, которую распространяют некоторые сайты или пользователи. Получить такой доступ без этого закона было сложно, а с ним проще.