
- Awara
- 15.11.2017
- 1931
Роскомнадзор ответил на часто поступающие вопросы владельцев сайтов по обработке персональных данных пользователей
Роскомнадзор опубликовал разъяснения по вопросу обработки персональных данных интернет-магазинами
Федеральным законом “О персональных данных” установлено, что персональные данные граждан РФ должны обрабатываться только с их согласия, если иное не установлено другими нормами законодательства. Соответственно, интернет-магазины должны получить согласие пользователей при любых возможных правоотношениях с ними, предусматривающих использование их персональных данных, за исключением случаев, когда такие правоотношения оформлены в виде акцепта публичной оферты либо в виде иных форм договорных отношений, – говорится в публикации Роскомнадзора.
Затрагивает ли это обычные сайты?
Несмотря на то, что в разъяснении Роскомнадзора от 8 ноября 2017 года рассматривается случай только с интернет-магазинами, требования закона могут затронуть большинство интернет-ресурсов, в том числе блоги, корпоративные сайты и так далее. Если те данные, которые вы получили через сайт (например, в результате заполнения формы обратной связи, регистрации на сайте, подписки на информационную рассылку и т.п.), являются персональными (о том, что является персональными данными, мы поговорим чуть ниже), между вами и субъектом персональных данных не заключено никакого договора, а ваши действия направлены на обработку, хранение и использование такие данных, то законом вы признаётесь оператором персональных данных (в ряде случаях придётся оповестить Роскомнадзор, но об этом тоже чуть позже).
Напомните, что такое персональные данные?
В законе даётся определение: “Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)”.
На наш взгляд не самое полное и чёткое определение.
Не утешает и ответ Минкомсвязи: “… Более точно определить состав персональных данных, в том числе привести их перечень, представляется нереализуемым. Закон также не содержит полномочий по уточнению этого термина подзаконными актами.”
В 2015 году в интервью lenta.ru Александр Жаров (глава Роскомнадзора) сообщил про персональные данные следующее: “Это набор информации, позволяющий безошибочно идентифицировать вас как личность. Либо, если ваша личность уже определена, безошибочно отнести требуемые данные именно к вам. Например, фотография, ФИО, номер телефона и адрес электронной почты позволяют идентифицировать человека достаточно точно. А фотография и имя «Оля» персональными данными считаться не могут, как и отдельно взятый адрес электронной почты или номер телефона. Речь идет именно о совокупности данных.”
Тем не менее утверждённого списка того, что необходимо – или в каком сочетании – считать персональными данными, нет. Юристы бесконечно спорят по данному вопросу, основываясь на тех или иных прецедентах или логических заключениях. Таким образом, на основе этих рассуждений в список данных, которые можно считать персональными, можно включить:
- ФИО
- Дата и место рождения
- Адрес
- Паспортные данные
- Семейное, социальное и имущественное положение
- Образование и профессия
- Доходы
- Данные о поведении пользователя на сайте
- Файлы cookies
- Сведения о геопозиции
- IP-адрес
- Фотография
- ссылка на профиль в социальной сети и т.п.
Что ещё нужно сделать операторам персональных данных?
Компании, отвечающие критериям оператора персональных данных, должны разместить на своем сайте документ, определяющий политику в отношении обработки персональных данных (о нём мы ещё поговорим чуть ниже).
Следует помнить про правила локализации обработки персональных данных. Если кратко, персональная информация должна храниться в базе данных на территории Российской Федерации.
Полезные ссылки:
Узнать расположение сервера по IP-адресу
Какие существуют варианты для архитектуры системы? (на примере баз данных ERP-систем)
Не стоит считать, что DNS запись типа “А” обязательно указывает на конечный сервер, где находится сайт. Эта запись может указывать на расположенный в России шлюз, с которого, например, идёт VPN-туннель в Германию. Чтобы быть уверенным в месте расположения сервера на 100%, лучше отправить запрос хостинг-провайдеру.
Сергей Николаев, руководитель IT поддержки AwaraКстати, убедитесь, что ваша компания находится в реестре операторов персональных данных. Проверить можно по ссылке. Если вас там нет, то уведомление можно отправить через сайт Роскомнадзора, а затем распечатать копию, поставить подпись и печать организации и отправить обычной почтой в территориальный орган Роскомнадзора.
Владельцам сайтов нет необходимости уведомлять контролирующий орган в случае:
- обработки данных в соответствии с трудовым законодательством;
- если с субъектом персональным данных заключён договор, персональные данные не распространяются и не передаются третьим лицам;
- если субъект персональных данных сделал их общедоступными;
- если иное лицо (оператор, ответственный за обработку персональных данных) поручило вам обработку персональных данных с согласия такого субъекта персональных данных, на основании заключаемого с этим лицом договора (ст.6 п.3 ФЗ “О персональных данных”)
- когда субъект персональных данных передаёт оператору только ФИО (без какой-либо дополнительной информации)
Какие существуют требования по составлению политики в отношении обработки персональных данных?
Роскомнадзором при участии Молодежной палаты Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных были подготовлены рекомендации по составлению подобного документа. В политику предлагается включить следующие пункты:
- Общие положения. Назначение, основные понятия, права и обязанности оператора и субъектов персональных данных.
- Цели сбора персональных данных. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.
- Правовые основания обработки персональных данных. Совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.
- Объём и категории обрабатываемых персональных данных, категории субъектов персональных данных. Содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки. В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных.
- Порядок и условия обработки персональных данных. В данном разделе рекомендуется указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных, сроки обработки персональных данных и условия прекращения их обработки. В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц. Также рекомендуется указывать сведения о соблюдении требований конфиденциальности персональных данных.
- Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.
С полной версией документа и подробным описанием рекомендаций вы можете ознакомиться по ссылке.
Как через сайт получать согласие на обработку персональных данных?
Технически получение согласия на обработку персональных данных можно реализовать, позволив пользователю ставить “галочку” в веб-форме при отправке информации о пользователе.
В случае обработки биометрических и специальных категорий персональных данных или хранения данных на территории страны, не обеспечивающей адекватную защиту персональных данных (список доступен на отдельной странице сайта Роскомнадзора), всё сложней: согласие придётся получить в письменной форме.
Как организации не получить штраф в 290 000 рублей
290 000 рублей? Да, если нарушить пункты 1-6 Статьи 13.11. КоАП РФ, то максимальная сумма штрафа для юридического лица может составить 290 000 рублей (и это без учёта штрафов для должностных лиц). Закон предусматривает ответственность за:
- Обработку персональных данных в случаях, не предусмотренных законодательством, либо несовместимых с целями сбора данных.
– Штраф для должностных лиц: от 5 000 до 10 000 рублей
– Штраф для юридических лиц: от 30 000 до 50 000 рублей - Обработку персональных данных без письменного согласия (для случаев, когда это необходимо).
– Штраф для должностных лиц: от 10 000 до 20 000 рублей
– Штраф для юридических лиц: от 15 000 до 75 000 рублей - Отсутствие открытого доступа к опубликованной политике организации или отсутствие обеспечения неограниченного доступа иным способом в отношении обработки персональных данных и их защиты.
– Штраф для должностных лиц: от 3 000 до 6 000 рублей
– Штраф для юридических лиц: от 15 000 до 30 000 рублей - Невыполнение обязанности по предоставлению информации субъекту персональных данных, касающейся обработки его персональных данных.
– Штраф для должностных лиц: от 4 000 до 6 000 рублей
– Штраф для юридических лиц: от 20 000 до 40 000 рублей - Невыполнение требований об уточнении, блокировании, уничтожении персональных данных.
– Штраф для должностных лиц: от 4 000 до 10 000 рублей
– Штраф для юридических лиц: от 25 000 до 45 000 рублей - Нарушение правил сохранности персональных данных при их обработке без использования средств автоматизации, что привело к неправомерному или случайному доступу к персональным данным.
– Штраф для должностных лиц: от 4 000 до 10 000 рублей.
– Штраф для юридических лиц: от 25 000 до 50 000 рублей.
Подведём итог. Чтобы не вызвать претензии со стороны надзорного органа и не получить штраф мы рекомендуем:
- Определить, попадает ли ваша организация в категорию операторов персональных данных;
- Если ваша организация попадает под определение оператора персональных данных, то вам необходимо разработать Политику обработки персональных данных на основе рекомендаций Роскомнадзора и разместить её на сайте компании в открытом доступе;
- Добавить компанию в реестр операторов, осуществляющих обработку персональных данных, если её там ещё нет;
- В постоянном режиме получать согласие на обработку персональных данных от пользователей сайта и обязательно в таком согласие указывать ссылку на Политику в целях изучения пользователями;
- Убедиться, что собранные персональные данные российских граждан хранятся на территории России;
- Убедиться, что у компании есть локальные акты по обработке персональных данных
- Убедиться, что получены разрешения на обработку данных от субъектов персональных данных, если компания пользуется услугами подрядчиков в какой-либо сфере своей деятельности.
Контакты
- +7 495 225-30-38 Москва
- +7 812 244-75-49 Санкт-Петербург
- +7 495 225-30-38 Тверь