Роскомнадзор

В этот реестр Роскомнадзор включает организаторов распространения информации. И там может оказаться ваш сайт, ваша компания и вы лично.

Организатором могут признать почти любой сайт. Для этого достаточно дать пользователям возможность комментировать, обмениваться сообщениями и писать отзывы о товарах.

Всем владельцам сайтов, блогов и форумов нужно разобраться в том, как работает закон для организаторов распространения информации. Скорее всего, вы даже не думаете, что он вас касается и у вас есть дополнительные обязанности. Но если их не выполнить, есть опасность штрафа. Например, 300 тысяч рублей за то, что вы не уведомили Роскомнадзор о начале работы. Или 1 000 000 рублей за то, что вы не храните данные о пользователях и их сообщениях или храните их не в России.

Кто такие организаторы распространения информации?

Это владельцы сайтов, программ и любых инструментов, которые помогают обмениваться электронными сообщениями в интернете: отправлять, получать, делать рассылки и как-то их обрабатывать.

В законе нет ограничения, что это должны быть только юридические лица или официально зарегистрированные предприниматели. Это просто какое-то лицо. И нет условия, что у этого лица должен быть бизнес, большой портал или мессенджер с миллионами пользователей по всему миру. Нет вообще никаких условий, кроме этого определения. (ч. 1 ст. 10.1 закона о защите информации)

Кого могут признать таким организатором?

Формально статус и обязанности организатора возникают по умолчанию. Чтобы им стать, достаточно запустить сайт, сервис или программу, где пользователи могут отправлять и получать какие-то сообщения.

Для организаторов распространения информации Роскомнадзор ведет реестр. Присутствие в этом реестре означает только одно: у государства есть полная информация о владельце конкретного сайта. Ведомства знают, кому принадлежат сайты из реестра, как связаться с этой компанией и людьми, что с них можно спрашивать, кому отправлять запросы или выставлять штрафы.

Если сайта нет в реестре, это не значит, что он не организатор и не должен выполнять обязанности по закону. Это значит, что пока Роскомнадзор и спецслужбы не обратили на сайт внимания.

Сейчас в реестре 98 записей: есть мессенджеры, женские форумы, правовые порталы, региональные СМИ, платформы блогов и поисковые системы. Кто-то зарегистрировался сам, кого-то внес Роскомнадзор.

На днях сайт «Роем-ру» писал, что тоже попал в список, хотя не считает себя организатором. Несколько лет назад на сайте можно было отправлять личные сообщения. Роскомнадзор узнал об этом и внес сайт в реестр. Потом личные сообщения удалили и руководство портала захотело выйти из реестра: никакого сервиса для обмена сообщениями они больше не предоставляли. По крайней мере, им так казалось с учетом неопределенности в законе.

Но Роскомнадзор решил иначе и не исключил сайт из реестра. Все дело в комментариях под новостями — этого оказалось достаточно, чтобы сайт считался организатором распространения информации в интернете. Сейчас ООО «Роем» по-прежнему в реестре под номером 7-РР.

Кого можно считать организатором распространения информации:

Любой сайт, у которого есть комментарии под статьями. Даже если комментарии там никто не оставляет, а посещаемость 20 человек в день.

  • Интернет-магазин с отзывами о товарах, которые могут комментировать другие пользователи.
  • Форум рыболовов, домохозяек и бухгалтеров.
  • Вообще любой форум без ограничения по темам и активности участников.
  • Сайт с сообщениями от робота в личном кабинете или при заполнении формы.
  • Личный блог или корпоративный журнал с комментариями.
  • Про мессенджеры, крупные порталы и соцсети все понятно и так.

Комментарии и отзывы — это тоже электронные сообщения?

Да!

В статье 2 закона 149-ФЗ написано, что такое электронное сообщение. Это любая информация, которую передают и получают в интернете. Комментарии под статьями, отзывы с возможностью комментирования и неформальная переписка где-то внутри сервиса — это тоже электронные сообщения.

Так считают эксперты, которые консультируют Роскомнадзор: кандидаты юридических наук, научные сотрудники и специалисты по информационному праву. Если вам тоже интересно разобраться, прочитайте комментарий к закону об информации А. И. Савельева.

В Конвенции ООН, которая действует и для России, тоже есть понятие электронного сообщения. Там оно даже шире, чем в российском законе: даже файл на флешке может быть электронным сообщением. (ст. 4 Конвенции ООН)

Системные сообщения тоже делают сайт организатором?

Да, формально системные сообщения тоже попадают под определение электронных. Но в отличие от сообщений, которые пользователи отправляют друг другу или оставляют в комментариях, здесь есть юридические нюансы. На системные сообщения не распространяются правила о хранении данных, которые установило правительство. Для них не нужен сервер в России, и они не интересны госорганам.

Если вы запускаете сайт и становитесь организатором распространения информации, нужно составить уведомление. Правительство утвердило для этого специальные правила. На основании уведомления сайт вносят в реестр.

Подать уведомление

Вы можете уведомить Роскомнадзор сами или отправить данные в ответ на его запрос. И здесь вот такая штука. По закону сайт считается организатором распространения информации, когда на нем можно оставлять сообщения, а не когда он попадет в реестр. Решили ввести комментарии под статьями — вы автоматически организатор. И вы сразу же должны отправить уведомление в Роскомнадзор, а не ждать, пока он вас заметит и пришлет запрос. Иначе есть повод для штрафа даже у физлиц.

Пока практика складывается так, что Роскомнадзор сам решает, кого надо внести в реестр, и направляет им запросы. Дальше владелец сайта соглашается, заполняет уведомление и его вносят в реестр. Или не соглашается, и к нему блокируют доступ. Кажется, что организаторами считаются только те, кто уже в реестре, но это не так. Реестр нужен для удобства ведомств и органов. Так им легче найти владельца сайта, чтобы запросить нужную информацию.

Сейчас в реестре меньше 100 сайтов, но это не значит, что другие не организаторы. У Роскомнадзора нет столько времени и ресурсов, чтобы проверять и учитывать все форумы, новостные порталы и корпоративные блоги. Да и цели всех контролировать тоже нет.

Это не значит, что завтра вас не оштрафуют из-за уведомления — по закону имеют право. В то же время, даже если Роскомнадзор пришлет вам уведомление и вы вовремя на него ответите, штрафа вполне может не быть. Сейчас на практике это работает именно так, но в законе требования жестче, и они официально действуют.

Вы сами решайте, подавать уведомление или ждать запроса. Может быть, вам никогда не придет такой запрос и вами вообще не заинтересуется государство. А может быть, оно вами уже заинтересовалось и пока присматривается к вашим публикациям. Или с вашими публикациями все нормально, а вот в комментариях есть что-то интересное. (ч. 1 ст. 13.31 КоАП о штрафах из-за уведомления)

Хранение данных

Все организаторы распространения информации должны хранить данные о пользователях и их сообщениях в течение года: протоколы, логи, авторизации, платежи и даже спам.

Сейчас это касается только фактов сообщений: один пользователь написал другому какой-то текст или оставил комментарий такого-то числа и прикрепил к нему видео. С 1 июля 2018 года хранить нужно и сами сообщения: тексты, видео, картинки и звуки. Правда, только полгода.

В правилах правительства написано, что и как нужно хранить. Все данные в течение этого времени должны храниться в России. Параллельно сервер может быть и за границей, но в России — обязательно.

1 000 000 рублей — максимальный штраф за нарушение правил хранения данных!

Предоставление доступа к информации

Еще одна обязанность организаторов — предоставлять органам любую информацию о пользователях и их сообщениях. Таких органов несколько, и это не только ФСБ.

Полный список органов, которым нужно предоставлять информацию

Правительство утвердило специальные правила, как именно владелец сайта должен взаимодействовать с органами. Если интересно — почитайте пункты 7—15 и отдельный документ. Добавим только, что решения суда для этого не нужно, а рассказывать о взаимодействии запрещено.

Допустим, у вас есть сайт с комментариями. Туда приходят странные спамеры и оставляют какие-то сообщения из бессмысленных слов. Вы трете эти комментарии. Спустя несколько дней к вам приходят из ФСБ и просят показать текст сообщений и все логи: откуда пришли люди, когда и что написали. Вдруг оказалось, что это были не бессмысленные слова, а какие-то коды. Такой запрос нельзя проигнорировать. Если информация не сохранилась или вы хранили ее не в России, придется платить штраф — до 5 тысяч для физлиц и до миллиона для ИП и компании.

Может быть, из-за спама к вам и не придут, а вот из-за комментариев с незаконными призывами, запрещенной рекламой или разжиганием вражды — вполне возможно. (ч. 2 ст. 13.31 КоАП о штрафах за нарушения в хранении и доступе)

Еще есть требования по автоматизации доступа и декодированию сообщений. Там все пока не очень понятно. И это точно касается только тех сайтов, которые представляют интерес для органов. Но за это тоже штрафуют. Телеграму, например, выписали 900 тысяч рублей, и оспорить этот штраф не удалось даже в Верховном суде.

Если вы пишете про рыбалку, личные финансы или косметику, соблюдая при этом закон и контролируя содержание комментариев, вас это вряд ли когда-нибудь коснется. А вот если вы или ваши гости обсуждаете происшествия, политику, законы, религию, суды или что-то незаконное, то может коснуться по-серьезному. Это не значит, что такое нельзя обсуждать, но у свободы слова и тайны переписки есть ограничения даже по Конституции. Если вдруг к вам поступит запрос, то следовать нужно точно не советам в интернете. Как минимум вы будете разрабатывать отдельный план с ФСБ, но никому об этом не расскажете. И вряд ли узнаете, что какой-то другой сайт уже разработал такой план и дал доступ к перепискам: по закону об этом говорить нельзя.

Идентификация пользователей

С 2018 года у организаторов распространения информации со встроенными мессенджерами еще одна обязанность: они должны идентифицировать всех пользователей по номерам телефонов. Неважно, какой логин или никнейм у комментатора — владелец сайта обязан знать и предоставить по запросу номер его телефона.

Мы подробно рассказывали об идентификации в мессенджерах — к ним есть и другие требования. Это не касается тех сайтов, где нельзя обмениваться мгновенными личными сообщениями. То есть не каждый организатор распространения информации — это мессенджер. Но любой мессенджер — организатор.

Фрилансер с личным блогом — это тоже организатор?

В законе есть исключения, когда сайт хоть и похож на организатора, но на него все эти требования не распространяются. Если сайт создан физическим лицом для личных нужд, то Роскомнадзору до такого сайта дела нет, в реестр он не попадет и госорганам ничего предоставлять не обязан.

Правительство установило перечень личных нужд. Если вы лично создали сайт и он покрывает ваши потребности из этого списка, вы не должны выполнять обязанности организатора распространения информации:

  • Приобретение знаний, умений, навыков, опыта в целях интеллектуального, нравственного, культурного, творческого, физического и профессионального развития.
  • Образование и наука.
  • Создание результатов творческой деятельности (именно так и написано, мы сами не поняли).
  • Покупка товаров, работ, услуг, поиск работников, размещение вакансий.
  • Ведение домашнего хозяйства, садоводства, разведение животных.
  • Получение информации о характеристиках и свойствах товаров, качестве услуг, результатах работ.
  • Отдых и воспитание детей.

Если вы как физлицо без бизнеса создали сайт или ведете блог, в котором публикуете свои статьи про рыбок, детей или саморазвитие, — вас не внесут в реестр, даже если там есть комментарии. Если вы на своем опыте учите кого-то писать тексты, проектировать интерфейсы или худеть, вам тоже ничего не нужно делать — учите дальше.

Когда личный или корпоративный блог все равно организатор

Не все сайты и блоги для личных нужд попадут под это исключение. Есть условия, когда даже личные блоги должны выполнять обязанности организатора:

  • количество пользователей на сайте или в блоге больше 10 000;
  • публикуются посты и материалы на общественно-политические темы;
  • блог ведется в интересах какой-то компании;
  • можно отправить сообщения всем сразу, без разбора.

Примеры

Маркетолог издательства рассказывает о книгах, которые издает его работодатель. Кажется, что это личный блог, но на самом деле нет. Здесь есть интересы юрлица, поэтому исключение не сработает и личные нужды могут не спасти от реестра.

Пример с рассказами о городах. Блогер пишет на сайте об архитектуре в городах, критикуя представителей власти на местах и поддерживая в комментариях общественно-политические заявления. Он тоже может попасть в реестр. И он тем более туда попадет, если хоть и пишет от себя, но на самом деле сайт оформлен на ИП или фирму.

Пример с налогами. Бухгалтер рассказывает в личном блоге, как экономить на налогах, оформлять ИП и вести бухучет в компании. Кажется, что он делает это от себя как эксперт, но на самом деле рекламирует так свое ООО. А этот блог — часть пиара бухгалтерской фирмы или финансового сервиса.

Нет никаких ограничений по количеству информации в интересах компаний или частоте публикации общественно-политических постов. Это решается индивидуально и не вами.

Всё, что нужно знать о персональных данных

У меня ИП и небольшой интернет-магазин. Меня касаются эти требования?

Да, эти требования касаются вообще всех: физлиц, предпринимателей и фирм. Исключения для личных нужд распространяются только на обычных людей, а на предпринимателей нет.

Если у вас в интернет-магазине можно оставлять комментарии к статьям, обсуждать цены или характеристики товаров, вы организатор распространения информации. Формально вы обязаны отправить уведомление в Роскомнадзор. Штрафы за несоблюдение требований для ИП такие же, как для юрлиц, — 300 тысяч за неотправленное уведомление.

Отправлять его или нет, решать только вам и вашему юристу.

Зачем это придумали? Такое только в России?

Такое не только в России. Наоборот, эти нормы появились в нашем законе гораздо позднее, чем в других странах. В Европе и США выдача данных о трафике по запросу правоохранительных органов — это нормальная практика. Наши законодатели взяли зарубежный опыт и адаптировали его к российским реалиям.

Основное назначение этих изменений — борьба с терроризмом и преступностью. Государственным органам, которые этим занимаются, нужен доступ к информации, которую распространяют некоторые сайты или пользователи. Получить такой доступ без этого закона было сложно, а с ним проще.