Шмелев Павел Владимирович

Часть 1

Федеральный закон «О персональных данных», вступивший в силу в январе 2007 года, поначалу был обделен вниманием операторов персональных данных. Хотя, казалось бы, именно операторы должны были заинтересоваться всеми ресурсоемкими «сюрпризами», заложенными законодателем в этот правовой акт. Тревожное оживление операторов началось в конце 2009 года – ведь дата 1.01.2010 была названа в законе, как срок, к которому все информационные системы персональных данных должны быть приведены в соответствие с законом.

Январь 2010 года был ознаменован поправками в ФЗ «О персональных данных», суть которых проста – операторы получили еще один год на пресловутое «приведение в соответствие». В феврале 2010 года ФСТЭК России предпринял «тактическое выравнивание линии фронта» (приказ ФСТЭК №58-2010г), что многие операторы ошибочно восприняли как признание регулятором своих ошибок и «шаг назад». Операторы «выдохнули», но значительного облегчения этот выдох не принес. Как выяснилось, все попытки операторов (как оправданные, так сомнительные и непродуманные) пересмотреть отдельные положения закона не увенчались успехом. Да и ФСТЭК России, придерживаясь определенной стратегии, думается, никаких ошибок не допускал. Значительно возросло и количество плановых и внеплановых проверок, проводимых Роскомнадзором РФ, что не осталось незамеченным. Для операторов пришло время принимать решение – оставаться и далее в тени, ссылаясь на «непродуманность и абсурдность нормативной базы», или задуматься о первоочередных мерах по выполнению закона.

Наступил период активизации рынка услуг по защите персональных данных, и, как его неизбежный этап - «просвещение» окончательно дезориентированных операторов. Как ни странно, наиболее активными пионерами просветительской работы стали не опытные квалифицированные специалисты в области защиты информации (они весьма сдержанно комментируют происходящее), а «знатоки» новой волны. Любопытствующие IT-специалисты, безработные выпускники факультетов защиты информации, да и просто «прохожие» оказались в авангарде борьбы за права операторов. Не остались в стороне и сотрудники операторов, в чьих обязанностях неожиданно образовалась задача «быстро и дешево решить вопрос с ПДн».

Вредным плодом такого просвещения явилось внешне достоверное мифотворчество, воспринимаемое многими операторами как гениальный прорыв в области трактовки и применения нормативных актов. Мало кого настораживает, что правовую оценку тем или иным нормам закона дают не квалифицированные юристы со специализацией в сфере информационного права, а специалисты иного профиля. Генерируемые ими "инновационные" решения, как правило, основаны на домыслах и допущениях, но не на опыте и правоприменительной практике. Алхимические рецепты этих "волшебников" иногда ставят в тупик даже профессионалов, которые (порой безуспешно) предостерегают бизнес от игр с государством. Тем более, когда ворота по правилам игры есть только у одного из игроков.

Кто же будет рассчитываться за последствия рисков, граничащих порой с абсурдной самонадеянностью? Очевидно, что советы (иногда дельные, чаще же безграмотные, но всегда - не подкрепленные практикой) таких экспертов могут быть весьма накладны именно для операторов.

Попробуем рассмотреть двадцать самых популярных заблуждений, которые могут дорого обойтись операторам. Итак, первая десятка заблуждений….

Заблуждение № 1.

Закон «О персональных данных» вступает в силу только 1.01.2011. Пока время есть.

Реальность.

Закон вступил в силу через 180 дней с даты его опубликования, т.е. 29.01.2007 года. Законом РФ от 27 декабря 2009 года N 363-ФЗ продлен срок приведения в соответствие информационных систем персональных данных, созданных до 01.01.2010г. Однако все остальные нормы закона №152 (в т.ч. определяющие и иные обязанности оператора, например, обязанности по защите ПДн – ст.19 ФЗ №152) действуют в настоящее время. Это же относится и к положениям иных нормативных документов. Например, работы по обеспечению безопасности ПДн при их обработке в ИСПДн являются неотъемлемой частью работ по созданию ИСПДн (п.4 Приложения к Постановлению Правительства РФ № 781 от 17.11.2007 г.). О чем это говорит? О том, что любые работы или услуги по проектированию или внедрению ИСПДн в обязательном порядке должны учитывать и создание подсистем обеспечения информационной безопасности. Создается ИСПДн для бухучета и кадровой работы? Тогда срок 1.01.2010 – не для этой ИСПДн, так как она создается не до, а после вступления в силу закона.

Организационные меры по защите ПДн также должны быть реализованы оператором вне всякой связи с датой 1.01.2011. Причина: эти меры в большинстве случаев связаны с фактами обработки ПДн не только в составе ИСПДн, и, следовательно, не подпадают под действие ст. 25 ФЗ№152. Правоприменительная практика Роскомнадзора подтверждает изложенное.

Заблуждение №2.

Важно защититься от претензий контрольных и надзорных органов (т.е. от государства), в первую очередь – Роскомнадзора. Для этого нужно направить уведомление в Роскомнадзор и создать комплекс внутренних документов, требуемых при проверке.

Реальность.

Введение свода локальных организационно-распорядительных документов – конечно же, обязательный этап работ по защите ПДн. Однако эти первоначальные и необходимые меры не являются достаточными! Действительно, многие операторы полагают, что нужно защититься от государства, а не защищать ПДн. Часто в понимании оператора задача защиты от государства в лице Роскомнадзора является вообще единственной, что противоречит смыслу и цели (она одна и простая, почему бы не посмотреть эту цель?) закона "О персональных данных". Это тупиковый путь, чреватый осложнениями.

Во-первых, не следует забывать о том, что ФЗ №152 (ч.1 ст.19) установил, что, наряду с организационными мерами защиты оператор обязан принимать и технические меры защиты. Какие именно – вопрос вне рамок данной статьи, можно лишь подчеркнуть, что в большинстве случаев необходимость принятии технических мер защиты обоснована, и такие меры должны быть приняты в сроки, установленные ст. 25 ФЗ№ 152.

Во-вторых, Роскомнадзор РФ осуществляет надзорные функции только в рамках, установленных действующим законодательством, Положением о Роскомнадзоре и административными регламентами. Иных (выходящих за пределы своей компетенции) мероприятий по проверке системы защиты ПДн Роскомнадзор не выполняет, но это не означает, что государство не имеет возможностей контроля полноты и соответствия закону мероприятий по защите ПДн, проведенных конкретным оператором. Роскомндазор – не единственный орган, надзирающий за соблюдением прав граждан. Органы прокуратуры, например, наделены правами по возбуждению административного производства (в т.ч. и по ст.13.11 КоАП РФ), а достаточное количество предписаний органов прокуратуры и судебных решений позволяет говорить о формировании правоприменительной практики.

В-третьих, недальновидность такой стратегии оператора заключается в том, что не учитываются права самого субъекта ПДн и возможные негативные последствий для оператора из-за нарушения прав субъекта ПДн. Тем более тогда, когда такие нарушения действительно имеют место. Субъект будет жаловаться, и его жалоба будет рассмотрена вне зависимости от количества и качества подготовленных оператором положений, инструкций и регламентов! Права субъекта ПДн весьма обширны (ст.14 ФЗ 152). К сожалению, большинство операторов и не подозревают о том, в какие сроки и какой объем информации оператор обязан предоставить субъекту ПДн. А ведь субъект ПДн, не подозревающий о выстроенной оператором «системе документарной защиты от Роскомнадзора», по своей душевной простоте может обратиться с обоснованной жалобой (обращением, заявлением, иском) в прокуратуру, органы внутренних дел, суд. Безусловно, указанные органы будут обязаны реагировать на такие обращения. Длительность и последствия такого реагирования находятся в прямой зависимости от настойчивости грамотного субъекта ПДн (а его знания эволюционируют весьма быстро) и содержательной части его обращений. Именно поэтому стратегия оператора по реализации требований ФЗ№152 должна заключаться не в подготовке «дециметров» внутренних нормативных документов, а в создании сбалансированной системы защиты ПДн, исключающей наступление инцидентов информационной безопасности. Исключение таких инцидентов будет являться залогом отсутствия обоснованных (sic!) жалоб субъектов ПДн.

Заблуждение №3.

Направлять уведомление в Роскомнадзор не следует, т.к. в этом случае оператора «возьмут на заметку», обязательно проверят и накажут.

Реальность.

Территориальные подразделения Роскомнадзора обладают вполне очевидными, доступными и законными способами установить факт деловой активности лица (оператора), и сделать вывод о том, что такое лицо является оператором ПДн. Отсутствие уведомления в этом случае только усугубит положение оператора, не направившего уведомления в случаях, предусмотренных ФЗ№152. Роскомнадзор же вправе расценить отсутствие уведомления от оператора как административное правонарушение, предусмотренное ст. 19.7. КоАП РФ. То есть «накажут», скорее, из-за нерасторопности оператора и отсутствия уведомления, а не в силу направления уведомления в надзорный орган. Задача же сбора уведомлений – не тотальный контроль операторов со стороны государства, а подготовка реестра операторов в целях упорядочения обработки ПДн и, в конечном счете, надлежащей защиты прав субъектов ПДн. Форму уведомления можно найти на сайте Роскомнадзора www.rsoc.ru .

Остается только добавить, что подготовка уведомления – достаточно простая процедура, имеющая, правда, свои особенности, связанные с формулированием целей и правовых оснований обработки ПДн.

Заблуждение №4.

Направлять уведомление в Роскомнадзор не нужно, если оператор обрабатывает ПДн только своих сотрудников на основании трудового договора (ч.2 ст22 ФЗ 152).

Реальность.

Формально такое исключение предусмотрено указанной статьей. Однако на практике осмысленная и вдумчивая попытка применения этого исключения не приводит к аргументированному выводу об отсутствии обязанности оператора по направлению уведомления. Этот парадокс касается большинства операторов. Для примера рассмотрим обработку ПДн субъекта, являющего работником оператора. Как правило, помимо обработки ПДн работника, оператор на законных основаниях обрабатывает ПДн иных лиц, имеющих отношение к работнику. Таковыми могут быть лица, получающие алименты по решению суда или в добровольном порядке (супруги, дети, родители работников). Оператор также может обрабатывать ПДн в целях предоставления работникам стандартных налоговых вычетов на детей и (или) социальных налоговых вычетов в связи с обучением или лечением детей или иных родственников; несовершеннолетних детей работников в целях их оздоровления (направление детей в оздоровительные лагеря) и т.п. Наконец, оператор обрабатывает ПДн физических лиц в целях их трудоустройства (резюме кандидатов), при этом обработка ПДн этих лиц происходит до установления трудовых отношений. Поэтому к применению такого исключения нужно относиться очень внимательно.

Часто оператор, поверхностно ознакомившись с ФЗ№152, приходит и к следующему нелогичному выводу: отсутствие необходимости направления уведомления означает вообще отсутствие обязанности выполнения закона «О персональных данных»! Что это - труднообъяснимый парадокс российского менталитета, болезненная потребность во вмешательстве надзорных органов, или банальная самонадеянность в сочетании с завесой коллективной безответственности? Вероятнее всего – безграмотность и халатность сотрудников оператора, вводящих руководителя оператора в заблуждение.

Заблуждение №5.

Защищать персональные данные нужно лишь тем, кто оказывает какие-либо услуги гражданам и обрабатывает ПДн этих граждан. Защита персональных данных «своих» сотрудников необязательна, либо такая защита может быть менее строгой.

Реальность.

Подобное утверждение является предпосылкой к нарушению принципа равенства всех перед законом. Этот принцип закреплен в Конституции РФ (ст. 19). Действительно, разве могут конституционные права работника на тайну личной жизни (ст. 23 Конституции РФ) отличаться от прав другого лица, не являющегося работником предприятия? Еще более важным является вопрос: согласится ли работник предприятия (организации) с фактическим положением дел, при котором его (работника) конституционные права ущемлены? Даже если работников немного, и все они крайне лояльны по отношению к оператору, то нужно понимать, что защита любых конституционных прав – это сфера публичных интересов. Положения же Конституции РФ все органы власти будут защищать вне зависимости от желания субъекта ПДн и вопреки воле оператора - это аксиома. Иными словами, органы прокуратуры, например, вправе отреагировать на указанную позицию оператора вполне предсказуемым образом.

Практика показывает, что работник оператора может быть гораздо более требовательным, чем любой иной субъект ПДн по отношению к оператору в части соблюдения последним своих обязанностей по защите ПДн работника. Многие операторы (и профессиональное сообщество) считают, что в действующей редакции ФЗ 152 права субъекта ПДн чрезмерны и абсолютизированы. Действительно, это так – права субъекта ПДн должны быть «уравновешены» здравым смыслом и правами оператора, а требования субъекта – быть обоснованными. Так или иначе, оператору пора привыкать к тому, что конституционные права субъектов (его работников) – непреложный факт, требующий выполнения установленных законом действий. Не следует забывать о том, что и Трудовой Кодекс РФ (ст.87) устанавливает обязанности работодателя по хранению и использованию ПДн работника. В этой связи можно подумать о том, готов ли работодатель столкнуться с еще одним органом государственного надзора и контроля – Государственной инспекцией труда.

Заблуждение №6

Безопасность ПДн и конфиденциальность ПДн – это одно и то же. Если обеспечена конфиденциальность, то требования закона выполнены.

Реальность.

Очень часто операторы понимают под конфиденциальностью (режимом конфиденциальности) весь комплекс мер по обеспечению безопасности. Это заблуждение находит свое отражение и в нормативных документах оператора, в которых понятие «конфиденциальность» подразумевает комплекс мер по защите информации. Это ошибка. Серьезная, опасная, системная ошибка. Природа и смысл этих терминов (и, как следствие, мер по реализации защиты) различны.

Закон дает (п.10 ч.1 ст. 3 ФЗ 152) определение конфиденциальности информации. Совсем коротко, конфиденциальность – это требование о неразглашении ПДн. Безопасность же – это состояние защищенности. Определение термину безопасность дает ФЗ РФ «О безопасности». Определение безопасности информации дано в ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения». Крайне важным представляется и тот факт, что законодатель (ч.4 ст. 6 ФЗ 152) разграничил эти понятия и указал их отдельно при установлении обязанностей оператора при передаче ПДн третьим лицам для обработки. Кстати, такая практика передачи встречается очень часто (например, при передаче на аутсорсинг бухучета, при направлении работников на медосмотр и т.п). Необходимо помнить об этом и потому, что закон установил

Требование по обеспечению безопасности и конфиденциальности ПДн в качестве существенного условия договора. Отсутствие такого условий может привести к признанию договора недействительным.

Заблуждение №7

Лицензия ФСТЭК нужна, если оказываются услуги по технической защите конфиденциальной информации третьим лицам. Если оператор защищает ПДн «для собственных нужд», не за деньги – то никакой лицензии не нужно.

Реальность.

Такое заблуждение – результат псевдоправовых изысканий некоторых операторов, пытающихся выдать желаемое за действительное и сэкономить на защите персональных данных. Наше развернутое и аргументированное мнение по этому вопросу будет являться предметом отдельной статьи. Коротко же можно пояснить следующее. Не существует у оператора «собственных нужд» по защите персональных данных, и существовать не может в силу закона. Единственной целью ФЗ152 является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных. Иных целей (в том числе и удовлетворения нужд операторов) закон не указывает. Кстати, для всех была бы очевидной абсурдность утверждений застройщика, о том, что ему не нужна лицензия на строительство, т.к. он возводит жилое здание «для собственных нужд». Или – отсутствие необходимости в лицензии на оказание медицинских услуг, так как организация будет лечить только своих сотрудников. Сторонникам этого заблуждения нужно обратиться и к ст.4 ФЗ 128-ФЗ «О лицензировании отдельных видов деятельности»: «…к лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан…». В нашем же случае речь идет о конституционном праве гражданина на личную тайну! Как мы уже указывали, закон не делает различий между интересами субъекта ПДн (работника) и субъекта ПДн (стороннего лица). Иное положение вещей было бы дискриминацией. Законодатель же (через институт лицензирования) защищает любого субъекта ПДн от последствий некачественного выполнения работ по ТЗКИ. Вероятно, точку в этом вопросе поставит судебная власть, но для профессионального сообщества истина очевидна уже сейчас.

Заблуждение №8

Сначала надо создать информационную систему, а уж потом решать вопрос с защитой персональных данных в ней. Тем более что сметой (бюджетом) эти расходы не предусмотрены.

Реальность.

Работы по обеспечению безопасности персональных данных при их обработке в ИСПД являются неотъемлемой частью работ по созданию ИСПДн (п.4 Приложения к Постановлению правительства РФ от 17.11.2007 г. № 781). Неотъемлемой! Создавать какие-либо ИСПДн без системы защиты ПДн в ИСПДн запрещено. Помимо этого недвусмысленного требования, нарушать которое мы не советуем, есть еще логика бизнес-процессов и доводы экономического характера – создаваемая одновременно с информационной системой система защиты обойдется оператору значительно дешевле, чем созданная потом «надстройка». Касательно сметы и бюджетирования можно лишь напомнить, что времени для планирования таких расходов было достаточно – с января 2007 года.

Заблуждение №9

Защита ПДн – это дело системного администратора (или IT службы), и эта задача может быть ими успешно выполнена.

Реальность.

Вряд ли разумный человек, нуждающийся в операции на сердце, доверит ее проведение даже очень квалифицированному стоматологу. Профессиональный же стоматолог никогда и не возьмется за это. Защита информации – это профессиональная специализация, а не хобби. В РФ существует шесть образовательных стандартов в сфере защиты информации, и это не случайно! Конечно, желательно поручить решение комплекса вопросов по защите ПДн специалисту, имеющему диплом по защите информации, или хотя бы прошедшему курсы повышения квалификации. Но и этого недостаточно. Ведь оператору придется решить массу вопросов организационно-административного и правового характера, привлекая к мероприятиям по защите ПДн юридическую, финансовую, кадровую службу, а далеко не всякий оператор обладает достаточными людскими ресурсами. Вот почему лучшим решением является привлечение специализированной организации, имеющей соответствующие лицензии. Самолечение опасно!

Существует и еще один аспект проблемы. Как известно, в большинстве случаев причиной наступления инцидентов информационной безопасности является человеческий фактор, а источником угроз – собственные сотрудники оператора (т.н. внутренние угрозы). IT-специалист или системный администратор организации - лицо, облеченное доверием. Поэтому (и в силу специфики работы) оно обладает и неограниченными правами доступа к инфоресурсам. Но как раз по этой причине и нельзя «класть яйца в одну корзину», сосредотачивая двойную ответственность в функционале одного человека (подразделения). IT-служба не должна контролировать себя! Информационная безопасность – дело отдельного специалиста (подразделения). Советуем не искушать судьбу.

Заблуждение №10

Если заставить всех сотрудников оператора подписать согласие о том, что их ПДн являются общедоступными, то никаких мер по защите ПДн предпринимать не нужно.

Реальность.

Как правило, у оператора нет никаких оснований требовать такого согласия, а у субъектов – нет желания его давать. Понуждение работников к такому согласию влечет создание скрытых конфликтов с работодателем, а «тлеющие риски» более опасны, чем явные. В относительно крупной организации далеко не все работники пожелают выразить такое согласие, а часть работников сделают весьма неблагоприятные для оператора выводы. Помимо этого, любой работник (субъект ПДн) вправе отозвать такое согласие, что не будет являться основанием для расторжения с ним трудового контракта. Подчеркиваем – речь не о согласии на обработку ПДн, а о согласии на общедоступность ПДн. Порой такую манипуляцию сделать попросту невозможно, т.к. статус общедоступности ПДн будет конфликтовать со статусом конфиденциальности этих сведений в рамках иных (помимо ФЗ 512) законов. Пример – тайна связи, налоговая тайна, семейная тайна и т.п.

И, наконец, такую стратегию оператора надзорные органы могут счесть злоупотреблением правом.

Часть 2.

Существенную лепту в сумятицу, связанную с реализацией ФЗ «О персональных данных» вносит «демонизация» проблемы защиты ПДн, подогреваемая сенсационными сообщениями жителей (когда же они работают?) различных тематических форумов и «авторитетными» заключениями безымянных доброхотов.

Огромные затраты, невыполнимые требования, запутанные и противоречивые документы – вот аргументы «экспертов», якобы подтверждающие существование тайного плана, призванного выкачивать (непонятно, правда, как и в чьих интересах) миллиарды из карманов доверчивых операторов. Эти же псевдоэксперты склоняют операторов быть «более отважными» во взаимоотношениях с государством путем построения экзотических политик противодействия надзорным органам. Политик столь же дешевых (в прямом смысле), сколь и сомнительных, суть которых – не выполнять закон, а «аргументировано» торпедировать его требования. Сама постановка вопроса в таком ключе заставляет более пристально приглядеться к "чародеям" с повадками серийных бизнес-самоубийц, но, что более важно – критически воспринимать их советы, руководствуясь законом, здравым смыслом и чувством самосохранения.

Одновременно многим операторам стоит задуматься – а по какой причине флагманы российской экономики и ее отдельных отраслей (СИБУР, Роснефть, РусГидро, Еврохим, Газпром, Северсталь, Сбербанк, Мегафон, МТС, Билайн, и многие, многие другие) уже второй год поступательно и непрерывно реализуют в своих компаниях мероприятия по защите персональных данных? Неужели эти организации испытывают излишек денежных средств и людских ресурсов? Или все же причина лежит на поверхности, и называется она – закон, неукоснительные требования которого подкреплены целенаправленными действиями государственных институтов?

Любые точки зрения на нормы закона и порядок его реализации имеет право на существование. Любые, кроме опасных как для оператора, так и для субъекта ПДн. Рассмотрим вторую десятку популярных заблуждений, которые могут оказаться для оператора весьма дорогостоящими….

Заблуждение №11

При защите персональных данных нужно руководствоваться ведомственными инструкциями или указаниями вышестоящей организации. Пока их нет, можно ничего не делать. Законы и иные нормативно-правовые акты не играют роли.

Реальность.

Такая точка зрения свойственна организациям, входящим в структуры с жестко выстроенной вертикалью управления. Руководители этих организаций, однако, должны помнить, что возглавляемые ими организации являются операторами и несут все бремя ответственности за неисполнение требований по защите ПДн. Именно на операторов (а не на «вышестоящие организации») закон возлагает обязанности по исполнению комплекса мер по защите ПДн и предусматривает ответственность за нарушение порядка обработки. Так, кстати, за нарушение противопожарных норм или условий труда работника ответственность будет нести собственник объекта пожарной опасности или руководитель организации, а не «вышестоящая организация». Здесь – аналогичная ситуация.

Заблуждение №12

Компьютеры нам переданы вышестоящей организацией (министерством, департаментом и т.п.), значит, она и должна защищать ПДн. Наша же организация не является собственником этих компьютеров, значит, ничего не обязана (или не имеет права) делать.

Реальность.

Ст. 3 ФЗ 152 дает определение оператора. При этом закон не увязывает это понятие (а, следовательно, и обязанности оператора) с правом собственности на объекты информатизации (локальные сети, коммутационное оборудование, отдельные компьютеры, серверы и т.п.). Оператор – это тот, кто обрабатывает ПДн, а не тот, кто является собственником. Такое открытие весьма огорчительно для операторов. Но вывод очевиден – пора приступать к реализации мер по защите ПДн. Первоочередные из которых – организационные.

Заблуждение №13

Хранение персональных данных – это никакая не обработка, на порядок хранения требования ФЗ152 не распространяются.

Реальность.

Хранение – это одно из действий (операций) по обработке ПДн. Если оператор не выполняет никаких иных действий, кроме хранения (в т.ч. и не в составе ИСПДн, например, в виде бумажных документов) – он, тем не менее, является оператором со всеми вытекающими отсюда обязанностями. Определение обработки дано в ст. 3 ФЗ 152. В то же время, действие ФЗ 152 не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования архивных документов в соответствии с требованиями архивного законодательства РФ. При этом нужно понимать, что недостаточно назвать помещение (шкаф, хранилище) архивом, от этого архив у оператора не появится. Надлежащий порядок организации архивного хранения и перевода документов на архивное хранение может быть описан в результатах обследования, проводимого в интересах оператора специализированными компаниями (лицензиатами). Советуем операторам требовать такое описание при проведении обследования. Благоприятным же фактором является то, что, если оператор (вне архива) только хранит ПДн (даже в электронном виде), то издержки на защиту этих ПДн будут, скорее всего, минимальными.

Заблуждение №14

Можно купить базу данных с ПДн на рынке, и использовать ее в своих целях. В случае проверки или жалоб - заявить, что ПДн являются общедоступными, подтверждая это фактом свободного обращения базы данных. Желательно еще иметь кассовый чек.

Реальность.

Действительно, существуют общедоступные источники ПДн. Однако стихийные рынки, на которых продаются базы данных, к числу таких не относятся. Почему? Общедоступными ПДн могут являться только в двух случаях – либо в силу закона, либо в тех случаях, когда субъект ПДн своей волей сделал (путем совершения каких-либо действий) свои ПДн общедоступными. Первый случай мы не рассматриваем (не существует закона, который именовал бы продающиеся на стихийных рынках базы данных общедоступными источниками). Рассмотрим второй случай. ФЗ 152 (ч. 3 ст.9) возлагает на оператора обязанность доказать факт получения им согласия субъекта на обработку, а в случае обработки общедоступных ПДн – доказать что обрабатываемые ПДн являются общедоступными. В случае приобретения пресловутой БД на рынке оператор лишен такой возможности, т.к. ни один субъект ПДн не подтвердит (тем более, задним числом) своего согласия на обработку таких ПДн. При проведении проверки оператора надзорным органом может быть сделан вывод о незаконности происхождения такой БД, и, следовательно, обработки ПДн. Законодатель же предусмотрел такое поведение оператора и дал ему определение – «недобросовестность» (ст. 5 ФЗ 152). Многие операторы нарушают принцип добросовестности при сборе ПДн – иногда в силу незнания закона, иногда имея прямой умысел, что гораздо опаснее. Таким синдромом «повышенной осведомленности» страдают практически все банки, коллекторские агентства, страховые компании и т.д. Они же проводят и взаимное внутрицеховое «перекрестное опыление» актуальной информацией, содержащей ПДн. Спору нет, для снижения кредитных рисков это важно. Но законно ли? Иногда такие действия оператора содержат состав преступления, предусмотренного ст. 137 УК РФ. Оставляя за рамками статьи методику доказывания противоправных действий (к слову, по данному составу преступления она проста и незамысловата), советуем задуматься о следующем. Готов ли оператор рисковать своей свободой, имиджем, клиентской базой и стабильным бизнесом ради достижения призрачных целей, к тому же противоречащих закону?

Заблуждение №15

Если ПДн не собраны оператором самостоятельно, а получены на основании договора (с субъектом ПДн или с другим оператором), или, тем более, по указанию вышестоящей организации, то защищать ПДн не нужно.

Реальность.

Налицо смешение понятий «право на обработку» и «обязанность по защите». Законные и обоснованные цели обработки не исключают необходимости принятия мер по защите ПДн. Иногда же и передача ПДн от одного оператора к другому неожиданно для обоих участников такого информационного обмена оказывается не основанной на законе!

Скорее всего, в указанном случае нарушителями будут являться обе организации – оператор, который передал ПДн, и оператор, который их принял в обработку. Первый – за отсутствие в договоре существенного условия (ч.4 ст. 6 ФЗ 152, см выше) и за передачу ПДн без согласия субъекта ПДн. Второй – за нарушение порядка обработки (ст. 13.11 КоАП РФ). Почему? Потому, что закон не делает исключений для тех операторов, которые не осуществляли сбор ПДн непосредственно от субъектов, но получили ПДн от другого оператора (даже во исполнение своих функций и полномочий, закрепленных каким-либо законом). Оператор – тот, кто осуществляет обработку, т.е. любое лицо, осуществляющее хотя бы одно из указанных в ст. 3 ФЗ№152 действий (операций) с ПДн. Надзорный же орган (Роскомнадзор), реализуя свои полномочия по защите прав субъектов ПДн и устранению нарушений в этой сфере, вправе запланировать (или провести внеплановые) проверки обоих операторов. О полномочиях Роскомнадзора при проведении проверок подробно указано в Административном Регламенте на официальном сайте Роскомнадзора.

Заблуждение №16

Будем собирать и использовать любые ПДн из любых источников. В случае проверки – заплатим штраф (он небольшой), и все!

Реальность.

Вне всяких сомнений такие действия являются нарушением принципов обработки ПДн (ст. 5 ФЗ№ 152). Такие непродуманные действия могут привести к крайне негативным последствиям для оператора. Штраф – далеко не все меры воздействия, которые предусмотрены законом. Так, в случае выявления нарушений при обработке ПДн оператор обязан или устранить эти нарушения в течение 3 дней, или уничтожить ПДн. Но этим обязанности оператора не исчерпываются. Оператор обязан уведомить субъекта ПДн об устранении (например, путем уничтожения ПДн) выявленных нарушений. Купленные на рынке базы данных могут содержать ПДн десятков, а то и сотен тысяч лиц. В состоянии ли оператор уведомить такое количество граждан об уничтожении их ПДн? Какие последствия будет иметь такое уведомление, как субъекты ПДн воспримут действия оператора? И это еще не все. Роскомнадзор имеет право принимать меры по прекращению обработки ПДн или приостановлению деятельности оператора вплоть до аннулирования лицензии, если обработка ПДн осуществляется (ч.3 ст. 23 ФЗ152) с нарушениями. Готов ли оператор идти на такие риски?

Заблуждение №17

Если от субъекта ПДн поступило обращение (или жалоба) о порядке обработки его ПДн, но фактов утечки информации наверняка не было, то нужно ответить гражданину, что с конфиденциальностью ПДн в организации все в порядке. Ответы на каверзные вопросы субъекта ПДн не входят в обязанности оператора и раскрывают конфиденциальные сведения (или коммерческую тайну) оператора. Если нет времени или желания, то можно и не отвечать субъекту ПДн.

Реальность.

Права субъекта ПДн изложены в ст. 14 ФЗ 152. По мнению многих они избыточны, но именно по этой причине оператор должен быть крайне осмотрителен при рассмотрении обращения (жалобы) субъекта! Оператор обязан дать исчерпывающий и полный ответ субъекту ПДн на все вопросы, предусмотренные ст. 14 ФЗ 152 в течение 10 рабочих дней, а в случае обоснованного отказа в предоставлении информации – в течение 7 рабочих дней. Ответы, не отражающие реального положения дел (либо отсутствие ответа) могут быть истолкованы субъектом как нарушение его прав, что может повлечь для оператора еще более негативные последствия – обращение субъекта ПДн за защитой своих прав в орган по надзору за соблюдением прав субъекта ПДн. Практика же показывает, что оператор, ранее никогда не обращавший внимания на вопросы обработки и защиты ПДн, не в состоянии справиться с подготовкой правильного и всестороннего ответа на запрос субъекта ПДн. В данном случае имеются ввиду правовые основания, цели, способы обработки и многие другие положения, формулировку которых необходимо осуществить заблаговременно.

Заблуждение №18

Мероприятия по защите ПДн – это очень дорого. Лучше будем платить штрафы, они совсем маленькие.

Реальность.

Негативные последствия отсутствия системы защиты (помимо действительно незначительных пока штрафов) приведены выше. Про дороговизну системы защиты можно сказать, что все относительно. Например, затраты на построение такой системы в образовательном учреждении или лечебно-профилактическом учреждении районного уровня на порядок меньше, нежели затраты на создание системы пожарной безопасности или видеонаблюдения. Квалифицированный лицензиат сумеет спроектировать такую систему защиты ПДн, затраты на которую будут оптимальны. Более того, на этапе обследования уполномоченная организация (лицензиат) предложит решения, позволяющие сократить издержки при создании системы защиты. Проведение же первого этапа (обследования) как правило, не превышает 20% от общей стоимости работ по защите ПДн.

Заблуждение №19

Система защиты персональных данных – это некие технические средства. Нужно их купить и установить. Обследование, аудит, проектирование – это избыточно, это придумано, чтобы побольше заработать на проблемах оператора.

Реальность.

Аналогия с лечением пригодится и тут. Любому лечению предшествует диагностика заболевания. Так и этап обследования предшествует организационно-административным и техническим мероприятиям по защите. Обследование помогает не только достоверно выявить слабые места информационных систем и разработать замысел защиты, но и, как ни странно, сэкономить деньги. Каким же образом? Квалифицированное обследование определяет, как именно можно сократить издержки при построении системы защиты. Способов много: оправданное снижение класса ИСПДн, пересмотр перечня ПДн, подлежащих обработке, сегментирование информационных систем, оптимизация топологии сети и т.п. Все эти способы известны специализированным организациям – лицензиатам. Мы не советуем выбрасывать деньги на ветер.

Заблуждение №20

Уже существующая у оператора мощная система защиты конфиденциальной информации (коммерческой тайны) наверняка решит и проблемы защиты ПДн. Ничего дополнительно делать не нужно.

Реальность.

С технической точки зрения – возможно, и решит. Однако есть множество требований, предъявляемых как к способам и методам защиты ИСПДн, так и к техническим средствам защиты информации. Эти требования установлены регуляторами (ФСТЭК России и ФСБ РФ) в пределах их компетенции. Игнорирование этих требований не только является нарушением, но и может привести к наступлению негативных последствий как для оператора, так и для субъекта ПДн. К числу таких требований относится, например, необходимость применения средств защиты информации, прошедших процедуру оценки соответствия. Специфические требования предъявляются и на этапе ввода в эксплуатацию системы защиты персональных данных (процедуры оценки состояния защищенности подсистем). Поэтому, как правило, любую существующую систему защиты (если она строилась не в целях защиты ПДн и не в соответствии с нормативными документами) необходимо пересмотреть и модернизировать. Возможно, затраты при этом могут оказаться незначительными, а выгоды – очевидными. Специализированная организация при проектировании системы защиты обязательно учтет существующие компоненты системы защиты и постарается эффективно их применить.

Что же касается организационной компоненты работ по защите ПДн, то смело можно утверждать, что в подавляющем большинстве организаций, в которых задача по защите ПДн (а не любой иной конфиденциальной информации) не ставилась, состояние этой работы плачевное.

Заблуждение №21 (бонусное).

Нужно провести предпроектное обследование, руководствуясь только одним критерием для выбора исполнителя – ценой. Все равно все исполнители создают примерно одинаковые документы.

Реальность.

Во-первых, цель обследования – вовсе не создание документов, которые ждут своего часа для представления проверяющим органам. В результате правильного и квалифицированного обследования оператор получает в свое распоряжение стратегию защиты.

Во-вторых, результаты обследования, проведенного разными организациями, могут радикально отличаться. Некачественно проведенное обследование вводит в заблуждение оператора относительно существующего и требуемого уровня защищенности ПДн, дезориентирует его при реализации единой технической политики, подвергает опасности возникновения инцидентов информационной безопасности, и, главное, создает предпосылки для нарушения прав субъектов ПДн. А когда такое нарушение произойдет, то результаты некачественного обследования только добавят неприятностей оператору. Порой оператор в качестве результатов обследования получает лишь частную модель угроз, акты классификации ИСПД и некие шаблоны неадаптированных к специфике оператора документов. Впрочем, рынок, как ни странно, приемлет и такой дешевый во всех смыслах подход к проблеме.

Стоит ли экономить на безопасности? Стоит, если Вас не интересует результат.

Всё, что нужно знать о персональных данных

Зачем придумали этот закон? Это очередной способ пополнить кормушку. Теперь и сайт нет смысла делать, будут еще штрафовать каждый месяц.

Закон о персональных данных нужен тем, чьи данные собирают, обрабатывают и хранят. Цель закона - защитить интересы и права этих людей.

Нормы защиты персданных придумали не в России. Правила их обработки ООН описала еще в 1948 году во Всеобщей декларации прав человека. В 1981 году Совет Европы принял конвенцию по обработке персональных данных. А Россия ее ратифицировала и в 2006 году разработала свой закон.

В Европе паранойя по поводу персданных уже давно

Конституция гарантирует каждому человеку неприкосновенность частной жизни, тайну переписки и телефонных переговоров. Даже без закона о персональных данных нельзя обрабатывать, хранить и распространять информацию о человеке без его согласия.

Однако персональные данные оставляют постоянно: чтобы оформить заказ в интернет-магазине, взять кредит в банке, устроить ребенка в детский сад, зарегистрироваться в соцсети или подписаться на рассылку. Когда человек оставляет свои данные, он должен быть уверен, что его адрес не разместят в открытом доступе, а телефон не передадут кому-то без разрешения. А тот, кто обрабатывает персональные данные, хочет гарантий, что на него не подадут в суд за рекламную рассылку.

Недавно мы рассказывали, как . Это произошло в том числе из-за того, что кто-то нарушил правила обработки персональных данных.

Закон о персональных данных прописывает для всех правила игры. Он заставляет всех принимать дополнительные предосторожности, но и защищает он тоже всех.

У меня есть сайт. Я не ИП и не юрлицо - просто человек. Нужно ли соблюдать закон о персональных данных в таком случае?

Да, закон нужно соблюдать всем, кто обрабатывает чьи-то персональные данные. Оператором может быть юридическое лицо, ИП , государственный орган или обычный человек, который создал и администрирует форум по интересам. Точное определение, кто является оператором и что такое обработка персональных данных, есть в 3 статье закона .

Например, девушка создала форум для беременных, чтобы потом размещать там рекламу. При регистрации участники указывают информацию о себе. Эта девушка - оператор персональных данных. Она получает сведения о других людях и что-то с этими данными делает: систематизирует по возрасту и интересам, проверяет активность пользователей, использует для рассылки, приглашений или просто хранит.

Любое из этих действий - это обработка персональных данных. Любой, кто это действие производит, - оператор.

У меня есть электронные почты друзей, список контактов в телефоне, аккаунты разных людей в соцсетях. Получается, я тоже оператор и должен получать согласие этих людей на то, чтобы хранить и удалять их данные?

Нет, в таких случаях согласие не нужно. Под действие закона не попадают персональные данные, которые обрабатывают для личных и семейных нужд. Это могут быть контакты нужных людей в телефонном справочнике, визитки коллег и партнеров, профили друзей на фейсбуке.

Форма обратной связи тоже попадает под действие закона?

Если в ней человек может ввести свои персональные данные - то да, попадает.

В законе нет исключений по поводу формы и способа сбора персональных данных. И уточнения, что именно является сбором, тоже нет. Минкомсвязи считает, что сбор - это какая-то документально оформленная процедура получения данных о человеке. Форма обратной связи подходит под это определение .

Сама по себе форма обратной связи не попадает под действие закона только потому, что она есть. Важно, какие данные передает посетитель через эту форму , можно ли по ним прямо или косвенно идентифицировать человека и нанести ему вред в случае утечки и распространения.

Если посетитель сайта указывает в форме свое имя, фамилию, телефон и электронную почту - это персональные данные. Тот, кто эти данные получает, обрабатывает и хранит, считается оператором персональных данных и должен соблюдать закон.

А если получаешь только имя без фамилии и номер телефона, это тоже попадает под персональные данные? А если только номер телефона?

По закону персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Это определение ничего не дает и не проясняет.

Если понимать буквально, то персональными данными можно считать что угодно. Юристы спорят по этому поводу уже много лет.

Минкомсвязи конкретики не дает и говорит так: более точно определить состав персональных данных, в том числе привести их перечень, представляется нереализуемым. Никаких четких пояснений от других ведомств по этому поводу тоже нет.

Если будет спор по поводу принадлежности почты или логина к персональным данным, всё решит суд. Несколько решений по поводу персональных данных суды уже вынесли. Из них следует очевидное: персональными данными считаются ФИО , паспортные данные, адрес, номера телефонов, информация о членах семьи, из пенсионного дела и трудового договора. Еще из них следует неочевидное: ИНН сам по себе не является персональными данными, а данные о факте пересечения границы - являются.

Сам по себе логин - это вроде бы не персональные данные. По набору символов нельзя понять, что это за человек и даже какого он пола.

Но если на аватарку человек поставит свою настоящую фотографию или при регистрации укажет почту, где в названии будет его фамилия с инициалами, а в доменном имени - название компании, то в совокупности это уже персональные данные.

Никто толком не знает, какие данные персональные

В законе нет никаких исключений по теме сайта, организационно-правовой форме и набору данных.

Чтобы не рисковать, лучше сделать так.

Если вы где-нибудь с какой-нибудь целью собираете любую информацию о каких-то физических лицах, нужно зафиксировать их согласие и подготовить документы. Если это сделать для страховки, даже когда не надо, ничего страшного не будет. А если этого не сделать, могут быть претензии от пользователей и Роскомнадзора.

Я делаю сайт для клиента, обрабатываю и храню данные на своей стороне. При этом владелец сайта не обязан быть оператором персональных данных?

Владелец сайта обязан быть оператором персональных данных и соблюдать закон. По закону можно собирать персональные данные и передавать их кому-то на обработку. Владелец сайта может передать данные клиентов вебмастеру, интернет-магазин - сервису рассылки.

Чтобы так делать, владелец сайта должен получить у посетителей разрешение и объяснить им, кому и зачем он передаст их данные.

Ответственность на владельце

Тот, кому он передаст данные на обработку, отдельное разрешение получать не должен, а соблюдать закон - должен.

Отвечать за соблюдение закона перед посетителями сайта будет его владелец.

Владельца сайта Роскомнадзор и суд будут определять по совокупности данных. Если на сайте размещена информация о конкретном юридическом лице или ИП , спросят с него. Если таких данных нет, спросят с администратора домена.

А как они поймут, что я храню и обрабатываю данные, чтобы выписать штраф? Это в российском дата-центре можно маски-шоу устроить и вынести сервер, а за границей такие номера не проходят.

Роскомнадзор узнает о нарушениях двумя способами:

• сам проведет проверку;
• отреагирует на чью-то жалобу.

Если Роскомнадзор обнаружит нарушения, сайт могут заблокировать, а компанию оштрафуют.

По закону операторы обязаны хранить персональные данные на российских серверах. Есть несколько исключений, но это частности. Любой интернет-магазин или сервис по подписке должен хранить базу с персональными данными граждан в России.

Потом можно передавать эти данные за границу. Это законно, но при определенных условиях . Иначе нельзя было бы бронировать гостиницы и покупать билеты на самолет за границей.

Роскомнадзор может потребовать предоставить подтверждение по поводу места хранения баз данных. Например, договор с дата-центром, хостингом или документы на собственный сервер. Если выяснится, что персональные данные хранятся с нарушениями и не в России, будут проблемы.

Кроме закона о персональных данных есть требования Федеральной службы по техническому и экспортному контролю и ФСБ. Еще к проверке может подключиться прокуратура. Им хватит полномочий, чтобы узнать, где на самом деле хранятся данные, и разобраться с нарушениями.

А если у нас сайт на английском?

Закон о персональных данных нужно соблюдать, если сайт используется для работы на территории РФ . Теоретически Роскомнадзор имеет право и может его заблокировать.

Вот какие признаки используют, чтобы это понять:

• доменное имя связано с РФ или субъектом;
• есть русскоязычная версия сайта;
• расчет за товары или услуги происходит в рублях, доставка возможна на территорию РФ ;
• потребители содержимого сайта - россияне;
• есть реклама на русском, которая ведет на этот сайт.

Если есть какое-то сочетание этих факторов, оператор персональных данных должен соблюдать закон, даже если это иностранная компания. А это значит, что документы должны быть доступны и понятны в РФ . Достаточно иметь их на русском языке, чтобы их понимал Роскомнадзор и граждане России. На нерезидентов за пределами страны наш закон о персональных данных не распространяется.

Как определять гражданство посетителя, закон не объяснил. Операторам предложили решать эту проблему самостоятельно. А если четкой позиции и инструментов нет, стоит соблюдать закон в отношении всех персональных данных, которые собрали на территории России.

Дублировать те же документы на иностранных языках для россиян нет смысла. Но эти правила придумали не в России. Есть конвенция Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера. Так что, если собираете данные иностранцев, подумайте, как соблюдаете закон той страны, резидентами которой они являются.

В Европе за однократное нарушение правил обработки персональных данных штрафуют на сотни тысяч евро. В России максимальный штраф с 1 июля 2017 года - 75 тысяч рублей.

Могу ли я не регистрироваться в Роскомнадзоре, если поменяю поле в форме обратной связи с «Ваше имя» на «Ваша компания»?

Закон о персональных данных защищает данные только физических лиц. Он не распространяется на данные о компаниях. Но то, что указано в форме обратной связи, - это формальность. Важно, какие именно данные и с какой целью собирает владелец сайта.

Если это на самом деле название компании и телефон офиса, такая информация не попадает под действие закона. Но если сайт собирает почтовые адреса и телефоны сотрудников компаний, чтобы потом делать по ним рассылку или передавать их третьим лицам, могут быть проблемы как со стороны этих сотрудников, так и от Роскомнадзора.

В Роскомнадзоре должны зарегистрироваться все операторы персональных данных. Исключения только для случаев, перечисленных в п. 2 ст. 22 закона о персональных данных .

Вот публикую я пост в фейсбуке и упоминаю своего друга - значит, я данные обрабатываю? Кэш поста хранится на телефоне, значит, я данные храню? А если сделаю репост в твиттер, то я их еще и предоставляю третьей стороне. И как с этим жить?

Это не нарушение закона. В этом случае оператором персональных данных выступает социальная сеть. Каждый, кто там зарегистрировался, дал согласие на публикацию, обработку и использование его данных.

Все пользователи фейсбука согласились на обработку данных о своем местоположении, используемых устройствах, друзьях, интересах, платежах, посещенных сайтах и связях с другими людьми. И даже на то, что фейсбук может получить доступ к адресной книге на любом устройстве и потом использовать эти данные.

Вы уже разрешили фейсбуку делать с вашими персданными что угодно

Все согласились на то, что эти данные фейсбук передает своим партнерам и рекламодателям. И на то, что любой пользователь может ссылаться, упоминать и отмечать на фотографиях кого захочет в рамках их настроек безопасности. Это законно и за это отвечает фейсбук, а не пользователи.

Если на столбе объявление «Куплю рога оленя, 8 800…, Геннадий», то этот столб можно оштрафовать?

Нет, столб оштрафовать нельзя. Юридическим лицом он тоже не является. А люди, которые читают такие объявления и записывают номера телефонов, чтобы продать рога, не операторы персональных данных и не попадают под действие закона.

Геннадий сам сделал свои данные общедоступными, чтобы купить рога оленя. А те, кто позвонит ему по поводу покупки рогов, используют телефон в личных целях.

Если телефон Геннадия запишет микрофинансовая организация и начнет присылать ему рекламу быстрых займов, то ее можно привлечь к ответственности. Геннадий не давал ей согласия на обработку персональных данных для рассылки рекламы.

Человека, который случайно увидел телефон Геннадия, записал его в телефонную книгу или даже позвонил Геннадию с предложением купить рога, привлечь к ответственности нельзя.

То есть если человек специально опубликовался для каких-то рекламных целей, то это не считается персональными данными? На «Авито», например.

Если человек передает свои персональные данные какому-то ресурсу, даже с рекламной целью, этот ресурс должен соблюдать закон. Он должен предупредить пользователя, зачем собирает персональные данные, что будет с ними делать, где публиковать, кому передавать.

Чтобы подать объявление на «Авито», нужно зарегистрироваться и подтвердить номер телефона. Без регистрации объявление подать нельзя.

«Авито» объясняет, что использует данные, чтобы размещать их на сайте, информационных ресурсах, передавать своим партнерам, проводить конкурсы и проверять личность пользователя. Еще «Авито» может передавать данные пользователей за границу и отдавать их на обработку каким-то третьим лицам и честно об этом пишет . Это законно.

Нет такого правила, что если человек сам разместил данные в общем доступе на каком-то ресурсе, то с ними можно делать что угодно: распространять, обрабатывать и хранить у себя без разрешения.

Единственное исключение для общедоступных данных: оператор таких данных может не подавать уведомление в Роскомнадзор. Но получать согласие, обеспечивать безопасность и удалять данные по требованию их владельца он обязан.

Как правильно получить согласие на обработку персональных данных на сайте? Можно взять шаблон с сайта какой-то крупной компании?

Нельзя брать любое соглашение и использовать его на своем сайте, но можно посмотреть, как сделали другие, и использовать этот опыт.

Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Молчание или отсутствие возражений на обработку персональных данных - это не согласие.

Конкретной формы, в которой его нужно получать от посетителя и клиента, нет. Это может быть ссылка на пользовательское соглашение в ответном письме или галочка в форме регистрации.

Согласие должно быть осознанным и информированным

У каждого оператора должны быть цели. Интернет-магазин собирает данные об адресах, чтобы доставить товар; сервис по подписке просит указать электронную почту, чтобы отправлять письма; медицинский центр систематизирует данные о состоянии здоровья; школа - данные о семье.

Собирать, обрабатывать и хранить можно только те персональные данные, которые соответствуют цели. У «Ламоды», «Главреда», «Библио-глобуса» и детского сада цели не могут быть одинаковыми. А если собирать лишние данные, за это могут оштрафовать.

Получить согласие на обработку персональных данных недостаточно. Нужно соблюдать семь принципов обработки и правильно оформлять внутренние документы.

Ясно. Судя по всему, я оператор персданных. Что мне конкретно делать?

Изучите закон. Он сложный, там много непонятного, а какие-то вопросы вообще не объясняются. Если не можете разобраться сами, попросите юриста, которому доверяете.

Разместите на сайте пользовательское соглашение, политику конфиденциальности, оферту или еще какой-то документ, откуда посетитель поймет, какие данные вы собираете, что с ними делаете, куда передаете, как храните и когда удаляете. Внимательно относитесь к формулировкам: они пригодятся в суде.

Формируйте базу с персональными данными на российских серверах. Потом можете передавать данные за границу, если это законно, обоснованно и безопасно.

Обеспечьте техническую безопасность данных и защитите их от утечки.

Оформите внутренние документы. Их много. Это приказы, распоряжения, инструкции и подписки. Это нужно сделать один раз, но правильно. При проверке Роскомнадзор имеет право их потребовать и проверить.

Подайте уведомление в Роскомнадзор, если не попадаете под исключения из ст. 22 закона о персональных данных . Если попадаете под исключения, оформите документы так, чтобы это было понятно при визуальной проверке и к вам не придрались.

Заверьте страницы сайта с документами по поводу персональных данных у нотариуса, чтобы вас не обвинили в их отсутствии или изменении формулировок.

Если у вас нет сайта, вы тоже можете быть оператором персональных данных. Необязательно собирать их автоматизированным способом и через интернет. Когда вы берете на работу сотрудника, вы тоже обрабатываете персональные данные. Правильно оформляйте документы.

Закон о персональных данных - это не страшно

Это нормальная мировая практика. Чтобы его соблюдать, не нужно тратить много денег. И бояться штрафов тоже не нужно. Если один раз всё правильно оформить и аккуратно относиться к информации о других людях, вам ничего не грозит.

Каждый из нас - субъект персональных данных. Этот закон защищает и наши данные тоже. И если кто-то его нарушит, можно подать в суд, заблокировать сайт-нарушитель, потребовать удалить информацию о себе и даже получить компенсацию.