РАНЕЕ ДАЛЕЕ

Поправки в закон о «Персональных данных».
Что изменилось и что с этим делать

1 июля вступили в силу поправки в статью 13.11 КоАП о нарушениях закона о персональных данных. Они касаются любого сайта, если там происходит сбор, обработка и хранение данных пользователей. Суммарно за нарушения закона можно получить штраф на сумму до 295 000 рублей. При этом сайт может быть заблокирован. Что в действительности теперь грозит владельцам сайтов? Что сделать, чтобы избежать штрафа?

Что именно изменилось?

Само законодательство о персональных данных ничуть не изменилось (последние существенные изменения были в 2015 году). В этом году, с 1 июля, вступила в силу новая редакция статьи 13.11 кодекса об административных правонарушениях РФ.

БЫЛО: «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) — влечет предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 руб.; на должностных лиц — от 500 до 1000 руб.; на юридических лиц — от 5000 до 10000 руб.».

Никой конкретики (какие именно нарушения, что считать существенными, что несущественными) не было, и по большому счету практики применения наказаний по этой статье было не очень много.

СТАЛО: Статья стала состоять из 7 частей и стала более содержательной и конкретной, а также увеличились размеры штрафов:

Виды нарушений и штрафы


Штрафы теперь разделены по видам нарушений, и теперь за каждое нарушение могут наказать отдельным штрафом. Например, если на сайте нет «Политики конфиденциальности», а в форме подписки нет фразы о согласии на обработку данных и ссылки на «Политику конфиденциальности» — это три разных нарушения, каждое наказывается штрафом.


До 1 июля Роскомнадзор вёл аналитику, проводил проверки, собирал и осуществлял профилактику правонарушений — если выявлялись какие-то правонарушения, то материалы проверки передавались в прокуратуру, которая составляла протокол об административном правонарушении. Из-за участия прокуратуры в этой цепочке очень многие дела не доходили до суда и фактически «разваливались» в связи с несоблюдением сроков.

Сейчас Роскомнадзор действует без участия прокуратуры: составляет протокол и напрямую отправляет дело в суд. Ресурсов и желания работать в этом направлении у Роскомнадзора в этом случае существенно больше, чем у прокуратуры. Но хорошая новость в том, что, например, пермский Роскомнадзор сейчас настроен очень позитивно и готов сотрудничать: сейчас их задача — не привлекать к ответственности, а содействовать профилактике нарушений.

Что считается персональными данными?

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).


Формулировка персональных данных в законе очень интересная. Согласно ей получается, что персональные данные — это вообще всё: любое изображение физического лица, любая информация о нём, любые сведения, которые позволяют это лицо так или иначе идентифицировать.

Приведем пример: условный «Иван Иванов» — это просто имя и фамилия. Словосочетание «Иван Иванов» в интернете не имеет отношения к какой-то конкретной личности. А когда добавляются еще какие-то данные, которые позволяют конкретного Ивана Иванова идентифицировать (телефон, email, почтовый адрес и т.п.) — это уже персональные данные, охраняемые законом.

Часто используемые персональные данные: email, телефон, имя, фамилия, отчество, адрес, дата рождения, фотография, ссылка на персональный сайт или профиль в соцсетях.

Кто такой «оператор персональных данных»?

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.


Обратите внимание, что оператором персональных данных может быть и любое физическое лицо.

Если вы оператор персональных данных, то должны сформулировать для себя 3 параметра: цели, состав персональных данных и конкретные действия с этим данными.

Зачем? С какой целью вы собираете персональные данные? Какие именно персональные данные? Данные каких субъектов вы собираете? Какие действия вы собираетесь с этими данными совершать? В вашей компании должен быть документ, где четко сформулированы все эти пункты. Такой документ рекомендовано назвать «Политика в области обработки персональных данных» (что в нем писать — расскажем ниже).

Что такое обработка персональных данных?

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

То есть, если вы собираете анкеты — это уже обработка. Обычно под обработкой понимают внесение в некую базу данных, но по этой формулировке даже выкидывание собранной анкеты в мусор — также является фактом обработки персональных данных.

Обработка персональных данных — это комплексное понятие, не сочетающееся с нашим бытовым пониманием слова «обработка данных».

Что делать?

1. Нужно уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Федеральным уполномоченным органом является Роскомнадзор.

Территориальное управление Роскомнадзора по Пермскому краю — https://59.rkn.gov.ru/.

Сайт Пермского Роскомнадзора

Процесс регистрации операторов по обработке персональных данных подробно описан здесь. Помимо всего прочего, здесь же есть образцы документов, инструкции и т.п. Все эти документы достаточно тщательно хорошо проработаны. Кроме того, есть рекомендации по заполнению документов — хорошие, четкие.

2. Руководитель организации или индивидуальный предприниматель должен назначить ответственного за организацию обработки персональных данных.

Вы можете сказать, что я руководитель — и сам несу ответственность. Даже если вы ИП и у вас нет других работников, Роскомнадзор рекомендует составить приказ, где нужно указать, что «я сам как индивидуальный предприниматель на себя возлагаю обязанности по организации обработки персональных данных».

3. Разработать документы, определяющие политику в отношении обработки персональных данных.

Речь идет как раз о документе «Политика обработки персональных данных». Кроме него могут понадобиться локальные акты — это документы, которые организация принимает для своих внутренних процессов: какие-либо инструкции (например, для бухгалтера), приказы о средствах защиты компьютера и т.п. Всё это нужно учитывать в зависимости от рода деятельности, способа обработки информации.

Пример локального акта: приказ о приобретении антивирусного программного обеспечения и договор к нему, когда он будет выполнен.

4. Ознакомить работников и дополнительно привлекаемых к работе в вашей организации лиц (например, волонтёров) с положениями законодательства о персональных данных и с вашими локальными нормативными актами.

Документ с «Политикой обработки персональных данных» всегда должен быть доступен на сайте. Лучше, если он будет оформлен в виде PDF-файла: с датой утверждения, заверенный печатью и подписью руководителя.

5.Осуществлять внутренний контроль и аудит соответствия обработки персональных данных настоящему Федеральному закону.

Наша деятельность не должна ограничиваться назначением ответственного лица. Говоря простым языком, ответственное лицо должно регулярно удостоверяться, что изданы все необходимые документы, что все сотрудники, которые работают с персональными данными действуют именно в соответствии с этими документами.

Если вдруг выявляются какие-то нарушения, то ответственный должен проводить разъяснительную работу, писать служебные записки руководителю. То есть аудит и контроль — очень полезная вещь, на случай если к вам придет проверка. Что ответственный делал после назначения? Улучшал систему обработки персональных данных, составляла такие-то документы, провел аудит. Если вы утверждаете проверке, что работаете и улучшаетесь изо дня в день, то должны быть доказательства.

6. Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных.

В общем, мы должны чётко знать, что у нас есть данные, они сохранены и защищены от любого несанкционированного доступа.

согласие на обраобтку персональных данных

Согласие на обработку персональных данных. Каким должно быть и как получить

Согласие на обработку персональных данных должно быть конкретным и сознательным. Оно может быть дано субъектом персональных данных или его представителем в любой форме, позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.


В каких случаях нужна письменная форма?

  1. Трансграничная передача персональных данных (на территорию иностранного государства органу власти, иностранному физическому лицу или иностранному юридическому лицу).

  2. Передача биометрических данных (отпечатки пальцев, сетчатка глаза и т.п.).

  3. Передача специальных категорий персональных данных (расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья и интимной жизни).

  4. Передача персональных данных для общедоступных источников (справочники, адресные книги, интернет).
Письменная форма — это бумажный носитель в строгом соответствии с требованиями закона или документ, заверенный электронной цифровой подписью).

Если бумажный носитель, на котором мы подписываемся, составлен не по требованиям закона, это не будет являться соблюдением письменной формы. Обращайте внимание, если вы собираете именно специальные категории персональных данных, письменное согласие на обработку данных должно соответствовать требованиями закона.

Что должно содержать согласие на обработку персональных данных:

  1. Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных.

  2. Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.

  3. Подпись субъекта персональных данных.
Если данные, требующие согласия на обработку в письменной форме, собираются через интернет — можно использовать электронную цифровую подпись.

Что должно быть в «Политике обработки персональных данных» для сайтов?

  • Род и вид собираемой информации. Напишите, какую информацию вы собираете и для каких целей. Имеет смысл также указать, какая информация собирается автоматически (IP-адрес, cookies, дата и время перехода на URL сайта и т.п.).

  • Как пользователь может изменить или удалить свои данные.

  • Какими способами вы предотвращаете несанкционированный доступ к данным пользователей.

  • В каких случаях вы передаете личные данные третьим лицам (включая предусмотренные законодательством случаи). Важно учитывать какой момент: указать в «Политике» возможность передачи данных пользователя в личных, коммерческих и иных целях, не предусмотренных законом «О персональных данных», недостаточно. Вы должны получить на это отдельное разрешение пользователя.

  • Как вы будете информировать пользователей, если «Политика обработки персональных данных изменится» (например, разместите новую версия документа на сайте или будете уведомлять всех по электронной почте).
Рекомендации от РМН о составлении документа — http://www.rkn.gov.ru/personal-data/p908/

Согласие на обработку персональных данных на сайте

Требования к сайтам и рассылкам

  • Все персональные данные, в силу закона, должны храниться на серверах на территории РФ.

  • На сайте должен быть размещен документ «Политика обработки персональных данных», а также уведомление о сборе информации (то есть вы должны указать, какую конкретно информацию вы собираете: cookies, IP-адрес, данные о поведении пользователя на сайте, если установлен счетчик типа «Яндекс.Метрики»).

  • Требование согласия на обработку персональных данных при заполнении форм обратной связи. Для этого нужно разместить под каждой формой ввода данных на сайте и в мобильном приложении текст «Нажимая на кнопку (тут название кнопки), я даю согласие на обработку персональных данных в соответствии с „Политикой обработки персональных данных“», где «Политика обработки персональных данных» является активной ссылкой на страницу, где размещен этот документ.

Вопросы и ответы

Если я владелец групп в соцсетях – я тоже являюсь оператором персональных данных?

Нет, не являетесь. В соцсетях авторизацию пользователь проводит без вашего ведома. Операторами обработки персональных данных при регистрации в данном случае являются владельцы соцсети. Вы являетесь оператором обработки в соцсетях только в тех случаях, если вы проводите какое-то дополнительное не анонимное анкетирование.




Если мы изучаем конкурентов, заходим к ним в группу в соцсети, скачиваем оттуда информацию: кто именно входит в группу, сколько им лет и т.п. Они клиенты наших конкурентов, и мы хотим с ними работать. Как это расценивается?

Если вы видите в ваших действиях какие-то признаки сбора персональных данных, вы можете это дополнительно прописать в политике. Например, можно написать так: «Для маркетинговых исследований изучаем и собираем информацию в соцсетях».




Если на сайте компании выложены в контактах ФИО сотрудника, фото, рабочий email и телефон — это персональные данные или нет?

Рекомендуется взять с сотрудников письменное согласие на обработку персональных данных, потому что это подходит под пункт «Использование в публичных источниках». Если вдруг во время проверки вас спросят «Где согласие Петрова?», а Петров в этот момент в отпуске, вы покажете этот документ. Если это публично распространяемая информация, на это должно быть согласие.




Получается, что 95% граждан России должны уведомить Роскомнадзор о том, что они собирают и обрабатывают персональные данные?

Мы с Иваном обменялись номерами телефонов, каждый из нас с этой точки зрения закона является оператором обработки персональных данных, у нас есть в бумажном виде записная книжка или адресная книга на нашем почтовом сервере. Но вероятность того, что вы попадете на какую-либо проверку минимальна, только если вы не публичная фигура или не допускаете нарушение чьих-либо прав. Но если мы, физические лица — предприниматели, хотим посотрудничать и передаем друг другу свои базы данных, то это уже нарушение.




Статья подготовлена на материале выступления Ирины Михайловой (юриста, предпринимателя, фандрайзера ПРОО «Территория семьи») на митапе «Персональные данные: новые требования к владельцам сайтов и НКО».