Меню
ГлавнаяТехника

Оценка уровня цифровой грамотности. Оценка уровня цифровой грамотности Уведомление в Роскомнадзор

Михаил Хохолков, ИНТЕЛЛЕКТ-С: «Минимум, что нужно сделать владельцу сайта, - разместить на сайте политику обработки персональных данных».

1 июля 2017 года вступили в силу изменения в статью 13.11 Кодекса об административных правонарушениях (КоАП РФ), регулирующую ответственность за соблюдение законодательства о персональных данных.

Ранее предусматривался один состав правонарушения - нарушение законодательства о персональных данных. Сейчас этот перечень развернут в 7 пунктов. Увеличивается и размер штрафов. Дела об административных правонарушениях в области персональных данных будут рассматривать территориальные отделения Роскомнадзора.

Сам же Закон «О персональных данных» действует уже 10 лет, кардинально не меняясь. Поэтому непонятна паника, которую раздувают некоторые СМИ. Тем не менее, для владельцев любых сайтов, собирающих данные пользователей, я выделил следующие важные моменты.

Политика обработки персональных данных на сайте

Пункт 3 статьи 13.11 КоАП РФ: невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных - влечет предупреждение или наложение административного штрафа:

  • на граждан в размере от 700 до 1 500 рублей;
  • на должностных лиц - от 3 000 до 6 000 рублей;
  • на индивидуальных предпринимателей - от 5 000 до 10 000 рублей;
  • на юридических лиц - от 15 000 до 30 000 рублей.

Минимум, что нужно сделать сейчас, - разместить на сайте политику обработки персональных данных .

Особых требований к месту размещения законодатель не устанавливает, однако рекомендую ссылку на политику установить на главной странице, а также продублировать ее в местах размещения форм для сбора персональных данных. Политика обработки персональных данных должна быть доступной для любого пользователя.

Чек-лист для разработки политики обработки персональных данных (ПД) на сайте

Что нужно проверить:

  • любые формы отправки сообщений по типу «задать вопрос» и поля, обязательные для заполнения. Их нужно будет указать в политике обработки ПД в разделе «Объём ПД»;
  • регистрация пользователя / личный кабинет / авторизация через соцсети. Проверить поля, обязательные для заполнения. Указать их в политике обработки ПД в разделе «Объём ПД»;
  • форма заказа обратного звонка - какие поля в ней обязательны для заполнения. Эти данные нужно будет указывать в политике обработки ПД в разделах «Объем ПД» и «Цели ПД»;
  • рассылка. Если есть форма подписки на рассылку, то необходимо размещать согласие на обработку ПД и согласие на получение рассылки (всё можно делать в одном документе). На рассылку нужно также сослаться в разделе «Цели ПД»;
  • отзывы посетителей / клиентов / партнёров с ПД (благодарственные письма и т.д). Если пользователь пишет отзыв сам, то нужно размещать согласие на обработку ПД. Если выкладываются сканы благодарственных писем, то нужно предварительно обсудить с партнёром возможность получения такого согласия;
  • возможность отправки резюме. В этом случае необходимо согласие на обработку ПД в целях трудоустройства.

База данных сайта с персональными данными пользователей должна находится на территории России.

Если политика обработки ПД (документ может называться «политика конфиденциальности» или аналогично) уже есть на сайте, проверьте по чек-листу цели сбора и объёмы ПД. Лишней информации там быть не должно быть. Принцип «лучше укажем больше данных, вдруг пригодится» неприемлем. Важно помнить, что объём собираемых данных должен соответствовать цели обработки. Универсальных критериев такого соответствия не существует, поэтому нужно руководствоваться принципами разумности и достаточности.

  • для заказа авиабилетов нужны паспортные данные, для доставки пиццы - нет;
  • для доставки заказа курьером интернет-магазина нужен адрес доставки, для самовывоза - нет;
  • для бронирования билета в кино - вообще ничего не нужно, если не оплачивается онлайн.

Если на сайте нет никаких форм обратной связи, нет возможности заказать обратный звонок и т.п. - персональные данные не обрабатываются, следовательно, политику обработки ПД размещать не нужно.

Цель и объем сбора персональных данных

Излишний объем данных, собираемых у пользователя, может быть самостоятельным нарушением. Пункт 1 статьи 13.11 КоАП: обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, - влечет предупреждение или наложение административного штрафа:

  • на граждан в размере от 1 000 до 3 000 рублей;
  • на должностных лиц - от 5 000 до 10 000 рублей;
  • на юридических лиц - от 30 000 до 50 000 рублей.

Таким образом, собираемые персональные данные должны соответствовать цели их обработки и не быть излишними.

Поэтому в политике обработки персональных данных должна быть указана цель обработки и объем.

Пример

Самый частый случай сбора данных на сайте - заказ обратного звонка.

В этом случае достаточно просить указать пользователя лишь номер телефона. Если же для обратного звонка вы просите указать электронную почту, ФИО, адрес, место работы, должность, то такие данные считаются излишними, не соответствующими целям обработки, и, следовательно, их сбор является нарушением.

Без крайней необходимости не осуществляйте сбор паспортных данных. Чаще всего они не нужны. Для выполнения заказа, например, в интернет-магазине, достаточно указать телефон и адрес доставки.

Определившись с целями и объемом обработки персональных, составьте свою политику обработки, разместите на сайт.

Кстати говоря. Я направлял такой запрос в Роскомнадзор:

Необходимо ли размещение политики обработки персональных данных на сайте доставки товаров, если для оформления заказа пользователь указывает только номер телефона? Оператор сайта звонит покупателю по указанному номеру, уточняет детали заказа и адрес доставки. В дальнейшем (после доставки заказа) номер телефона, имя и фамилия покупателя, адрес доставки не сохраняется и не обрабатывается владельцем сайта.

И вот какой ответ получил:

По информации, содержащейся в обращении, дать правовую оценку по существу поставленного вопроса не представляется возможным.

По сути, это означает, что не любой случай сбора персональных данных влечет за собой необходимость размещения политики обработки этих данных, что не отменяет необходимости изучения этого вопроса для каждого сайта индивидуально.

Согласие на обработку персональных данных

Когда необходима письменная форма согласия на обработку ПД

Письменная форма - это документ в печатном виде с оригинальной (не сканированной, не факсимильной) подписью субъекта. Письменная форма не будет соблюдена, если она получена по электронной почте в виде отсканированного документа. Согласие в форме электронного документа может быть подписано электронной подписью в соответствии с ФЗ «Об электронной подписи». Требования к содержанию письменной формы установлены пунктом 4 статьи 9 ФЗ «О персональных данных».

Письменная форма согласия на обработку персональных данных необходима только в случаях, прямо предусмотренных законом. Всего таких случаев пять, и они описаны в статьях 8, 10, 11, 12 и 16 ФЗ «О персональных данных»:

  • Статья 8 касается случаев создания общедоступных источников информации (справочников, адресных книг и т.п.). В эти справочники вы можете включать сведения о лицах, предварительно получив от них письменное согласие на обработку персональных данных.
  • Статья 10 - специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
  • Статья 11 говорит об обработке биометрических персональных данных: фото- и видеоизображения, отпечатков пальцев, ДНК. Фото и видео признаются обработкой персональных данных в том случае, если они используются для установления личности. Съёмка с обычной камеры наблюдения в офисе, в супермаркете или на улице обработкой персональных данных не является.
  • Статья 12 касается трансграничной передачи персональных данных.
  • Статья 16 запрещает принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы - только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами.

Есть случаи, когда персональные данные могут быть обработаны без согласия субъекта - это пункты 2-11 части 1 статьи 6, часть 2 статьи 10 ФЗ «О персональных данных».

Во всех иных случаях (т.е. когда нет требования получать согласие в письменной форме или когда согласие не требуется) согласие может быть получено в любой форме, позволяющей подтвердить получение такого согласия. Подтверждать наличие такого согласия должен оператор обработки персональных данных.

Гиперссылку на согласие на обработку персональных данных рекомендуем устанавливать рядом с кнопками «отправить», «далее», « подписаться на рассылку» и подобными, сопровождая текстом:«Нажимая на кнопку ОТПРАВИТЬ, я подтверждаю, что ознакомился с политикой обработки персональных данных и даю согласие на обработку персональных данных » , где текст, выделенный курсивом, - это гиперссылки на соответствующие документы.

Уведомление в Роскомнадзор

В определенных случаях необходимо подать уведомление в Роскомнадзор по месту регистрации (юр. лица, предпринимателя или гражданина - администратора сайта) для включения в реестр обработки персональных данных. Если такое уведомление не предоставить, то возможно привлечение к ответственности по статье 19.7 КоАП - предупреждение или наложение административного штрафа

  • на граждан в размере от 100 до 300 рублей;
  • на должностных лиц - от 300 до 500 рублей;
  • на юридических лиц - от 3 000 до 5 000 рублей.

В пункте 2 ст. 22 ФЗ «О персональных данных» перечислены случаи, когда уведомление в Роскомнадзор подавать не требуется. Всего таких случаев девять. Самый распространенный - персональные данные получены в связи с заключением договора, если при том персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных. Эти данные должны использоваться исключительно для исполнения указанного договора и заключения договора с субъектом персональных данных.

Заключение

Если на сайте не размещена политика обработки персональных данных, то его владелец не выполняет требования Закона «О персональных данных».

Дополнительные требования могут быть предъявлены к интернет-магазинам, сервисам по подбору персонала, сервисам бронирования билетов, приема платежей, сетевых изданий (СМИ) и т.п. Про использование персональных данных в СМИ я напишу отдельно.

Поэтому прошу внимательно отнестись к подготовке документов, не используя «типовых форм политики обработки персональных данных», поскольку их не существует. За помощью обращайтесь к юристам, специализирующимся в этой отрасли.

Постскриптум

А вы знали, что дополнительные требования к информации, размещаемой на любых сайтах установлены и Федеральным законом «Об информации»?

Пункт 2 статьи 10 Федерального закона от 27.07.2006 №149-ФЗ (ред. от 06.07.2016) «Об информации, информационных технологиях и о защите информации»:

Информация, распространяемая без использования средств массовой информации, должна включать в себя достоверные сведения о ее обладателе или об ином лице, распространяющем информацию, в форме и в объеме, которые достаточны для идентификации такого лица.

Владелец сайта в сети «Интернет» обязан разместить на принадлежащем ему сайте информацию о своих наименовании, месте нахождения и адресе, адресе электронной почты для направления заявления, указанного в статье 15.7 настоящего Федерального закона (досудебные меры по прекращению нарушения авторских прав), а также вправе предусмотреть возможность направления этого заявления посредством заполнения электронной формы на сайте в сети «Интернет».

Михаил Хохолков о персональных данных

28 июля Михаил Хохолков, ведущий юрист ИНТЕЛЛЕКТ-С, в студии телеканала Malina.Am рассказал о поправках в закон о персональных данных.

Представьте себе ситуацию.

Ваш потенциальный клиент услышал о вашей компании, но он не знает ни адрес вашего сайта, ни где вы находитесь, ни как с вами связаться.

Как он поступит в таком случае?

Ответ прост: он зайдет в google и начнет искать информацию о вас. А ваша задача - максимально облегчить поиск потенциальному клиенту. А значит, ваша компания, помимо собственного сайта, должна быть представлена во всех популярных онлайн-ресурсах.

Каких именно?

Об этом и пойдет речь сегодня!

Подготовка

Прежде чем начать активно регистрироваться на онлайн-ресурсах, вам нужно собрать максимум информации о вашей компании, для того, чтобы заполнить свой профиль полностью.

Подумайте о поисковых запросах, по которым потенциальный клиент может найти вас.

Например, химчистку, которая находится в центре Киева, потенциальные клиенты могут искать по запросу «Химчистка центр Киев » или «Где можно постирать костюм Киев ».

Нужно обязательно определить все популярные поисковые запросы и добавить максимально возможное количество в описание своей компании. Для этого воспользуйтесь сервисом Wordstat от Яндекса или AdWords от Google.

Также позаботьтесь об отзывах от реальных клиентов, соберите качественные фото и видео, которые могут выставить ваш бизнес в хорошем свете.

Я рекомендую вам создать отдельный документ, в котором будет хранится вся необходимая информация о вашей компании. Это значительно упростит регистрацию – вам нужно будет всего лишь копировать и вставлять информацию из документа в онлайн-профиль вашей компании.

Закончив с подготовкой, переходим к изучению самых популярных онлайн-ресурсов, где обязательно должна быть представлена ваша компания.

10 онлайн-ресурсов, где обязательно должна быть представлена ваша компания

Сейчас мы перейдем к рассмотрению самых популярных онлайн-ресурсов, где вам обязательно нужно зарегистрировать свою компанию. Рейтинг сайтов составлен на основании рейтинга международной исследовательской компании Alexa (результаты рейтинга можете посмотреть ), занимающейся анализом популярности и влиятельности сайтов во всем мире.

В Facebook for business возможностей намного больше, чем в том же ВКонтакте . Вы можете создать страничку сообщества, персональную страницу, страницу компании или ее брендов.

Создав страничку, не забывайте регулярно обновлять ее. Если пользователь зайдет на вашу страничку и увидит, что информация на ней обновлялась последний раз 3 месяца назад, это даст повод подумать о том, что ваша компания недостаточно популярна.

№ 6 – Prom.ua

Prom.ua – это онлайн-ресурс, на котором вы можете создать полный профиль своей компании, сделать описание своих продуктов и услуг, а также разместить каталог продуктов вместе с прайс-листом. Таким образом, потенциальный клиент может сразу получить информацию как о самом продукте, так и об его цене.

Ресурс больше подходит для украинских торговых компаний.

№7 – Allbiz

Allbiz – это международный аналог украинского Prom.ua. С помощью Allbiz вы можете легко находить иностранных партнеров и покупателей.

Ежегодная аудитория Allbiz достигла более 220 млн человек, что позволило ресурсу выйти в лидеры интернет-пространства. На сегодняшний день в онлайн-каталоге Allbiz представлено свыше 20 млн товаров и услуг от более чем 1,3 млн компаний из 90 стран мира.

Так что обязательно присоединяйтесь к этому ресурсу.

№8 – Foursquare

Foursquare – очень популярный ресурс среди молодежи. С помощью чекинов, оценок, отзывов и фото, вы можете достаточно легко привлечь внимание к своей компании. Добавьте небольшой бонус за чекин, и поток посетителей вам гарантирован.

По поводу нарушений закона о персональных данных. Они вступят в силу 1 июля 2017 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные.

Штрафы разделили по видам нарушений и увеличили в десятки раз. Например, если не разместить на сайте политику конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а компанию - на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юрлица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч . Если нарушений несколько, то и штрафов будет несколько.

Нужно срочно привести в порядок свои сайты. Проверки уже идут 💻

Сейчас протоколы о нарушениях может выписывать только прокуратура. Штраф не зависит от вида нарушения и составляет для ИП или директора максимум 1000 рублей, а для юрлица - 10 тысяч рублей. Процедура занимает много времени, штрафы маленькие, поэтому проверяют редко и не всех.

Как узнать, являюсь ли я оператором персональных данных?

Персональные данные - это любые данные о человеке, по которым его можно идентифицировать. В законе нет перечня таких данных, поэтому приходится догадываться самим. Например, по имени или логину нельзя понять, что это за человек, а по имени и телефону или имени и электронной почте - можно.

Скорее всего, вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:

  • фамилию,
  • отчество,
  • какой-то физический адрес,
  • электронную почту,
  • телефон,
  • дату или место рождения,
  • фотографию,
  • ссылку на персональный сайт или соцсети,
  • профессию,
  • образование,
  • уровень доходов,
  • семейное положение.

Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, - это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения - это тоже обработка персональных данных.

А если я записываю телефон друга или электронную почту девушки на сайте знакомств, мне нужно соблюдать этот закон?

Нет, не нужно. На данные для личных и семейных нужд закон не распространяется. Но если передать телефон друга коллекторам или опубликовать объявление с почтой девушки на форуме женоненавистников - это уже нарушение.

Как правильно работать с персональными данными, чтобы не нарушить закон?

Как минимум нужно:

  • получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
  • публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
  • запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
  • использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
  • сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
  • удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
  • хранить базы данных в надежном месте, защищать их от взлома и утечки;
  • научить сотрудников работать с персональными данными;
  • зарегистрироваться в Роскомнадзоре.

Что? Я должен еще где-то зарегистрироваться?

Да, по закону операторы персональных данных должны уведомить Роскомнадзор . Причем сделать это нужно до начала обработки данных или как можно скорее. Роскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более - распространяться;
  • человек сам опубликовал эти данные в общем доступе;
  • у вас есть только ФИО клиента и больше ничего.

У меня есть сайт, и я получаю персональные данные. Что мне делать?

Если вы до сих пор ничего не сделали, то вы уже нарушаете закон и вас уже сейчас могут оштрафовать. Даже если ваш сайт обслуживает веб-студия или удаленный айтишник, штраф всё равно выпишут на ту компанию или ИП , которые указаны на сайте.

Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны на всех страницах. Это может быть пользовательское соглашение, как у «Ламоды» , правила продажи, официальное уведомление, как у «М-видео» , политика конфиденциальности, как у «Рестора» , «Адидаса» или «Озона» . Можно прописать условия обработки персональных данных в обычном договоре или оферте, как это делает Сбербанк .

Не используйте чужие документы. Их можно взять для ориентира, но список данных и цели использования нужно прописывать свои. То, что нужно банку для оформления кредита или интернет-магазину для доставки товара, не понадобится для электронной рассылки или доски объявлений. Запрашивать ненужные данные - нарушение закона и повод для штрафа.

Реализуйте решение, которое позволит четко установить, что человек согласился на обработку персональных данных. Это может быть галочка в форме регистрации или предупреждение при оформлении заказа. Для надежности заверьте веб-страницы у нотариуса.

Подготовьте внутренние документы о хранении персональных данных и ответственности сотрудников, которые с ними работают. Приказы, регламенты и должностные инструкции не нужно выкладывать в общий доступ.

Если нужно, отправьте уведомление в Роскомнадзор. Если уверены, что уведомление отправлять не нужно, оформите документы так, чтобы это было понятно при проверке. Например, пропишите в политике, что используете персональные данные только для исполнения конкретного договора. Или укажите, что создаете ресурс, на котором данные размещаются в общем доступе по желанию пользователя.

Это правда, что хранить персональные данные можно только на российских серверах? Если у меня хостинг в Европе, я нарушаю закон?

В законе много непонятного по этому поводу. С одной стороны, собирать, обрабатывать и хранить базы данных нужно на российских серверах. Но при этом есть отдельная статья про трансграничную передачу данных. На сайте Минкомсвязи опубликованы разъяснения по этому поводу, но в них тоже много противоречий.

Сами делайте выводы, где хранить данные. Если не знаете, что делать, отправьте запрос в Роскомнадзор или Минкомсвязи. Еще можно обратиться к своему хостеру: чаще всего у таких компаний есть готовые решения.

Да успокойтесь вы все! Никого не будут штрафовать из-за каких-то форм на сайте и ненужных бумаг.

В Тамбовской области прокуратура оштрафовала юридическую компанию за заполнение формы обратной связи без согласия пользователя на обработку персональных данных. Суды поддержали.

Директора управляющей компании оштрафовали за то, что он передал юристам данные должников, чтобы составить исковые заявления. Согласие на обработку персональных данных у жильцов он не получил. Конституционный суд ему не помог.

В Астрахани прокуроры штрафуют владельцев сайтов за формы обратной связи по алфавиту.

Кроме штрафов в пользу государства за нарушение правил обработки персональных данных могут взыскать компенсацию морального вреда и даже посадить в тюрьму.

В законе про персональные данные много непонятного. Мы разобрались и ответили на

В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы

Основание Размер штрафа
Физлица Должностные лица Юрлица ИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн предупреждение или штраф — от 1000 до 3000 руб. предупреждение или штраф — от 5000 до
10 000 руб. 		предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб. от 10 000 до 20 000 руб. от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДн от 700 до 1500 руб. от 3000 до 6000 руб. от 15 000 до 30 000 руб. от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработке предупреждение или штраф — от 1000 до 2000 руб. предупреждение или штраф — от 4000 до 6000 руб. предупреждение или штраф — от 20 000 до 40 000 руб. предупреждение или штраф — от 10 000 до 15 000 руб.
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки) предупреждение или наложение штрафа в размере от 1000 до 2000 руб. предупреждение или штраф — от 4000 до
10 000 руб. 		предупреждение или штраф — от 25 000 до 45 000 руб. предупреждение или штраф — от 10 000 до 20 000 руб.
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования от 700 до 2000 руб. от 4000 до
10 000 руб. 		от 25 000 до 50 000 руб. от 10 000 до 20 000 руб.
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн предупреждение или наложение административного штрафа — от 3000 до 6000 руб.

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?

Давайте разбираться со всеми вопросами по порядку.

Закон «О персональных данных» принят несколько лет назад. Если на сайте нет политики конфиденциальности, не получено согласие на обработку персональных данных, предусмотрены штрафы, причем они могут суммироваться.

— это любая информация, прямо или косвенно относящаяся к определенному физ. лицу.

Что конкретно на сайте подпадает под персональные данные:

  • Форма подписки, когда пользователь вводит свой ник и email.
  • В форме обратной связи пользователь также указывает имя (часто выдуманное) и почту. В судебной практике есть случай, когда к персональным данным отнесли форму обратной связи, в которой было только имя и сообщение.
  • Комментарии и сообщения на сайте, когда требуется сообщить имя и почту.
  • Регистрация на сайте, данные в личном кабинете (адрес, город проживания, ФИО, почта, год рождения).
  • Заказ товаров через сайт, покупка в интернет-магазине без регистрации пользователь указывает имя и телефон, иногда почту.
  • Форма обратного звонка, когда требуется указать свое имя и номер телефона.
  • Moneyback, т.е. возврат денег за купленный товар. Пользователь указывает ФИО и банковские реквизиты.
  • Анкеты, тесты и опросники по результатам тренингов, сделанных покупок — ФИО и почта.
  • Заявки на оффлайн мероприятия: проведение праздников, вечеринок, свадеб и т.п. Здесь пользователь указывает свои контактные данные.
  • Отзывы на сайте. Фото пользователя, email — сбор персональных данных.
  • Персональные данные в статье о человеке, например, во время интервью, когда спрашивают о деталях личной жизни.
  • Заявка на публикацию объявления — на сайте объявлений, СМИ.

На своем интернет ресурсе вам нужно определить, где у вас точки сборки персональных данных. Даже если вы физ. лицо и владеете сайтом, то все равно являетесь оператором персональных данных , а значит подпадаете под ФЗ «О персональных данных» и несете ответственность. Единственный плюс — штрафы для физ. лиц маленькие, в отличие от ИП и юр. лиц.

Роскомнадзор следит за соблюдением соотвестствующего закона на всех сайтах. Хозяин сайта отправляет туда уведомление об обработке персональных данных. На основании уведомлений ведется реестр операторов. Контора также рассматривает все жалобы пользователей об использовании нелегально их персональной информации. Некоторые пользователи даже подают иски в суд.

Как обрабатывать персональные данные?

На сайте:

Лучше сделать согласие отдельным документом. Если на сайте у вас несколько мест для ввода персональных данных (регистрация, комментарии, отзывы, подписка), то должно быть несколько вариантов согласий — под каждый случай.

В согласии нужно указать конкретный объем обрабатываемых персональных данных, в какой форме и для каких целей они будут обрабатываться. Цели могут быть разные: таргетированная реклама, рассылка, обратная связь с клиентом, маркетинговые исследования, возврат денег за товар, если это интернет-магазин.

Текст согласия на сайте

Я даю согласие Администрации сайта на _______ (способы обработки) следующих персональных данных: _______ (имя и email), для целей _______ (например, рассылки информации о новостях сайта, о новых услугах, спецпредложениях, другой полезной информации от Администрации ресурса или ее партнеров).

Согласие на обработку персональных данных не является бессрочным, его можно в любое время отозвать.

Уведомление Роскомнадзора . Уведомление можно отправить по электронной почте, простым заказным письмом, и вас включают в единый реестр, как оператора персональных данных.

Отправлять уведомление не нужно, если вы используете только ФИО пользователя, если его данные общедоступны, если действуете в рамках ранее заключенного договора (на сайте) и не распространяете информацию третьим лицам.

Хранить персональные данные граждан РФ можно только на территории РФ. По закону можно использовать только хостинг внутри страны.

Удалять или изменять персональные данные вы должны по заявлению их владельца. Лучше делать это по первому же запросу, иначе человек может пожаловаться в Роскомнадзор на сайт или пойти в суд. Или по завершению договора с пользователем.

Политика конфиденциальности . Лучше сделать отдельным документом и расположить ссылку в подвале сайте, чтобы был доступ со всех страниц ресурса.

Политика конфиденциальности

Основные положение документа:

  • в каких случаях пользователь дает свои персональные данные Администрации сайта;
  • собирается 2 типа информации: информация, которую пользователь дал сам и техническая информация (ip-адрес, браузер, ПО, разрешение экрана, пол, возраст, местонахождение и другое);
  • какие данные мы получаем от пользователя и в каком месте сайта (форма подписки, регистрации, комментирование);
  • указание персональных данных при пользовании какими-то услугами на сайте; при заполнении формы на конкретной странице, при написании претензии;
  • реквизиты карты при оплате товара администрации сайте недоступны и обрабатываются платежным интегратором (Интеркасса, например);
  • положение о регистрации на сайте через соц.сети;
  • если на сайте используется система идентификации пользователей через Cookies , надо рассказать про это;
  • гарантия безопасности персональных данных пользователей и непередача данных третьим лицам без согласия пользователей; предусмотреть те случаи передачи личных данных, когда это возможно;
  • для каких целей собираются личные данные;
  • срок обработки данных: от регистрации пользователя до удаления его учетной записи с сайта;
  • куда обратиться, если пользователь хочет удалить свои персональные данные, указать email администрации;
  • пользователь может изменить, дополнить или удалить частично свои данные — как это сделать;
  • информация о рассылку пользователям, возможность отказаться от рассылки.

Регистрация пользователя на сайте _______ может осуществляться через социальную сеть ______. Данный способ регистрации избирает сам пользователь путем совершения на сайте действий в момент регистрации.

При регистрации через социальную сеть _____ сайт в целях автоматического заполнения аналогичных данных о пользователе, а также для оптимизации работы фильтра сайта по соответствующему критерию собирает следующие сведения о пользователе из социальной сети: ФИО, никнейм, пол, место пребывания (город, населенный пункт).

Штрафы

Штрафы, действующие с 1 января 2017г. за нарушение законодательства в области персональных данных.

Как видим из таблицы, штрафы на физ. лиц небольшие, поэтому многие вебмастера не заморачиваются с выполнением закона о сборе и хранении персональных данных.

Уведомление в Роскомнадзор

Уведомление подается до начала обработки персональных данных. Оно подается одновременно и через интернет (email), и отправляется по почте заказным письмом с описью вложения и уведомлением о вручении в территориальный орган Роскомнадзора (адреса на официальном сайте).

Уведомление направляется 1 раз, но если какие-то сведения изменились, необходимо направить информационное письмо о внесении изменений в сведения в реестре оператором персональных данных.

После заполнения на сайте вы получите номер уведомления и секретный ключ. По нему вы узнаете, когда вас включат в реестр операторов персональных данных.

Если вы состоите с кем-то в договорных отношениях или оказываете услуги на сайте, уведомлять Роскомнадзор не нужно.

  • Куда вы отправляете это уведомление.
  • Тип оператора:
    • физ. лицо (указываете ФИО);
    • юр. лицо (полное наименование, сокращенное название, филиалы).
  • Адрес оператора: юридический и почтовый адрес для юрлиц, ИНН, ОГРН или ОГРНИП для ИП, ссылки на коды ОКВЭД.
  • Правовое основание обработки персональных данных. Указываем законы, на основании которых собираем персональные данные.
  • Для каких целей обрабатываем персональные данные.
  • Чьи персональные данные мы обрабатываем: сотрудники, клиенты, подписчики, пользователи сайта.
  • Если вы собираете данные через интернет, на сайте надо опубликовать политику конфиденциальности.
  • Какие персональные данные вы обрабатываете и каким способом (с передачей третьим лицам, с пересылкой через интернет или нет, с передачей или без внутри юридического лица, автоматизированная система ли ручная).
  • Сроки и условия прекращения обработки персональных данных.

Как альтернативу, можно рассмотреть другой подход. Что ваш сайт оказывает безвозмездные услуги информационного характера . Это прописать в политике конфиденциальности. В этом случае не нужно вообще заботиться о хранении персональных данных и уведомлять Роскомнадзор.

Например, вы предоставляете площадь на своем сайте в аренду : человек написал отзыв — вы его опубликовали на сайте, разместил фото и указал ФИО с почтой — вы это опубликовали на сайте, пользователь подписался на рассылку — получил бесплатные материалы (услуга).

Обработка персональных данных юр. лицами и ИП

Персональные данные сотрудников:

  • могут обрабатываться в строго ограниченных целях: содействие в трудоустройстве, продвижение по службе, обеспечение личной безопасности, контроль выполняемой работы, обеспечение сохранности имущества фирмы;
  • все данные можно получать непосредственно от самого работника;
  • запрещено обрабатывать данные о нац. принадлежности, религиозных и философских взглядов, интимной жизни, состоянии здоровья, членстве в организациях;
  • нельзя передавать персональные данные без письменного согласия, если только это необходимо в целях предупреждения его жизни и здоровья или в рамках закона.

Руководитель компании должен утвердить положение о персональных данных работников, ознакомить с ним всех сотрудников под расписку. Необходимо подготовить перечень лиц, которые имеют доступ к данной информации. Обычно это директор, бухгалтер, юрист и менеджер по кадрам. Но здесь важно разграничить, к каким персональным данным тот или иной сотрудник имеет доступ, какие необходимы ему в работе. Далее эти данные могут быть предоставлены самому сотруднику по запросу.

Работник имеет право получить информацию о том, кто еще имеет доступ к его данным, где и сколько по времени хранятся эти данные, как обрабатываются.

Сотрудники, допущенные к обработке данных , должны подписать обязательство о неразглашении информации, содержащей персональные данные. Его можно делать отдельным документом или сделать отдельной главой в трудовом договоре или должностной инструкции.

Ответственные сотрудники :

  • Ответственный за обработку персональных данных (назначается приказом) контролирует соблюдение всеми сотрудниками порядка обработки персональных данных.
  • Администратор безопасности информационных систем персональных данных (назначается приказом) обеспечивает защищенность персональных данных в организации, ведет журналы. Это может быть 1 или несколько человек. Эти инструкции лучше прописать дополнением к трудовому договору.
  • Сотрудники должны принимать меры по пресечению доступа к персональным данным посторонних лиц, должны фиксировать все факты нарушений.

В компании необходимо принять положение об обработке персональных данных: какие данные обрабатываются, с какой целью, порядок обработки.

Документы для юридических лиц и ИП

Все необходимые шаблоны документов по обработке персональных данных для юр. лиц вы можете скачать ниже.