Veomo.ru

Финансовый журнал
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Закон о личных данных граждан рф

Кто имеет право собирать наши персональные данные

С 1 марта запрещается распространять без согласия граждан их имена, фамилии, номера телефонов, а также адреса электронной почты

Фото: Игорь Самохвалов / ПГ

Россияне теперь будут сами решать, какие сведения позволительно использовать для своих нужд владельцам сайтов, а какие необходимо оставить приватными. Кроме того, операторы обязаны удалять персональные данные по первому запросу пользователей. Вместе с тем у соотечественников остаётся масса вопросов по поводу того, кто, в принципе, может касаться наших личных данных, а кто такого права не имеет. «Парламентская газета» разбиралась в этом вопросе.

Удалите меня полностью или частично

Помимо закона о персональных данных, принятого в 2006 году, неприкосновенность частной жизни, тайну переписки и телефонных переговоров на самом высоком уровне нам гарантирует Конституция. Тем не менее, хотя обрабатывать или распространять информацию о человеке без его согласия категорически запрещается, мы все вольно или невольно становимся участниками глобального процесса обмена персональными данными, то и дело оставляя их для оформления заказа в интернет-магазине или кредита в банке. Просто так удобно и быстрее. Не нужно стоять в очереди с бумажками для того, чтобы определить ребёнка в школу или получить субсидию от государства.

Однако, оставляя свои данные в различных учреждениях и на торговых площадках, названий которых порой и не вспомнишь, мы уверяем себя, что их не разместят в открытом доступе, а телефон не передадут посторонним лицам. Увы, самообольщение в этом случае — не лучший советник. Каждый из нас многократно убеждался в этом, отбиваясь от назойливых кредитных менеджеров или продавцов заманчивых услуг, которым кто-то «слил» информацию о нас.

Теперь, по идее, всё должно встать на свои места — доступ к приватным сведениям россиян будет серьёзно ограничен. С 1 марта в России вступил в силу запрет сайтам обрабатывать персональные данные без согласия их владельца. Также россияне получают право требовать удаления персональных данных из общего доступа без дополнительных условий.

«У граждан появится возможность указывать, какие именно персональные данные можно обрабатывать и собирать, а какие можно распространять и передавать дальше», — пояснил первый замглавы Комитета Госдумы по информационной политике, информационным технологиям и связи Сергей Боярский. Он добавил, что Роскомнадзор разработал специальную форму согласия на обработку персональных данных, разрешённых гражданином для распространения. По его словам, приказ находится на утверждении в Минюсте.

Депутат отметил, что теперь граждане могут свободно отзывать согласие на обработку персональных данных — как письменно, так и онлайн через специальную систему. «Новый закон закрепляет правило, что молчание или бездействие гражданина ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешённых им для распространения», — подчеркнул парламентарий.

Плюс День рождения и гражданство

Ранее «Парламентская газета» писала, что в Роскомнадзоре разработали список данных, которые должны фигурировать в форме согласия на обработку. Это помимо телефона и почты имя с фамилией человека. Всё остальное — биометрические данные, адрес и прочее — может быть указано дополнительно. Также в форме согласия должны быть данные об операторе и цель обработки сведений о человеке.

Напомним, в конце 2019 года список данных, которые отражаются в Единой информационной системе персональных данных, дополнили номером мобильного телефона и адресом электронной почты. Теперь же Минцифры предлагает добавить к ним дату рождения и информацию о гражданстве. Проект постановления Правительства размещён на федеральном портале проектов нормативных правовых актов 11 февраля.

Читайте также:

Также Минцифры разработало поправки к принятому 16 февраля Госдумой в первом чтении законопроекту, который вносит изменения в закон о персональных данных. Об этом сообщается на сайте ведомства 3 марта. Поправки предусматривают свободную обработку бизнесом обезличенных данных. А для защиты персональных данных россиян предлагается ввести ряд ограничений для операторов, которые обрабатывают приватную информацию. Например, оператор не сможет использовать информацию, действия и методы, которые помогут определить принадлежность персональных данных конкретному субъекту. Также будет запрещено в дополнение к обезличенным данным передавать третьим лицам информацию, позволяющую идентифицировать конкретного человека.

«Законопроект позволит повысить эффективность системы защиты прав субъектов персональных данных — наших граждан, а также даст возможность бизнесу использовать данные, полученные в результате обезличивания. При этом права россиян на безопасную обработку и сохранение их персональных данных будут соблюдены», — прокомментировал новацию врио директора департамента информбезопасности Минцифры Дмитрий Реуцкий.

Кто может собирать данные

По закону оператор Единой информационной системе персональных данных должен предоставить доступ к информации о человеке по запросу правоохранителей, но мы уже знаем, что некоторым операторам закон не писан и появление баз данных россиян на чёрном рынке всё ещё становится поводом для СМИ порассуждать об информационной безопасности. Так кто же эти люди, владеющие информацией о нас с вами и имеющие право ею распоряжаться?

Увы, их великое множество. Согласно закону, тот, кто обрабатывает чьи-то персональные данные, тот и становится автоматически оператором. То есть им может быть как муниципальный или государственный орган власти, так и обычная компания-работодатель или владелец сайта, где пользователи, проходя регистрацию, оставляют сведения о себе. Эти данные впоследствии систематизируются и используются в том числе для рассылки, приглашений на акции и так далее. Всё это и называется обработкой персональных данных.

В соответствие с законом, операторы персональных данных должны зарегистрироваться в Роскомнадзоре, подав уведомление в электронном виде на официальном сайте ведомства через специальную форму. Либо то же самое сделать через портал Госуслуг или в письменной форме.

При этом список контактов в наших телефонах, которые мы обрабатываем в личных целях, под действие закона о защите данных не попадают. Правда, до тех пор пока не будут нарушены права наших знакомых. А права их могут быть нарушены, если оставить их e-mail или номер телефона в качестве контактных при оформлении кредита и в остальных схожих случаях.

За сохранностью персональных данных сегодня следит Роскомнадзор, который может потребовать у провайдера или хостера предоставить подтверждение места хранения баз данных россиян. Если выяснится, что они хранятся с нарушениями или вовсе за рубежом, то у операторов возникнут проблемы. Законом устанавливается ответственность за нарушение требований о локализации баз персональных данных граждан на территории России. Для граждан штраф составляет от 30 тысяч до 50 тысяч рублей, для должностных лиц — от 100 тысяч до 200 тысяч рублей, для юридических — от 1 млн до 6 млн рублей.

Кроме того, защитой персональных данных занимается Федеральная служба по техническому и экспортному контролю, также к проверкам могут подключиться ФСБ и прокуратура, у которых достаточно полномочий, чтобы разобраться с нарушениями.

Закон о защите и использовании персональных данных

ФЗ-152 «О персональных данных» регламентирует защиту и использование личной информации каждого гражданина. За нарушение положений вышеуказанного закона нарушителя могут привлечь к административной, гражданской, уголовной и другой ответственности.

Суть закона

Закон «О персональных данных» (ФЗ-152) принят 27.07.2006. Он определяет принципы использования личных данных физического лица. ФЗ-152 введен с целью регулирования правоотношений при использовании персональных данных субъекта. Содержание ФЗ включает в себя 6 глав и 25 статей:

  • общие положения;
  • основные принципы использования данных физлиц и условия их обработки;
  • права граждан;
  • обязательства оператора;
  • принципы осуществления госконтроля, ответственность за нарушение положений действующего ФЗ;
  • заключительные моменты.
Читать еще:  Наказание за неуважение к суду

Закон устанавливает права и обязанности гражданина при разглашении или обработке персональных данных (своих или иных лиц и организаций).

Последние изменения

Последние изменения в ФЗ «О персональных данных» вводились 29 июля 2017 года. В ФЗ изменения коснулись:

  • статьи 1:
    • пункт 5 части 2 утратил силу после принятия ФЗ-223 от 29.07.2017;
    • введена 3 часть ФЗ-223 (от 29.07.2017). 3-я часть содержит положение о деятельности судов в РФ, владеющих личной информацией граждан;
  • статьи 6:
    • введен пункт 3.1 в 1 части — по законодательству использование сведений о гражданах нужно для исполнения вердикта суда или должностного органа;
    • пункт 3 части 1 был изменен и теперь допускает обработку сведений при участии граждан в судопроизводстве.

С 30 июня 2018 будут внесены изменения во 2 часть статьи 11. Будет добавлен дополнительный пункт, по которому биометрические персональные данные могут быть использованы без согласия физического лица — при проведении обязательной дактилоскопической госрегистрации. Это означает, что личные данные могут быть использованы без соглашения с их владельцем по причине проведения общегосударственной регистрации отпечатков пальцев.

Что является персональными данными?

Персональные данные – личные сведения о человеке (физическом лице) и его деятельности — дата рождения, гражданство, образование, специальность и т. д. Согласно Федеральному Закону Российской Федерации, к личной информации относится:

  • у работника:
    • паспортные реквизиты;
    • сведения из военкомата — касательно воинской обязанности;
    • страховой номер индивидуального лицевого счета;
    • сведения об образовании, учебных заведениях;
    • информация о квалификации и специальности;
    • трудовой договор работника;
    • анкета, которая выдается работнику при зачислении на работу;
  • дополнительно в список персональных сведений, согласно ФЗ, работодатель может внести:
    • информацию об обучении или повышении квалификации по профессии;
    • документы, содержащие сведения о зарплате, премиях, командировках;
    • письма работника и его заявления;
  • у государственного служащего:
    • трудовой договор;
    • ведомость о зарплате, премиях и иных денежных выплатах;
    • документы об образовании, повышении квалификации;
    • заявление о постановке на государственно-гражданскую службу;
    • информация из паспорта и налоговой инспекции;
    • документ о начале деятельности и ее завершении (отставке);
  • у муниципального работника:
    • личная информация, взятая из паспорта и военкомата;
    • документальное подтверждение о местожительстве, численности семьи;
    • трудовой договор и документы из налоговой инспекции;
    • заработная плата, премии, льготы;
    • сведения об образовании и профессии;
    • информация о судимости и физическом состоянии;
  • у физического лица — любого гражданина Российской Федерации:
    • СНИЛС;
    • место прописки и фактическое место проживания;
    • паспорт — дата и место рождения, Ф.И.О, пол, семейное положение и т. д.;
    • трудоустройство;
    • специальные льготы и пособия — основания и сумма пособий.

Далее ознакомимся с порядком применения данных.

Порядок использования личной информации

Федеральный закон о защите персональных данных обязывает работодателя согласовать использование персональных данных с работником — порядок использования должен соответствовать ФЗ-152 России. Перед использованием личной информации работник должен дать согласие на обработку персональных данных.

В согласии указать:

  • информация паспорта — место проживания, Ф.И.О;
  • личную информацию оператора — получателя гражданских личных сведений;
  • категория ПД, к которым физическое лицо разрешает доступ;
  • период использования ПД;
  • причина использования ПД — например, трудоустройство;
  • подпись заявителя и дата заявки.

Следует помнить! Оператор или любое другое физическое лицо может использовать гражданские персональные данные только с согласия человека по ФЗ РФ.

Ответственность

Федеральный закон 152-ФЗ «О персональных данных» защищает персональные данные каждого гражданина (статья 24 ФЗ 152). Любое использование персональных данных без согласия их владельца – ведет к ответственности по ФЗ. ФЗ предусматривает несколько видов наказаний:

  • административное наказание — за правонарушение по хранению, использованию персональных сведений по ФЗ России. Влечет штраф:
    • для юридических лиц от 5 до 10 000;
    • до 1000 для должностных лиц;
    • до 500 для физических лиц;
  • гражданско-правовое наказание – причинение морального вреда человеку, нарушение его прав. Суд может обязать выплатить компенсацию — размер зависит от обстоятельств и степени вреда;
  • уголовное наказание – разглашение тайной переписки (разглашение личной информации), нарушение частной жизни (ФЗ и статья УК России 137). Суд предусматривает:
    • работы сроком до полугода;
    • задержание до 4 месяцев;
    • компенсация до 200 000 и работы от 120 часов.

В заключении можно сделать вывод, что личная информация важная часть любого человека. Она защищена на уровне закона, а ее разглашение ведет к наказаниям.

По любым вопросам обращайтесь к нашим юристам через данную форму!

152-ФЗ «О защите персональных данных»

Ежедневно люди выполняют множество операций в сети, которые предусматривают использование персональных данных гражданина. Большинство из них не знают простых правил безопасности при использовании интернета. По этой причине, правительство возложило обязанность по защите этих граждан на учреждения, использующие информацию о сотрудниках.

Основным правовым документом, регулирующим обработку персональных сведений различными организациями, является закон «О персональных данных» от 27.07.2006 года № 152-ФЗ.

Описание закона

Постановления закона распространяются на организации, которые работают с обработкой персональных сведений граждан или те, кто имеет к ним доступ.

Действия, которые не регулируются законом 152-ФЗ:

  • Персональные сведения обрабатываются физическими лицами для личных нужд. Необходимо отметить, что обработка не должна нарушать права обладателя данных;
  • Организация архивов, которая регулируется законодательством об архивации в Российской Федерации;
  • Обработка личных данных, которые содержат информацию, относящуюся к государственной тайне;
  • Личные данные, которые относятся к деятельности судебных органов и которые были представлены в судебном порядке;
  • Персональные сведения, относящиеся к деятельности судов.

А знаете ли вы, что закон с предыдущим номером 151, посвящен вопросу об аварийно спасательных службах.

Когда принят?

152-ФЗ был принят Государственной Думой 8 июля 2006 года. Одобрил его Совет Федерации 14 июля 2006 года. Последняя редакция закона произошла 22 февраля текущего года. Действовала она до 1 марта 2017.

Порядок использования персональных данных

Согласно закону РФ, руководитель компании должен утвердить порядок использования личных сведений. Необходимые нормы указываются в локальном документе организации о защите данных. Они должны соответствовать требованиям правовых актов РФ и 152-ФЗ.

Оператор личных данных — это правительственный, муниципальный орган или физическое, юридическое лицо, которое организует осуществление обработки личной информации и определяет цели их использования.

В обязанности оператора входит:

1. При сборе личных сведений, оператор предоставляет по просьбе гражданина информацию о том, чьи данные он получил, информацию, которая предусмотрена ст. 14 ч.7 152-ФЗ.

2. Если гражданин обязан предоставить свои сведения по закону РФ, оператор должен объяснить ему, что в случае отказа, можно столкнуться с юридическими последствиями.

3. Если полученная оператором для обработки личная информация не была предоставлена ее владельцем, он обязан предоставить ему следующую информацию:

  • ФИО и адрес оператора;
  • С какой целью обрабатываются данные и на основании каких правовых актов;
  • Права гражданина, чьи данные были получены;
  • При помощи какого источника была получена личная информация.

4. Согласно положениям 152-ФЗ, оператор назначает ответственное лицо в определенной организации, которое организовывает обработку полученных материалов. Уполномоченное лицо получает указания по дальнейшим действиям от оператора.

Обработка личной информации по 152-ФЗ разрешается в следующих случаях:

  • Анализ личной информации вправе осуществляться с согласия гражданина, чьи данные были получены;
  • Если обработка информации требуется для достижения целей, предусмотренные законом РФ или международными договорами России;
  • Анализ информации необходим для судебной инстанции;
  • Обработка сведений требуется для защиты жизни гражданина;
  • Производится в статистических или исследовательских целях, за исключением целей, указанных в статье 15, 152-ФЗ.
Читать еще:  Сведения о собственнике квартиры из росреестра

Кстати, текст закона о почтовой связи тоже важно изучить. Подробности по ссылке:

Последние изменения ФЗ «О защите персональных данных»

Поскольку законодательные акты зачастую претерпевают корректировки, в 152-ФЗ также были внесены изменения.

По причине вступления в силу Федерального закона от 03.07.2016 № 230-ФЗ претерпели изменения условия анализа личной информации, описанные в Федеральном Законе 152.

Статья 3

В 3 статье закона описываются основные понятия, которые используются в акте: персональные данные, оператор, обработка персональных сведений, а также распространение и предоставление личных сведений. В последней редакции представленная статья не претерпела изменений.

Статья 5

В 5 статье федерального закона описаны принципы анализа информации. Отмечается, что обработка сведений осуществляется только по закону и объединение базы данных с личной информацией граждан запрещена. В последнем редактировании текущая статья не подвергалась изменениям.

Статья 7

В 7 ст. 152-ФЗ сказано, что операторы и другие ответственные лица, получившие доступ к личным данным, обязаны не распространять информацию, не получив согласие владельца. Изменений статья не претерпела.

Статья 9

В 9 ст. 152-ФЗ указана информация о согласии субъекта на обработку его личных данных. Представлены сведения о том, как составить письменное согласие.

При последней редакции, изменений в текущей статье не было.

Статья 19

19 статья 152 Федерального Закона указывает меры для обеспечения безопасности личной информации при ее анализе.

Скачать 152-ФЗ

Чтобы разрешить конфликтную ситуацию или иные вопросы, связанные с защитой персональных данных, изучите последнюю редакцию 152-ФЗ РФ. В законе о защите информации представлены все поправки, дополнения и изменения. Скачать измененный закон можно по ссылке.

Комментарии

Если существует необходимость получить дополнительную и конкретную информацию относительно 152-ФЗ РФ, следует ознакомиться с комментариями к закону. Скачать их можно по ссылке.

Новые правила обработки и распространения персональных данных с 1 марта 2021 года

С 1 марта 2021 года вступили в силу новые правила обработки и распространения общедоступных персональных данных. Что изменилось в работе с общедоступными личными сведениями граждан, и какие штрафы теперь грозят за нарушение правил сбора и распространения таких персональных данных?

Изменения в законе о персональных данных с 1 марта 2021 года

Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.

Под персональными данными, разрешенными для распространения, понимается любая открытая информация о человеке, в том числе его контактные данные. При этом под распространением персональных данных понимаются действия, направленные на раскрытие этих данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.

Существующий правовой пробел позволял любым третьим лицам осуществлять сбор и последующее бесконтрольное использование общедоступных персональных сведений, в том числе и в социальных сетях. Причем собранные таким образом сведения зачастую используются третьими лицами в целях, отличных от цели их первоначального распространения, – для рассылки рекламы, предложения услуг и т.д.

Новые правила исключают для операторов персданных и третьих лиц подобную возможность и устанавливают четкие правила дачи согласия на распространение и обработку общедоступных личных сведений.

Одновременно вступившие в силу поправки регламентируют процедуру отзыва согласия на распространение общедоступных персональных данных, а также определяют последствия несоблюдения операторами порядка получения согласия на их обработку и распространение.

Все это позволит избежать бесконтрольного использования третьими лицами общедоступных сведений о гражданах вопреки целям их первоначального получения и обработки.

Согласие на обработку данных, разрешенных к распространению

Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя.

Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.

Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).

В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.

Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.

Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.

Закон о персональных данных 152 ФЗ: как не нарушить

C 1 июля 2017 года вступил в силу закон «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» от 07.02.2017. Изменения коснулись статьи 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)», а также статей 28.3 и 28.4 КоАП РФ.

Читать еще:  Нормативные правовые акты относящиеся к транспортному законодательству

Ранее протоколами по таким делам занималась прокуратура, теперь их возбуждает Роскомнадзор. Причем РКН уже активно ведет проверки, начисляет штрафы по каждому пункту нарушений, а суммы возросли в десятки раз.

Если на сайте нет информации о политике конфиденциальности, индивидуального предпринимателя могут оштрафовать на сумму в 10 тысяч рублей, а компанию — на 30 тысяч. Если обработкой персональных данных будет заниматься новостной сайт без согласия своих подписчиков или интернет-магазин — без согласия клиентов, то руководителя компании или предпринимателя оштрафуют на сумму до 20 тысяч рублей, а юрлицо — до 75 тысяч рублей. Количество штрафов будет равно количеству нарушений, заплатить один раз за несколько ошибок не получится.

Кто виноват?

Согласно Федеральному закону « О персональных данных» — «персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.»

Ответственность за нарушение нового закона несут так называемые «операторы персональных данных».

Оператор персональных данных, согласно тому же закону — « государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных».

Все владельцы сайтов, на которых есть контактная форма — анкета, форма регистрации, обратной связи, подписки или просто кнопка заказа обратного звонка, запрашивающая имя и контактный номер телефона, являются операторами персональных данных и могут быть привлечены к ответственности за нарушения пунктов закона.

Вместе с тем, закон не распространяется на запись и сохранение любой личной информации, которую планируется использовать для личных или семейных нужд. Телефонная книга в смартфоне или список контактов в клиенте электронной почты не сделают вас оператором персональных данных. Но, если вы передадите эти данные лицу или организации, которая по закону, является оператором персональных данных или опубликуете сведения, это будет нарушением.

Что делать?

  1. Подготовьте публичные документы о правилах и условиях обработки персональных данных и разместите их на сайте так, чтобы они были доступны с любой страницы. Это может быть уведомление, пользовательское соглашение, правила продажи или политика в отношении обработки персональных данных. Важно не название, а содержание. Не копируйте документы других компаний без обработки. Их можно использовать в качестве шаблона, но список данных и цели их использования пропишите свои.

Данные, которые могут потребоваться интернет-магазину для доставки товара, не понадобятся для оформления подписки на информационном сайте. Почему это важно — см. следующий пункт.

Приведите в соответствие с публичным документом сами контактные формы. Запрашивать нужно только те персональные данные, которые нужны для работы с вашим ресурсом. Подпишите, зачем просите эти данные, чтобы пользователям было комфортно их оставлять.

Запрос излишних данных может быть расценен как нарушение закона и стать поводом для штрафа.

Реализуйте программное решение, которое гарантирует согласие пользователя на обработку персональных данных. Это может быть чек-бокс в форме регистрации, в котором нужно поставить галочку, или кнопка согласия с условиями использования, без активации которых человек не сможет отправить сообщение или оформить заказ.

В случае, если персональные данные не предполагается публиковать, а только использовать для обработки внутри компании, явным образом ограничьте передачу персональных данных без согласия на их обработку. Согласно закону, обязанность доказать, что пользователь добровольно оставил свои данные, возлагается на оператора.

Важно! Перед получением персональных данных, которые предполагается публиковать в общедоступных источниках или передавать третьим лицам, получите письменное согласие у каждого посетителя, клиента или подписчика на их обработку, хранение и распространение.

Обезопасьте базу данных. Подготовьте внутренние документы, регламентирующие правила обработки и хранения персональных данных, ответственности сотрудников, имеющих к ним доступ, назначьте лицо, ответственное за безопасность персональных данных и соблюдение правил работы с ними, определенных Федеральным законом N152.

Даже в том случае, если ваш сайт обслуживает другая компания или специалист на аутсорсе, штраф за нарушение закона будет выписан на компанию или ИП, которые указаны на сайте в качестве владельца и, следовательно, получателя персональных данных.

Отправьте, если сайт подпадает под требования Закона, уведомление в Роскомнадзор.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и не будут распространяться или использоваться иным образом;
  • у вас хранятся только ФИО клиента;
  • данные опубликованы в общем доступе самим человеком или кем-либо по его поручению.

Если уверены, что отправлять уведомление не нужно, оформите всю документацию так, чтобы это было понятно и возможным проверяющим. Укажите в пользовательском соглашении, что данные открыты с согласия пользователя, но помните, что доказывать это придется вам.

По закону операторы персональных данных должны уведомить Роскомнадзор. Это нужно сделать до начала обработки данных или вскоре после. Роскомнадзор внесёт информацию об операторе в Реестр операторов персональных данных.

Кроме того, вы обязаны сообщать по запросу пользователя, какие у вас есть данные о нём, как и для чего они обрабатываются и кому вы их передавали, а также удалять данные по первому требованию лица, персональные данные которого хранятся в вашей базе.

Подготовить документы, опубликовать политику и уведомить РКН бесплатно можно здесь.

Дополнено 04.07.2017:

Мы получили комментарий от сотрудника Роскомнадзора:

«При проверке важно, чтобы у вас на сайте можно было подтвердить согласие на сбор и обработку данных — поле для галочки или какая-то другая форма, публичный документ о целях сбора, порядке обработки персональных данных и обеспечении их безопасности, и ссылка на этот документ на форме, где собираются ПД. Персональными данными мы считаем любую информацию, которую человек оставил на сайте, даже если она недействительна — никнейм, неверный номер телефона и т. д. Штрафы уже были, в основном, за отсутствие документов с политикой в отношении персональных данных или за ошибки в них.»

Пример формы регистрации на сайте РИА Новости:

Форма регистрации на сайте

Как видим, подтверждения согласия пользователя на обработку ПД в виде чек-боксов или кнопок «согласен» нет. По ссылке можно перейти на страницу с политикой конфиденциальности, где указано, что пользователь дает это согласие, регистрируясь на сайте:

Согласие на обработку конфиденциальных данных на сайте

Другой пример сайта, где регистрационная форма обязывает пользователя вводить несколько типов персональных данных — Avito:

Форма регистрации

Есть текст, уведомляющий пользователя, что при регистрации он принимает условия пользовательского соглашения, и ссылка на него.

Текст соглашения не содержит информации об обработке персональных данных, кроме указания, что пользователь делает свои данные общедоступными, размещая объявление на сайте.

Текст соглашения

Политика в области обработки и безопасности персональных данных на Avito размещается в разделе «Безопасность», ссылка доступна с любой страницы сайта.

Универсального совета нет. Для каждого сайта в зависимости от рода занятий — своя форма, поэтому лучше проконсультироваться в Роскомнадзоре.

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector