Да, в данном случае вы обрабатываете персональные данные, а значит, нужно опубликовать на сайте положение об обработке персональных данных и предпринять еще некоторые меры.
Персональными данными является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных). По данным, которые можно ввести в форму обратной связи на вашем сайте, однозначно можно определить физическое лицо. То есть ФИО, телефон и адрес электронной почты являются персональными данными, а ваша компания их обрабатывает, то есть собирает, хранит и т.д. (п. 2, 3 ст. 3 Закона о персональных данных).
Если компания обрабатывает персональные данные, то она должна принять ряд мер, необходимых для защиты этих данных. Придется подготовить достаточно большое количество документов. Конкретный перечень необходимых мер не закреплен, но есть минимальный набор. Он предусмотрен в ч. 2 ст. 18.1, ч. 1 ст. 22 Закона о персональных данных.
В частности, в вашем случае нужно:
-
опубликовать на сайте документ, определяющий политику компании в отношении обработки персональных данных (этот документ может называться положением или политикой об обработке персональных данных). При его подготовке можно использовать Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом о персональных данных, которые опубликованы на сайте Роскомнадзора;
-
издать приказ о назначении лица, ответственного за организацию обработки персональных данных (это может быть генеральный директор или иное лицо);
-
подготовить иные документы по вопросам обработки и обеспечения безопасности персональных данных. Эти документы можно не публиковать на сайте. То есть вы можете все обязательные сведения указать в политике обработки персональных данных, которая размещается на сайте, а все остальное — в ином документе, который будет храниться в офисе компании;
-
ознакомить сотрудников под роспись с локальными актами компании, регулирующими обработку и защиту персональных данных, требованиями законодательства о персональных данных;
-
уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных. Форму уведомления можно заполнить на сайте Роскомнадзора;
-
в форме обратной связи поставить окошко для проставления галочки, указывающей на получение согласия на обработку персональных данных. В Законе о персональных данных указано, что согласие на обработку персональных данных нужно получать в письменном виде. Но поскольку во многих случаях это невозможно, на практике компании давно получают согласие путем проставления галочки. Роскомнадзор не против такого способа получения согласия. Он это подтвердил в информации от 08.11.2017, размещенной на его сайте;
-
принять другие меры для защиты персональных данных (ст. 19 Закона о персональных данных).
Если же для вашей компании принятие таких мер для законной обработки персональных данных затруднительно, а форма обратной связи на самом деле не очень важна, то будет проще убрать эту форму и не собирать с ее помощью персональные данные.
В то же время нужно учитывать, что Роскомнадзор массово не штрафует за отсутствие согласия на обработку персональных данных, полученных через форму обратной связи, а также за отсутствие политики обработки персональных данных на сайте. Судебная практика показывает, что таких дел было не много.
Например, в 2016 г. Управление Роскомнадзора Тамбовской области проводило рейд в отношении операторов персональных данных, являющихся финансово-кредитными организациями, действующими на территории Тамбовской области и имеющих сайты в доменной зоне .ru и .рф. Под проверку попала местная юридическая компания. На ее сайте была размещена форма обратной связи с такими полями: имя, тема сообщения, сообщение (то есть они даже не собирали номера телефонов и электронные адреса). Роскомнадзор посчитал, что компания нарушила требования законодательства о персональных данных, поскольку она обрабатывала персональные данные без согласия и не разместила политику обработки персональных данных. Материалы дела были переданы в прокуратуру. Заместитель прокурора вынес в отношении юридической компании постановление о возбуждении административного дела по ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных). Юридическая компания возражала и заявляла в суде, что не является оператором и не осуществляет обработку персональных данных, поскольку не совершает действий, перечисленных в п. 3 ст. 3 Закона о персональных данных. Форма обратной связи на сайте предназначена исключительно для получения сообщений. Определить физическое лицо как субъекта персональных данных с помощью заполнения этой формы невозможно, поскольку идентифицировать физическое лицо по одному имени, без других данных (фамилия, отчество, адрес, заполнение которых в форме обратной связи не предусмотрено) нельзя. К тому же в графе «Ваше имя» в форме заполнения имя не обязательно может быть настоящим. Также юридическая компания просила освободить ее от ответственности в связи с малозначительностью нарушения. Тем не менее суд удовлетворил требование прокурора и оштрафовал юридическую компанию на 1000 руб. Апелляция с этим решением согласилась (см. постановление Тамбовского областного суда от 04.10.2016 по делу № 4А-288/2016).
Это решение достаточно спорное, поскольку, действительно, только по имени (без телефона, адреса электронной почты) распознать человека практически невозможно. Только лишь имя не должно признаваться персональными данными. Но поскольку уже имеется такое решение суда, причем противоположную позицию найти не удалось, можно сделать вывод, что даже если компания оставит в форме обратной связи только поля «имя» и «текст сообщения», суд все равно может посчитать это нарушением и оштрафовать по ст. 13.11 КоАП РФ.
Еще нужно иметь в виду, что в 2016 г. штрафы были совсем незначительные. Тогда ст. 13.11 КоАП РФ действовала в другой редакции. Сейчас же в этой статье появились разные составы нарушений в сфере обработки персональных данных, за которые установлены разные санкции, причем гораздо выше, чем раньше. Например, за отсутствие на сайте политики обработки персональных данных компанию могут оштрафовать на сумму от 15 000 до 30 000 руб. Также штраф придется заплатить должностному лицу — от 3000 до 6000 руб. За обработку персональных данных без получения согласия с помощью галочки компании будет грозить штраф в размере от 30 000 до 50 000 руб. (для должностных лиц — от 5000 до 10 000 руб.). Такой же штраф предусмотрен, если выяснится, что компания собирает персональные данные для одних целей, а в политике обработки персональных данных будут предусмотрены другие цели (ч. 1, 3 ст. 13.11 КоАП РФ). Причем все эти штрафы суммируются.