Главная › Новости и Блог › Росcийское законодательство и бизнес › 

Роскомнадзор ответил на часто поступающие вопросы владельцев сайтов по обработке персональных данных пользователей

Роскомнадзор ответил на часто поступающие вопросы владельцев сайтов по обработке персональных данных пользователей

Роскомнадзор опубликовал разъяснения по вопросу обработки персональных данных интернет-магазинами

Федеральным законом “О персональных данных” установлено, что персональные данные граждан РФ должны обрабатываться только с их согласия, если иное не установлено другими нормами законодательства. Соответственно, интернет-магазины должны получить согласие пользователей при любых возможных правоотношениях с ними, предусматривающих использование их персональных данных, за исключением случаев, когда такие правоотношения оформлены в виде акцепта публичной оферты либо в виде иных форм договорных отношений, – говорится в публикации Роскомнадзора.

Затрагивает ли это обычные сайты?

Несмотря на то, что в разъяснении Роскомнадзора от 8 ноября 2017 года рассматривается случай только с интернет-магазинами, требования закона могут затронуть большинство интернет-ресурсов, в том числе блоги, корпоративные сайты и так далее. Если те данные, которые вы получили через сайт (например, в результате заполнения формы обратной связи, регистрации на сайте, подписки на информационную рассылку и т.п.), являются персональными (о том, что является персональными данными, мы поговорим чуть ниже), между вами и субъектом персональных данных не заключено никакого договора, а ваши действия направлены на обработку, хранение и использование такие данных,  то законом вы признаётесь оператором персональных данных (в ряде случаях придётся оповестить Роскомнадзор, но об этом тоже чуть позже).

Напомните, что такое персональные данные?

В законе даётся определение: “Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)”.

На наш взгляд не самое полное и чёткое определение.

Не утешает и ответ Минкомсвязи: “… Более точно определить состав персональных данных, в том числе привести их перечень, представляется нереализуемым. Закон также не содержит полномочий по уточнению этого термина подзаконными актами.”

В 2015 году в интервью lenta.ru Александр Жаров (глава Роскомнадзора) сообщил про персональные данные следующее: Это набор информации, позволяющий безошибочно идентифицировать вас как личность. Либо, если ваша личность уже определена, безошибочно отнести требуемые данные именно к вам. Например, фотография, ФИО, номер телефона и адрес электронной почты позволяют идентифицировать человека достаточно точно. А фотография и имя «Оля» персональными данными считаться не могут, как и отдельно взятый адрес электронной почты или номер телефона. Речь идет именно о совокупности данных.”

Тем не менее утверждённого списка того, что необходимо – или в каком сочетании – считать персональными данными, нет. Юристы бесконечно спорят по данному вопросу, основываясь на тех или иных прецедентах или логических заключениях. Таким образом, на основе этих рассуждений в список данных, которые можно считать персональными, можно включить:

  • ФИО
  • Дата и место рождения
  • Адрес
  • Паспортные данные
  • Семейное, социальное и имущественное положение
  • Образование и профессия
  • Доходы
  • Данные о поведении пользователя на сайте
  • Файлы cookies
  • Сведения о геопозиции
  • IP-адрес
  • Фотография
  • ссылка на профиль в социальной сети и т.п.

Что ещё нужно сделать операторам персональных данных?

Компании, отвечающие критериям оператора персональных данных, должны разместить на своем сайте документ, определяющий политику в отношении обработки персональных данных (о нём мы ещё поговорим чуть ниже).

Следует помнить про правила локализации обработки персональных данных. Если кратко, персональная информация должна храниться в базе данных на территории Российской Федерации.

Полезные ссылки:

Узнать IP-адрес сайта

Узнать расположение сервера по IP-адресу

Какие существуют варианты для архитектуры системы? (на примере баз данных ERP-систем)

Не стоит считать, что DNS запись типа “А” обязательно указывает на конечный сервер, где находится сайт. Эта запись может указывать на расположенный в России шлюз, с которого, например, идёт VPN-туннель в Германию. Чтобы быть уверенным в месте расположения сервера на 100%, лучше отправить запрос хостинг-провайдеру.

Сергей Николаев, руководитель IT поддержки Awara

Кстати, убедитесь, что ваша компания находится в реестре операторов персональных данных. Проверить можно по ссылке. Если вас там нет, то уведомление можно отправить через сайт Роскомнадзора, а затем распечатать копию, поставить подпись и печать организации и отправить обычной почтой в территориальный орган Роскомнадзора.

Владельцам сайтов нет необходимости уведомлять контролирующий орган в случае:

  • обработки данных в соответствии с трудовым законодательством;
  • если с субъектом персональным данных заключён договор, персональные данные не распространяются и не передаются третьим лицам;
  • если субъект персональных данных сделал их общедоступными;
  • если иное лицо (оператор, ответственный за обработку персональных данных) поручило вам обработку персональных данных с согласия такого субъекта персональных данных, на основании заключаемого с этим лицом договора (ст.6 п.3 ФЗ “О персональных данных”)
  • когда субъект персональных данных передаёт оператору только ФИО (без какой-либо дополнительной информации)

Какие существуют требования по составлению политики в отношении обработки персональных данных?

Роскомнадзором при участии Молодежной палаты Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных были подготовлены рекомендации по составлению подобного документа. В политику предлагается включить следующие пункты:

  1. Общие положения. Назначение, основные понятия, права и обязанности оператора и субъектов персональных данных.
  2. Цели сбора персональных данных. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.
  3. Правовые основания обработки персональных данных. Совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.
  4. Объём и категории обрабатываемых персональных данных, категории субъектов персональных данных. Содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки. В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных.
  5. Порядок и условия обработки персональных данных. В данном разделе рекомендуется указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных, сроки обработки персональных данных и условия прекращения их обработки. В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц. Также рекомендуется указывать сведения о соблюдении требований конфиденциальности персональных данных.
  6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.

С полной версией документа и подробным описанием рекомендаций вы можете ознакомиться по ссылке.

В специальные категории персональных данных входят расовая и национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья и интимной жизни.
Биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Как через сайт получать согласие на обработку персональных данных?

Технически получение согласия на обработку персональных данных можно реализовать, позволив пользователю ставить “галочку” в веб-форме при отправке информации о пользователе.

В случае обработки биометрических и специальных категорий персональных данных или хранения данных на территории страны, не обеспечивающей адекватную защиту персональных данных (список доступен на отдельной странице сайта Роскомнадзора), всё сложней: согласие придётся получить в письменной форме.

Как организации не получить штраф в 290 000 рублей

290 000 рублей? Да, если нарушить пункты 1-6 Статьи 13.11. КоАП РФ, то максимальная сумма штрафа для юридического лица может составить 290 000 рублей (и это без учёта штрафов для должностных лиц). Закон предусматривает ответственность за:

  1. Обработку персональных данных в случаях, не предусмотренных законодательством, либо несовместимых с целями сбора данных.
    – Штраф для должностных лиц: от 5 000 до 10 000 рублей
    – Штраф для юридических лиц: от 30 000 до 50 000 рублей
  2. Обработку персональных данных без письменного согласия (для случаев, когда это необходимо).
    – Штраф для должностных лиц: от 10 000 до 20 000 рублей
    – Штраф для юридических лиц: от 15 000 до 75 000 рублей
  3. Отсутствие открытого доступа к опубликованной политике организации или отсутствие обеспечения неограниченного доступа иным способом в отношении обработки персональных данных и их защиты.
    – Штраф для должностных лиц: от 3 000 до 6 000 рублей
    – Штраф для юридических лиц: от 15 000 до 30 000 рублей
  4. Невыполнение обязанности по предоставлению информации субъекту персональных данных, касающейся обработки его персональных данных.
    – Штраф для должностных лиц: от 4 000 до 6 000 рублей
    – Штраф для юридических лиц: от 20 000 до 40 000 рублей
  5. Невыполнение требований об уточнении, блокировании, уничтожении персональных данных.
    – Штраф для должностных лиц: от 4 000 до 10 000 рублей
    – Штраф для юридических лиц: от 25 000 до 45 000 рублей
  6. Нарушение правил сохранности персональных данных при их обработке без использования средств автоматизации, что привело к неправомерному или случайному доступу к персональным данным.
    – Штраф для должностных лиц: от 4 000 до 10 000 рублей.
    – Штраф для юридических лиц: от 25 000 до 50 000 рублей.

Подведём итог. Чтобы не вызвать претензии со стороны надзорного органа и не получить штраф мы рекомендуем:

  1. Определить, попадает ли ваша организация в категорию операторов персональных данных;
  2. Если ваша организация попадает под определение оператора персональных данных, то вам необходимо разработать Политику обработки персональных данных на основе рекомендаций Роскомнадзора и разместить её на сайте компании в открытом доступе;
  3. Добавить компанию в реестр операторов, осуществляющих обработку персональных данных, если её там ещё нет;
  4. В постоянном режиме получать согласие на обработку персональных данных от пользователей сайта и обязательно в таком согласие указывать ссылку на Политику в целях изучения пользователями;
  5. Убедиться, что собранные персональные данные российских граждан хранятся на территории России;
  6. Убедиться, что у компании есть локальные акты по обработке персональных данных
  7. Убедиться, что получены разрешения на обработку данных от субъектов персональных данных, если компания пользуется услугами подрядчиков в какой-либо сфере своей деятельности.

Контакты