Размещение персональных данных — Юридические советы

• Без предисловий и вступлений – актуализируем уже существующую статью на эту тему «Политика конфиденциальности» – разберемся с нововведениями и узнаем, как теперь надо делать.
• Напомню, персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
• То есть, это фамилия-имя-отчество, дата рождения, паспорт/СНИЛС, номер телефона, e-mail и иные идентификаторы в соцсетях и мессенджерах, место проживания, сведения о семейном положении/о родственниках, сведения о зарплате, информация о судимостях, индивидуальные данные (политические и религиозные взгляды, раса, национальность), фото и/или видео, которые позволяют идентифицировать личность, биометрические данные.

Если копнуть немного глубже, то законодатель подразделяет персональные данные на несколько видов:

• Общедоступные – те данные, на доступ к которым субъект дал свое письменное согласие, а не те, которые находятся в общем доступе, как вы могли подумать =);
• Специальные – данные, которые касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 ФЗ «О персональных данных») – здесь установлены определенные порядки обработки персональных данных;
• Биометрические – данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (ст. 11 152-ФЗ) – это генетическая информация, отпечатки пальцев и т.д. – также установлен определенный порядок обработки персональных данных;
• Иные – это все остальное, например, e-mail, IP-адрес, геолокация.

Какие изменения произошли в ФЗ-152 в 2021 году?

На самом деле, ответ на поверхности. Введено новое понятие – «персональные данные, разрешенные субъектом для распространения». Внимательно вчитайтесь в него.

Персональные данные, разрешенные субъектом персональных данных для распространения – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом (п. 1.1 ст. 3).

Если простыми словами, то обрабатывать и распространять можно только те персональные данные, на которые субъект дал свое согласие.

Сделано это для того, чтобы третьи лица НЕ могли осуществлять сбор и последующее использование персональных данных в целях, отличных от цели их первоначального распространения (нарушая положения п. 2 ст. 5 ФЗ «О персональных данных», где четко сказано, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей).

Банальный пример – ваша страничка в ВКонтакте, где вы тщательно заполнили профиль (ФИО, дата рождения, номер телефона, e-mail, политические/религиозные взгляды и т.п.). Это все ваши персональные данные, которые вы разместили в общем доступе.

И если раньше компании, которые собирали персональные данные из таких общедоступных источников (и потом звонили вам с разными сомнительными предложениями) могли делать это свободно, то теперь нужно обязательно получить ваше согласие на обработку и на распространение ПД.

Также ранее, чтобы требовать у оператора блокировки/удаления своих персональных данных, нужно было ДОКАЗАТЬ, что они являются неполными/устаревшими/неточными/незаконно полученными или не являются необходимыми для заявленной цели обработки.

Теперь же субъект вправе потребовать оператора удалить его персональные данные из общего доступа без объяснения причин. И оператор обязан это сделать.

Новые положения в обработке персональных данных

Теперь поговорим о сложностях, которые создали эти нововведения для операторов ПД.

Оператор персональных данных – государственный/муниципальный орган, юридическое/физическое лицо, самостоятельно или совместно с другими лицами организующие/осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия/операции, совершаемые с ПД (ст. 3 152-ФЗ).

Новые положения определяют, что согласие на обработку персональных данных и согласие на распространение персональных данных – это два разных документа. Какие данные можно обрабатывать и распространять, а какие нет – решает сам субъект ПД.

На практике это означает, что теперь всем операторам персональных данных, которые выкладывают их в общий доступ, необходимо получать два согласия от субъекта.

Сейчас будет слегка запутано, но в итоге все разложим по полочкам. Разберемся в терминологии.

1. Обработка ПД – это любое действие с персональными данными, например, сбор, хранение, обновление, блокирование/удаление, обезличивание, использование, передача.
2. Передача ПД – это распространение, предоставление персональных данных.
3. Предоставление ПД – это раскрытие своих персональных данных определенному кругу лиц.
4. Распространение ПД – это раскрытие своих персональных данных неопределенному кругу лиц.

Из этих определений становится очевидно, что распространение персональных данных входит в обработку ПД. Тогда зачем два согласия? Давайте разбираться на примере.

Как работают на практике изменения в ФЗ-152

Заходите вы на сайт компании, чтобы что-то заказать, например, тортик =). Оформляя заказ и/или регистрируя личный кабинет, вы даете свое согласие на обработку персональных данных, соглашаетесь с политикой конфиденциальности, принимаете условия пользования сайтом.

И до вступления поправок в 152-ФЗ компания имела возможность распространять ваши ПД третьим лицам без вашего отдельного на то согласия (ведь вы согласились на обработку ПД, а распространение туда входит). И стали вы получать рекламные рассылки, на которые не подписывались, звонки от банков с предложениями взять кредит и т.д.

Теперь компания не имеет права распространять ваши ПД никак и никому. Только если вы сами дадите на это согласие. Обратите внимание, что по идее, даже оставляя отзыв на сайте компании, с вами должны заключить соглашение о распространении персональных данных, в котором вы должны указать, какие конкретно ПД компания может распространять. Например, только ваше фото или e-mail.

Обратите внимание: молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения (п. 8 ст. 10.1 152-ФЗ).

На практике это значит, что, даже ставя галочку напротив поля «Согласен на обработку персональных данных», вы НЕ даете своего согласие на их распространение.

Выразить свое согласие оператору на распространение персональных данных вы можете двумя способами:

1. Собственно, на бумаге с личной подписью (хоть сейчас садитесь и пишите = ));
2. Через информационную систему Роскомнадзора (а это получится только с 1 июля 2021 года). Если вам интересно, то по ссылке найдете функции данной инфосистемы, права участников и правила (процесс) регистрации.

И да, не забывайте, что отозвать свое согласие на распространение ПД вы можете в любой момент (п. 2 ст. 9 152-ФЗ). Оператор обязан прекратить распространение ПД в течение 3 рабочих дней с момента получения вашего требования.

А теперь давайте поговорим об исключениях из правил (куда ж без них).

Все исключения, когда оператор может передавать ваши персональные данные без вашего согласия, прописаны в пп. 2 – 11 ст. 6. Чтобы не делать из статьи портянку, приведу лишь несколько примеров:

• обработка ПД осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
• обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• обработка ПД необходима для осуществления профессиональной деятельности журналиста и/или законной деятельности СМИ либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
• обработка ПД осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных.

Представим, что в вашем городе проводят опрос на тему «Устраивает ли вас ваша заработная плата». В опрос будут входить такие вопросы, как нынешний размер вашей зп, место работы, должность. Эта информация относится к персональным данным, но поскольку опрос проводится в статистических целях, то ваши ПД могут обработать без вашего согласия, но с условием их обезличенности.

Чем грозит несоблюдение изменений в ФЗ-152

И вот мы плавно подошли к, пожалуй, самому важному пункту: ответственность операторов ПД за нарушения 152-ФЗ.

За нарушения закона о персональных данных ответственность предусмотрена Кодексом об административных правонарушениях, ст. 13.11. В частности, за обработку персональных данных без согласия субъекта:

Наложение штрафа на:	При первом нарушении:	При повторном нарушении:
Граждане	от 6 до 10 тысяч рублей	от 10 до 20 тысяч рублей
Должностные лица	от 20 до 40 тысяч рублей	от 40 до 100 тысяч рублей
Юридические лица	от 30 до 150 тысяч рублей	от 300 до 500 тысяч рублей
Индивидуальные предприниматели	—	от 100 до 300 тысяч рублей

А за невыполнение оператором обязанности по опубликованию/обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПД, или сведениям о реализуемых требованиях к защите персональных данных (другими словами, если вы прячете от всех тексты согласия на обработку ПД, политики конфиденциальности), грозят следующие штрафы:

Наложение штрафа на:	При первом нарушении:
Граждане	от 1,5 до 3 тысяч рублей
Должностные лица	от 6 до 12 тысяч рублей
Юридические лица	от 30 до 60 тысяч рублей
Индивидуальные предприниматели	от 10 до 12 тысяч рублей

Но помимо административной ответственности, можно напороться и на уголовную, ведь происходит нарушение неприкосновенности частной жизни (ст. 137 УК РФ).

К частной жизни законодатель относит: сведения о происхождении, о месте пребывания или жительства, о личной и семейной жизни (ст. 152.2 ГК РФ).

• И за незаконный сбор или распространение сведений о частной жизни лица (без его согласия) или распространение этих сведений в публичном выступлении/публично демонстрирующемся произведении/СМИ наказание от административного штрафа вплоть до 200 тысяч рублей до лишения свободы сроком до 2 лет.
• Санкции нехилые, поэтому рекомендую вам озадачиться пересмотром соглашений о персональных данных/политикой конфиденциальности на ваших сайтах и быть готовыми блюсти закон.
• А если сомневаетесь, что у вас получится сделать все правильно и грамотно – обращайтесь к нам – поможем подготовить сайт к 152-ФЗ.

Защита персональных данных в облаке по 152-ФЗ | Блог Mail.Ru Cloud Solutions

Например, вы собираете общедоступные данные о клиентах. Клиентов менее 100 000, а тип актуальных угроз вы определили как 3. Тогда для соблюдения норм законодательства нужно обеспечить 4 уровень защищенности персональных данных, то есть минимальный. Если среди информации о клиентах есть фотографии, это уже биометрические данные — нужно обеспечить 3 уровень защищенности.

Подтвердить уровень защищенности данных можно несколькими способами. Самый сложный — пройти аттестацию в контролирующих органах и получить сертификат. По закону это необязательно, достаточно в любой форме подтвердить соответствие средств защиты требованиям, например с помощью технической документации.

Если вы хотите пройти аттестацию, эксперты Mail.ru Cloud Solutions проконсультируют по всем вопросам, помогут в сертификации комплекса технических и программных средств и построении системы защиты данных по требованиям ФСТЭК.

Зарегистрироваться в Роскомнадзоре

После того как вы обеспечили защиту данных, нужно зарегистрироваться в качестве оператора персональных данных в Роскомнадзоре. Это делается через интернет.

В форме необходимо указать, какие меры вы предприняли для защиты персональных данных, какие именно данные и где будете хранить.

Чтобы правильно заполнить форму, лучше делать это с юристом, который специализируется на персональных данных.

Роскомнадзор иногда проверяет организации — смотрит, зарегистрировались ли они в качестве операторов. Если не зарегистрируетесь, можете получить штраф — от 1000 рублей для физлица и ИП, от 30 000 рублей для юрлица. Все штрафы прописаны в статье 13.11 КоАП.

Даже если у вас небольшая компания, к примеру, маленький интернет-магазин с базой на 100–200 клиентов, вы должны зарегистрироваться в Роскомнадзоре и соблюсти требования безопасности. Даже если клиент всего один, регистрироваться все равно придется.

При сборе персональных данных нужно спрашивать разрешение у пользователя. Это делается двумя способами:

• Лично через подписание договора, например с сотрудником.
• На сайте, через чекбокс о согласии на сбор и обработку персональных данных.

Перед подписанием согласия нужно рассказать пользователю, что вы будете делать с его персональными данными, как хранить и кому передавать. Обычно для этого на сайте добавляют страницу с политикой конфиденциальности.

«Если бизнес хранит информацию в облаке, он не обязан предупреждать об этом своих клиентов или сотрудников.

Люди также дают согласие на обработку персональных данных, отмечая галочкой соответствующее поле на сайте или при заполнении анкеты офлайн.

Потом предприниматель может передавать эти данные в облако, не спрашивая дополнительного согласия».
Андрей Андреев, адвокат, общественный деятель, управляющий партнер юридического бюро «United Partners»

В 152-ФЗ нет запрета на хранение данных в облаке. Главное условие — дата-центр выбранного облачного провайдера должен находиться в России. По разъяснениям Минкомсвязи данные можно передавать и за рубеж, например для обработки. Но первый раз их нужно записать на сервер, который физически находится на территории РФ.

Облачный провайдер — это не оператор персональных данных, оператором остается предприниматель. Если данные попадут в руки злоумышленников, перед Роскомнадзором отвечать будет не провайдер, а оператор, то есть бизнес.

Чтобы такого не случилось, предусмотрена надежная защита ПДн в облаке, однако компании нужно ими правильно управлять, грамотно организовать доступ к информации внутри организации. Провайдер не может решать, кому и на каких условиях открывать данные компании, поэтому владелец данных и инфраструктуры должен внимательно подойти к настройкам доступа.

Можно сравнить облако с флэшкой — вы просто записываете туда информацию, но сами отвечаете за ее сохранность, например, следите, чтобы флэшка не потерялась или не попала не в те руки.

У облачного провайдера есть определенные обязательства перед компанией в рамках заключенного договора, то есть он не может никому просто так отдать данные с флэшки и должен их защищать.

Однако провайдер не может ничего сделать, если вы сами разрешите любому желающему брать флэшку и скачивать данные.

При передаче персональных данных в облако предприниматель не снимает с себя ответственность за их сохранность. Поэтому он обязан убедиться в надежности провайдера.

Как защищены персональные данные при хранении в облаке

Единственный критерий защищенности облака — наличие у облачного провайдера аттестата соответствия 152-ФЗ. Этот аттестат выдают контролирующие органы, он гарантирует, что инфраструктура облака построена в соответствии с требованиями приказов ФСТЭК, а данные там надежно защищены.

«При выборе облака стоит отдавать предпочтение провайдерам, имеющим аттестацию ФСТЭК и ФСБ. Ее наличие гарантирует, что провайдер исполняет требования приказа № 21 ФСТЭК, в котором прописаны технические требования к обеспечению безопасности.

Главный плюс аттестации облака в том, что при проверке компании у Роскомнадзора возникает меньше вопросов: данные в облаке, облако аттестовано, значит, все надежно и безопасно».

Андрей Андреев — адвокат, общественный деятель, управляющий партнер юридического бюро «United Partners»

Аттестат соответствия 152-ФЗ позволяет хранить в облаке данные, которые требуют 3 и 4 уровня защищенности.

Большинство компаний работают именно с такими общедоступными или иными данными: контактами, ФИО, информацией о работе и месте проживания, составе семьи.

В этом случае делать практически ничего не нужно — просто пользуйтесь сертифицированным ПО, обновляйте программы и антивирус и защищайте паролями компьютеры с доступом в облако.

Иногда у бизнеса или государственных компаний возникает потребность хранить данные 1 и 2 уровня доверия. В обычном публичном облаке не всегда получится организовать такой уровень защиты, не все провайдеры могут его обеспечить. Однако в публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2.

Также, если требуется хранить данные УЗ-1 и УЗ-2 в облаке, можно развернуть частное облако на собственной инфраструктуре, обеспечить ее защищенность, при необходимости получить нужные сертификаты. В MCS есть возможность сертификации по УЗ-1 и УЗ-2, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS.

При построении гибридной инфраструктуры для хранения персональных данных на платформе Mail.ru Cloud Solutions вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты MCS, что позволит быстрее пройти необходимые процедуры.

Роскомнадзора
"О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки"

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ,

ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ

РАЗЪЯСНЕНИЯ

• О ВОПРОСАХ
• ОТНЕСЕНИЯ ФОТО- И ВИДЕО- ИЗОБРАЖЕНИЯ, ДАКТИЛОСКОПИЧЕСКИХ
• ДАННЫХ И ИНОЙ ИНФОРМАЦИИ К БИОМЕТРИЧЕСКИМ ПЕРСОНАЛЬНЫМ
• ДАННЫМ И ОСОБЕННОСТИ ИХ ОБРАБОТКИ

В соответствии с ч. 1 ст. 11 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

Соответственно, в контексте Федерального закона «О персональных данных» отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица, если иное не предусмотрено федеральными законами и принятыми на их основе нормативными правовыми актами.

Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных ч. 2 ст.

11 Федерального закона «О персональных данных», предусматривающей исключения, связанные с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Исходя из определения, установленного Федеральным законом «О персональных данных», к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта.

По существу обработки фото- или видеоизображения субъекта персональных данных и распространения на указанную деятельность положений ст. 11 Федерального закона «О персональных данных» необходимо отметить следующее.

В соответствии со ст. 152.

1 Гражданского кодекса Российской Федерации обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия его законных представителей (супруги, дети, родители). Такое согласие не требуется в случаях, когда:

1) использование изображения осуществляется в государственных, общественных или иных публичных интересах.

(Согласно п. 25 постановления Пленума Верховного Суда Российской Федерации от 15 июня 2010 г. N 16 к общественным интересам следует относить не любой интерес, проявляемый аудиторией, а например, потребность общества в обнаружении и раскрытии угрозы демократическому правовому государству и гражданскому обществу, общественной безопасности, окружающей среде.

К таким интересам, к примеру, относится информация, связанная с исполнением своих функций должностными лицами и общественными деятелями. Соответственно, сообщение подробностей частной жизни лица, не занимающегося какой-либо публичной деятельностью, под данное исключение не подпадает.)

2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;

3) гражданин позировал за плату.

Исходя из смысла указанной статьи, опубликование, в том числе редакцией СМИ, фотографического изображения в случаях, предусмотренных ст. 152.1 Гражданского кодекса Российской Федерации, а также полученного из общедоступных источников, не требует соблюдения условий, связанных с получением письменного согласия субъекта персональных данных.

Существуют положения нормативных правовых актов, прямо относящих фотографическое изображение к биометрическим персональным данным.

Согласно пункту 6 Перечня персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию, утвержденного постановлением Правительства Российской Федерации 4 марта 2010 г. N 125, цветное цифровое фотографическое изображение лица владельца документа является биометрическими персональными данными владельца документа.

В то же время, необходимо принимать во внимание цель, которую преследует оператор при осуществлении действий, связанных с обработкой персональных данных, в том числе фотографического изображения, содержащихся в паспорте.

В случае, если они используются оператором для установления личности субъекта персональных данных (в том числе в случае проведения такой процедуры представителями операторов, имеющими полномочия на установление личности владельца паспорта), то данная обработка должна осуществляться в строгом соответствии со ст. 11 Федерального закона «О персональных данных».

Аналогичная ситуация с фотографическими изображениями сотрудников, посетителей государственных и муниципальных органов, предприятий (организации), содержащимися в системе контроля управления доступа (СКУД), которые являются биометрическими персональными данными, поскольку характеризуют физиологические и биологические особенности человека, позволяющие установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД, и эти данные используются оператором для установления личности субъекта персональных данных в случае сомнения в том, что пропуск предъявляется его действительным владельцем.

Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным.

В соответствии с ч. 1 ст. 11 Федерального закона «О персональных данных» обработка биометрических персональных данных в подобных случаях может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.

В иных случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.

) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются.

Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных».

Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность.

Также не является биометрическими персональными данными фотографическое изображение, содержащееся в личном деле работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы. Все они не могут рассматриваться как биометрические персональные данные, поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора.

Не являются биометрическим персональными данными рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами — органами следствия и дознания в целях установления личности конкретного лица.

Аналогичная позиция и с материалами видеосъемки в публичных местах и на охраняемой территории.

До передачи их для установления личности снятого человека они не являются биометрическим персональными данными, обработка которых регулируется общими положениями Федерального закона «О персональных данных», поскольку не используются оператором (владельцем видеокамеры или лицом, организовавшим ее эксплуатацию) для установления личности.

Однако указанные материалы, используемые органами, осуществляющими оперативно-розыскную деятельность, дознание и следствие в рамках проводимых мероприятий, являются биометрическими персональными данными, в случае, если целью их обработки является установление личности конкретного физического лица.

Необходимо отметить, что при ведении видеонаблюдения в рабочих помещениях оператора с целью фиксации возможных действий противоправного характера согласно ст.

74 Трудового кодекса Российской Федерации работники должны быть уведомлены об изменении условий трудового договора по причинам, связанным с изменением организационных или технологических условий труда (введением видеонаблюдения), под роспись.

Вместе с тем, посетители указанных публичных мест должны заранее предупреждаться их администрацией о возможной фото-, видеосъемке соответствующими текстовыми и/или графическими предупреждениями. При соблюдении указанных условий согласие субъектов на проведение указанных мероприятии не требуется.

Видеонаблюдение может осуществляться только для конкретных и заранее определенных целей. Эти цели должны быть обусловлены соответствующими нормативными правовыми актами, устанавливающими правовые основания видеонаблюдения (видеосъемки).

Кроме того, необходимо отдельно отметить случаи открытого наблюдения, которое ведется в целях обеспечения прав пациентов, клиентов, потребителей при осуществлении тех или иных услуг населению (например, медицинских или по производству продуктов питания), путем установления видеокамер, направленных на рабочие места сотрудников с целью осуществления контроля качества предоставляемых услуг.

В целях установления дополнительных гарантий соблюдения прав как потребителей (пациентов, клиентов), а также самих работников и сотрудников должны быть приняты внутренние документы, которыми должны быть предусмотрены порядок и сроки хранения видеозаписей, а также ответственные лица, имеющие доступ к системе видеонаблюдения. Также необходимо предусмотреть возможность информирования о системе видеонаблюдения путем размещения информационных табличек в зонах видимости камер.

1. Вместе с тем, если в результате опубликования фотографий или видеозаписи возникает реальная угроза жизни и здоровью гражданина, либо ему наносятся моральные страдания, то на основании его мотивированного обращения распространение (демонстрация) данной информации должно быть прекращено.
2. Наличие согласия на обработку персональных данных либо иных законных оснований (договор) также необходимо в случае использования изображения гражданина в рекламных целях.
3. Соблюдение указанных условий должно осуществляться средствами массовой информации на этапе предоставления заказчиком соответствующих материалов.
4. По существу отнесения к биометрическим персональным данным дактилоскопической информации, а также их обработки в биометрических системах идентификации, построенных на использовании в качестве идентификаторов информации об особенностях строения папиллярных узоров пальцев рук человека (дактилоскопической информации), необходимо учитывать следующее.
5. Обработка дактилоскопической информации в системе биометрической идентификации осуществляется путем преобразования изображения папиллярных узоров на промежуточной поверхности в цифровую форму и размещения полученных данных в базе данных в виде биометрического информационного шаблона.

Принимая во внимание, что целью обработки указанных сведений в системах биометрической идентификации является установление личности конкретного лица, а также тот факт, что данная информация, содержащаяся в шаблоне, характеризует физиологические и биологические особенности человека — субъекта персональных данных, то она относится к биометрическим персональным данным, обработка которых должна осуществляться в соответствии со ст. 11 Федерального закона «О персональных данных», а также Федеральным законом от 25.07.1998 N 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации».

Ввиду изложенного, во всех случаях, не подпадающих под указанные в ч. 2 ст.

11 Федерального закона «О персональных данных», для использования дактилоскопической информации в системах идентификации, контроля и управления доступом необходимо получение от субъекта или его представителя согласия в письменной форме на обработку его биометрических персональных данных по правилам, установленным ч. 4 ст. 9 Федерального закона «О персональных данных».

Как работать с персональными данными, чтобы не получить штраф от Роскомнадзора — Право на vc.ru

Если предприниматель собирает информацию о клиентах или посетителях своего сайта, он становится оператором персональных данных. К ним относится практически любая информация: телефоны, ссылки на соцсети, адреса. Чтобы правильно обрабатывать данные, нужно выполнять требования Федерального закона № 152-ФЗ. В противном случае бизнес получит солидный штраф от Роскомнадзора.

В журнале Делобанка разобрались, какие данные считаются персональными и как правильно их собирать, чтобы не получить проблем для бизнеса.

Персональные данные — это любая информация, которая прямо или косвенно относится к человеку. Закон не конкретизирует перечень, но обычно суды и Роскомнадзор причисляют к ним:

• фамилию, имя и отчество человека;
• дату рождения, паспортные данные;
• адрес проживания или регистрации;
• данные о местоположении и перемещениях;
• номера телефонов, адреса электронной почты;
• фотографии, видеозаписи с участием человека;
• IP-адреса устройств, ссылки на учетные записи.

Персональными данными считаются и куки. Это небольшие текстовые файлы, которые хранятся в браузере и содержат информацию о посещённых сайтах: время и дату просмотра, тип устройства, просмотренные товары и страницы. Куки помогают сайтам запоминать пользователей, чтобы не авторизоваться каждый раз. Такие данные относятся к персональным как по отдельности, так и в составе куки-файла.

Вот простой пример. Алина продаёт мыло ручной работы. Она запустила одностраничный сайт и разместила фото всех товаров. Чтобы клиентам было удобнее, на сайте есть форма для обратного звонка. Покупатели оставляют номер телефона, Алина перезванивает, уточняет заказ и договаривается о доставке. В этом случае Алина — оператор персональных данных, хоть и запрашивает только телефон.

Максим недавно открыл барбершоп. До сентября 2020 года он просто давал рекламу и привлекал новых клиентов. Персональные данные Максим не обрабатывал. Когда появилась постоянная аудитория, барбершоп ввёл программу лояльности — скидочные карты. Чтобы их оформить, клиенты оставляют фамилию, имя и номер телефона. Так Максим стал оператором персональных данных.

Операторы персональных данных — это любые компании и ИП, которые собирают информацию о пользователе. Фактически это любой предприниматель, который размещает в интернете формы для:

• регистрации на сайте;
• авторизации через соцсети;
• ответного звонка или сообщения;
• заказа товара или услуги;
• подписки на рассылку;
• обратной связи.

Не имеет значения, как пользователь передает персональную информацию: по почте, на сайте, через соцсеть или в личном разговоре с менеджером. Каждый из случаев — это сбор персональных данных.

Не считаются операторами только:

• Физические лица, которые собирают данные для личных или семейных нужд. Например, если человек записал номер телефона друга или спросил имейлы коллег, чтобы разослать приглашения на юбилей.
• Компании, которые обязаны хранить архивные документы по закону «Об архивном деле». Это государственные организации, которые занимаются делами Архивного фонда РФ.
• Компании, которые обрабатывают данные, отнесенные к гостайне указом Президента. Это органы власти и государственные организации.

Чтобы собирать и обрабатывать персональные данные, не обязательно работать в интернете. Если магазин оформляет дисконтную карту покупателю и спрашивает его номер телефона — это тоже сбор персональных данных.

Закон разрешает собирать информацию о пользователях только на территории России. Это значит, что компании не могут пользоваться услугами зарубежных хостинг-провайдеров, если работают с персональными данными. Чтобы не нарушать требование закона, перенесите сайт на российских хостинг.

Некоторые международные хостинг-провайдеры имеют серверы в России. В таких случаях переносить сайт на новый хостинг не придётся: просто договоритесь, чтобы его разместили на российских серверах.

Будьте осторожны с конструкторами сайтов. Обычно они используют собственные зарубежные хостинги, даже если работают с полной поддержкой русского языка. В таких случаях лучше заранее уточнять, где находятся серверы. Если Роскомнадзор обнаружит, что сервер с вашим сайтом расположен за рубежом, сайт заблокируют, а вам могут выписать штраф (о размерах мы рассказали в последнем разделе).

Если вы планируете собирать персональные данные, заранее сообщите об этом Роскомнадзору — ещё на этапе разработки сайта или форм для подписок. Это всего лишь уведомительный порядок: собирать кучу документов и ехать в офис Роскомнадзора не придётся.

• реквизиты и контакты компании;
• цель сбора и обработки данных;
• перечень действий с данными клиентов;
• виды данных, которые планируете собирать;
• информацию о месте нахождения сайта и баз данных.

Когда заполните и отправите анкету через сайт, сохраните её на компьютер и распечатайте. Подпишите документ и направьте заказным письмом в управление Роскомнадзора по месту регистрации бизнеса. Это обязательное требование. Перечень управлений с названиями и адресами посмотрите на сайте ведомства.

После регистрации Роскомнадзор внесёт ваш бизнес в Реестр операторов персональных данных. Найдите в реестре компанию и разместите на своём сайте ссылку — это дополнительное подтверждение, что вы соблюдаете все требования закона.

Некоторые компании могут не уведомлять Роскомнадзор, если:

• собирают данные только о собственных сотрудниках;
• заключают с каждым пользователем согласие на обработку данных;
• запрашивают только фамилии, имена и отчества;
• обрабатывают данные только на бумаге.

Есть и другие, более редкие исключения из общего правила. На всякий случай посмотрите весь список в законе — вдруг ваш бизнес может не уведомлять Роскомнадзор.

Добавьте под каждую форму для сбора данных небольшое предупреждение. Например, сделайте поле для галочки и подпись: «Я согласен на обработку персональных данных». Или просто добавьте текст: «Отправляя форму, вы даёте согласие на обработку персональных данных».

Чтобы законно обрабатывать данные, сообщите пользователю, кто, как и с какой целью использует информацию. Для этого составьте согласие на обработку персональных данных. Вот что в нём нужно указать:

• реквизиты оператора персональных данных;
• ФИО сотрудника, ответственного за обработку данных;
• перечень действий с персональными данными;
• срок, в течение которого действует согласие;
• перечень данных и цели обработки.

Если вы составляете документ на бумажном носителе, добавьте ещё несколько пунктов:

• паспортные данные субъекта персональных данных;
• паспортные данные представителя субъекта (например, по доверенности);
• подпись субъекта (и его представителя).

Чтобы пользователи ознакомились с документом, добавьте ссылку к форме регистрации или подписки. Конечно, согласие почти никто не прочитает. Зато вы обезопасите себя от лишних проверок.

Политика обработки персональных данных — ещё один документ, который проверяет Роскомнадзор. Он содержит общие правила сбора, обработки и хранения информации о пользователях. Фактически документ более подробно раскрывает согласие. Строгих требований для политики нет, но вы можете использовать рекомендации Роскомнадзора.

Размещать политику обработки данных под каждой формой не нужно. Добавьте ссылку на документ в любое место сайта. Например, в перечень локальных документов или нижнюю часть главной страницы. Если интересно, почитайте политику конфиденциальности Делобанка — можете даже взять в качестве примера.

Некоторые компании совмещают согласие и политику обработки данных. Роскомнадзор за это не штрафует, но лучше документы разделить — кто знает, к чему захочет придраться инспектор.

Роскомнадзор проводит дистанционные и выездные проверки. Если инспекторы заметят, что вы обрабатываете персональные данные без согласия пользователей, бизнес получит внушительный штраф — до 75 тыс. рублей, а его руководитель — до 20 тыс. рублей.

Наказания за неправильную работу с персональными данными постоянно ужесточаются. Раньше бизнесу грозил один штраф — до 10 тыс. рублей, но с 2017 года их стало больше. Например, за работу без политики обработки данных компании получают штраф до 30 тыс. рублей, ИП — до 10 тыс. рублей. Кроме того, Роскомнадзор накладывает денежные санкции и за другие нарушения:

• не предоставили пользователю информацию об обработке его данных — до 40 тыс. рублей для компаний или 15 тыс. для ИП;
• проигнорировали запрос пользователя на удаление его персональных данных — до 45 тыс. рублей для компаний или 20 тыс. для ИП.

В 2019 году появился новый штраф — за сбор данных через сайты с иностранными хостинг-провайдерами. Его размер — от 1 до 6 млн рублей для компаний и от 30 до 60 тыс. рублей для ИП. Руководителей тоже штрафуют на солидные суммы — от 100 до 200 тыс. рублей.

1. Персональные данные — любая информация о пользователе или клиенте, которую получает предприниматель. Если компания или ИП собирают номера телефонов, email или ФИО, они считаются операторами персональных данных.
2. Чтобы правильно обрабатывать данные, предприниматель должен соблюдать требования Федерального закона № 152-ФЗ. В частности, он размещает сайт на российском хостинге, составляет согласие и политику обработки данных, а также уведомляет Роскомнадзор о работе в качестве оператора.
3. Если компания неправильно собирает и обрабатывает персональные данные, Роскомнадзор выписывает штрафы. Например, за работу без политики обработки — до 30 тыс. рублей, за сбор без согласия — до 75 тыс., за работу на иностранном хостинге — до 6 млн.

«Подпишитесь на наш блог, чтобы первыми узнавать лайфхаки для бизнеса»