Особые случаи работы 07.04.2019
0 (0 голосов)

Будущие изменения в законодательстве рф персональные данные. Федеральный закон "О персональных данных": основные положения простыми словами

C 1 июля 2017 года вступил в силу закон "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" от 07.02.2017. Изменения коснулись статьи 13.11 "Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)", а также статей 28.3 и 28.4 КоАП РФ.

Ранее протоколами по таким делам занималась прокуратура, теперь их возбуждает Роскомнадзор. Причем РКН уже активно ведет проверки, начисляет штрафы по каждому пункту нарушений, а суммы возросли в десятки раз.

Если на сайте нет информации о политике конфиденциальности, индивидуального предпринимателя могут оштрафовать на сумму в 10 тысяч рублей, а компанию - на 30 тысяч. Если обработкой персональных данных будет заниматься новостной сайт без согласия своих подписчиков или интернет-магазин - без согласия клиентов, то руководителя компании или предпринимателя оштрафуют на сумму до 20 тысяч рублей, а юрлицо - до 75 тысяч рублей. Количество штрафов будет равно количеству нарушений, заплатить один раз за несколько ошибок не получится.


Кто виноват?

Согласно Федеральному закону «О персональных данных» - «персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.»

Ответственность за нарушение нового закона несут так называемые «операторы персональных данных».

Оператор персональных данных, согласно тому же закону - «государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.»

Все владельцы сайтов, на которых есть контактная форма - анкета, форма регистрации, обратной связи, подписки или просто кнопка заказа обратного звонка, запрашивающая имя и контактный номер телефона, являются операторами персональных данных и могут быть привлечены к ответственности за нарушения пунктов закона.

Вместе с тем, закон не распространяется на запись и сохранение любой личной информации, которую планируется использовать для личных или семейных нужд. Телефонная книга в смартфоне или список контактов в клиенте электронной почты не сделают вас оператором персональных данных. Но, если вы передадите эти данные лицу или организации, которая по закону, является оператором персональных данных или опубликуете сведения, это будет нарушением.


Что делать?

1. Подготовьте публичные документы о правилах и условиях обработки персональных данных и разместите их на сайте так, чтобы они были доступны с любой страницы. Это может быть уведомление, пользовательское соглашение, правила продажи или политика в отношении обработки персональных данных. Важно не название, а содержание. Не копируйте документы других компаний без обработки. Их можно использовать в качестве шаблона, но список данных и цели их использования пропишите свои.

Данные, которые могут потребоваться интернет-магазину для доставки товара, не понадобятся для оформления подписки на информационном сайте. Почему это важно - см. следующий пункт.

2. Приведите в соответствие с публичным документом сами контактные формы. Запрашивать нужно только те персональные данные, которые нужны для работы с вашим ресурсом. Подпишите, зачем просите эти данные, чтобы пользователям было комфортно их оставлять.

Запрос излишних данных может быть расценен как нарушение закона и стать поводом для штрафа.

3. Реализуйте программное решение, которое гарантирует согласие пользователя на обработку персональных данных. Это может быть чек-бокс в форме регистрации, в котором нужно поставить галочку, или кнопка согласия с условиями использования, без активации которых человек не сможет отправить сообщение или оформить заказ.

В случае, если персональные данные не предполагается публиковать, а только использовать для обработки внутри компании, явным образом ограничьте передачу персональных данных без согласия на их обработку. Согласно закону, обязанность доказать, что пользователь добровольно оставил свои данные, возлагается на оператора.

Важно! Перед получением персональных данных, которые предполагается публиковать в общедоступных источниках или передавать третьим лицам, получите письменное согласие у каждого посетителя, клиента или подписчика на их обработку, хранение и распространение.

4. Обезопасьте базу данных. Подготовьте внутренние документы, регламентирующие правила обработки и хранения персональных данных, ответственности сотрудников, имеющих к ним доступ, назначьте лицо, ответственное за безопасность персональных данных и соблюдение правил работы с ними, определенных Федеральным законом N152.

Даже в том случае, если ваш сайт обслуживает другая компания или специалист на аутсорсе, штраф за нарушение закона будет выписан на компанию или ИП, которые указаны на сайте в качестве владельца и, следовательно, получателя персональных данных.

5. Отправьте, если сайт подпадает под требования Закона, уведомление в Роскомнадзор .

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и не будут распространяться или использоваться иным образом;
  • у вас хранятся только ФИО клиента;
  • данные опубликованы в общем доступе самим человеком или кем-либо по его поручению.

Если уверены, что отправлять уведомление не нужно, оформите всю документацию так, чтобы это было понятно и возможным проверяющим. Укажите в пользовательском соглашении, что данные открыты с согласия пользователя, но помните, что доказывать это придется вам.

По закону операторы персональных данных должны уведомить Роскомнадзор. Это нужно сделать до начала обработки данных или вскоре после. Роскомнадзор внесёт информацию об операторе в Реестр операторов персональных данных.

Кроме того, вы обязаны сообщать по запросу пользователя, какие у вас есть данные о нём, как и для чего они обрабатываются и кому вы их передавали, а также удалять данные по первому требованию лица, персональные данные которого хранятся в вашей базе.

Дополнено 04.07.2017:

Мы получили комментарий от сотрудника Роскомнадзора:

"При проверке важно, чтобы у вас на сайте можно было подтвердить согласие на сбор и обработку данных - поле для галочки или какая-то другая форма, публичный документ о целях сбора, порядке обработки персональных данных и обеспечении их безопасности, и ссылка на этот документ на форме, где собираются ПД. Персональными данными мы считаем любую информацию, которую человек оставил на сайте, даже если она недействительна - никнейм, неверный номер телефона и т. д. Штрафы уже были, в основном, за отсутствие документов с политикой в отношении персональных данных или за ошибки в них."

Пример формы регистрации на сайте РИА Новости:

Как видим, подтверждения согласия пользователя на обработку ПД в виде чек-боксов или кнопок "согласен" нет. По ссылке можно перейти на страницу с политикой конфиденциальности, где указано, что пользователь дает это согласие, регистрируясь на сайте:

Другой пример сайта, где регистрационная форма обязывает пользователя вводить несколько типов персональных данных - Avito:

Есть текст, уведомляющий пользователя, что при регистрации он принимает условия пользовательского соглашения, и ссылка на него.

Текст соглашения не содержит информации об обработке персональных данных, кроме указания, что пользователь делает свои данные общедоступными, размещая объявление на сайте.

Политика в области обработки и безопасности персональных данных на Avito размещается в разделе "Безопасность", ссылка доступна с любой страницы сайта.

Универсального совета нет. Для каждого сайта в зависимости от рода занятий - своя форма, поэтому лучше проконсультироваться в Роскомнадзоре.

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

Об операторах персональных данных написано довольно много статей.
Операторы очень расстроены, что им приходится тратить средства на защиту персональной информации, что им всем тяжело живется и вообще все очень плохо.
С другой стороны есть сами владельцы персональных данных, и я предлагаю рассмотреть тему именно с этой стороны. Что же дает владельцу персональных данных ФЗ № 152 и каким способом он может защитить свои законные интересы?
В данном случае разговор пойдет о коммерческих организациях, вопрос относительно государственных органов – тема отдельной статьи.

Вот пример последствий для оператора персональных данных по обращению владельца:

Случай из жизни: меня в очередной раз расстроил мой интернет-провайдер своим качеством обслуживания, и я решил посмотреть насколько законно он обрабатывает мои персональные данные. Написав и распечатав письмо с запросом информации из статьи 14, я сходил к ним и отдал под роспись секретарю вместе с претензией на качество обслуживания. На следующий день руководитель технической поддержки (до этого мне так и не удалось с ним поговорить, не переключали) с радостью сообщил, что они все починили, дал мне свои контакты с просьбой звонить если что то будет не так ему лично. Интернет с тех пор работает отлично.

Еще один пример нарушения со стороны оператора персональных данных: после покупки машины в автосалоне по почте пришло письмо от производителя из Германии, в котором говорилось, что я приобрел машину такой-то марки с просьбой оценить качество обслуживания их дилера. При заключении договора в тексте договора не было нигде описано, что я разрешаю обрабатывать свои данные, тем более передавать их кому-либо.
Оператор не уничтожил мои персональные данные после достижения целей обработки (договор исполнен), осуществил трансграничную передачу этих данных и продолжает обрабатывать их в своих информационных системах, без какого-либо основания (приходят СМС с информацией об акциях).

Если статья будет интересна читателям, на последнем примере нарушения выложу формы обращения и пошаговую инструкцию по организации запросов к операторам персональных данных, запросов в Роскомнадзор, расскажу, куда можно обратиться помимо Роскомнадзора, и на какие статьи законодательства ссылаться.

По поводу нарушений закона о персональных данных. Они вступят в силу 1 июля 2017 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные.

Штрафы разделили по видам нарушений и увеличили в десятки раз. Например, если не разместить на сайте политику конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а компанию - на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юрлица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч . Если нарушений несколько, то и штрафов будет несколько.

Нужно срочно привести в порядок свои сайты. Проверки уже идут 💻

Сейчас протоколы о нарушениях может выписывать только прокуратура. Штраф не зависит от вида нарушения и составляет для ИП или директора максимум 1000 рублей, а для юрлица - 10 тысяч рублей. Процедура занимает много времени, штрафы маленькие, поэтому проверяют редко и не всех.

Как узнать, являюсь ли я оператором персональных данных?

Персональные данные - это любые данные о человеке, по которым его можно идентифицировать. В законе нет перечня таких данных, поэтому приходится догадываться самим. Например, по имени или логину нельзя понять, что это за человек, а по имени и телефону или имени и электронной почте - можно.

Скорее всего, вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:

  • фамилию,
  • отчество,
  • какой-то физический адрес,
  • электронную почту,
  • телефон,
  • дату или место рождения,
  • фотографию,
  • ссылку на персональный сайт или соцсети,
  • профессию,
  • образование,
  • уровень доходов,
  • семейное положение.

Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, - это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения - это тоже обработка персональных данных.

А если я записываю телефон друга или электронную почту девушки на сайте знакомств, мне нужно соблюдать этот закон?

Нет, не нужно. На данные для личных и семейных нужд закон не распространяется. Но если передать телефон друга коллекторам или опубликовать объявление с почтой девушки на форуме женоненавистников - это уже нарушение.

Как правильно работать с персональными данными, чтобы не нарушить закон?

Как минимум нужно:

  • получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
  • публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
  • запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
  • использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
  • сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
  • удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
  • хранить базы данных в надежном месте, защищать их от взлома и утечки;
  • научить сотрудников работать с персональными данными;
  • зарегистрироваться в Роскомнадзоре.

Что? Я должен еще где-то зарегистрироваться?

Да, по закону операторы персональных данных должны уведомить Роскомнадзор . Причем сделать это нужно до начала обработки данных или как можно скорее. Роскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более - распространяться;
  • человек сам опубликовал эти данные в общем доступе;
  • у вас есть только ФИО клиента и больше ничего.

У меня есть сайт, и я получаю персональные данные. Что мне делать?

Если вы до сих пор ничего не сделали, то вы уже нарушаете закон и вас уже сейчас могут оштрафовать. Даже если ваш сайт обслуживает веб-студия или удаленный айтишник, штраф всё равно выпишут на ту компанию или ИП , которые указаны на сайте.

Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны на всех страницах. Это может быть пользовательское соглашение, как у «Ламоды» , правила продажи, официальное уведомление, как у «М-видео» , политика конфиденциальности, как у «Рестора» , «Адидаса» или «Озона» . Можно прописать условия обработки персональных данных в обычном договоре или оферте, как это делает Сбербанк .

Не используйте чужие документы. Их можно взять для ориентира, но список данных и цели использования нужно прописывать свои. То, что нужно банку для оформления кредита или интернет-магазину для доставки товара, не понадобится для электронной рассылки или доски объявлений. Запрашивать ненужные данные - нарушение закона и повод для штрафа.

Реализуйте решение, которое позволит четко установить, что человек согласился на обработку персональных данных. Это может быть галочка в форме регистрации или предупреждение при оформлении заказа. Для надежности заверьте веб-страницы у нотариуса.

Подготовьте внутренние документы о хранении персональных данных и ответственности сотрудников, которые с ними работают. Приказы, регламенты и должностные инструкции не нужно выкладывать в общий доступ.

Если нужно, отправьте уведомление в Роскомнадзор. Если уверены, что уведомление отправлять не нужно, оформите документы так, чтобы это было понятно при проверке. Например, пропишите в политике, что используете персональные данные только для исполнения конкретного договора. Или укажите, что создаете ресурс, на котором данные размещаются в общем доступе по желанию пользователя.

Это правда, что хранить персональные данные можно только на российских серверах? Если у меня хостинг в Европе, я нарушаю закон?

В законе много непонятного по этому поводу. С одной стороны, собирать, обрабатывать и хранить базы данных нужно на российских серверах. Но при этом есть отдельная статья про трансграничную передачу данных. На сайте Минкомсвязи опубликованы разъяснения по этому поводу, но в них тоже много противоречий.

Сами делайте выводы, где хранить данные. Если не знаете, что делать, отправьте запрос в Роскомнадзор или Минкомсвязи. Еще можно обратиться к своему хостеру: чаще всего у таких компаний есть готовые решения.

Да успокойтесь вы все! Никого не будут штрафовать из-за каких-то форм на сайте и ненужных бумаг.

В Тамбовской области прокуратура оштрафовала юридическую компанию за заполнение формы обратной связи без согласия пользователя на обработку персональных данных. Суды поддержали.

Директора управляющей компании оштрафовали за то, что он передал юристам данные должников, чтобы составить исковые заявления. Согласие на обработку персональных данных у жильцов он не получил. Конституционный суд ему не помог.

В Астрахани прокуроры штрафуют владельцев сайтов за формы обратной связи по алфавиту.

Кроме штрафов в пользу государства за нарушение правил обработки персональных данных могут взыскать компенсацию морального вреда и даже посадить в тюрьму.

В законе про персональные данные много непонятного. Мы разобрались и ответили на



Советуем почитать



Похожие записи