Как избежать штрафов и что нужно знать о новых поправках
Почти все владельцы сайтов обрабатывают персональные данные — например, собирают почтовые адреса для рассылки.
1 июля 2017 года вступают в силу изменения в законе о персональных данных, из-за которых в разы вырастут штрафы. Максим Лагутин, эксперт по персональным данным в компании Б-152, рассказывает, на кого это повлияет и как избежать штрафов.
Максим Лагутин
Эксперт по защите персональных данных, основатель консалтинговой компании Б-152 Сейчас по статье 13.11 есть только одно нарушение со штрафом 10 000 рублей для юрлиц. После 1 июля их станет семь и общий штраф может составить до 295 000 рублей.Почему сейчас? Все штрафы, которые вступают в силу с 1 июля, являются наиболее частыми нарушениями, которые Роскомнадзор выявлял в течение последних пяти лет. Ужесточение нашего законодательства связано с ужесточением законодательства в Евросоюзе.Например, если в форме обратной связи нет ссылки на соглашение на обработку персональных данных, компания должна будет заплатить 50 000 рублей. Если на сайте нет политики конфиденциальности, ИП оштрафуют на 10 000 рублей, компанию — на 30 000 рублей.
Операторов персональных данных. Оператор — любая организация, ИП и физическое лицо, которые обрабатывают персональные данные, например, собирает электронные адреса для рассылки.
Определение из закона 152-ФЗ «О персональных данных»:
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Любые данные о человеке, по которым его можно опознать. Точного перечисления в законе нет, но, например, если логин пользователя нам ни о чем не говорит, то электронная почта — это уже персональные данные.
Определение из закона 152-ФЗ «О персональных данных»:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Неважно, используете ли вы эту информацию по отдельности или в сочетании — если вы как-то получаете ее от пользователей, вы — оператор персональных данных.
- Телефон
- Имя, фамилия, отчество (и по отдельности)
- Адрес
- Дата рождения
- Фотография
- Ссылка на персональный сайт и профиль в соцсетях
Трактовка расплывчатая, но исходя из позиции судов и Роскомнадзора даже cookie, данные об IP-адресе, местоположении без указания фамилии и имени являются персональными данными. В деле LinkedIn (который заблокировали за использование cookie, сведений о поведении пользователя на странице и сведений о местонахождении) и провайдера Скартел позиция судов и Роскомнадзора подтверждается.
Если на вашем сайте есть любая форма сбора данных — обратной связи, подписки на рассылку, регистрации или личный кабинет, это считается обработкой персональных данных.
Хранение и сбор тоже попадают под определение обработки. Даже если вы собираете данные и через пару минут удаляете, это будет считаться обработкой персональных данных.
Определение из закона 152-ФЗ «О персональных данных»:
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Вам нужно сделать так, чтобы сайт соответствовал требованиям 152-ФЗ. Эти требования применимы для всех — физических лиц и компаний. Убедитесь, что вы соблюдаете следующие условия:
Хостинг и база данных с персональными данными должна располагаться на территории России. Об этом прямо говорят данные проверок Роскомнадзора (снова LinkedIn) и закон № 242-ФЗ, который обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года.Это касается иностранных компаний с юрлицом в России и без него, а также российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. Все осложняется тем, что требования Роскомнадзора до конца не ясны, приходится догадываться самим.
Если вы не понимаете, где хранить данные и что делать, обратитесь с запросом в Роскомнадзор или Минкомсвязи. И возможно у вашего хостинг-провайдера есть готовые решения на такой случай.
Под каждой формой сбора данных, включая сбор email, разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». В тексте должна быть ссылка на документ — Пользовательское соглашение, договор или согласие на обработку персональных данных. Текст самого документа можно разместить на отдельной странице.
В Тильде в каждом блоке с формой сбора данных есть поле, в котором можно разместить текст о согласии на обработку данных и ссылку на соглашение и таким образом выполнить требование закона.
Какая информация должна быть в соглашении об обработке персональных данных
Согласно ч.4 ст.
9 закона 152-ФЗ «О персональных данных» в соглашении обязательно должна быть следующая информация:
- наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
Также нужно указать информацию о том, как физическое лицо может отозвать свое согласие на обработку персональных данных (ч.2 ст. 9 152-ФЗ «О персональных данных»).
Разместить на сайте в общем доступе (например, в подвале сайта) ссылку на документ — политику организации в отношении обработки персональных данных на сайте.
Показывать всем новым пользователям сайта предупреждение с текстом о том, что вы собираете метаданные пользователя (cookie, данные об IP-адресе и местоположении) для функционирования сайта и, если он не хочет, чтобы эти его данные обрабатывались, то должен покинуть сайт.
На Тильде блок с предупреждением находится в категории «Другое» под номером Т657
Подать уведомление, чтобы внести организацию в реестр операторов персональных данных Роскомнадзора — можно сделать через сайт.
Уведомление можно не подавать, если вы:
- обрабатываете только данные работников и только для исполнения требований трудового законодательства (без передачи данных в банки, например, оформления зарплатного проекта)
- обрабатываете данные, заключая договор с каждым клиентом и работником, и не передаете данные третьим лицам
- обрабатываете персональные данные только на бумажных носителях.
Другие исключения, когда уведомление в Роскомнадзор можно не подавать, содержатся во втором пункте статьи 22 закона 152-ФЗ.
Подтверждать статус оператора в Роскомнадзоре не нужно. Вы или ваша компания итак уже является оператором, если имеет доступ к персональным данным.
Выше мы назвали главные требования, которые Роскомнадзор предъявляет ко всем сайтам — неважно, физическое вы лицо или юридическое. Ниже еще несколько групп требований, которые должны дополнительно выполнять юридические лица.
Что нужно еще сделать компаниям:
Назначить ответственных лиц и разработать пакет внутренних документов, регламентирующих процессы обработки и защиты персональных данных.
Правильно отрегулировать взаимодействие с физическими лицами, государственными органами и контрагентами. Это значит, вам нужно:
- Подписать с сотрудниками обязательства о неразглашении персональных данных, согласие на обработку персональных данных и под роспись ознакомить их с внутренними документами по персональным данным.
- Со всеми другими физическими лицами подписывать согласие на обработку персональных данных или добавлять пункты об обработке персональных данных в договоры, которые вы заключаете.
- Заключать поручения на обработку персональных данных, если вы передаете кому-то данные физических лиц (например, рекламным агентствам).
- Отвечать на запросы физических лиц по поводу обработки их персональных данных — не игнорировать, как часто делают.
Защитить персональные данные техническими и организационными мерами — антивирусными системами, средствами межсетевого экранирования, разграничить права доступа. Все это прописано в приказе ФСТЭК № 21. В зависимости от требований проверять компанию могут разные инстанции: Роскомнадзор, ФСТЭК и ФСБ России. Самые редкие случаи проверки для частных организаций — проверка технической защиты персональных данных, это делает ФСБ в малом количестве.
ФСТЭК
Федеральная служба по техническому и экспортному контролю
Основной риск представляет Роскомнадзор, проводящий тысячи проверок в год.
Если раньше сумма штрафов для юридических лиц не превышала 10 000 рублей, то с 1 июля она спокойно может доходить до 300 000 рублей. Если нарушений несколько, штрафов тоже будет несколько.
Например, если вам напишет пользователь и попросит уточнить или удалить его персональные данные с вашего сайта, а вы не предоставите эту информацию, то штраф для физических лиц будет до 2000 рублей, для ИП — до 20 000 рублей, для компаний — до 45 000 рублей. Все штрафы можно посмотреть в поправках к закону.
Как правило, вначале Роскомнадзор присылает «письмо счастья», в котором указывает выявленные нарушения на сайте, связанные с неправомерной обработкой персональных данных. Хотя в случае с астраханскими сайтами, которых оштрафовали за форму обратной связи на сайте, проверку просто начали по алфавиту.
Пример «письма счастья»:
Еще Роскомнадзор может запросить большой список документов. Если проверка выявит нарушения, то Роскомнадзор может заблокировать сайт, наложить штрафы и в редких случаях приостановить деятельность компании. Не ждите «письмо счастья». Начните выполнять все основные требования, чтобы избежать плачевных последствий и штрафов.
Максим ЛагутинИллюстрации, дизайн и верстка: Юлия Засс
Если материал вам понравился, расскажите о нем друзьям. Спасибо!
Обработка персональных данных в облачных сервисах: правовой аспект
Компании зачастую используют облачные сервисы, не задумываясь о штрафах и рисках. Разобрали вопрос с юристом практики IP и персональных данных и рассказали о работающих рекомендациях.
Практически невозможно представить себе деятельность современной компании без использования облачных технологий – Dropbox, iCloud, Google Drive, Microsoft OneDrive, «Яндекс.Диск», «Облако Mail.ru», Google Docs и множества других, включая повсеместно используемые электронные почты.
Вместе с тем, зачастую затруднительно привести процессы, связанные с обработкой персональных данных в компании, в полное соответствие с законодательными требованиями.
Согласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Приведенное определение довольно широкое, в связи с чем на практике к персональным данным относят в том числе номер телефона, адрес электронной почты, занимаемую должность и любые другие сведения, которые сами по себе или совместно с другой информацией могут потенциально идентифицировать субъекта персональных данных.
Таким образом, любая информация о клиентах или контрагентах, которая попадает в облачные сервисы в ходе текущей деятельности компании, с большой долей вероятности может быть квалифицирована в качестве персональных данных, а компания, соответственно, будет являться их оператором.
Закон о персональных данных содержит определение обработки персональных данных, согласно которому под обработкой понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными.
Включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (статья 3).
Таким образом, любое взаимодействие с облачными сервисами, связанное с передачей, хранением персональных данных или любыми другими действиями с персональными данными в них, подпадает под понятие обработки и, следовательно, должно осуществляться с полным соблюдением законодательных требований, в том числе о необходимости локализации персональных данных граждан РФ.
При этом необходимо отметить, что передача/хранение обезличенных данных или данных в зашифрованном виде также не выводит деятельность компании из-под сферы действия Закона о персональных данных.
Во-первых, обезличивание напрямую указано в определении обработки персональных данных, во-вторых, перечень действий с персональными данными, которые считаются обработкой, не является закрытым в связи с указанием в Законе на любые действия и операции с данными.
Проблема определения статуса провайдера облачного сервиса с точки зрения законодательства о персональных данных
Закон о персональных данных разделяет две категории субъектов, осуществляющих обработку персданных:
· Лицо, осуществляющее обработку персональных данных по поручению оператора.
Маргарита Пантелеева
В соответствии со статьей 3 Закона о персональных данных, оператором является госорган, муниципальный орган, юридическое или физ лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персданных, а также определяющие цели обработки персданных, состав персданных, подлежащих обработке, действия (операции), совершаемые с персданными.
В качестве операторов выступают компании, использующие облачные сервисы.
По вопросу статуса провайдера облачного сервиса на текущий момент существуют две основные позиции: либо он является лицом, осуществляющим обработку персональных данных по поручению оператора («обработчиком»), либо он вообще не участвует в процессе обработки персональных данных.
Можно привести аргументы в поддержку обеих точек зрения. В частности, о том, что провайдер облачного сервиса исключается из перечня субъектов, осуществляющих обработку персональных данных, могут свидетельствовать следующие моменты:
- Целью провайдера облачного сервиса является непосредственно предоставление доступа к такому сервису своим пользователям. В свою очередь клиент облачного сервиса располагает данные в «облаке», и именно у пользователя есть цель сбора и обработки персональных данных в рамках его деятельности.
- Из предыдущего пункта следует, что провайдер облачного сервиса не знает, какие конкретно данные, какая информация хранится в его вычислительных мощностях. Его задача – предоставить доступ к пулу ресурсов, далее сам пользователь решает, в каких целях эти ресурсы использовать.
- Также у провайдера фактически отсутствует доступ к таким данным, поскольку пользователи облачных сервисов могут хранить или передавать данные через них в зашифрованном виде.
Несмотря на приведенные выше аргументы, провайдер облачного сервиса все же может быть признан лицом, осуществляющим обработку персональных данных по поручению оператора.
В соответствии с частью 3 статьи 6 Закона о персональных данных, оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора (поручение оператора).
Так, компании при осуществлении коммерческой деятельности получают персональные данные напрямую от субъектов персональных данных и передают их или хранят в облачных сервисах на основании заключаемых договоров с провайдерами облачных сервисов (например, в связи с оказанием услуг хостинга, однако фактическое название договора может быть любым).
В данном варианте взаимодействия компания является оператором персональных данных, а провайдер облачного сервиса – лицом, осуществляющим обработку персональных данных по поручению оператора («обработчиком»).
Также по вопросу обработки персональных данных с использованием облачных сервисов существуют разъяснения Рабочей группы по вопросам защиты физических лиц при обработке персональных данных[1], которая являлась независимым консультативным органом Евросоюза по вопросам защиты персональных данных и обеспечения неприкосновенности частной жизни. В связи с тем, что большая часть положений российского законодательства по вопросам обработки персональных данных заимствована и тем или иным образом основана на положениях соответствующего законодательства ЕС, данные разъяснения являются применимыми в текущем контексте.
Согласно указанному документу, клиент облачного сервиса определяет цель обработки персональных данных и принимает решение о передаче всей или части процессов обработки внешней организации, выступая при этом в качестве оператора персональных данных.
Облачный сервис является организацией, которая предоставляет услуги облачных вычислений в различных формах. В том случае, когда облачный сервис предоставляет средства и платформу в интересах клиента и действует от его имени, облачный сервис является «обработчиком» персональных данных.
Так, статус провайдера облачного сервиса в рамках процессов обработки персональных данных остается не до конца ясным, однако существует высокая вероятность квалификации провайдера облачного сервиса в качестве «обработчика».
Маргарита Пантелеева
В связи с потенциальной возможностью признания провайдера облачного сервиса «обработчиком» при его привлечении к процессам обработки персональных данных компания как оператор обязана выполнить следующие требования:
1. Получить согласие от субъектов персональных данных на обработку их данных с использованием облачного сервиса.
Фактически компания передает персональные данные третьему лицу – провайдеру облачного сервиса – в связи с чем условием законности такой передачи является получение согласия субъекта, в котором должны быть указаны, среди прочего, наименование провайдера облачного сервиса, перечень передаваемых персональных данных, цели передачи.
Вместе с тем, на практике затруднительно обеспечить получение согласий от всех субъектов в письменной форме, а также не всегда субъект персональных данных готов предоставить согласие на передачу своих данных обработчику.
2. Обеспечить надлежащие меры защиты персональных данных, обрабатываемых в облачных сервисах.
Реализация данного требования затруднительна в связи с тем, что оператор фактически не имеет возможности контролировать технические меры защиты, принимаемые облачным сервисом.
3. Соблюсти требование о локализации персональных данных граждан Российской Федерации на территории Российской Федерации.
Основная проблема заключается в том, что значительное количество серверов, которые предоставляются провайдерами или на которых расположены облачные сервисы, находятся за рубежом.
Вместе с тем, согласно требованиям Закона о персональных данных, персональные данные граждан РФ первоначально должны храниться в базе данных, расположенных на территории России и лишь затем могут быть переданы за рубеж с соблюдением требований, предъявляемых к трансграничной передаче персональных данных.
Зачастую компании не проверяют местоположение сервера используемого облачного сервиса и нарушают законодательство в связи с:
· несоблюдением требований о локализации. В ходе проверки при раскрытии факта нарушения требований о локализации Роскомнадзор вправе наложить административный штраф (от 1 до 6 миллионов рублей за первичное нарушение);
· неполучением согласий от субъектов персональных данных на трансграничную передачу персональных данных.
В случае, если страна расположения сервера не является участницей Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персданных и не входит в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, публикуемый Роскомнадзором.
· детализировать требования к защите персональных данных и по соблюдению конфиденциальности персональных данных в соглашении с провайдером облачного сервиса;
· в случае первичного сбора персональных данных проверять местонахождения серверов используемых облачных сервисов с целью соблюдения требований о локализации;
· получать согласия субъектов персональных данных на обработку их персональных данных с использованием облачного сервиса.
Соблюдение всех законодательных требований при обработке персональных данных в облачных сервисах является непростой задачей.
Для выявления всех рисков и разработки плана действий по приведению деятельности компании в соответствие с требованиями законодательства о персональных данных целесообразно проводить полный аудит процессов обработки персональных данных в компании с привлечением юристов, специализирующихся в данной области!
#советы_юриста #Клифф #персданные #локализация #локализация_персданных
Что нужно знать о персональных данных владельцу сайта
У вашего проекта есть сайт, но нет формы согласия на обработку персональных данных и политики конфиденциальности? Считаете, что к вам требования законодательства о персональных данных не относятся? Скорее всего, это не так.
Мы часто слышим возражения: но мы не занимаемся обработкой персональных данных! На самом деле, с точки зрения закона получение персональных данных через сайт и их временное хранение на сервере – это уже обработка.
Даже если на сайте есть только форма подписки на рассылку, где нужно оставить e-mail, или форма обратной связи, пользователь все равно передает вам персональные данные, не говоря уже о случаях, когда вы принимаете интернет-заказ или исполняете онлайн договор на оказание услуг.
- А значит, вы являетесь оператором персональных данных и на вас распространяются требования закона, соблюдение которых контролирует специальный проверяющий орган – Роскомнадзор.
- Штрафы за нарушение этих требований могут доходить до 75 000 рублей для юридических лиц, при этом за каждое нарушение (а их, как правило, сразу несколько) налагается отдельный штраф.
- Так какие же требования необходимо соблюдать?
- Рассмотрим самые основные моменты, тот минимум, который обязательно стоит учесть во избежание претензий проверяющих органов.
1. Политика обработки персональных данных (или политика конфиденциальности)
В соответствии с требованиями 152-ФЗ, любые лица, осуществляющие обработку персональных данных при помощи сайта, должны разместить на этом сайте в общедоступном режиме политику обработки персональных данных.
В политике, среди прочего, необходимо указать категории персональных данных, которые вы обрабатываете, способы и цели их обработки, способы защиты данных, а также каким образом субъект персональных данных может изменить или удалить эти данные.
Мы крайне не рекомендуем использовать «типовую» политику, найденную на просторах интернета или даже специальные он-лайн конструкторы, поскольку почти наверняка такие документы не будут учитывать специфику и все нюансы ваших бизнес-процессов, а значит, будут содержать недостоверные сведения, касающиеся способов и целей обработки персональных данных вашей организацией.
2. Согласие на обработку персональных данных
На обработку персональных данных необходимо получать согласие субъекта персональных данных.
Однако из этого правила есть исключение – если персональные данные обрабатываются только для целей исполнения договора, заключенного с этим субъектом. Руководствуясь этим исключением, многие пренебрегают получением согласия.
Однако необходимо учитывать, что в большинстве случаев исполнением договора обработка персональных данных не ограничивается.
Например, интернет-магазин, выполнив заказ, продолжает хранить данные заказчиков на сервере, а возможно даже использует их для онлайн-рассылок или в иных маркетинговых целях. Поэтому согласие на обработку персональных данных лучше все же получать.
Как это правильно делать, соблюдая все требования законодательства – тема отдельной обширной статьи. Если речь идет о сайте, согласие обычно можно получить, например, путем проставления пользователем соответствующей отметки при вводе персональных данных.
3. Можно ли не уведомлять Роскомнадзор
В соответствии со статьей 22 ФЗ «О персональных данных», оператор персональных данных до начала обработки таких данных должен направить соответствующее уведомление в Роскомнадзор. В той же статье перечислен ряд исключений, когда такое уведомление необязательно. Среди них есть и исключения, применимые к онлайн-коммерции.
Так, если ваша организация использует персональные данные исключительно для заключения и исполнения договоров с клиентами (например, для приема и доставки заказа) и никаким образом не распространяет их и не передает третьим лицам, то уведомлять контролирующие органы не обязательно.
Ответы Роскомнадзора на вопросы о персональных данных
В сентябре Роскомнадзор дал разъяснения по закону о персональных данных в форме вопросов и ответов. Публикуем их.
Уполномоченный орган — федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи.
В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 года № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.
В соответствии с п. 2 ст.3 Федерального закона от 27.07.
2006 № 152-ФЗ «О персональных данных» оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.
В соответствии с ч. 2 ст.7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обеспечения конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.
Согласно ч. 2 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;(п. 1.1 введен Федеральным законом от 25.11.2009 № 266-ФЗ)
- 2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
- 3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- 4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- 5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
- 6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- 7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Получить согласие работника на передачу его персональных данных для обработки другому оператору должна администрация предприятия, на котором работает субъект персональных данных.
В соответствии с ч.1 ст.22 Федерального закона от 27.07.
2006 № 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Исключение составляют случаи, предусмотренные ч.2 комментируемой статьи, при обработке персональных данных:
- 1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
- 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- 3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
- 4) являющихся общедоступными персональными данными;
- 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- 6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- 7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- 8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации
.Образец формы уведомления об обработке персональных данных и методические рекомендации по его заполнению размещены на официальном сайте Роскомнадзора.
Кроме того, на портале Персональные данные реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме.
Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.
Вы вправе обратиться в ближайшее территориальное управление Роскомнадзора. Адреса и контактные телефоны указаны на официальном сайте Роскомнадзора.
Ст.24 Федерального закона «О персональных данных» определяет ответственность за нарушение данного Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.Административная ответственность за нарушение настоящего Федерального закона наступает за:
— неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст.5.39 КоАП РФ);
— нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст.13.11 КоАП РФ);
— разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст.13.14 КоАП);
— непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст.19.7 КоАП РФ).
Кроме того, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации российским законодательством предусмотрена уголовная ответственность, предусмотренная ст.137, 272 УК РФ.
Персональные данные субъектов персональных данных, полученные кредитной организацией при рассмотрении заявок на получение кредита, в случае отрицательного решения кредитной организации подлежат уничтожению в срок, не превышающий трех рабочих дней с даты принятия соответствующего решения.
Обращаем Ваше внимание, что типовые формы документов, характер информации в которых предполагает или допускает включение в них персональных данных, могут храниться в формате цифровых копий при соблюдении требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.
При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных, является файл электронной цифровой подписи.
Кроме того, предложение оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта. Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.
В соответствии с ч.3 ст.10 Федерального закона «О персональных данных» обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
До начала осуществления трансграничной передачи персональных данных оператор, осуществляющий обработку персональных данных (далее — Оператор) на территории Российской Федерации, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
Критериев, определяющих адекватность защиты прав субъектов персональных данных на территории иностранного государства, действующим законодательством Российской Федерации не предусмотрено.
Оператору, осуществляющему трансграничную передачу персональных данных, необходимо руководствоваться законодательством иностранного государства, на территорию которого осуществляется передача персональных данных, законодательством Российской Федерации в области защиты прав субъектов персональных данных, а также международными нормативными актами, в том числе Конвенцией о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года ETS № 108 с учетом перечня стран, подписавших и ратифицировавших данную Конвенцию. Это Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония.
Вторая группа, которые могут претендовать на статус стран, обеспечивающих адекватную защиту персональных данных, это страны, имеющие общенациональные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных. Это Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония.
Требования Федерального закона «О персональных данных» распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории Российской Федерации.
Согласно пункту 9 статьи 3 Федерального закона «О персональных данных» информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.В случае соответствия веб-сайта указанным требованиям он является информационной системой.
Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора.
Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале.
Типовая форма акта и журнала утверждаются самим Оператором.
- Да, такие документы, разработанные отдельными представителями операторского сообщества, существуют:
- — стандарты и рекомендации в области стандартизации Банка России;
- — концепция защиты персональных данных в информационных системах персональных данных оператора связи;
- — методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости.
Источник: Информация Роскомнадзора от 25.09.2015