1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
4. В случае, если сведения, указанные в части 7 настоящей статьи, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящей статьи, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящей статьи, должен содержать обоснование направления повторного запроса.
6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
Термины, нюансы и частые заблуждения - в материале от экспертов службы безопасности компании «Онланта » (входит в группу компаний ЛАНИТ).
В закладки
Разбираемся в юридической терминологии и тех самых нюансах, из-за которых можно оказаться в суде.
Главный закон, который регулирует отношения, связанные с обработкой персональных данных - это Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
Первый термин, который требуется понимать, - персональные данные.
Это любая информация, с помощью которой можно идентифицировать человека: например, ФИО, дата рождения, образование, доходы и даже семейное положение. Вы спросите: «А что, моя фамилия, напечатанная на визитке, - это тоже персональные данные?»
Ответ: «Да». По закону неважно, напечатана ли на визитке только ваша фамилия или в сочетании, например, с номером телефона и адресом. И первое, и второе, и третье - персональные данные. Правда, за хранение визитки или номера телефона девушки в телефонной книге отвечать по закону не придётся, но об этом ниже.
Идём дальше. В СМИ постоянно пишут «хранение персональных данных». Правильно говорить не хранение, а обработка персональных данных. В чём разница? Хранение - это лишь часть того, что называется обработкой персональных данных. Любые действия, которые вы совершаете с персональными данными (собираете, накапливаете, храните, передаёте, изменяете), в законе обозначены как «обработка персональных данных».
Важно понимать, что в законодательстве выделяется два субъекта персональных данных: оператор и обработчик. Оператор осуществляет обработку персональных данных, а также определяет цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработчик - это тот, кто совершает какие-либо действия с персональными данными: сбор, хранение, систематизацию, накопление, уточнение, обновление, изменение, удаление, обезличивание и так далее.
На самом деле, обработчик - это не только конечный пользователь, которому персональные данные нужны для работы, но и любой промежуточный пользователь, через руки которого прошли эти персональные данные. Показываем на практике.
У интернет-магазина есть база данных клиентов, которая размещена в «облаке» сторонней компании. С этой базой работает маркетинговое агентство. Вопрос: сколько операторов персональных данных мы имеем?
Правильный ответ - одного. Это интернет-магазин, который задаёт цели обработки персональных данных. Второй вопрос: сколько обработчиков персональных данных мы имеем? Правильный ответ - два.
Персональные данные обрабатываются во множестве различных учреждений: например, в банках, школах, поликлиниках, визовых центрах. Не говоря уже про интернет-страницы, где мы регистрируемся, оставляя свои адреса электронной почты и телефонные номера. Но как и где именно?
В законе есть такой малопонятный термин, как «информационная система персональных данных». Если попытаться объяснить простыми словами - это целый комплекс, состоящий из серверов баз данных, технических средств, обеспечивающих их обработку, и информационных технологий. В соответствии с законодательством любую информационную систему персональных данных необходимо защищать.
Методы защиты информации бывают разными.
Одно из средств защиты информации - это обезличивание персональных данных. Что это такое? В визовом центре каждому подающему на визу человеку присваивается отдельный идентификационный номер. Сам по себе номер не относится к персональным данным, так как обезличивает человека: по нему нельзя определить лицо, подавшего документы на визу.
Итак, с терминологией разобрались. Теперь всем представителям бизнеса, в особенности индивидуальным предпринимателям, у которых может быть всего несколько сотрудников в штате, стоит честно ответить на вопрос: «Обрабатываю ли я персональные данные?»
Да , если вы владелец сайта с посещаемостью пять человек в неделю, но на нём есть форма обратной связи с полями «ФИО, адрес электронной почты, телефон». Информация о том, для каких целей вы собираете персональные данные, как вы их используете, должна быть представлена на вашем сайте.
Да , если вы обрабатываете персональные данные своих сотрудников или сторонних специалистов, нанятых для выполнения каких-то работ.
Да , если вы работаете с частными клиентами и вам требуются их паспортные данные для заключения договоров - это касается турагентств, фитнес-центров, разного рода сервисных компаний, интернет-магазинов и прочего.
И снова да , если вы бюджетная организация, политическая партия или детский сад. Последние обладают не только информацией о ребёнке, но и о его родителях, включая место работы и должность. Не говоря уже о медицинских учреждениях - там море личной деликатной информации, которую необходимо надёжно хранить.
Однако если вы используете данные для личной коммуникации без коммерческой выгоды, то требования законодательства на вас не распространяются и ни о какой уголовной ответственности речи идти не может.
Например, использование вами контактов, напечатанных на визитке, которую вы получили от коллеги, или номеров телефонов в записной книжке на смартфоне, информации в социальных сетях не накладывает на вас ответственность перед законом.
Поздравляем, вы - гордый обладатель звания «оператор персональных данных». Самое важное теперь - понять, какие именно персональные данные вы обрабатываете. Потому что именно от категории персональных данных зависит, как данные защищать и каким требованиям нужно соответствовать. Категории подробно описаны в ФЗ-152 и постановлении правительства от 1 ноября 2012 г. N 1119.
Общедоступные персональные данные: данные из открытых ресурсов, которые публикуются субъектом персональных данных или с его одобрения. Общедоступные данные - это данные из СМИ или интернета.
Пример: информация, выложенная в открытый доступ в социальных сетях или на сайте компаний. Номер телефона и семейный статус, опубликованный в открытом доступе в Facebook. Имя сотрудника и занимаемая им должность на сайте работодателя.
Биометрические персональные данные: к этой категории причисляются все данные по физиологическим и биологическим особенностям людей.
Пример: вес, рост, цвет глаз или волос, длина волос, группа крови, фотография.
Персональные данные специальной категории: сюда относится информация о принадлежности к какой-либо расе и нации, политические взгляды, религиозные и философские убеждения, состояние здоровья или интимной жизни.
Пример: врачебный диагноз (информация о том, чем вы болели, когда, какой врач вас лечил).
Персональные данные иных видов - сюда входят персональные данные, не вошедшие в указанные выше категории.
Пример: корпоративная информация. Карточки учёта сотрудников, в которых содержатся сведения, с которыми работает HR и бухгалтерия: зарплата, периоды отпуска, даты приёма на работу.
После того, как вы определились с категорией персональных данных, вам надо понять точное количество данных, которое вы обрабатываете: до 100 тысяч или свыше 100 тысяч.
Угрозы №1. «Дыры» и уязвимости в операционной системе. Пример: уязвимости, которые используют хакеры для проникновения в операционную систему с целью хищения информации.
Угрозы №2. «Дыры» и уязвимости в прикладном ПО, то есть в софте, который используется в вашей повседневной работе. Пример: Word, Excel.
Угрозы №3. Все другие угрозы, не указанные в первых двух типах. В первую очередь, человеческий фактор. Сотрудник может оставить открытым документ на незаблокированном компьютере, отправить документ на печать на чужой принтер или по электронной почте.
Первый и самый высокий уровень защиты чаще всего применяется для обработки персональных данных в государственных органах и медицинских учреждениях. Четвёртый уровень защиты - самый простой, чтобы его обеспечить, иногда достаточно выполнить организационно распорядительные меры, в основном он касается защиты общедоступных данных.
Определить уровень защиты можно по этой таблице .
Больница обрабатывает персональные данные своих пациентов - это персональные данные специальной категории. Также она обрабатывает персональные данные сотрудников - это персональные данные иной категории. Скорее всего, у больницы две базы данных. Если сложить обе базы, получится общее количество персональных данных, которые крутятся в информационной системе этой больницы.
Например, всего их - до 100 тысяч. Далее смотрим, как обрабатываются данные: автоматизировано (в компьютере) или не автоматизировано (в ручной картотеке). Если всё автоматизировано, смотрим, какое ПО использует больница, какие у него есть уязвимости.
Исходя из этого выявляются угрозы и их уровень. Складываем все факторы и получаем класс защиты второго уровня. Смотрим, какие требования в законе прописаны ко второму уровню защищённости. На базе этих требований необходимо будет построить защиту информационной системы для соответствия требованиям ФЗ.
Зачем вообще так беспокоиться о защите персональных данных? Персональные данные - это дорогой товар на чёрном рынке. За профиль, содержащий полные данные медицинской карты человека, мошенникам готовы платить внушительные суммы. Отдельный рынок - продажа деталей банковских карт; аккаунты в социальных сетях.
Последствия утечки персональных данных бывают разными. Данные могут оказаться в открытом доступе в интернете: например, в сети легко можно найти украденные базы данных с адресами и телефонами клиентов компаний. Зная имя и фамилию, любой может узнать домашний адрес человека, залезть в соцсети, посмотреть профиль или просто написать SMS на мобильный телефон.
Персональные данные могут попасть в базу назойливой рассылки какой-нибудь коммерческой организации, тогда их владельца начнут одолевать непрошенными предложениями услуг. Также ими могут воспользоваться интернет-мошенники для онлайн-казино или чтобы открыть электронный кошелёк.
В худших случаях злоумышленник может выдать себя за другого человека и взять кредит на чужое имя. К числу наиболее тяжёлых последствий утечек персональных данных относятся: противоправные действия с недвижимостью, кража денег с банковских карт, шантаж родственников и регистрация фирмы.
Вы поняли важность вопроса и готовы нести ответственность? Правильно. Потому что ответственность за сохранность персональных данных полностью лежит на операторе.
Это значит, что оператор должен позаботиться о том, чтобы информация не утекла в публичный доступ или не попала в руки третьих лиц, которые не имеют на неё никаких прав. Для этого требуется постоянный мониторинг и предотвращение угроз безопасности данных, контроль за уровнем сохранности информации и её восстановление в случае утраты.
В нашей стране Роскомнадзор контролирует соблюдение законодательства в области обработки персональных данных. Этот орган реагирует на жалобы, регулирует отношения между субъектами и операторами.
За технические требования по защите информации отвечает ФСТЭК и ФСБ: они вырабатывают требования и контролируют их исполнение.
А теперь пришло время изучить таблицы с требованиями по технической защите персональных данных. Подробности можно найти в приказе Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21.
Но начните хотя бы с этого:
Многие владельцы сайтов думают, что если посетитель нажал кнопку «Я согласен на обработку персональных данных», юридических проблем не будет, а обработка данных автоматически попадает в легальное поле. Это не так.
С юридической точки зрения есть только два способа подтвердить своё согласие на обработку персональных данных: поставить подпись на бумаге или при помощи электронной цифровой подписи.
Во всех остальных случаях, если дело дойдёт до суда, владелец сайта никак не сможет подтвердить, кто именно нажимал кнопку «Я согласен». Остаётся только надеяться, что субъект, пришедший к вам на сайт, добровольно передаёт свои данные и жалобу не подаст.
Эксперты службы безопасности компании «Онланта»
Да, проверки могут быть от Роскомнадзора.
Ежегодно Роскомнадзор публикует перечень проверок выборочно из списка зарегистрированных операторов, если компания попала в перечень проверок, то следующая плановая проверка возможна не ранее чем через три года. Посмотреть, не попала ли ваша компания в список этого года, можно .
Проверки вне плана обычно вызваны жалобами. Если проверка внеплановая, вас о ней должны предупредить за сутки в письменном виде.
Также могут быть документарные проверки. При документарной проверке вам пришлют список документов, копии которых надо будет отправить в Роскомнадзор.
Иногда Роскомнадзор делает выездные проверки: инспекторы лично наносят визиты, чтобы проверить компанию на месте.
Подготовка к любой из этих проверок - трудоёмкое занятие. Будете ли вы решать задачу подготовки к проверке самостоятельно, или привлечёте внешних специалистов, для начала надо определить, кто в компании будет отвечать за соблюдение ФЗ-152.
За нарушение 152-ФЗ предусмотрена гражданская, уголовная, административная, и дисциплинарная ответственность.
Итак, Роскомнадзор провёл проверку, если он обнаружил несоответствия законодательству, он выдаст предписание следственному комитету провести разбирательство по факту нарушения закона «О персональных данных».
После этого прокуратура начнёт проверку, в ходе которой она может приостановить деятельность компании: изъять базу данных компании, в частности, компьютеры, на которых производилась обработка персональных данных.
Нарушителей закона прежде всего ждут штрафы. Размеры штрафов варьируются в зависимости от правонарушений. Так, за обработку персональных данных без письменного разрешения субъектов юридическим лицам придётся понести административную ответственность.
Даже если оператор готов заплатить штраф, а по меркам крупного бизнеса он не кажется огромным, правонарушителю всё равно придётся устранить несоответствие перед законом (например, удалить хранящиеся данные) и уведомить об этом Роскомнадзор.
Худший сценарий - это если Роскомнадзор решит отозвать лицензию компании, запретить бизнесу обработку персональных данных, а сайты, незаконно публикующие персональные данные граждан, подвергнуть блокировке.
За прошедшие несколько лет в России самый громкий скандал был связан с блокировкой сайта LinkedIn, владельцев которого обвинили в обработке персональных данных граждан без их согласия на серверах, находящихся за пределами РФ. Также «нашумела» сервиса autonum.info.
Организовать обработку персональных данных можно самостоятельно или с помощью компании, которая предоставляет подобную услугу.
Если решили обрабатывать персональные данные самостоятельно, потребуется:
На это уйдёт в лучшем случае три-четыре месяца, стоимость такого внедрения может составить 200-300 тысяч рублей - это стоимость покупки оборудования, лицензий. Трудозатраты и дальнейшая поддержка информационной системы - отдельная статья расходов. Также потребуется администратор, который будет контролировать работу системы.
Если говорить объективно, совсем маленькие компании просто не выполняют все требования закона в надежде, что проверки не будет. Возможно, её действительно не будет. Другие компании создают «потёмкинские деревни», лишь делая вид, что обрабатывают персональные данные в соответствии с требованиями законодательства, иными словами, «покупают» необходимые документы.
В следующем материале мы покажем, как посчитать стоимость обработки персональных данных внутри компании и расскажем, когда выгоднее заниматься обработкой персональных данных самим, а когда лучше отдать на хранение в «облаке».
Например, девушка создала форум для беременных, чтобы потом размещать там рекламу. При регистрации участники указывают информацию о себе. Эта девушка - оператор персональных данных. Она получает сведения о других людях и что-то с этими данными делает: систематизирует по возрасту и интересам, проверяет активность пользователей, использует для рассылки, приглашений или просто хранит.
Любое из этих действий - это обработка персональных данных. Любой, кто это действие производит, - оператор.
Нет, в таких случаях согласие не нужно. Под действие закона не попадают персональные данные, которые обрабатывают для личных и семейных нужд. Это могут быть контакты нужных людей в телефонном справочнике, визитки коллег и партнеров, профили друзей на фейсбуке.
Если в ней человек может ввести свои персональные данные - то да, попадает.
В законе нет исключений по поводу формы и способа сбора персональных данных. И уточнения, что именно является сбором, тоже нет. Минкомсвязи считает, что сбор - это какая-то документально оформленная процедура получения данных о человеке. Форма обратной связи подходит под это определение .
Сама по себе форма обратной связи не попадает под действие закона только потому, что она есть. Важно, какие данные передает посетитель через эту форму , можно ли по ним прямо или косвенно идентифицировать человека и нанести ему вред в случае утечки и распространения.
Если посетитель сайта указывает в форме свое имя, фамилию, телефон и электронную почту - это персональные данные. Тот, кто эти данные получает, обрабатывает и хранит, считается оператором персональных данных и должен соблюдать закон.
По закону персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Это определение ничего не дает и не проясняет.
Если понимать буквально, то персональными данными можно считать что угодно. Юристы спорят по этому поводу уже много лет.
Минкомсвязи конкретики не дает и говорит так: более точно определить состав персональных данных, в том числе привести их перечень, представляется нереализуемым. Никаких четких пояснений от других ведомств по этому поводу тоже нет.
Если будет спор по поводу принадлежности почты или логина к персональным данным, всё решит суд. Несколько решений по поводу персональных данных суды уже вынесли. Из них следует очевидное: персональными данными считаются ФИО , паспортные данные, адрес, номера телефонов, информация о членах семьи, из пенсионного дела и трудового договора. Еще из них следует неочевидное: ИНН сам по себе не является персональными данными, а данные о факте пересечения границы - являются.
Сам по себе логин - это вроде бы не персональные данные. По набору символов нельзя понять, что это за человек и даже какого он пола.
Но если на аватарку человек поставит свою настоящую фотографию или при регистрации укажет почту, где в названии будет его фамилия с инициалами, а в доменном имени - название компании, то в совокупности это уже персональные данные.
Никто толком не знает, какие данные персональные
В законе нет никаких исключений по теме сайта, организационно-правовой форме и набору данных.
Чтобы не рисковать, лучше сделать так.
Если вы где-нибудь с какой-нибудь целью собираете любую информацию о каких-то физических лицах, нужно зафиксировать их согласие и подготовить документы. Если это сделать для страховки, даже когда не надо, ничего страшного не будет. А если этого не сделать, могут быть претензии от пользователей и Роскомнадзора.
Я делаю сайт для клиента, обрабатываю и храню данные на своей стороне. При этом владелец сайта не обязан быть оператором персональных данных?
Владелец сайта обязан быть оператором персональных данных и соблюдать закон. По закону можно собирать персональные данные и передавать их кому-то на обработку. Владелец сайта может передать данные клиентов вебмастеру, интернет-магазин - сервису рассылки.
Чтобы так делать, владелец сайта должен получить у посетителей разрешение и объяснить им, кому и зачем он передаст их данные.
Ответственность на владельце
Тот, кому он передаст данные на обработку, отдельное разрешение получать не должен, а соблюдать закон - должен.
Отвечать за соблюдение закона перед посетителями сайта будет его владелец.
Владельца сайта Роскомнадзор и суд будут определять по совокупности данных. Если на сайте размещена информация о конкретном юридическом лице или ИП , спросят с него. Если таких данных нет, спросят с администратора домена.
Роскомнадзор узнает о нарушениях двумя способами:
Если Роскомнадзор обнаружит нарушения, сайт могут заблокировать, а компанию оштрафуют.
По закону операторы обязаны хранить персональные данные на российских серверах. Есть несколько исключений, но это частности. Любой интернет-магазин или сервис по подписке должен хранить базу с персональными данными граждан в России.
Потом можно передавать эти данные за границу. Это законно, но при определенных условиях . Иначе нельзя было бы бронировать гостиницы и покупать билеты на самолет за границей.
Роскомнадзор может потребовать предоставить подтверждение по поводу места хранения баз данных. Например, договор с дата-центром, хостингом или документы на собственный сервер. Если выяснится, что персональные данные хранятся с нарушениями и не в России, будут проблемы.
Кроме закона о персональных данных есть требования Федеральной службы по техническому и экспортному контролю и ФСБ. Еще к проверке может подключиться прокуратура. Им хватит полномочий, чтобы узнать, где на самом деле хранятся данные, и разобраться с нарушениями.
Закон о персональных данных нужно соблюдать, если сайт используется для работы на территории РФ . Теоретически Роскомнадзор имеет право и может его заблокировать.
Вот какие признаки используют, чтобы это понять:
Если есть какое-то сочетание этих факторов, оператор персональных данных должен соблюдать закон, даже если это иностранная компания. А это значит, что документы должны быть доступны и понятны в РФ . Достаточно иметь их на русском языке, чтобы их понимал Роскомнадзор и граждане России. На нерезидентов за пределами страны наш закон о персональных данных не распространяется.
Как определять гражданство посетителя, закон не объяснил. Операторам предложили решать эту проблему самостоятельно. А если четкой позиции и инструментов нет, стоит соблюдать закон в отношении всех персональных данных, которые собрали на территории России.
Дублировать те же документы на иностранных языках для россиян нет смысла. Но эти правила придумали не в России. Есть конвенция Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера. Так что, если собираете данные иностранцев, подумайте, как соблюдаете закон той страны, резидентами которой они являются.
В Европе за однократное нарушение правил обработки персональных данных штрафуют на сотни тысяч евро. В России максимальный штраф с 1 июля 2017 года - 75 тысяч рублей.
Закон о персональных данных защищает данные только физических лиц. Он не распространяется на данные о компаниях. Но то, что указано в форме обратной связи, - это формальность. Важно, какие именно данные и с какой целью собирает владелец сайта.
Если это на самом деле название компании и телефон офиса, такая информация не попадает под действие закона. Но если сайт собирает почтовые адреса и телефоны сотрудников компаний, чтобы потом делать по ним рассылку или передавать их третьим лицам, могут быть проблемы как со стороны этих сотрудников, так и от Роскомнадзора.
В Роскомнадзоре должны зарегистрироваться все операторы персональных данных. Исключения только для случаев, перечисленных в п. 2 ст. 22 закона о персональных данных .
Это не нарушение закона. В этом случае оператором персональных данных выступает социальная сеть. Каждый, кто там зарегистрировался, дал согласие на публикацию, обработку и использование его данных.
Все пользователи фейсбука
Закон о защите персональных данных создал бизнесу дополнительные риски. Фото предоставлено пресс-службой МШУ «Сколково»
Принятие «О персональных данных» стал головной болью для многих компаний, накладывая на них огромную ответственность. Как в такой ситуации быть тем, кому персональные данные жизненно необходимы для работы, - в частности, интернет-магазинам, - в материале «КС».
Рассматриваемая тема поднималась в начале мая на очередном заседании eCommerce-клуба «Сибирь». Анна Войцехович , патентный поверенный юридической компании «Гребнева и партнеры», чьей специализацией является интеллектуальная собственность, рассказала участникам встречи о том, как можно спокойно жить и работать с персональными данными в условиях сегодняшнего закручивания гаек. «КС» консолидировал тезисы ее выступления и попутно обратился и к другим экспертам в области права, предложив дать свои рекомендации бизнесу в этом отношении.
Что нужно сделать, чтобы Роскомнадзор включил вас в список операторов персональных данных (ПДн)? Да, собственно, почти ничего - достаточно завести на сайте личный кабинет, анкету для пользователя, кнопку обратного звонка, форму для объявления. Можно ли найти интернет-магазин, у которого нет ничего вышеперечисленного?
Если компания, занимающаяся торговлей через Интернет, попадает под это определение (а это почти 100%), ей нужно уведомить Роскомнадзор, причем желательно сделать это как можно скорее, лучше всего еще до того, как начать сбор персональных данных клиентов.
Во-первых, четкого определения того, что должно входить в перечень персональных данных, нет. Есть то, что Роскомнадзор может счесть таковыми, и вопрос каждый раз будет рассматриваться индивидуально. Если проследить текущую тенденцию судебных дел, персональными данными может быть сочтена следующая информация: фамилия, имя и отчество, дата и место рождения, домашний адрес, семейное, социальное и имущественное положение, образование и место работы. Очень важно: чтобы сведения признали персональными данными, необязательно собирать все, что перечислено выше, достаточно всего одного пункта.
«По факту персональными данными можно назвать любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу. То есть персональные данные - это любые сведения о человеке, по которым можно его идентифицировать, - подчеркнула Анна Войцехович. - Закон не содержит полного и исключительного перечня таких сведений. Никакой проверки того, что данные относятся к конкретному физическому лицу, закон не предусматривает. Даже если клиент ввел заведомо вымышленные данные, от обязанностей по обработке персональных данных это вас не освобождает».
Во-вторых, презумпции невиновности для подозреваемых здесь фактически нет. РКН не должен доказывать, что те или иные данные - персональные. «Есть основания полагать» - этого более чем достаточно. В свою очередь держатель информации должен дать как можно более убедительные подтверждения тому, что эта информация действительно необходима. Вот пример: интернет-магазин просит при регистрации указать день рождения - для чего? Самый очевидный ответ - чтобы предложить специальную скидку в день рождения или просто поздравить - проверяющих вряд ли устроит. Регулятор вправе потребовать предоставить документ, в котором прописана подобная программа лояльности. Не предоставили - все, сбор считается необоснованным. Говорите, что программа только разрабатывается, - то же самое. «Позиция Роскомнадзора очень проста - информация должна собираться с предельно конкретной целью, и у вас должно быть очень четкое объяснение, зачем вам нужна каждая ее деталь», - комментирует юрист.
Очень часто интернет-коммерсанты собирают все подряд «на всякий случай», не задумываясь о том, зачем нужны все эти сведения, - и это одна из самых распространенных ошибок. Абсолютное большинство персональных данных, которые просят магазины, им не нужны: нередки случаи, когда просят указать домашний адрес еще на этапе регистрации, иногда требуют ввести еще и паспортные данные. Их, кстати, по мнению Анны Войцехович, лучше не собирать вообще; единственная отрасль, которой эти сведения действительно необходимы, - это медицинская, и к ней РКН проявляет особое внимание.
В-третьих, не стоит ожидать того, что вас предупредят перед проверкой. Разумеется, контролирующий орган (в нашем случае РКН) обязан заранее прислать уведомление перед проверкой, если требуется посмотреть какие-то документы в офисе, содержимое сервера, компьютеров и так далее. Но в случае с персональными данными это, как показывает практика, попросту не нужно - по словам Анны Войцехович, в 95% случаев нарушения находятся прямо на сайте компании или магазина. И для того, чтобы их обнаружить, никакие предупреждения не нужны.
Нормативных правовых актов, на основании которых разбираются дела о хранении персональных данных, не так много. Чаще всего рассматривается закон 152-ФЗ «О персональных данных» , если речь идет об информации о клиентах, и 14-я статья Трудового кодекса, если субъект персональных данных - сотрудники самой компании. Нарушения данных законов относятся к Административному кодексу.
Подходят ли под категорию персональных данных номер мобильного телефона и электронная почта? Однозначного ответа до сих пор нет. Позиция Роскомнадзора - да, являются, ведь SIM-карты продаются и регистрируются по паспорту, и если вбить в поисковик номер телефона, можно выудить персональную информацию о владельце. Позиция многих юристов - нет, не является, договор с оператором сотовой связи может быть заключен на другое физлицо, а почта может быть рабочей. Уже есть судебные решения: в Санкт-Петербурге суд признал персональными данными e-mail, в Липецке - номер телефона . Бывает, что определения суда включают в список персональных данных еще техпаспорт на дом, сведения о пересечении госграницы - и все эти дела становятся прецедентными. И с ними приходится жить.
Как показывает опыт, судебная и административная практика склоняются к тому, что номер мобильного телефона относится к персональным данным, так как именно обладатель номера имеет право на распоряжение информацией о нем (например, использовать номер для рассылки по нему какой-либо информации).
Если интернет-магазин использует в качестве логина e-mail адрес - это уже сбор персональных данных
Логин и пароль, без которых интернет-коммерсантам, имеющим на своем продающем сайте личный кабинет, никак нельзя обойтись, к счастью, пока персональными данными не признаются. Анна Войцехович приводит цитату руководителя РКН Александра Жарова: «Сами по себе имена пользователей и пароли к учетным записям в сервисах электронной почты или в социальных сетях не являются персональными данными». Но если интернет-магазин использует в качестве логина e-mail адрес (не всегда, но такое тоже встречается) либо требует указать его для подтверждения регистрации (намного чаще) - это уже сбор персональных данных.
Являются ли персональными данными IP-адреса - вопрос во всех отношениях спорный. Арбитражный суд Челябинска в феврале 2016 года дал положительный ответ, за полгода до этого в Санкт-Петербурге суд сделал противоположный вывод. «По моему мнению, IP-адреса нельзя назвать персональными данными, поскольку они идентифицируют не физическое лицо, а компьютер, - высказывает свою точку зрения Анна Войцехович. - И чтобы понять, насколько эта техника ассоциируется с конкретным пользователем, нужно еще очень сильно постараться. В общем, из моей личной практики общения с правоохранительными органами, запросов и судов, я могу сделать вывод, IP-адрес не является персональными данными».
Закон «О персональных данных», как уже говорилось, не содержит конкретного перечня ПДн, но выделяет несколько категорий: общие, по которым человека можно определить сразу, специальные, раскрывающие его лишь частично, и биометрические. Последние включают в себя не только отпечатки пальцев, но и, например, фотографии, по которым можно удостоверить личность человека. Анна Войцехович приводит пример из личного опыта: на фотографии с места происшествия в кадр попал случайный человек, и полиция, сочтя это биометрической информацией, изъяла снимки, выдав только протокол, без приложения.
Если фотография биометрическая, нужно обязательно взять разрешение на ее публикацию. И сделать это письменно. Если изображение используется в СМИ или рекламе (даже если по ней нельзя опознать человека) - согласие также обязательно. Даже если субъект позировал фотографу сам и получил за это деньги, это не означает автоматического согласия - все должно быть оговорено заранее.
Совсем исключить себя из списка операторов персональных данных интернет-магазину не удастся, но в ряде случаев можно не подавать уведомление в РКН. Уведомление можно не подавать в следующих случаях.
Если все субъекты ПДн - сотрудники самой компании.
Если персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более - распространяться. Такой прием используется коммерсантами часто, но по факту с нарушениями. Очень важно запомнить, что заключение договора (или хотя бы начало его оформления) должно произойти раньше обработки персональных данных клиента. В реальности же покупатель сначала регистрируется на сайте, потом выбирает покупку, и уже потом, возможно, что-то покупает. РКН при проверке обязательно обратит на это внимание.
Третий вариант - если человек сам опубликовал свои данные в общем доступе. Этот прием, вопреки утверждению многих юристов, вполне работоспособный, хотя и трудоемкий - подтверждение приходится делать по каждому субъекту. Сам Роскомнадзор смотрит на этот способ более лояльно, чем на предыдущий - в противном случае они бы просто не успевали обрабатывать все поступающие заявки.
С 1 июля 2017 года штрафы за нарушения работы с персональными данными увеличились. С этого момента КоАП (санкции за нарушения 152-ФЗ содержатся в основном в ст. 13.11) включает в себя семь правонарушений, шесть из которых могут затронуть интернет-коммерсантов.
За необоснованный сбор данных (например, номер паспорта, ИНН там, где они не нужны) - штраф до 50 тысяч рублей.
За сбор персональных данных без согласия владельца (нет письменного подтверждения) - до 75 тысяч рублей.
За непредоставление субъекту персональных данных информации о них (молчание в ответ на запрос) - до 40 тысяч рублей.
За невыполнение в срок требования субъекта ПДн или контролера (например, уничтожить или уточнить данные) - до 45 тысяч рублей.
За утечку персональных данных или несанкционированный допуск к ним (кроме тех случаев, когда работает уже уголовная статья) - до 50 тысяч рублей.
В случае особо тяжелых нарушений может быть задействован уже Уголовный кодекс, в частности, ст. («Нарушение неприкосновенности частной жизни») или ст. («Неправомерный доступ к компьютерной информации»). Здесь наказание может дойти и до лишения свободы на срок до четырех лет.
Анна Войцехович отмечает также, что решение о том, дать нарушителю время исправиться, оштрафовать сразу или, например, арестовать сервер, Роскомнадзор принимает на месте. Решение зависит в том числе от отрасли, в которой работает компания, к некоторым (например, к медицинским учреждениям) контролеры относятся строже, чем к остальным. Плюс нужно учесть, что приведенные выше штрафы выписываются за каждый установленный факт нарушения и в итоге суммируются. И, что самое печальное, если за одну проверку найдется более одного нарушения, Роскомнадзор имеет полное право закрыть сайт и изъять сервер - то есть парализовать работу всей компании как минимум на два месяца. «Зеркала» открывать бесполезно - РКН давно умеет их находить и закрывать, механизм уже отработан. Так будет хуже только самим нарушителям.
Сооснователь и главный эксперт компании «Б-152» Максим Лагутин по просьбе «КС» дал несколько рекомендаций о том, как не попасть под нарушение федерального закона.
Во-первых, нужно письменно ответить на вопрос, какую информацию о пользователях вы собираете, каким образом она используется и кому передается. Все это должно быть внесено в текущие документы.
Во-вторых, нужно предупреждать всех обо всем: на сайте должно висеть уведомление о сборе не только cookies, но и пользовательских данных. Убедитесь, что политика в отношении обработки данных опубликована и доступна на сайте.
На сайте должно висеть уведомление о сборе не только cookies, но и пользовательских данных
В-третьих, важно собирать согласия на обработку персональных данных: нужно высылать ссылку для подтверждения на почту, СМС-код на мобильный телефон или сохранять IP-адрес пользователя. Проверьте, что каждый случай сбора персональных данных на сайте содержит ссылку на соответствующее этой цели согласие. Это может быть просто текст или поле для галочки «Нажимая на кнопку «Отправить сообщение», я даю свое согласие на обработку персональных данных». При этом текст «я даю свое согласие» должен быть ссылкой на текст самого согласия, который должен быть прочитан перед тем, как пользователь сможет дать согласие.
Все три документа должны быть утверждены владельцем сайта и размещены в офисе компании или ином месте пребывания владельца сайта в бумажном виде. Плюс их нужно опубликовать на самом сайте и в мобильном приложении.
Положение о защите персональных данных должно тесно пересекаться с Политикой конфиденциальности, но не дублировать друг друга. Если Роскомнадзор во время проверки найдет в них противоречия (например, в одном документе какое-то условие оговорено, а в другом нет), документы будут признаны «не работающими».
«Многие заблуждаются, считая, что достаточно одного пользовательского соглашения, политики обработки персональных данных или одного согласия, которое необходимо поставить на все формы сбора персональных данных на сайте и тем самым выполнить закон. На самом деле на сайте персональные данные через разные формы собираются в разных целях - в одних случаях для осуществления рассылок, в других - для контакта с человеком, в третьих - для скачивания промоматериалов или заказа прайс-листа, - отмечает Максим Лагутин. - Цели разные, и согласия должны быть разные, в противном случае также возможно попасть на штраф на сумму до 50 тысяч рублей».
Многие заблуждаются, считая, что достаточно одного пользовательского соглашения, политики обработки персональных данных или одного согласия
Отписка от рассылок и уведомлений должна работать четко и без сбоев, кнопки отписки должны находиться на видных местах. Если проверяющий не сможет их найти или хотя бы один человек пожалуется на то, что не смог отписаться (и таким образом магазин хранит его данные незаконно), - это уже нарушение.
Нужно выделить и указать на сайте отдельный e-mail адрес, по которому физическое лицо может обратиться с требованием об изменении, удалении его персональных данных и задать любые вопросы по ним. Желательно, чтобы это был не общий почтовый ящик типа [email protected], а выделенный специально для этого адрес.
Лучше всего как можно чаще информировать посетителей и клиентов о том, что их данные собираются и хранятся - в том числе и для маркетинговых исследований. Лишний раз сказать намного лучше, чем не сказать.
Если РКН готов начать проверку (а не просто мониторинг сайта), то, получив уведомление, нужно провести самоаудит: собрать нужные документы, оповестить сотрудников и постараться донести до проверяющих, что вы законопослушные операторы и добросовестно всех обо всем оповещаете.
Наконец, последний пункт, который тоже относится к закону о персональных данных - серверы с ними должны находиться на территории России.
Антон Карасев, начальник отдела интернет-маркетинга группы компаний «ИТ-ГРАД»:
Компаниям, относящимся к интернет-магазинам или иным формам бизнеса, необходимо выполнять установленные требования регулятора и в первую очередь помнить о собственной ответственности. Чтобы избежать нарушений, необходимо проработать вопрос правильности составления политики обработки персональных данных и предусмотреть возможность взятия обязательного согласия на обработку ПДн. Если на сайте интернет-магазина присутствуют какие-либо формы сбора данных, под каждой из них необходимо разместить предложение о том, что субъект дает согласие на обработку персональных данных, и обязательно предусмотреть возможность принятия этого условия. Не стоит забывать и о прописанных условиях обработки ПДн, которые должны сопровождаться гиперссылкой на документ со страницы веб-сайта.
Дмитрий Коробицын, генеральный директор компании «Поставщик счастья»:
Мы серьезно относимся к подобным юридическим аспектам. Наши компания работает с интернет-магазинами, которых напрямую касается вопрос о персональных данных. Рекомендую каждой компании обратить внимание на опубликованные на своем сайте документы и, если нужно, оперативно внести в него правки.
Чтобы избежать штрафа по причине нарушения требований ФЗ «О персональных данных”, нужно разместить на сайте два документа. Первый — “Согласие субъекта на обработку персональных данных”. Это понятный документ, в котором фиксируется, что пользователь соглашается на обработку своих персональных данных. После указания своих данных (ФИО, почта и телефон) он ставит галочку о том, что он не против обработки данных, которые оставил на сайте. Там же, как правило, ему предлагается ознакомиться с полным текстом документа.
Второй документ — менее понятный, но необходимый — “Политика организации в отношении и обработки персональных данных”. Нет четкого объяснения, каким должен быть этот документ, что такое политика. В связи с этим юристы ИТ-компаний решили, что политикой может стать компиляция из ФЗ «О персональных данных» и некоторая информация из документа “Согласие на обработку персональных данных”.
Подписывайтесь на канал «Континент Сибирь» в Telegram , чтобы первыми узнавать о ключевых событиях в деловых и властных кругах региона.
Нашли ошибку в тексте? Выделите ее и нажмите Ctrl + Enter
Имеющая непосредственное отношение к физическому лицу . Под предоставлением этих данных подразумеваются действия, направленные на выдачу подобной ограниченной информации одному или нескольким лицам.
Получение подобного запроса может произойти как от организаций, представляющих трудовое законодательство (налоговые органы, пенсионный фонд и т.д), так и от представителей полиции или прокуратуры. Последний случай объясняется участием в уголовном или административном процессе. При этом согласие гражданина на предоставление этих сведений не требуется.
Рассмотрение названных обращений называется — регламентом по реагированию на запросы или их представителей и занимается ими начальник, заместитель или уполномоченное должностное лицо, в число обязанностей которых входит . Данные должностные лица обеспечивают:
Документ прочитывается и проверяется на повторность. В некоторых случаях сверяется с прошлой перепиской (если таковая есть). При наличии обращений в прошлом, запрос может быть повторен спустя 30 дней после последнего обращения.
После прохождения регистрации запросы отправляются руководителю компании или его заместителю, которым определяется срок и порядок рассмотрения. После чего даются указания исполнителям.
Во время рассмотрения запроса должностным лицам следует :
При отказе в предоставлении указанной в обращении информации о выбранном субъекте, уполномоченные должностные лица должны предоставить мотивированный ответ в письменной форме со ссылкой на часть 8 ст. 14 Федерального закона или иного закона, который может послужить основание для отказа, в течении 30 дней со дня обращения или с даты получения запроса.
Получить названные сведения на основе законодательства имеют право:
В этих случаях не требуется получения нового согласия со стороны субъекта, кроме того, что было предоставлено работодателю.
В пункте выше уже были указаны организации, которые по закону имеют право на получение информации. Однако существуют другие лица и организации, которые могут затребовать персональные сведения .
Названные лица имеют право запрашивать любые данные, значимые для дела:
Но не вся информация подлежит разглашению. Адвокат может получить отказ в следующих случаях:
Также адвокат не имеет права требовать информацию о персональных данных, за исключением случаев, когда на это дается официальное согласие.
В соответствии с п.4 ч.1 ст.13 Федерального закона от 07.02.2011 «О Полиции» , сотрудник имеет право при расследовании уголовных дел или административных правонарушений, а также при проверке заявлений о возможных нарушениях, запрашивать и получать персональные данные граждан на безвозмездной основе. Подобные обращения должны быть мотивированы. При передаче этих персональных данных работникам полиции по их запросу, согласие самих граждан не нужно.
В была дополнена пунктом, который расширяет права организации на получение доступа к информации, в число которой входят и . Обработка поступивших данных в установленных законом РФ случаях проводится органами прокураторы из-за осуществления прокурорского надзора.
Это документ должен составляться в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» . В документе следует указать следующую информацию
:
Составление документа выполняется по следующему алгоритму:
В ответ на поступивший запрос требуется составить ответное обращение , в котором должна содержаться следующая информация:
Во время отправления ответа нельзя нарушать передаваемой информации, поэтому бланк с соответствующими сведениями должен заполняться и отправлять уполномоченным лицом – оператором.
Получить персональную информацию могут многие законодательные органы без предварительного разрешения со стороны субъекта . Причиной этому может служить участие в уголовном или административном процессе. Также многие организации, связанные с трудовым законодательством, имеют право запрашивать эти данные у работодателя.
