Публикация персональных данных на сайте — Юридические советы

23 декабря 2020 г. Госдума приняла законопроект о внесении изменений в Закон «О персональных данных» — два чтения законопроект прошел за два дня.

А 30 декабря 2020 г. Федеральный закон № 519-ФЗ “О внесении изменений в Федеральный закон “О персональных данных” уже был подписан Президентом.

По замыслу создателей изменения вступят в силу в два этапа: основная часть с 1 марта 2021, вторая — с 1 июля 2021 г.

Сразу предупрежу: не спешите переподписывать согласия и перезаключать договоры. Прежде проконсультируйтесь со своим юристом. Ниже изложена моя точка зрения на изменения и она не претендует на истину. Будем ожидать разъяснений Роскомнадзора.

Оперативные обновления узнавайте в моем Телеграм-канале.

Персональные данные в 2021

Что нового

Изменения сводятся к одному важному моменту — понятия общедоступных персональных данных больше не будет. Не путайте с общедоступными источниками персональных данных.

• Из части 1 статьи 6 исключается пункт 10 — важное условие обработки персональных данных без согласия:
• «10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных);»
• Этот принцип так или иначе охватывал возможность публикации персональных данных пользователей соцсетей. Да, была и иная точка зрения, но сейчас в этих спорах поставлен восклицательный знак:

любые данные о человеке можно публиковать только с его прямого согласия!

Исключения сделаны только для случаев, где есть государственный, общественный и публичный интерес. Уважаемые журналисты, аккуратно выдыхайте ????

Персональные данные, разрешенные для распространения — это персональные данные, к которым возможен доступ любых лиц. Теперь это так называется.

Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом

новый пункт 1.1 статьи 3 ФЗ «О персональных данных». Можно придумать новую аббревиатуру, например ПДРР ))

Это означает, что пока человек не даст согласия, публиковать его данные нельзя. Нельзя даже на корпоративных сайтах в разделах, аналогичным «О команде», «Наши сотрудники».

Требования к содержанию для специального согласия на обработку персональных данных, будет определять Роскомнадзор. Пока их нет, конечно же. Ждем весны.

Обновление от 27.01.2021. Опубликован приказ Роскомнадзора о требованиях с содержанию согласия.

Плохо, что новое согласие оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

Хорошо, что новое согласие не обязательно должно быть письменным. Допускается любая форма, позволяющая подтвердить факт его получения.

Придется получать новые согласия на публикацию персональных данных

Как распространять персональные данные в 2021

Пробегусь по пунктам новой статьи 10.1 Закона «О персональных данных». Это она определяет особенности публикации персональных данных. Подумайте заранее, как реализовать в вашей деятельности эти новшества.

1. Возможность выбора

Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Это может выглядеть так: согласен на публикацию ФИО, не согласен на публикацию даты рождения. Посмотрим, что скажет РКН. Совершенно точно придется поломать голову над формулировками.

2. Последовательные доказательства

В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

Например, один сайт написал про чиновника, второй сделал рерайт новости, третий — просто ее перепостил. Чиновник обиделся и написал жалобу в РКН.

В этом примере доказывать, что есть общественный интерес персональным данным чиновника будут все три сайта. Вряд ли у них будет согласие на распространение ПД чиновника. А других законных оснований нет.

3. Случайно все произошло

В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

Например, произошел слив базы данных банка в сеть. Кто-то их скопировал и опубликовал. Значит он будет доказывать законность распространения этой информации. Не знаю, получится ли у него это.

4. Четкость формулировок

В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

Речь идет о том, что если вы намудрите в своей форме согласия, то обрабатывать персональные данные можно, но только без распространения.

5. Если не следует, то не следует

В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

Тот же пример: намудрили непонятного в форме согласия — публиковать нельзя.

6. Как вручить согласие

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору: 

• непосредственно;
• с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

С первым случаем все понятно, со вторым пока не понятно. Потому что Роскомнадзор еще не придумал такую систему. Когда придумает и запустит — не понятно. Если к 1 марта 2021 года не придумает, то единственным способом остается прямая передача согласия субъектом оператору. Это понятно, кэп?

7. Как будет работать ИС Роскомнадзора

Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

Роскомнадзор все придумает, напишет и нам расскажет.

UPD. 25 марта 2021 опубликован приказ Роскомнадзора о функционировании информационной системы.

8. Молчание не является согласием

Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Многозначительно промолчать в ответ на вопрос: «даете свое согласие на публикацию ваших данных на нашем сайте?» — означает нет.

9. Отказать запрещать нельзя

В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

Например, человек может разрешить опубликовать свои ФИО и возраст в отзывы на товар. Но тут же запретить передавать кому-нибудь еще. Например, вашему рекламному агентству. И ограничить человека в этом праве нельзя.

10. Отсроченный пункт

Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

Этот пункт вступит в силу с 01 июля 2021 года, если ничего не изменится. Пока я не понял, где оператор должен что-то публиковать, зачем это вообще нужно. «Посмотрим, что скажет Роскомнадзор» (цы).

11. Общественный или публичный интерес

Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

Человеку нельзя запретить публиковать персональные данные в перечисленных случаях. Но наличие нужного интереса должен доказывать оператор, опубликовавший информацию. Четких критериев значимости интересов законодательство не определяет, поэтому нужно каждый случай рассматривать индивидуально.

12. Запретить можно в любой момент

Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных.

Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.

Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

Субъект потребовал удалить информацию, оператор обязан исполнить. Если только нет других случаев обработки персональных данных без согласия субъекта. Например, общественный интерес из пункта 11.

13.Запрет с момента получения требования

Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в части 12 настоящей статьи.

Ранее выданное согласие превращается в тыкву в момент получения оператором отзыва согласия.

14. Требования нужно выполнить быстро

Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

Помните пример про три сайта и чиновника? Так вот чиновник может потребовать удалить информацию как с одного, так и со всех трех. Где увидит статью о себе, туда и напишет. А может пойти сразу в суд. Соответственно, каждый сайт должен прекратить публикацию данных чиновника в течение трех дней.

15. … но не всем

Требования настоящей статьи не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.

Кратко — им можно. Точка.

Выводы

Важно! Статья 15.5 Закона «Об информации..» позволяет Роскомнадзору по решению суда блокировать сайты, которые допускают нарушения законодательства в области персональных данных. А пункт 14 статьи 10.1 Закона “О персональных данных” позволяет оспаривать отказ в удалении персональных данных в суде.

Что делать со старыми согласиями, полученными до 1 марта 2021?

Они превращаются в тыкву. Для распространения нужно получать отдельное согласие. Но согласие остается возможным для остальных целей.

Когда получать новое согласие?

Не раньше, чем Роскомнадзор утвердит его форму.

Мы следим за изменениями

Остаюсь с вами на связи. Все вопросы по статье можно задать в чате Телеграм или в Я.Дзене. Следить за обновлениями контента удобнее в основном Телеграм-канале

Изменение в законе о персональных данных: что нужно знать владельцам сайтов

С 1 июля вступают в силу изменения в ФЗ № 152 «О персональных данных», которые включают в себя расширение перечня оснований для привлечения организаций к административной ответственности в области защиты персональных данных, а также увеличение размеров административных штрафов.

В законе вместо единственного вида административной ответственности появится семь видов правонарушений, а сумма штрафов за одно правонарушение с 10 000 руб возрастает до 75 000 руб. (для юридических лиц). При этом привлекать к ответственности могут по разным составам правонарушений и, соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

В этой статье мы расскажем подробнее о новых видах правонарушений, штрафах и о том, как их избежать.

Кого коснутся изменения

Операторов персональных данных, то есть любые организации и физ. лица, которые осуществляют обработку (сбор, хранение, использование, передачу и тд) персональных данных, например, через веб-сайт.

К операторам персональных данных относятся владельцы сайтов, которые собирают персональные данные, например, в виде заявки на сайте с именем и номером телефона, электронные адреса для рассылки, данные для регистрации в сервисе и т.д.

Какая информация относится к персональным данным

«Под персональными данными можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу (субъекту персональных данных) – пункт 1 статьи 3 Федерального закона от 27 июля 2006 № 152-ФЗ “О персональных данных».

Примерами такой информации могут быть фамилия, имя, отчество, дата и место рождения, место проживания, email, телефон, ссылки на профиль в соцсетях и тд.

Сбор персональных данных на сайте

В соответствии с законом “О персональных данных”, любая организация, осуществляющая сбор персональных данных в Интернете обязана опубликовать на сайте документ, определяющий её политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу. (п. 2 ст. 18.1 № 152-ФЗ.)

Таким образом, во всех формах и заявках на сайте должно находится поле со ссылками на такие документы, как «Политика обработки персональных данных», «Положение об обработке персональных данных» и т.п.

Также ссылки на данные документы должны всегда находится в неограниченном доступе на сайте.

Невыполнение оператором обязанности по публикации или предоставлению неограниченного доступа к документу с политикой по обработке персональных данных или сведениями по их защите влечет наложение административного штрафа:

• на граждан — от 700 до 1500 руб.;
• на должностных лиц (например, директора или главбуха) — от 3000 до 6000 руб.;
• на индивидуальных предпринимателей — от 5000 до 10 000 руб.;
• на организации — от 15 000 до 30 000 руб.

Что необходимо сделать, чтобы избежать штрафов:

Перечень требований как для юридических лиц и ИП, так и физ. лиц прописаны в 152-ФЗ. Необходимо, чтобы на вашем сайте были соблюдены следующие условия:

• Под каждой формой сбора данных на сайте необходимо разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных» с обязательной ссылкой на документы — Пользовательское соглашение, договор или согласие на обработку персональных данных. Текст самого документа можно разместить на отдельной странице.

В форме обратного звонка Calltouch мы реализовали возможность добавить в виджет строчку «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных» с указанием ссылки на соглашение об обработке персональных данных.

Гиперссылка «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных» в виджете обратного звонка будет стоять по умолчанию. В настройках обратного звонка необходимо только разместить ссылку на текст соглашения об обработке персональных данных.

Также в настройках обратного звонка мы разместили образец соглашения об обработке персональных данных. Ссылка на образец

Данный документ необходимо разместить на сайте в общем доступе. Ссылка на политику организации в отношении обработки персональных данных на сайте должна находится в постоянном доступе на сайте, например, в подвале.

Обязательная информация в документе (в соответствии ч. 4 ст. 9 ФЗ «О персональных данных»)

• наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
• все цели обработки персональных данных;
• перечень персональных данных, которые в целом обрабатывает организация, включая описание персональных данных сотрудников и кандидатов на вакантную должность;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
• срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

Также нужно указать информацию о том, как физическое лицо может отозвать свое согласие на обработку персональных данных (ч.2 ст. 9 152-ФЗ «О персональных данных»).

Другие требования закона для владельцев сайта  

• Если вы собираете метаданные пользователя (cookie, данные об IP-адресе и местоположении) для функционирования сайта необходимо показывать всем новым пользователям сайта предупреждение с текстом.
• Подать уведомление, чтобы внести организацию в реестр операторов персональных данных Роскомнадзора — можно сделать через сайт Роскомнадзора.

Мы попросили эксперта по информационной безопасности, руководителя проекта Б-152, Максима Лагутина, дать основные рекомендации по подготовке уведомления:

1. Указывайте реальные цели обработки персональных данных по всем категориям физических лиц (пользователи сайта, покупатели, работники, близкие родственники работников, кандидаты на вакантную должность и тд). Используйте четкие формулировки целей, чтобы нельзя было их трактовать по-разному. Иначе Роскомнадзор может трактовать их иначе и предположить, что часть данных обрабатывается незаконно или они являются избыточными по отношению к целям обработки.
2. В перечне информационных систем указывайте обезличенно все системы, в которых в организации могут обрабатываться персональные данные (сайт, 1С, CRM и другое). При проверке это может быть важно.
3. Не указывайте трансграничную передачу персональных данных, если по факту вы ее не используете.
4. В полях, где нужно указать контакты лица, ответственного за организацию обработки персональных данных, указывайте общий телефон компании, ни в коем случае не ставьте реальный мобильный ответственного.

Обратите внимание, что подготовки согласий для сайта, политики и подачи уведомления недостаточно, чтобы полностью исключить риск. Кроме этого требуется разработать некоторые внутренние документы. И крайне желательно, чтобы процесс изменений контролировал специалист. В связи с этим мы рекомендуем вам обратиться к профессионалам для комплексной подготовки к новому законодательству.

Узнать подробнее

Персональные данные сотрудников на сайте

Можно ли размещать персональные данные сотрудников на сайте? Не секрет, что действующее законодательство стоит на защите прав работников, в том числе, охраняет конфиденциальность их личной информации. О возможности размещения персданных работников в сети расскажем в статье.

Под охраной

Люди, заключающие трудовые договоры с организациями и индивидуальными предпринимателями, раскрывают свои персональные сведения. Они требуются, в частности, при составлении трудового договора и исполнения работодателем обязанностей возложенных на него действующим законодательством.

Вообще, под персональными данными понимается любая информация, прямо или косвенно относящаяся к определенному работнику (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). В ходе деятельности организации она накапливается у работодателя, и по действующим нормам подлежит защите.

Для этих целей компании разрабатывают специальное Положение о работе с персональными данными и назначают ответственное лицо. После этих действий предпринимаются и все последующие шаги, направленные на защиту частной информации персонала.

• Подробнее об этом см.,
• «Образец Положения о работе с персональными данными работников 2019».
• «Назначение ответственного по работе с персональными данными приказ 2019».
• «Все о защите персональных данных».

Нужно согласие

Что касается публикации персональных данных работников на сайте организации, то, в общем случае, этого делать нельзя, не заручившись предварительно согласием работников.

Ведь размещение данных сайте в Интернет или на корпоративном сайте работодателя считается распространением персданных, которое разрешается только при наличии согласия сотрудника.

Причем согласие должно быть дано в письменной форме (ст. 88 ТК РФ).

  Оформление по правилам: штатное расписание 2019

Важно понимать, что без разрешения сотрудника нельзя публиковать даже фамилию, имя, отчество и дату рождения (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).

Чтобы соблюсти закон и разместить сведения на сайте, не обязательно брать отдельное письменное согласие у каждого работника.

Во-первых, правила работы с персданными, в части публикации на сайте компании, необходимо прописать в локальном акте о персональных данных.

Во-вторых, следует составить список работников, согласных на размещение персональных данных. Информацию о них без тени сомнения можно выложить на сайте (ст. 88 ТК РФ).

152-ФЗ, или Персональные данные на сайте

10 июля 2017

*Данный материал старше трёх лет. Вы можете уточнить у автора степень его актуальности.

Что нужно знать владельцу интернет-ресурса об обработке персональных данных

Михаил Хохолков, ИНТЕЛЛЕКТ-С: «Минимум, что нужно сделать владельцу сайта, — разместить на сайте политику обработки персональных данных».

Хохолков Михаил ВладимировичВедущий юрист

1 июля 2017 года вступили в силу изменения в статью 13.11 Кодекса об административных правонарушениях (КоАП РФ), регулирующую ответственность за соблюдение законодательства о персональных данных.

Ранее предусматривался один состав правонарушения — нарушение законодательства о персональных данных. Сейчас этот перечень развернут в 7 пунктов. Увеличивается и размер штрафов. Дела об административных правонарушениях в области персональных данных будут рассматривать территориальные отделения Роскомнадзора.

Сам же Закон «О персональных данных» действует уже 10 лет, кардинально не меняясь. Поэтому непонятна паника, которую раздувают некоторые СМИ. Тем не менее, для владельцев любых сайтов, собирающих данные пользователей, я выделил следующие важные моменты. 

Политика обработки персональных данных на сайте

Пункт 3 статьи 13.

11 КоАП РФ: невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных — влечет предупреждение или наложение административного штрафа:

• на граждан в размере от 700 до 1 500 рублей;
• на должностных лиц — от 3 000 до 6 000 рублей;
• на индивидуальных предпринимателей — от 5 000 до 10 000 рублей;
• на юридических лиц — от 15 000 до 30 000 рублей. 

Минимум, что нужно сделать сейчас, — разместить на сайте политику обработки персональных данных.

Особых требований к месту размещения законодатель не устанавливает, однако рекомендую ссылку на политику установить на главной странице, а также продублировать ее в местах размещения форм для сбора персональных данных. Политика обработки персональных данных должна быть доступной для любого пользователя.

Чек-лист для разработки политики обработки персональных данных (ПД) на сайте

Что нужно проверить:

• любые формы отправки сообщений по типу «задать вопрос» и поля, обязательные для заполнения. Их нужно будет указать в политике обработки ПД в разделе «Объём ПД»;
• регистрация пользователя / личный кабинет / авторизация через соцсети. Проверить поля, обязательные для заполнения. Указать их в политике обработки ПД в разделе «Объём ПД»;
• форма заказа обратного звонка — какие поля в ней обязательны для заполнения. Эти данные нужно будет указывать в политике обработки ПД в разделах «Объем ПД» и «Цели ПД»;
• рассылка. Если есть форма подписки на рассылку, то необходимо размещать согласие на обработку ПД и согласие на получение рассылки (всё можно делать в одном документе). На рассылку нужно также сослаться в разделе «Цели ПД»;
• отзывы посетителей / клиентов / партнёров с ПД (благодарственные письма и т.д). Если пользователь пишет отзыв сам, то нужно размещать согласие на обработку ПД. Если выкладываются сканы благодарственных писем, то нужно предварительно обсудить с партнёром возможность получения такого согласия;
• возможность отправки резюме. В этом случае необходимо согласие на обработку ПД в целях трудоустройства.

База данных сайта с персональными данными пользователей должна находится на территории России.

Если политика обработки ПД (документ может называться «политика конфиденциальности» или аналогично) уже есть на сайте, проверьте по чек-листу цели сбора и объёмы ПД. Лишней информации там быть не должно быть.

Принцип «лучше укажем больше данных, вдруг пригодится» неприемлем. Важно помнить, что объём собираемых данных должен соответствовать цели обработки.

Универсальных критериев такого соответствия не существует, поэтому нужно руководствоваться принципами разумности и достаточности.

Примеры:

• для заказа авиабилетов нужны паспортные данные, для доставки пиццы — нет;
• для доставки заказа курьером интернет-магазина нужен адрес доставки, для самовывоза — нет;
• для бронирования билета в кино — вообще ничего не нужно, если не оплачивается онлайн.

Если на сайте нет никаких форм обратной связи, нет возможности заказать обратный звонок и т.п. — персональные данные не обрабатываются, следовательно, политику обработки ПД размещать не нужно.

Цель и объем сбора персональных данных

Излишний объем данных, собираемых у пользователя, может быть самостоятельным нарушением. Пункт 1 статьи 13.

11 КоАП: обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, — влечет предупреждение или наложение административного штрафа: 

• на граждан в размере от 1 000 до 3 000 рублей;
• на должностных лиц — от 5 000 до 10 000 рублей;
• на юридических лиц — от 30 000 до 50 000 рублей. 

Таким образом, собираемые персональные данные должны соответствовать цели их обработки и не быть излишними. 

Поэтому в политике обработки персональных данных должна быть указана цель обработки и объем.

Пример

Самый частый случай сбора данных на сайте — заказ обратного звонка.

В этом случае достаточно просить указать пользователя лишь номер телефона. Если же для обратного звонка вы просите указать электронную почту, ФИО, адрес, место работы, должность, то такие данные считаются излишними, не соответствующими целям обработки, и, следовательно, их сбор является нарушением.

Без крайней необходимости не осуществляйте сбор паспортных данных. Чаще всего они не нужны. Для выполнения заказа, например, в интернет-магазине, достаточно указать телефон и адрес доставки.

Определившись с целями и объемом обработки персональных, составьте свою политику обработки, разместите на сайт. 

Кстати говоря. Я направлял такой запрос в Роскомнадзор:

Необходимо ли размещение политики обработки персональных данных на сайте доставки товаров, если для оформления заказа пользователь указывает только номер телефона? Оператор сайта звонит покупателю по указанному номеру, уточняет детали заказа и адрес доставки. В дальнейшем (после доставки заказа) номер телефона, имя и фамилия покупателя, адрес доставки не сохраняется и не обрабатывается владельцем сайта. 

И вот какой ответ получил: 

По информации, содержащейся в обращении, дать правовую оценку по существу поставленного вопроса не представляется возможным. 

По сути, это означает, что не любой случай сбора персональных данных влечет за собой необходимость размещения политики обработки этих данных, что не отменяет необходимости изучения этого вопроса для каждого сайта индивидуально.

Согласие на обработку персональных данных

Когда необходима письменная форма согласия на обработку ПД

Письменная форма — это документ в печатном виде с оригинальной (не сканированной, не факсимильной) подписью субъекта. Письменная форма не будет соблюдена, если она получена по электронной почте в виде отсканированного документа.

Согласие в форме электронного документа может быть подписано электронной подписью в соответствии с ФЗ «Об электронной подписи». Требования к содержанию письменной формы установлены пунктом 4 статьи 9 ФЗ «О персональных данных».

Письменная форма согласия на обработку персональных данных необходима только в случаях, прямо предусмотренных законом. Всего таких случаев пять, и они описаны в статьях 8, 10, 11, 12 и 16 ФЗ «О персональных данных»:

• Статья 8 касается случаев создания общедоступных источников информации (справочников, адресных книг и т.п.). В эти справочники вы можете включать сведения о лицах, предварительно получив от них письменное согласие на обработку персональных данных.
• Статья 10 — специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
• Статья 11 говорит об обработке биометрических персональных данных: фото- и видеоизображения, отпечатков пальцев, ДНК. Фото и видео признаются обработкой персональных данных в том случае, если они используются для установления личности. Съёмка с обычной камеры наблюдения в офисе, в супермаркете или на улице обработкой персональных данных не является.
• Статья 12 касается трансграничной передачи персональных данных.
• Статья 16 запрещает принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы — только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами.

Есть случаи, когда персональные данные могут быть обработаны без согласия субъекта — это пункты 2-11 части 1 статьи 6, часть 2 статьи 10 ФЗ «О персональных данных».

Во всех иных случаях (т.е. когда нет требования получать согласие в письменной форме или когда согласие не требуется) согласие может быть получено в любой форме, позволяющей подтвердить получение такого согласия. Подтверждать наличие такого согласия должен оператор обработки персональных данных.

Гиперссылку на согласие на обработку персональных данных рекомендуем устанавливать рядом с кнопками «отправить», «далее», «подписаться на рассылку» и подобными, сопровождая текстом:«Нажимая на кнопку ОТПРАВИТЬ, я подтверждаю, что ознакомился с политикой обработки персональных данных и даю согласие на обработку персональных данных», где текст, выделенный курсивом, — это гиперссылки на соответствующие документы.

Уведомление в Роскомнадзор

В определенных случаях необходимо подать уведомление в Роскомнадзор по месту регистрации (юр. лица, предпринимателя или гражданина — администратора сайта) для включения в реестр обработки персональных данных. Если такое уведомление не предоставить, то возможно привлечение к ответственности по статье 19.7 КоАП — предупреждение или наложение административного штрафа

• на граждан в размере от 100 до 300 рублей;
• на должностных лиц — от 300 до 500 рублей;
• на юридических лиц — от 3 000 до 5 000 рублей. 

Форма и содержание уведомления, порядок его заполнения есть на сайте Роскомнадзора. Правда, представители Роскомнадзора пока никого за это не штрафуют — и не факт, что будут штрафовать.

В пункте 2 ст. 22 ФЗ «О персональных данных» перечислены случаи, когда уведомление в Роскомнадзор подавать не требуется. Всего таких случаев девять.

Самый распространенный — персональные данные получены в связи с заключением договора, если при том персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных.

Эти данные должны использоваться исключительно для исполнения указанного договора и заключения договора с субъектом персональных данных.

Заключение

Если на сайте не размещена политика обработки персональных данных, то его владелец не выполняет требования Закона «О персональных данных».

Указанные выше рекомендации относятся ко владельцам любых сайтов, которые так или иначе поддерживают обратную связь со своими посетителями.

Дополнительные требования могут быть предъявлены к интернет-магазинам, сервисам по подбору персонала, сервисам бронирования билетов, приема платежей, сетевых изданий (СМИ) и т.п. Про использование персональных данных в СМИ я напишу отдельно.

Поэтому прошу внимательно отнестись к подготовке документов, не используя «типовых форм политики обработки персональных данных», поскольку их не существует. За помощью обращайтесь к юристам, специализирующимся в этой отрасли.

Постскриптум

А вы знали, что дополнительные требования к информации, размещаемой на любых сайтах установлены и Федеральным законом «Об информации»?

Обработка персональных данных (ФЗ-152) для владельцев сайтов. Как не получить штраф и не попасть под блокировку? — Маркетинг на vc.ru

Что относится к персональным данным? Чем отличается Политика конфиденциальности от Согласия на обработку персональных данных и от Пользовательского соглашения? Что всё-таки нужно делать с сайтом, чтобы не получить штраф или бан от Роскомнадзора. Мы потратили почти месяц, чтобы разобраться. Рассказываем обо всём простым языком.

Если коротко, это закон о том, что такое персональные данные, кто имеет право их хранить и обрабатывать, и как это правильно делать. Главная цель закона — защищать персональные данные.

На этот вопрос до сих пор нет однозначного ответа. Поэтому коротко рассказываем о трактовке закона юристами и судами на сегодняшний день, после выхода нового постановления правительства в сентябре 2019 года.

В законе сказано, что персональные данные — это всё что связано с человеком, и по чему можно его опознать. Обычно это совокупность данных. Например, имя с фамилией и телефоном — это точно персональные данные.

Казалось бы, e-mail сам по себе не является персональными данными, если он не состоит из имени и фамилии. Однако, если вы отправляете на этот email рассылку рекламного характера в отсутствие соглашения на обработку персональных данных, то вы тоже нарушаете закон. (Постановление № 4А-288/2016 от 4 октября 2016 г. по делу № 4А-288/2016).

Примерно так же обстоят дела с ФИО и даже просто именем без фамилии и отчества. Компания всё равно должна соблюдать закон о персональных данных и публиковать политику конфиденциальности (Постановление № 4А-288/2016 от 4 октября 2016 г. по делу № 4А-288/2016).

Аналогичная ситуация с куки, Яндекс.Метрикой и Гугл.Аналитикой. Было несколько громких дел, где российские суды признали это персональными данными.

Если ваши пользователи авторизуются для входа в личный кабинет по логину и паролю, то это не является персональными данными. Но в личном кабинете скорее всего есть профиль пользователя, в котором указано имя и email, поскольку почти ни одна регистрация не обходится без подтверждения по email или телефону. А это уже персональные данные.

Даже обезличенный id пользователя в совокупности со временем просмотра веб-страницы, URL, HTTP referer, User Agent и куки были признаны персональными данными в деле Ростелекома (Постановление № 13 ААС от 01.07.2016 по делу № А56-6698/2016).

Если у вас на сайте есть любые формы обратной связи, подписки, регистрации или авторизации, либо вы используете куки и счётчики посещаемости — то вы собираете персональные данные.

Любой современный сайт немыслим без форм, куки или счётчиков аналитики. Поэтому можно сказать, что если у вас есть сайт, то скорее всего вы являетесь Оператором персональных данных. В этом случае мы рекомендуем перестраховаться и выполнить все требования закона.

1. Под каждой формой на сайте разместите текст «Нажимая на кнопку “Отправить”, вы соглашаетесь с Политикой обработки персональных данных». Ссылка должна вести на страницу с Политикой обработки персональных данных. Если это форма подписки на рассылку, то текст должен быть с чекбоксом, где пользователь сам должен поставить галочку.
2. Создать страницу «Политика обработки персональных данных». Что на ней должно быть — рассказываем далее.
3. Предупредить пользователей о том, что вы собираете куки, и также получить их согласие. Это можно сделать с помощью небольшого всплывающего блока с кнопкой «Согласен».
4. Зарегистрироваться на сайте Роскомнадзора, чтобы вас внесли в реестр Операторов персональных данных.

Политика конфиденциальности и Политика обработки персональных данных — это одно и то же. Это согласие на использование и обработку персональных данных.

Пользовательское соглашение — это договор об условиях использования вашего сайта как сервиса по оказанию определённых услуг.

Начиная использовать ваш сервис, либо пройдя регистрацию, пользователь считается принявшим условия соглашения. Что будет в этом соглашении, решаете вы.

Пользовательское соглашение может включать в себя множество разделов, в том числе и политику обработки персональных данных.

Если игнорировать закон, вас ждёт штраф до 300 000 рублей. Но обычно это 50 000 рублей.

Если на ваш сайт обратит внимание Роскомнадзор, то, как правило, сначала вы получите письмо, в котором будут перечислены выявленные на сайте нарушения, связанные с неправомерной обработкой персональных данных. В отдельных случаях, помимо наложения штрафов, Роскомнадзор может заблокировать сайт без решения суда.

Разобраться, что такое персональные данные, достаточно сложно. Суд в любом случае может принять своё решение, отличное от вашего. Если у вас есть сайт, то вы почти наверняка собираете персональные данные в каком-либо виде.

Чтобы не получить штраф и бан Роскомнадзора, нужно зарегистрироваться в Роскомнадзоре и получить согласие пользователей на обработку персональных данных, а для этого под всеми формами разместить ссылку на Политику конфиденциальности, подготовить саму страницу Политики конфиденциальности и сделать всплывающий блок, предупреждающий пользователей о сборе куки.