Какие данные по ФЗ 152 являются персональными?

Что нужно знать о ФЗ-152

Какие данные по ФЗ 152 являются персональными?

С 1 июля 2017 года штрафы за нарушение ФЗ-152 «О персональных данных» значительно вырастут, поэтому тем, кто работает с российской аудиторией, важно убедиться, что на сайте нет нарушений.

Везде, где посетитель сайта оставляет свои персональные данные, он должен дать согласие на обработку этих данных. Форма обратной связи, заполнение контактов в корзине, онлайн-чаты — всё попадает под действие закона о персональных данных.

Данный материал призван ответить руководителям отделов, руководителям частных компаний и бюджетных предприятий на следующие вопросы:

Что регулирует закон «О персональных данных»?

Закон регулирует все вопросы, связанные с обработкой (получением, хранением, передачей, удалением и тд.) персональных данных физических лиц юридическими лицами, индивидуальными предпринимателями и бюджетными организациями. Организации и предприниматели обязаны правильно обрабатывать и защищать персональные данные физических лиц.

Под персональными данными понимается любая информация, относящаяся физическому лицу. На практике даже связка «ФИО» или «имя» с «адресом электронной почты» уже относится к персональным данным.

В организациях обрабатываются, как минимум, персональные данные следующих физических лиц: сотрудников; близких родственников сотрудников; кандидатов на вакантную должность; клиентов, являющихся физическими лицами.

Какие бывают персональные данные?

Персональные данные бывают разных категорий:

  • специальные персональные данные — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни — биометрические персональные данные
  • персональные данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность
  • общедоступные персональные данные — данные, сделанные физическим лицом общедоступными или содержащиеся в специальных справочниках
  • иные персональные данные — все персональные данные, не попавшие ни в одну из вышеуказанных категорий.

К обработке специальных и биометрических персональных данных предусмотрены особые требования.

Кто попадает под действие закона?

Под действие закона попадают все предприниматели, юридические лица и бюджетные организации, обрабатывающие персональные данные физических лиц. Их называют операторами персональных данных. В первую очередь закон касается компаний, работающих в следующих сферах:

  • финансы и кредитование;
  • медицина и фармакология;
  • телекоммуникации;
  • образование;
  • оффлайн и онлайн ритейл;
  • гостиничное дело;
  • реклама и digital;
  • бюджетные организации и др.

Компании из вышеуказанных сфер деятельности наиболее часто работают с персональными данными, поэтому главный регулятор в этой сфере, Роскомнадзор, внимательно следит за ними.

Примеры обработки персональных данных

В первую очередь отслеживается следующие виды обработки персональных данных:

  1. Персональные данные используются для выдачи карт лояльности
  2. Персональные данные используются для рекламных и новостных рассылок
  3. Персональные данные используются для трудоустройства сотрудника и оформления ему ДМС
  4. Персональные данные используются для оказания услуг
  5. Персональные данные используются для определения кредитоспособности клиента
  6. Персональные данные используются для регистрации на сайтах и информационных системах
  7. Персональные данные данные используются для звонков потенциальным клиентам

Какие основные требования закона?

Для простоты требования закона «О персональных данных» к операторам персональных данных можно разделить на 4 группы:

  • Подготовить пакет организационно-распорядительной документации
  • Привести процессы работы с персональными данными в соответствие с законом
  • Реализовать техническую защиту персональных данных в информационных системах.
  • Хранить базы с персональными данными на территории Российской Федерации

Далее будет разобрана каждая группа требований.

Требования закона по подготовке внутренних организационно-распорядительных документов

Закон в ст.18.1 требует от операторов персональных данных наличие локальных актов и политик, регламентирующих обработку и защиту персональных данных. Точного перечня необходимых документов не предлагается.

При этом главный регулирующий орган в области персональных данных, Роскомнадзор, во время проверок компаний запрашивает перечень необходимых документов и сведений, которые, на практике, ему передают в виде копий внутренних документов.

В связи с тем, что точного перечня документов не существует, каждый оператор составляет их по своему усмотрению на основании текста закона и подзаконных актов.

Как выглядит полный перечень необходимых документов, которых достаточно для соответствия требованиям, смотрите здесь.

Требования закона по приведению процессов работы с персональными данными в соответствие

Персональные данные данные клиентов необходимо правильно собирать, обрабатывать и передавать.

Со всеми физическими лицами, у которых вы собираете персональные данные, должен быть заключен договор или взято согласие на обработку персональных данных.

С каждым третьим лицом, которому вы передаете, предоставляете в доступ или от которого получаете персональные данные, необходимо заключить соглашение о поручении персональных данных на обработку.

Все сотрудники должны под роспись ознакомиться с внутренними документами организации по обработке и защите персональных данных и подписать обязательство о неразглашении.

В Роскомнадзор должно быть подано уведомление об обработке персональных данных.

Требования закона по технической защите персональных данных в информационных системах

Если персональные данные хранятся или как-то иначе обрабатываются в информационных системах (например, в 1С: Бухгалтерии, в базе данных сайта, CRM и других), то их необходимо защищать техническими средствами.

Для этого необходимо определить уровень защищенности персональных данных в информационных системах, составив соответствующий акт, разработать модель угроз и на основании Постановления Правительства № 1119 и Приказа ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.

После этого происходит разработка проекта системы защиты и непосредственно внедрение средств защиты. Внедрением средств защиты может заняться сама компания или компания, имеющая определенную лицензию ФСТЭК России.

Требования закона по хранению баз персональных данных на территории Российской Федерации

С 01 сентября 2015 года действует обязательное требование закона по необходимости собирать и хранить персональные данные граждан Российской Федерации только на территории России.

Особенно это требование касается иностранных компаний и российских компаний, чьи информационные системы полностью или частично располагаются за пределами Российской Федерации.

Также о месторасположении баз персональных данных необходимо уведомить Роскомнадзор.

При этом Роскомнадзор дал операторам персональных данных срок до конца февраля 2016 года, чтобы выполнить новые требования закона.

Кем проверяется выполнение требований закона?

Выполнение требований закона «О персональных данных» контролируют 3 государственных органа:

  • главный контролирующий орган, Роскомнадзор, который проверяет правильность обработки персональных данных и документы по персональным данным
  • ФСТЭК России, проверяющий выполнение требований по технической защите
  • ФСБ России, проверяющий выполнение требований по применению криптографии при обработке персональных данных

Наиболее активным из них является Роскомнадзор, который проводит более 7000 плановых и внеплановых проверок в год, тогда как ФСТЭК и ФСБ не более сотни проверок гос. сектора.

Какие основные риски при невыполнении закона?

По итогам проверок, мер систематического наблюдения и жалоб физических лиц, Роскомнадзор и другие проверяющие органы, могут накладывать штрафы, аннулировать лицензии, дисквалифицировать должностных лиц и блокировать сайты.

Основные риски:

  • наложение на организацию штрафа до 300.000 рублей
  • наложение на должностных лиц штрафа до 10.000 рублей
  • разрыв трудового договора с должностным лицом
  • запрет руководителю занимать руководящие должности на срок до 3х лет
  • блокировка сайта организации по жалобе физического лица
  • внесение компании в реестр нарушителей прав субъектов персональных данных

С начала 2015 года, по данным Роскомнадзора, было взыскано штрафов в общей сложности на 174.000.000 рублей с организаций и должностных лиц.

С 01 сентября 2015 года Роскомнадзор имеет право без проверки на основании жалобы физического лица заблокировать сайт организации за несоблюдение требований закона «О персональных данных».

Как лучше всего выполнить требования закона?

Есть 5 способов выполнить требования закона:

  1. собственными силами;
  2. привлечь юриста;
  3. обратиться к системному интегратору;
  4. «ждать, пока грянет гром»;
  5. использовать сервисы автоматизированной подготовки документов по персональным данным.

Далее мы рассмотрим каждый из них по отдельности.

Как лучше всего выполнить требования закона? Собственными силами

Один из самых доступных и дешевых способов выполнения закона — делегировать обязанности на определенного сотрудника. Но данный способ только на первый взгляд кажется таким привлекательным.

Чтобы выполнить требования закона, необходимо не только знать сам закон «О персональных данных» и подзаконные акты, но также разбираться в технических аспектах, чтобы описывать информационные системы персональных данных в организационно- распорядительной документации.

На поиск и разработку шаблонов документов по персональным данным, изучение законодательства и практики уйдет достаточно много времени, превышающее 1 и даже 2 месяца. И это время сотрудник должен заимствовать из времени, затрачиваемого на исполнение должностных обязанностей. К тому же сотрудник никогда не даст гарантии на результат и может не захотеть быть ответственным за выполнение закона.

Как лучше всего выполнить требования закона? Привлечь юриста

Привлечение юриста в вопросах касающихся законодательства, это то, что приходит в голову многим руководителям. Это достаточно хороший способ выполнить закон, если вы много лет работаете с юристом или юридической компанией и у них имеются необходимые знания в информационной безопасности.

Закон «О персональных данных» относится к законодательству по информационной безопасности и его преподают соответствующим специалистам в ВУЗах.

Для подготовки документов по персональным данным помимо знания самого закона, необходимо знать также подзаконные акты технического содержания и уметь регламентировать технические моменты.

При выборе такого варианта, уточняйте у юриста, какие именно документы он будет разрабатывать, будет ли он в них отображать технические моменты и имеет ли он опыт взаимодействия с Роскомнадзором.

Как лучше всего выполнить требования закона? Обратиться к системному интегратору

К системным интеграторам, как правило, обращаются большие компании и крупные государственные учреждения.

Из плюсов данного способа можно выделить высокий уровень оказываемых услуг квалифицированными специалистами по информационной безопасности, гарантии на качество услуг и работу под ключ (разработка документации по персональным данным и внедрение технической защиты).

К минусам данного способа можно отнести высокую стоимость (в большинстве случаем переваливающую за 1.000.000 рублей) и долгий срок реализации проекта, связанный с негибкостью бизнес- процессов.

Как лучше всего выполнить требования закона? «Ждать, когда грянет гром»

Это способ выбирается некоторыми российскими организациями, которые не хотят решать вопрос с персональными данными.

Из плюсов данного способа можно отметить отсутствие затрат, как финансовых, так и временных, но только в краткосрочной перспективе.

Из минусов — то, что рано или поздно закон придется выполнить, и Роскомнадзор даже в случае наложения штрафов потребует выполнить требования закона.

И лучше это сделать, пока требования по закону не ужесточились окончательно. Работа по ужесточению штрафных санкций Роскомнадзором ведется — в первом чтении уже принят законопроект о повышении штрафов до минимальных 30.000 рублей и максимальных 300.000 рублей за одно нарушение.

Как лучше всего выполнить требования закона? Использовать сервисы автоматизированной подготовки документов по персональным данным

Один из самых распространенных способов выполнения закона «О персональных данных».

К плюсам данного способа относится его простота и доступность людям, не являющимися специалистами по информационной безопасности, невысокая стоимость, срок подготовки документов и консультации экспертов по безопасности. Некоторые из сервисов также предоставляют финансовые гарантии с возмещением штрафов Роскомнадзора и помощь в прохождениях проверок.

К явным минусам можно отнести то, что он не подойдет крупным государственным компаниям, и не поможет с полноценным внедрением системы защиты персональных данных, проверяемой в гос. секторе ФСТЭК России и ФСБ России.

Почему стоит решить вопрос с выполнением требований закона «О персональных данных»

Выполнять требования закона «О персональных данных» это не только обязанность каждой частной или государственной компании, обрабатывающей персональные данные сотрудников и клиентов.

Многие контрагенты стали запрашивать не только учредительные документы, но и документы по персональным данным, чтобы подтвердить выполнение закона.

Закон стали использовать в качестве рычага давления не только органы исполнительной власти, но и конкуренты.

Какой способ вы бы ни выбрали, важно в итоге выполнить требования закона, снизив риски для компании и должностных лиц.

Полезно почитать

Источник: https://klondike-studio.ru/articles/about-152-fz/

Персональные данные: информация для владельцев интернет-магазинов

Какие данные по ФЗ 152 являются персональными?

Нам поступает большое количество вопросов и обращений в связи с тем, что с 1 июля 2017 года повышается административная ответственность за нарушение порядка работы с персональными данными. Поэтому мы решили подробно рассказать вам о том:

  • какие данные считаются персональными;
  • относитесь ли вы к операторам персональных данных;
  • что меняется в законодательстве;
  • что делать интернет-магазину – оператору персональных данных, чтобы избежать проблем.

Государство не перестает подкидывать бизнесу задачи для нескучной жизни, что, конечно, не является новостью, а скорее правилами игры.

Тенденция на урегулирование и контроль со стороны государственных органов всего, что относится к информации о физических лицах, сохраняется.

В этом наша страна двигается параллельно европейскому законодательству, где давно работает защита персональных данных, что, в принципе, само по себе неплохо.

Самое главное, что нужно понять: даже если вы относитесь к операторам персональных данных, то с этим можно спокойно жить и продолжать работать в этом статусе при соблюдении нескольких условий:

  1. соблюдать принципы обработки данных (не запрашивать излишнюю информацию и не в целях сбора данных);
  2. получить согласие лица на обработку его персональных данных (технически реализовать несложно);
  3. опубликовать политику владельца сайта в отношении обработки персональных данных (технически реализовать несложно);
  4. предоставить доступ к персональным данным их владельцам  (если поступит запрос от клиента);
  5. уточнить, блокировать или уничтожить персональные данные по требованию владельца  (если попросит об этом);
  6. обеспечить безопасность персональных данных при их обработке (защита от неправомерного доступа третьих лиц, копирования и т.п.).
  7. серверы должны находиться на территории РФ.

Ниже мы расскажем подробности и что нужно делать сайтам и интернет-магазинам, чтобы работать дальше в нормальном режиме, когда можно не уведомлять Роскомнадзор об обработке персональных данных и дадим конкретные варианты шагов и готовые шаблоны документов.

Советуем не нарушать законодательство, не увеличивать риски для вашего бизнеса и все-таки соблюсти все нужные процедуры для операторов персональных данных, если вы понимаете, что есть совпадение хотя бы по нескольким пунктам, относящим сведения о ваших клиентах к персональным данным.

Современный маркетинг и успешная работа в интернет-бизнесе невозможны без сбора сведений о клиенте, его поведении и предпочтениях. Без этого не стоит рассчитывать на долгосрочный прибыльный интернет-проект. Поэтому, чтобы сайтам и интернет-магазинам спокойно работать после 1 июля, необходимо сделать несколько шагов, о которых пойдет речь ниже.

Какие данные считаются персональными?

Итак, какие сведения относятся к персональным данным в терминах Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных»? 

Это – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). То есть персональные данные – это любые сведения о человеке, по которым можно его идентифицировать.

Закон не содержит полного и исключительного перечня таких сведений, отнесение данных к персональным и определение своего статуса (оператор или не оператор персональных данных) отдано на откуп владельцам сайтов.

Никакой проверки того, что данные относятся к конкретному физическому лицу закон не предусматривает. Поэтому получается, что владелец сайта фактически не знает вымышленные или нет данные ввел клиент, но от обязанностей по обработке персональных данных это его не освобождает.

И еще, нельзя забывать, что за нарушение норм Закона о персональных данных Роскомнадзор может привлечь к ответственности.

Судебная практика по этому вопросу разная, но тенденция прослеживается и она совпадает с разъяснениями Роскомнадзора относительного того, что относится к персональным данным:

  • фамилия
  • имя
  • отчество
  • паспортные данные
  • год, месяц, дата рождения
  • место рождения
  • адрес
  • семейное положение
  • социальное положение
  • имущественное положение
  • образование
  • профессия
  • доходы

На практике возникает множество вопросов: сайты при регистрации просят указать имя, электронную почту, иногда телефон (некоторые из этих полей могут быть необязательными*). Происходит ли сбор персональных данных при получении такой информации от пользователей? Однозначного ответа на вопрос нет – мнения специалистов в этой области расходятся.

Часть высказывается за то, что адрес электронной почты и номер телефона относятся к персональным данным, потому что с их помощью можно определить лицо. Другие говорят, что эти данные являются персональными только когда позволяют безошибочно идентифицировать человека, а отдельно взятый номер телефона или адрес электронной почты не являются персональными данными.

Судебная и административная практика склоняются к отнесению номера телефона к персональным данным, так как именно обладатель номера имеет право на распоряжение информацией о нем (например, разрешать использовать номер для рассылки по нему какой-либо информации).

Пока без ясного ответа остается вопрос – относится ли к персональным данным адрес электронной почты, из которого видны имя, фамилия и место работы человека. Скорее да, чем нет. 

Относитесь ли вы к операторам персональных данных или нет?

Вы являетесь оператором персональных данных, если:

  • вы собираете на сайте вышеуказанную информацию о клиентах-физических лицах;
  • у вас есть форма обратной связи, подписки, регистрации;
  • у вас есть личный кабинет;
  • клиент может заполнить анкету на сайте; 
  • на сайте возможно размещение объявления;
  • на сайте размещена кнопка обратного звонка.

Определить ваш статус (являетесь ли оператором персональных данных или нет) вам нужно самостоятельно исходя из вашей конкретной ситуации, настроек сайта, интернет-магазина, программных и технических средств, которые у вас установлены.

Вы не являетесь оператором персональных данных, если никаким образом не получаете, не храните и не обрабатываете вышеуказанную информацию в любом ее сочетании. 

Что делать интернет-магазину – оператору персональных данных чтобы избежать проблем?

Есть и хорошие новости: 1.

В соответствии с пунктом 5 части 1 статьи 6 Закона «О персональных данных» допускается обработка персональных данных без согласия субъекта персональных данных, если она необходима для исполнения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

2. Также оператор вправе без уведомления Роскомнадзора осуществлять обработку ПДн, полученных в связи с заключением договора, стороной которого является субъект ПДн (пп.2 п.2 ст.22 №152-ФЗ от 27.07.2006г. «О персональных данных»).

Для того, чтобы это применить на практике, нужно, чтобы обработке ПДн предшествовало заключение договора с покупателем или начало его оформления.

В реальности при регистрации или оформлении заказа покупатель оставляет на сайте персональные данные (то, что Роскомнадзор относит адрес, ФИО, телефон и е-mail к персональным данным, ведомство давно обозначило).

Получается, что такие ПДн обрабатываются на стороне интернет-магазина до заключения договора.

Поэтому владельцу магазина для того, чтобы сослаться на положения закона, которые его освобождают от:

  • получения согласия субъекта персональных данных на их обработку;
  • уведомления Роскомнадзора об обработке ПДн для включения в специальных реестр операторов ПДн

желательно сделать следующее – разделить публичную оферту на 3 документа:

  1. Пользовательское соглашение, где прописаны: общие условия использования сайта, ответственность владельца сервиса,  как защищаются права на сайт и его контент, разрешение рассылок пользователям различных уведомлений, порядок разрешения споров. Пользовательское соглашение – это договор присоединения, который принимается пользователем без оговорок в полном объеме. Пользовательское соглашение позволяет заранее урегулировать возможные конфликтные ситуации, связанные с тем, какой объем услуг и в каком порядке будет получать пользователь. Кроме того, этот вариант подойдет, если физические лица размещают на сайте организации или предпринимателя какую-либо информацию от своего имени. Пользовательское соглашение позволит владельцу сайта модерировать такую информацию.
  2. Публичная оферта на дистанционную продажу товаров, в которой изложены условия и порядок заключения договора купли-продажи товара через интернет-магазин – мы уверены, что этот документ у вас давно есть на сайте и с ним нет никаких проблем;
  3. Политика конфиденциальности, которая описывает порядок обработки ПДн в связи с заключением а) договора на использование сайта по пользовательскому соглашению и б) договора купли-продажи по оферте. Утверждается приказом владельца сайта и размещается в офисе на видном месте, на сайте и в мобильном приложении в общем доступе. Проще всего это реализовать, вставив ссылку на документ в футер. 

Политика конфиденциальности должна включать следующие положения:

  • перечень информации, которую собирает и обрабатывает сайт: персональные данные, иные сведения (например, информация, собираемая в автоматическом режиме: IP, cookie и др.);
  • цель сбора персональных данных и для чего они будут использоваться (например, для маркетингового исследования и др.);
  • требования к защите ПДн, включая случаи, когда персональные данные могут быть переданы третьим лицам;
  • изменения персональных данных (пользователь должен иметь возможность редактировать свои данные);
  • изменение Политики (как правило, владелец вносит изменения без предварительного уведомления и одновременно для всех пользователей, поэтому последним следует периодически просматривать Политику).

То есть все просто и логично: под каждое действие физлица свой договор и условия обработки его ПДн. 

Если все-таки сбор ПДн происходит до заключения договора или у вас есть сомнения в какой момент происходи сбор ПДн (а эти нюансы важны в спорах с Роскомнадзором), то владельцу интернет-магазина и сайта нужно сделать следующее, чтобы не получить штраф:

Под каждой формой ввода данных на сайтах и в мобильных приложениях (форма регистрации, заявки, обратной связи и т.д.

) разместить текст «Нажимая на кнопку «УКАЗАТЬ НАЗВАНИЕ КНОПКИ», я даю свое согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на сам документ. Смысл в том, чтобы пользователь не мог отправить свои персональные данные без согласия на их обработку.

В согласие нужно включить условия, которые установила часть 4 статьи 9 Закона о персональных данных. Например, наименование и адрес оператора, который получает согласие; цель обработки персональных данных; их перечень.

Что еще рекомендуется сделать, чтобы быть спокойными, что требования Закона о персональных данных выполнены?

1. Сайт и хостинг должны находиться на территории РФ. На этот счет беспокоиться не нужно, серверы InSales находятся в нашей стране, это уже давно реализовано.

2. На сайте указать e-mail, по которому физическое лицо может написать – обратиться с требованием об изменении, удалении его ПДн и задать любые вопросы по его ПДн.

Желательно, чтобы это был не общий почтовый ящик типа info, pochta, pishitepisma и т.п.

, а выделенный специально для этого адрес, куда будут приходить письма только по тематике ПДн (так меньше вероятность того, что они потеряются в общей куче, не попадут в СПАМ и вы не отследите ответы по ним). 

Чем мы можем помочь нашим клиентам, чтобы вы могли привести свои сайты в соответствие с новыми правилами? 

По ссылкам ниже вы можете скачать образцы документов для сайта:

– пользовательское соглашение

– политика конфиденциальности

– договор-оферта

Источник: https://www.insales.ru/collection/doc-other/product/personalnye-dannye-informatsiya-dlya-vladeltsev-internet-magazinov

Обработка персональных данных в 2018: как избежать штрафа

Какие данные по ФЗ 152 являются персональными?

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы 

ОснованиеРазмер штрафа
ФизлицаДолжностные лицаЮрлицаИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДнпредупреждение или штраф — от 1000 до 3000 руб. предупреждение или штраф — от 5000 до
10 000 руб.
предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб.от 10 000 до 20 000 руб.от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДнот 700 до 1500 руб.от 3000 до 6000 руб.от 15 000 до 30 000 руб. от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработкепредупреждение или штраф — от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 6000 руб.предупреждение или штраф — от 20 000 до 40 000 руб.предупреждение или штраф — от 10 000 до 15 000 руб. 
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)предупреждение или наложение штрафа в размере от 1000 до 2000 руб.предупреждение или штраф — от 4000 до
10 000 руб.
предупреждение или штраф — от 25 000 до 45 000 руб.  предупреждение или штраф — от 10 000 до 20 000 руб. 
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копированияот 700 до 2000 руб.от 4000 до
10 000 руб.
от 25 000 до 50 000 руб.от 10 000 до 20 000 руб. 
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДнпредупреждение или наложение административного штрафа — от 3000 до 6000 руб. 

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:  

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?  

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данныелюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данныхлюбое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан. 

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора  

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально.

 На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.         

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ): 

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.

1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft.

 Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда.

 За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн. 

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;  
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!  

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

5 базовых принципов закона о персональных данных, о которых нужно знать

Как подготовиться к плановой проверке ФСБ по персональным данным?

Проверка Роскомнадзора: как подготовиться и избежать штрафов 

Источник: https://kontur.ru/articles/4816

Право-online
Добавить комментарий