Способы сбора персональных данных

Способы сбора персональных данных

Разрабатывая Политику обработки персональных данных, обязательно пропишите в документе шесть компонентов.

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который вносит поправки в ст. 13.11 КоАП и предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных и существенное увеличение штрафов.

Один из обязательных документов, который должен подготовить оператор персональных данных, чтобы соблюсти требования Федерального закона от 27.07.2006 № 152-ФЗ, называется Политика в отношении обработки персональных данных, она объясняет, как компания работает с данными работников, клиентов и других физических лиц. Этот файл находится в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора персональных данных.

Как правильно составить Политику обработки персональных данных, какие разделы нужно обязательно включить? Разъяснения по этим вопросам дает Роскомнадзор.

Структура Политики обработки персональных данных

Ведомство рекомендует предусмотреть в документе шесть основных компонентов:

  • Общие положения
  • Цели сбора персональных данных
  • Правовые основания обработки персональных данных
  • Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
  • Порядок и условия обработки персональных данных
  • Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

1. Общие цели

В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.

2. Цели сбора персональных данных

Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.

Роскомнадзор указывает на то, что цели обработки персональных данных могут происходить в том числе:

  • из анализа правовых актов, регламентирующих деятельность оператора;
  • из целей фактически осуществляемой оператором деятельности;
  • из деятельности, которая предусмотрена учредительными документами оператора;
  • из конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

3. Правовые основания обработки персональных данных

Федеральный закон от 27.07.2006 № 152-ФЗ не является правовым основанием обработки персональных данных. Эту роль выполняют правовые акты, в соответствии с которыми оператор обрабатывает данные.

Таким образом, в Политике обработки данных в качестве правовых оснований можно указать: федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора; уставные документы оператора; договоры, заключаемые между оператором и субъектом персональных данных; согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.

К категориям субъектов персональных данных могут относиться: сотрудники — как настоящие, так и бывшие, кандидаты на вакансии, родственники работников, клиенты и контрагенты (физлица), представители или работники клиентов и контрагентов.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).

5. Порядок и условия обработки персональных данных

Что указывается в этом разделе:

  • перечень действий, совершаемых с персональными данными;
  • способы обработки персональных данных;
  • сроки обработки персональных данных.

Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:

  • пояснить условия передачи персональных данных в адрес третьих лиц (в том числе речь идет и о трансграничной передаче данных);
  • указать наименование и местонахождение третьих лиц;
  • обозначить цели передачи данных и их объем;
  • перечислить действия по обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.

В Политику обработки персональных данных следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).

Кроме того, оператору нужно указать условие прекращения обработки персональных данных. Это может быть достижение целей обработки, истечение срока действия согласия на обработку, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.

Отдельное внимание стоит уделить такому вопросу, как хранение персональных данных. Во-первых, обязательно называются сроки. Во-вторых, используются базы данных, находящиеся на территории РФ. В-третьих, учитывается тот факт, что хранение должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки. В-четвертых, необходимо упомянуть об иных условия хранения, в том числе, при обработке данных без использования средств автоматизации.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Согласно ст. 21 № 152-ФЗ, персональные данные должны быть актуализированы оператором, если подтвержден факт неточности персональных данных. То же касается и подтверждения факта неправомерности обработки.

Персональные данные подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом персональных данных согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или иными федеральными законами.

На основании ст. 20 оператор обязан сообщить субъекту персональных данных информацию об осуществляемой им обработке персональных данных по запросу.

Роскомнадзор рекомендует включить в Политику обработки персональных данных регламенты реагирования на запросы и обращения субъектов персональных данных, их представителей, уполномоченных органов по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным. Не лишним будет добавить в Политику соответствующие формы запросов и обращений.

Размещение Политики обработки персональных данных в офисе и на сайте

Любой человек, чьи данные обрабатывает компания, имеет право ознакомиться с Политикой обработки персональных данных. Поэтому ее нужно размещать в общедоступном месте. Например, использовать для этого информационный стенд.

Если компания собирает персональные данные через интернет, то она обязана разместить Политику на сайте. Посетитель сайта сможет ознакомиться с ней, кликнув по ссылке.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!

С 1 июля 2017 года вступают в силу изменения в статью 13.11. КоАП РФ, устанавливающие новые санкции за нарушение законодательства в области персональных данных. Появилось 6 новых составов административных правонарушений в рамках данной статьи. Увеличены штрафы в десятки раз!

Например, при сборе персональных данных при отсутствии на сайте условий о конфиденциальности или порядка обработки данных о пользователях, индивидуального предпринимателя могут оштрафовать на 10000 рублей, а юридическое лицо – на 30000 рублей. Если же заниматься обработкой персональных данных без письменного на то согласия, то штраф может достигать 75000 рублей! Должностному лицу, к которым относится как директор, так и индивидуальный предприниматель, придётся выложить 20000 рублей. При наличии нескольких нарушений законодательства в области защиты персональных данных контролирующие органы могут наложить несколько штрафов.

В зоне риска прежде всего владельцы многочисленных сайтов, где предусмотрена регистрация, оформление заказов, прием заявок. Именно так чаще всего собираются персональные данные о человеке в Интернете. Чтобы избежать ответственности за нарушения в области защиты персональных данных, мы расскажем об основных требованиях, предъявляемых государством к операторам персональных данных – всем тем, кто занимается получением, обработкой и хранением информации о гражданах РФ. А также расскажем, что должно быть отражено в положении об обработке персональных данных.

Что такое персональные данные?

Источником информации для данной статьи послужил Федеральный закон “О персональных данных” от 27.07.2006г. №152. Далее по тексту, ссылаясь на закон, мы будем подразумевать именно его.

Законом дано определение понятия персональных данных. К ним относится любая информация, относящаяся прямо или косвенно к определенному физическому лицу. Такое лицо является субъектом персональных данных. В тоже время законом не раскрывается конкретный перечень сведений, относящихся к персональным данным. Представляется, что к персональным данным можно отнести:

  1. Фамилию, имя, отчество;
  2. Адрес места жительства или проживания;
  3. Адрес электронной почты;
  4. Контактный телефон;
  5. Дата и место рождения;
  6. Паспортные данные;
  7. Сведения о воинской обязанности;
  8. Фотографии;
  9. Ссылки на аккаунты в соцсетях;
  10. Сведения об образовании, профессии, опыте работы;
  11. Сведения о финансовом состоянии;
  12. Сведения о семейном положении.

Указанный выше перечень достаточно условный и предусматривает наиболее часто собираемые данные. Они относятся к общим персональным данных.

Есть еще и специальные персональные данные, сбор, обработка и хранение которых не допускается, за исключением некоторых случаев. К таким данным относятся данные о расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни.

Читайте также:  Заявление о безакцептном списании образец

Также есть и биометрические персональные данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Они могут собираться только при наличии письменного согласия.

Какую бы информацию о человеке вы не собирали, для ее получения всегда требуется согласие субъекта персональных данных.

Кто относится к операторам персональных данных?

Оператором персональных данных может быть любое лицо, осуществляющее обработку этих данных. Это могут быть как юридические, так и физические лица. Если на вашем сайте можно зарегистрироваться, оставить заявку на обратный звонок, оформить заказ, приобрести какой-либо товар, подписаться на рассылку, заполнить анкету, пройти опрос, то вас можно смело отнести к оператором персональных данных. Независимо от того, кто осуществляет администрирование сайта, ответственным лицом за нарушение законодательства о персональных данных будет признан непосредственно владелец сайта (юридическое или физическое лицо).

Кто осуществляет контроль в области защиты персональных данных?

В настоящее время уполномоченным органом на проведение проверок и составление протоколов об административных правонарушениях являются органы прокуратуры. Однако с 1 июля 2017 года выписывать протоколы об административных правонарушениях будет Роскомнадзор. Передача функций этому органу позволит эффективнее и быстрее привлекать к ответственности нарушителей законодательства о персональных данных. Почему быстрее? Сократится цепочка уполномоченных органов, задействованных в расследовании нарушений в этой сфере.

Раньше Роскомнадзор обращался в Прокуратуру, затем Прокуратура передавала материалы в суд. Сейчас Роскомнадзор будет передавать материалы по административным правонарушениям не в Прокуратуру, а напрямую в суд. Ожидается, что Роскомнадзор поставит на поток привлечение владельцев сайтов к административной ответственности за нарушение законодательства в области обработки персональных данных. Нарушителей будет выявляться больше, бюджет РФ будет систематически пополняться штрафами по ст. 13.11 КоАП РФ.

Что необходимо сделать для соблюдения законодательства о персональных данных?

Чтобы неукоснительно соблюдать требования законодательства, мы рекомендуем:

  1. Разместить на сайте в открытом доступе положение об обработке персональных данных, ознакомившись с которым пользователь сайта сможет выразить свое согласие на обработку персональных данных. Вы можете получить такое согласие, разместив флажок ознакомления с указанным положением, нажатие на который, приведет к автоматическому согласию с условиями использования его персональных данных.
  2. Запрашивать только те данные, которые необходимы для достижения ваших целей. Не следует для оформления простой подписки на рассылку по электронной почте запрашивать паспортные данные. Эта излишняя информация может стать основанием для привлечения вас к административной ответственности.
  3. Предоставлять субъекту персональных данных информацию о том, какие сведения о нём хранятся в ваших базах данных, для чего вы обрабатываете полученную информацию и кому вы её передавали.
  4. Удалить всю информацию о пользователе после получения соответствующего запроса.
  5. Осуществлять хранение персональных данных в защищённом месте, исключающем доступ третьих лиц.
  6. Разработать положение об обработке персональных данных и ознакомить с ним своих работников под роспись.
  7. Зарегистрироваться в качестве оператора персональных данных в Роскомнадзоре.

Что должно быть отражено в положении об обработке персональных данных?

Размещая на сайте положение об обработке персональных данных, не забудьте в нем указать:

  1. Исчерпывающий перечень запрашиваемой информации;
  2. Конкретные цели сбора этой информации;
  3. Порядок обработки персональных данных с указанием исчерпывающего перечня действий, которые могут осуществляться с персональными данными;
  4. Наименование и адрес организации, осуществляющей на обработку персональных данных;
  5. Срок, в течение которого действует согласие на обработку персональных данных, способ отзыва согласия.

Подробнее о регистрации в качестве оператора персональных данных в Роскомнадзоре

По закону оператор персональных данных должен уведомить Роскомнадзор о желании заниматься обработкой персональных данных до начала обработки. Уполномоченный орган внесёт информацию в реестр операторов персональных данных и будет выдавать любому лицу информацию об операторах при вводе наименования организации, ИНН или регистрационного номера.

Законом также предусмотрены случаи, когда Роскомнадзор уведомлять необязательно. Например, в случае обработки персональных данных:

  1. Работников в соответствии с Трудовым кодексом РФ.
  2. Стороны по договору, если персональные данные не распространяются, не передаются третьим лицам без письменного согласия и используются исключительно в целях исполнения договора.
  3. Членов общественных общественного объединения или религиозной организации, если персональные данные не распространяются, не передаются третьим лицам без согласия субъекта персональных данных, используются исключительно для достижения целей, предусмотренных учредительными документами.
  4. Сделанных субъектом персональных данных доступными широкому кругу лиц.
  5. Включающих только фамилии, имена и отчества субъектов персональных данных.
  6. Необходимых для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  7. Включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  8. Обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
  9. Обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если вы не знаете подпадаете ли вы под указанный выше перечень, советуем подать в Роскомнадзор уведомление о включении в реестр операторов персональных данных.

Обязан ли я хранить персональные данные на российских серверах?

В Законе сказано, что при сборе персональных данных оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Таким образом, собирать, обрабатывать и хранить базу персональных данных о российских гражданах можно только на серверах, размещённых в России. Если у вас сайт находится на иностранном хостинге, и вы при этом осуществляете сбор и обработку данных о гражданах РФ, то ваш домен могут включить в Реестр нарушителей прав субъектов персональных данных. Ведением этого реестра занимается также Роскомнадзор. Попасть в него легко. Достаточно нарушить требования законодательства в области защиты персональных данных, дождаться, когда на вас обратит внимание Роскомнадзор, а суд вынесет соответствующее решение.

В тоже время законодатель предусмотрел возможность трансграничной передачи персональных данных граждан РФ на территорию иностранных государств. Отдельного разрешения на такую передачу у Роскомнадзора запрашивать не требуется. Трансграничная передача данных допускается, если:

  1. Есть письменное согласие на такую передачу данных.
  2. Она предусмотрена международным договором или федеральными законами.
  3. Она необходима для исполнения договора, стороной которого является владелец данных, или требуется для защиты его жизни, здоровья и иных жизненно важных интересов, при невозможности получения согласия в письменной форме.

Но имейте ввиду, что передача данных о гражданах РФ на иностранные серверы должна отвечать конкретным и законным целям. Если даже вы получите письменное согласие, но обработка, сбор и хранение данных за рубежом будут признаны необоснованными, то можно оказаться в числе нарушителей Закона “О персональных данных” со всеми вытекающими последствиями.

Минкомсвязи России дало некоторые разъяснения по вопросу практического применения Закона “О персональных данных”, но они вряд ли чем помогут. Уж больно много в них противоречий. Если вы не можете сменить хостера, или без трансграничной передачи персональных данных никак не обойтись, советуем задать все интересующие вопросы напрямую в Минкомсвязь и (или) в Роскомнадзор.

Всё очень сложно? Вы не знаете как собирать и обрабатывать персональные данные правильно?

Для соблюдения требований законодательства в области защиты персональных данных без компетентного специалиста не обойтись. Можно, конечно, использовать готовые положения о конфиденциальности, взяв их с различных сайтов. Но их использование не гарантирует, что вы не будете привлечены к административной ответственности. Уж очень много в Законе специфичных требований и обязанностей операторов персональных данных.

Поэтому наши юристы готовы проконсультировать вас относительно действующего законодательства, составить положение об обработке персональных данных, о работе с персональных данными, другие локальные нормативные акты (если они у вас отсутствуют), а также проверить действующие положения об обработке персональных данных на соответствие законодательству. Обращайтесь – мы будем рады вам помочь!

Формы обратной связи, соцсети, иностранные сервера и рога оленя

Статья про закон о персональных данных неожиданно для нас вызвала много вопросов у читателей. Неожиданно, потому что закону уже больше десяти лет. За нарушение этого закона и сейчас могут штрафовать: его нужно было соблюдать и год назад, и сегодня. Просто с 1 июля 2017 года всё станет серьезнее.

Вот что вы спрашивали о персональных данных.

Консультируйтесь с юристом

Статья в Тинькофф-журнале не заменяет помощь квалифицированного юриста. Если вы не знаете, что делать с персональными данными и как всё оформить, обратитесь за профессиональной помощью.

Объясните вкратце для тех, кто не в курсе

В России есть закон о персональных данных. Чтобы собирать, обрабатывать и хранить данные о сотрудниках, подписчиках на рассылку и посетителях сайта, нужно почти всегда получать их согласие, а сами данные хранить в России.

За нарушение закона штрафуют. С 1 июля штрафы увеличатся до 75 тысяч рублей, а у Роскомнадзора будет побольше полномочий.

Зачем придумали этот закон? Это очередной способ пополнить кормушку. Теперь и сайт нет смысла делать, будут еще штрафовать каждый месяц.

Закон о персональных данных нужен тем, чьи данные собирают, обрабатывают и хранят. Цель закона — защитить интересы и права этих людей.

Читайте также:  Можно ли открыть хостел в жилом доме

Нормы защиты персданных придумали не в России. Правила их обработки ООН описала еще в 1948 году во Всеобщей декларации прав человека. В 1981 году Совет Европы принял конвенцию по обработке персональных данных. А Россия ее ратифицировала и в 2006 году разработала свой закон.

В Европе паранойя по поводу персданных уже давно

Конституция гарантирует каждому человеку неприкосновенность частной жизни, тайну переписки и телефонных переговоров. Даже без закона о персональных данных нельзя обрабатывать, хранить и распространять информацию о человеке без его согласия.

Отдельная глава про персональные данные есть в трудовом кодексе: работодатели не могут свободно распоряжаться информацией о сотрудниках.

Однако персональные данные оставляют постоянно: чтобы оформить заказ в интернет-магазине, взять кредит в банке, устроить ребенка в детский сад, зарегистрироваться в соцсети или подписаться на рассылку. Когда человек оставляет свои данные, он должен быть уверен, что его адрес не разместят в открытом доступе, а телефон не передадут кому-то без разрешения. А тот, кто обрабатывает персональные данные, хочет гарантий, что на него не подадут в суд за рекламную рассылку.

Недавно мы рассказывали, как мошенники смогли получить чужой НДФЛ. Это произошло в том числе из-за того, что кто-то нарушил правила обработки персональных данных.

Закон о персональных данных прописывает для всех правила игры. Он заставляет всех принимать дополнительные предосторожности, но и защищает он тоже всех.

У меня есть сайт. Я не ИП и не юрлицо — просто человек. Нужно ли соблюдать закон о персональных данных в таком случае?

Да, закон нужно соблюдать всем, кто обрабатывает чьи-то персональные данные. Оператором может быть юридическое лицо, ИП , государственный орган или обычный человек, который создал и администрирует форум по интересам. Точное определение, кто является оператором и что такое обработка персональных данных, есть в 3 статье закона.

Например, девушка создала форум для беременных, чтобы потом размещать там рекламу. При регистрации участники указывают информацию о себе. Эта девушка — оператор персональных данных. Она получает сведения о других людях и что-то с этими данными делает: систематизирует по возрасту и интересам, проверяет активность пользователей, использует для рассылки, приглашений или просто хранит.

Любое из этих действий — это обработка персональных данных. Любой, кто это действие производит, — оператор.

У меня есть электронные почты друзей, список контактов в телефоне, аккаунты разных людей в соцсетях. Получается, я тоже оператор и должен получать согласие этих людей на то, чтобы хранить и удалять их данные?

Нет, в таких случаях согласие не нужно. Под действие закона не попадают персональные данные, которые обрабатывают для личных и семейных нужд . Это могут быть контакты нужных людей в телефонном справочнике, визитки коллег и партнеров, профили друзей на фейсбуке.

Это исключение действует, только если не нарушаются права этих людей. Например, их данные не оставляют в банке как контакты для связи при оформлении кредита, не публикуют в общем доступе без разрешения или не передают рекламодателям.

Форма обратной связи тоже попадает под действие закона?

Если в ней человек может ввести свои персональные данные — то да, попадает.

В законе нет исключений по поводу формы и способа сбора персональных данных. И уточнения, что именно является сбором, тоже нет. Минкомсвязи считает, что сбор — это какая-то документально оформленная процедура получения данных о человеке. Форма обратной связи подходит под это определение .

Сама по себе форма обратной связи не попадает под действие закона только потому, что она есть. Важно, какие данные передает посетитель через эту форму , можно ли по ним прямо или косвенно идентифицировать человека и нанести ему вред в случае утечки и распространения.

Если посетитель сайта указывает в форме свое имя, фамилию, телефон и электронную почту — это персональные данные. Тот, кто эти данные получает, обрабатывает и хранит, считается оператором персональных данных и должен соблюдать закон.

А если получаешь только имя без фамилии и номер телефона, это тоже попадает под персональные данные? А если только номер телефона?

По закону персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Это определение ничего не дает и не проясняет.

Если понимать буквально, то персональными данными можно считать что угодно. Юристы спорят по этому поводу уже много лет.

Минкомсвязи конкретики не дает и говорит так: более точно определить состав персональных данных, в том числе привести их перечень, представляется нереализуемым . Никаких четких пояснений от других ведомств по этому поводу тоже нет.

Если будет спор по поводу принадлежности почты или логина к персональным данным, всё решит суд. Несколько решений по поводу персональных данных суды уже вынесли. Из них следует очевидное: персональными данными считаются ФИО , паспортные данные, адрес, номера телефонов, информация о членах семьи, из пенсионного дела и трудового договора. Еще из них следует неочевидное: ИНН сам по себе не является персональными данными, а данные о факте пересечения границы — являются.

Сам по себе логин — это вроде бы не персональные данные. По набору символов нельзя понять, что это за человек и даже какого он пола.

Но если на аватарку человек поставит свою настоящую фотографию или при регистрации укажет почту, где в названии будет его фамилия с инициалами, а в доменном имени — название компании, то в совокупности это уже персональные данные.

Никто толком не знает, какие данные персональные

В законе нет никаких исключений по теме сайта, организационно-правовой форме и набору данных.

Чтобы не рисковать, лучше сделать так.

Если вы где-нибудь с какой-нибудь целью собираете любую информацию о каких-то физических лицах, нужно зафиксировать их согласие и подготовить документы . Если это сделать для страховки, даже когда не надо, ничего страшного не будет. А если этого не сделать, могут быть претензии от пользователей и Роскомнадзора.

Я делаю сайт для клиента, обрабатываю и храню данные на своей стороне. При этом владелец сайта не обязан быть оператором персональных данных?

Владелец сайта обязан быть оператором персональных данных и соблюдать закон. По закону можно собирать персональные данные и передавать их кому-то на обработку. Владелец сайта может передать данные клиентов вебмастеру, интернет-магазин — сервису рассылки.

Чтобы так делать, владелец сайта должен получить у посетителей разрешение и объяснить им, кому и зачем он передаст их данные.

Тот, кому он передаст данные на обработку, отдельное разрешение получать не должен, а соблюдать закон — должен.

Отвечать за соблюдение закона перед посетителями сайта будет его владелец.

Владельца сайта Роскомнадзор и суд будут определять по совокупности данных. Если на сайте размещена информация о конкретном юридическом лице или ИП , спросят с него. Если таких данных нет, спросят с администратора домена.

А как они поймут, что я храню и обрабатываю данные, чтобы выписать штраф? Это в российском дата-центре можно маски-шоу устроить и вынести сервер, а за границей такие номера не проходят.

Роскомнадзор узнает о нарушениях двумя способами:

  • сам проведет проверку;
  • отреагирует на чью-то жалобу.

Например, вы получили рассылку, на которую не подписывались, или вам звонят менеджеры из интернет-магазина, хотя вы не соглашались на рекламный обзвон. Или автосалон без разрешения передал ваш телефон страховому агенту, и теперь вам пытаются впарить каско. Можно потребовать удалить данные из базы, пожаловаться в Роскомнадзор и возместить ущерб через суд. Для этого нужно быть уверенным, что согласия не было, а данные передали незаконно. Иногда согласие получают через договор присоединения или законно передают данные, чтобы выполнить условия договора.

Сначала читать, потом подписывать

Если Роскомнадзор обнаружит нарушения, сайт могут заблокировать, а компанию оштрафуют.

По закону операторы обязаны хранить персональные данные на российских серверах. Есть несколько исключений, но это частности. Любой интернет-магазин или сервис по подписке должен хранить базу с персональными данными граждан в России.

Потом можно передавать эти данные за границу. Это законно, но при определенных условиях. Иначе нельзя было бы бронировать гостиницы и покупать билеты на самолет за границей.

Роскомнадзор может потребовать предоставить подтверждение по поводу места хранения баз данных. Например, договор с дата-центром, хостингом или документы на собственный сервер. Если выяснится, что персональные данные хранятся с нарушениями и не в России, будут проблемы.

Кроме закона о персональных данных есть требования Федеральной службы по техническому и экспортному контролю и ФСБ. Еще к проверке может подключиться прокуратура. Им хватит полномочий, чтобы узнать, где на самом деле хранятся данные, и разобраться с нарушениями.

А если у нас сайт на английском?

Закон о персональных данных нужно соблюдать, если сайт используется для работы на территории РФ . Теоретически Роскомнадзор имеет право и может его заблокировать.

Читайте также:  Дтп на трассе вологда новая ладога сегодня

Вот какие признаки используют, чтобы это понять:

  • доменное имя связано с РФ или субъектом;
  • есть русскоязычная версия сайта;
  • расчет за товары или услуги происходит в рублях, доставка возможна на территорию РФ ;
  • потребители содержимого сайта — россияне;
  • есть реклама на русском, которая ведет на этот сайт.

Если есть какое-то сочетание этих факторов, оператор персональных данных должен соблюдать закон, даже если это иностранная компания. А это значит, что документы должны быть доступны и понятны в РФ . Достаточно иметь их на русском языке, чтобы их понимал Роскомнадзор и граждане России. На нерезидентов за пределами страны наш закон о персональных данных не распространяется.

Как определять гражданство посетителя, закон не объяснил. Операторам предложили решать эту проблему самостоятельно. А если четкой позиции и инструментов нет, стоит соблюдать закон в отношении всех персональных данных, которые собрали на территории России.

Дублировать те же документы на иностранных языках для россиян нет смысла. Но эти правила придумали не в России. Есть конвенция Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера. Так что, если собираете данные иностранцев, подумайте, как соблюдаете закон той страны, резидентами которой они являются.

В Европе за однократное нарушение правил обработки персональных данных штрафуют на сотни тысяч евро. В России максимальный штраф с 1 июля 2017 года — 75 тысяч рублей.

Могу ли я не регистрироваться в Роскомнадзоре, если поменяю поле в форме обратной связи с «Ваше имя» на «Ваша компания»?

Закон о персональных данных защищает данные только физических лиц . Он не распространяется на данные о компаниях. Но то, что указано в форме обратной связи, — это формальность. Важно, какие именно данные и с какой целью собирает владелец сайта.

Если это на самом деле название компании и телефон офиса, такая информация не попадает под действие закона. Но если сайт собирает почтовые адреса и телефоны сотрудников компаний, чтобы потом делать по ним рассылку или передавать их третьим лицам, могут быть проблемы как со стороны этих сотрудников, так и от Роскомнадзора.

В Роскомнадзоре должны зарегистрироваться все операторы персональных данных. Исключения только для случаев, перечисленных в п. 2 ст. 22 закона о персональных данных.

Вот публикую я пост в фейсбуке и упоминаю своего друга — значит, я данные обрабатываю? Кэш поста хранится на телефоне, значит, я данные храню? А если сделаю репост в твиттер, то я их еще и предоставляю третьей стороне. И как с этим жить?

Это не нарушение закона. В этом случае оператором персональных данных выступает социальная сеть. Каждый, кто там зарегистрировался, дал согласие на публикацию, обработку и использование его данных.

Все пользователи фейсбука согласились на обработку данных о своем местоположении, используемых устройствах, друзьях, интересах, платежах, посещенных сайтах и связях с другими людьми. И даже на то, что фейсбук может получить доступ к адресной книге на любом устройстве и потом использовать эти данные.

Вы уже разрешили фейсбуку делать с вашими персданными что угодно

Все согласились на то, что эти данные фейсбук передает своим партнерам и рекламодателям. И на то, что любой пользователь может ссылаться, упоминать и отмечать на фотографиях кого захочет в рамках их настроек безопасности. Это законно и за это отвечает фейсбук, а не пользователи.

Так устроена любая соцсеть и общедоступные справочники.

Если на столбе объявление «Куплю рога оленя, 8 800…, Геннадий», то этот столб можно оштрафовать?

Нет, столб оштрафовать нельзя. Юридическим лицом он тоже не является. А люди, которые читают такие объявления и записывают номера телефонов, чтобы продать рога, не операторы персональных данных и не попадают под действие закона.

Геннадий сам сделал свои данные общедоступными , чтобы купить рога оленя. А те, кто позвонит ему по поводу покупки рогов, используют телефон в личных целях.

Если телефон Геннадия запишет микрофинансовая организация и начнет присылать ему рекламу быстрых займов, то ее можно привлечь к ответственности. Геннадий не давал ей согласия на обработку персональных данных для рассылки рекламы.

Человека, который случайно увидел телефон Геннадия, записал его в телефонную книгу или даже позвонил Геннадию с предложением купить рога, привлечь к ответственности нельзя.

То есть если человек специально опубликовался для каких-то рекламных целей, то это не считается персональными данными? На «Авито», например.

Если человек передает свои персональные данные какому-то ресурсу, даже с рекламной целью, этот ресурс должен соблюдать закон. Он должен предупредить пользователя, зачем собирает персональные данные, что будет с ними делать, где публиковать, кому передавать.

Чтобы подать объявление на «Авито», нужно зарегистрироваться и подтвердить номер телефона. Без регистрации объявление подать нельзя.

«Авито» объясняет, что использует данные, чтобы размещать их на сайте, информационных ресурсах, передавать своим партнерам, проводить конкурсы и проверять личность пользователя. Еще «Авито» может передавать данные пользователей за границу и отдавать их на обработку каким-то третьим лицам и честно об этом пишет. Это законно.

Нет такого правила, что если человек сам разместил данные в общем доступе на каком-то ресурсе, то с ними можно делать что угодно: распространять, обрабатывать и хранить у себя без разрешения.

Единственное исключение для общедоступных данных: оператор таких данных может не подавать уведомление в Роскомнадзор. Но получать согласие, обеспечивать безопасность и удалять данные по требованию их владельца он обязан.

Как правильно получить согласие на обработку персональных данных на сайте? Можно взять шаблон с сайта какой-то крупной компании?

Нельзя брать любое соглашение и использовать его на своем сайте, но можно посмотреть, как сделали другие, и использовать этот опыт.

Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Молчание или отсутствие возражений на обработку персональных данных — это не согласие.

Конкретной формы, в которой его нужно получать от посетителя и клиента, нет. Это может быть ссылка на пользовательское соглашение в ответном письме или галочка в форме регистрации.

Согласие должно быть осознанным и информированным

Главное, чтобы можно было доказать, что это согласие получено и посетитель понимал, на что он соглашается.

У каждого оператора должны быть цели. Интернет-магазин собирает данные об адресах, чтобы доставить товар; сервис по подписке просит указать электронную почту, чтобы отправлять письма; медицинский центр систематизирует данные о состоянии здоровья; школа — данные о семье.

Собирать, обрабатывать и хранить можно только те персональные данные, которые соответствуют цели. У «Ламоды», «Главреда», «Библио-глобуса» и детского сада цели не могут быть одинаковыми. А если собирать лишние данные, за это могут оштрафовать.

Получить согласие на обработку персональных данных недостаточно. Нужно соблюдать семь принципов обработки и правильно оформлять внутренние документы.

Лучше сделать это один раз и с помощью юриста, чем платить штрафы государству и возмещать моральный вред.

Ясно. Судя по всему, я оператор персданных. Что мне конкретно делать?

Изучите закон. Он сложный, там много непонятного, а какие-то вопросы вообще не объясняются. Если не можете разобраться сами, попросите юриста, которому доверяете.

На некоторые вопросы отвечает Минкомсвязи — эти разъяснения тоже лучше изучить лично. Можно там же задать вопрос по своей ситуации или написать в Роскомнадзор.

Разместите на сайте пользовательское соглашение, политику конфиденциальности, оферту или еще какой-то документ, откуда посетитель поймет, какие данные вы собираете, что с ними делаете, куда передаете, как храните и когда удаляете. Внимательно относитесь к формулировкам: они пригодятся в суде.

Формируйте базу с персональными данными на российских серверах. Потом можете передавать данные за границу, если это законно, обоснованно и безопасно.

Обеспечьте техническую безопасность данных и защитите их от утечки.

Оформите внутренние документы. Их много. Это приказы, распоряжения, инструкции и подписки. Это нужно сделать один раз, но правильно. При проверке Роскомнадзор имеет право их потребовать и проверить.

Подайте уведомление в Роскомнадзор, если не попадаете под исключения из ст. 22 закона о персональных данных. Если попадаете под исключения, оформите документы так, чтобы это было понятно при визуальной проверке и к вам не придрались.

Заверьте страницы сайта с документами по поводу персональных данных у нотариуса, чтобы вас не обвинили в их отсутствии или изменении формулировок.

Если у вас нет сайта, вы тоже можете быть оператором персональных данных. Необязательно собирать их автоматизированным способом и через интернет. Когда вы берете на работу сотрудника, вы тоже обрабатываете персональные данные. Правильно оформляйте документы.

Закон о персональных данных — это не страшно

Это нормальная мировая практика. Чтобы его соблюдать, не нужно тратить много денег. И бояться штрафов тоже не нужно. Если один раз всё правильно оформить и аккуратно относиться к информации о других людях, вам ничего не грозит.

Каждый из нас — субъект персональных данных. Этот закон защищает и наши данные тоже. И если кто-то его нарушит, можно подать в суд, заблокировать сайт-нарушитель, потребовать удалить информацию о себе и даже получить компенсацию.

Ссылка на основную публикацию
Adblock detector