Согласие на обработку персональных данных если информация в открытом доступе

Содержание
  1. Должны ли владельцы сайтов требовать согласие на обработку персональных данных? | Awara
  2. Затрагивает ли это обычные сайты?
  3. Напомните, что такое персональные данные?
  4. Что ещё нужно сделать операторам персональных данных?
  5. Какие существуют требования по составлению политики в отношении обработки персональных данных?
  6. Как через сайт получать согласие на обработку персональных данных?
  7. Как организации не получить штраф в 290 000 рублей
  8. Контакты
  9. Правила сбора и обработки персональных данных на сайте: как не нарушить закон
  10. Что такое персональные данные?
  11. Что делать, если я обрабатываю ПД у себя на сайте?
  12. SSL-сертификат
  13. Политика конфиденциальности
  14. Согласие на обработку персональных данных
  15. Уведомление Роскомнадзора
  16. Выводы
  17. Обработка персональных данных в 2018: как избежать штрафа
  18. Персональные данные: штрафы 
  19. Как понять, являетесь ли вы оператором персональных данных?
  20. Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора  
  21. Случаи, когда уведомление Роскомнадзора не требуется
  22. В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?
  23. Когда для обработки персональных данных не нужно согласие субъекта персональных данных?
  24. Портал персональных данных — что это такое?
  25. 152-ФЗ: как совладать с персональными данными
  26. Что такое персональные данные
  27. Что должен сделать оператор персональных данных
  28. Когда уведомление Роскомнадзора не требуется
  29. Когда не нужна конфиденциальность персональных данных
  30. Что отразить в политике конфиденциальности
  31. Как составить согласие на обработку персональных данных
  32. Когда не нужно согласие
  33. Что будет, если нарушать

Должны ли владельцы сайтов требовать согласие на обработку персональных данных? | Awara

Согласие на обработку персональных данных если информация в открытом доступе

Федеральным законом “О персональных данных” установлено, что персональные данные граждан РФ должны обрабатываться только с их согласия, если иное не установлено другими нормами законодательства.

Соответственно, интернет-магазины должны получить согласие пользователей при любых возможных правоотношениях с ними, предусматривающих использование их персональных данных, за исключением случаев, когда такие правоотношения оформлены в виде акцепта публичной оферты либо в виде иных форм договорных отношений, — говорится в публикации Роскомнадзора.

Затрагивает ли это обычные сайты?

Несмотря на то, что в разъяснении Роскомнадзора от 8 ноября 2017 года рассматривается случай только с интернет-магазинами, требования закона могут затронуть большинство интернет-ресурсов, в том числе блоги, корпоративные сайты и так далее.

Если те данные, которые вы получили через сайт (например, в результате заполнения формы обратной связи, регистрации на сайте, подписки на информационную рассылку и т.п.

), являются персональными (о том, что является персональными данными, мы поговорим чуть ниже), между вами и субъектом персональных данных не заключено никакого договора, а ваши действия направлены на обработку, хранение и использование такие данных,  то законом вы признаётесь оператором персональных данных (в ряде случаях придётся оповестить Роскомнадзор, но об этом тоже чуть позже).

Напомните, что такое персональные данные?

В законе даётся определение: «Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

На наш взгляд не самое полное и чёткое определение.

Не утешает и ответ Минкомсвязи: “… Более точно определить состав персональных данных, в том числе привести их перечень, представляется нереализуемым. Закон также не содержит полномочий по уточнению этого термина подзаконными актами.”

В 2015 году в интервью lenta.ru Александр Жаров (глава Роскомнадзора) сообщил про персональные данные следующее: Это набор информации, позволяющий безошибочно идентифицировать вас как личность.

Либо, если ваша личность уже определена, безошибочно отнести требуемые данные именно к вам. Например, фотография, ФИО, номер телефона и адрес электронной почты позволяют идентифицировать человека достаточно точно.

А фотография и имя «Оля» персональными данными считаться не могут, как и отдельно взятый адрес электронной почты или номер телефона. Речь идет именно о совокупности данных.”

Тем не менее утверждённого списка того, что необходимо — или в каком сочетании — считать персональными данными, нет. Юристы бесконечно спорят по данному вопросу, основываясь на тех или иных прецедентах или логических заключениях. Таким образом, на основе этих рассуждений в список данных, которые можно считать персональными, можно включить:

  • ФИО
  • Дата и место рождения
  • Адрес
  • Паспортные данные
  • Семейное, социальное и имущественное положение
  • Образование и профессия
  • Доходы
  • Данные о поведении пользователя на сайте
  • Файлы cookies
  • Сведения о геопозиции
  • IP-адрес
  • Фотография
  • ссылка на профиль в социальной сети и т.п.

Что ещё нужно сделать операторам персональных данных?

Компании, отвечающие критериям оператора персональных данных, должны разместить на своем сайте документ, определяющий политику в отношении обработки персональных данных (о нём мы ещё поговорим чуть ниже).

Следует помнить про правила локализации обработки персональных данных. Если кратко, персональная информация должна храниться в базе данных на территории Российской Федерации.

Полезные ссылки:

Узнать IP-адрес сайта

Узнать расположение сервера по IP-адресу

Какие существуют варианты для архитектуры системы? (на примере баз данных ERP-систем)

Кстати, убедитесь, что ваша компания находится в реестре операторов персональных данных. Проверить можно по ссылке. Если вас там нет, то уведомление можно отправить через сайт Роскомнадзора, а затем распечатать копию, поставить подпись и печать организации и отправить обычной почтой в территориальный орган Роскомнадзора.

Владельцам сайтов нет необходимости уведомлять контролирующий орган в случае:

  • обработки данных в соответствии с трудовым законодательством;
  • если с субъектом персональным данных заключён договор, персональные данные не распространяются и не передаются третьим лицам;
  • если субъект персональных данных сделал их общедоступными;
  • если иное лицо (оператор, ответственный за обработку персональных данных) поручило вам обработку персональных данных с согласия такого субъекта персональных данных, на основании заключаемого с этим лицом договора (ст.6 п.3 ФЗ “О персональных данных”)
  • когда субъект персональных данных передаёт оператору только ФИО (без какой-либо дополнительной информации)

Какие существуют требования по составлению политики в отношении обработки персональных данных?

Роскомнадзором при участии Молодежной палаты Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных были подготовлены рекомендации по составлению подобного документа. В политику предлагается включить следующие пункты:

  1. Общие положения. Назначение, основные понятия, права и обязанности оператора и субъектов персональных данных.
  2. Цели сбора персональных данных. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.
  3. Правовые основания обработки персональных данных. Совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.
  4. Объём и категории обрабатываемых персональных данных, категории субъектов персональных данных. и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки. В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных.
  5. Порядок и условия обработки персональных данных. В данном разделе рекомендуется указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных, сроки обработки персональных данных и условия прекращения их обработки. В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц. Также рекомендуется указывать сведения о соблюдении требований конфиденциальности персональных данных.
  6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.

С полной версией документа и подробным описанием рекомендаций вы можете ознакомиться по ссылке.

В специальные категории персональных данных входят расовая и национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья и интимной жизни.
Биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Как через сайт получать согласие на обработку персональных данных?

Технически получение согласия на обработку персональных данных можно реализовать, позволив пользователю ставить “галочку” в веб-форме при отправке информации о пользователе.

В случае обработки биометрических и специальных категорий персональных данных или хранения данных на территории страны, не обеспечивающей адекватную защиту персональных данных (список доступен на отдельной странице сайта Роскомнадзора), всё сложней: согласие придётся получить в письменной форме.

Как организации не получить штраф в 290 000 рублей

290 000 рублей? Да, если нарушить пункты 1-6 Статьи 13.11. КоАП РФ, то максимальная сумма штрафа для юридического лица может составить 290 000 рублей (и это без учёта штрафов для должностных лиц). Закон предусматривает ответственность за:

  1. Обработку персональных данных в случаях, не предусмотренных законодательством, либо несовместимых с целями сбора данных.
    — Штраф для должностных лиц: от 5 000 до 10 000 рублей
    — Штраф для юридических лиц: от 30 000 до 50 000 рублей
  2. Обработку персональных данных без письменного согласия (для случаев, когда это необходимо).
    — Штраф для должностных лиц: от 10 000 до 20 000 рублей
    — Штраф для юридических лиц: от 15 000 до 75 000 рублей
  3. Отсутствие открытого доступа к опубликованной политике организации или отсутствие обеспечения неограниченного доступа иным способом в отношении обработки персональных данных и их защиты.
    — Штраф для должностных лиц: от 3 000 до 6 000 рублей
    — Штраф для юридических лиц: от 15 000 до 30 000 рублей
  4. Невыполнение обязанности по предоставлению информации субъекту персональных данных, касающейся обработки его персональных данных.
    — Штраф для должностных лиц: от 4 000 до 6 000 рублей
    — Штраф для юридических лиц: от 20 000 до 40 000 рублей
  5. Невыполнение требований об уточнении, блокировании, уничтожении персональных данных.
    — Штраф для должностных лиц: от 4 000 до 10 000 рублей
    — Штраф для юридических лиц: от 25 000 до 45 000 рублей
  6. Нарушение правил сохранности персональных данных при их обработке без использования средств автоматизации, что привело к неправомерному или случайному доступу к персональным данным.
    — Штраф для должностных лиц: от 4 000 до 10 000 рублей.
    — Штраф для юридических лиц: от 25 000 до 50 000 рублей.

Подведём итог. Чтобы не вызвать претензии со стороны надзорного органа и не получить штраф мы рекомендуем:

  1. Определить, попадает ли ваша организация в категорию операторов персональных данных;
  2. Если ваша организация попадает под определение оператора персональных данных, то вам необходимо разработать Политику обработки персональных данных на основе рекомендаций Роскомнадзора и разместить её на сайте компании в открытом доступе;
  3. Добавить компанию в реестр операторов, осуществляющих обработку персональных данных, если её там ещё нет;
  4. В постоянном режиме получать согласие на обработку персональных данных от пользователей сайта и обязательно в таком согласие указывать ссылку на Политику в целях изучения пользователями;
  5. Убедиться, что собранные персональные данные российских граждан хранятся на территории России;
  6. Убедиться, что у компании есть локальные акты по обработке персональных данных
  7. Убедиться, что получены разрешения на обработку данных от субъектов персональных данных, если компания пользуется услугами подрядчиков в какой-либо сфере своей деятельности.

Контакты

Источник: https://www.awaragroup.com/ru/blog/roskomnadzor-on-personal-data-and-websites/

Правила сбора и обработки персональных данных на сайте: как не нарушить закон

Согласие на обработку персональных данных если информация в открытом доступе

Многие из нас постоянно регистрируются на разных ресурсах в Сети, подписываются на рассылки, заполняют формы и оставляют комментарии. Все эти действия так или иначе подразумевают сбор персональных данных. Мы расскажем, как обрабатывать персональные данные пользователей сайта и при этом избежать серьёзных нарушений и штрафов.

Если вы собираете данные пользователей из России, то основной документ, на который нужно полагаться — Федеральный закон № 152-ФЗ «О персональных данных». Давайте разберёмся, в чём его суть и как организовать сбор персональных данных законным путём.

Что такое персональные данные?

В соответствии с определением вышеупомянутого закона: «Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)». 

То есть, к персональным данным (далее ПД) можно отнести: ФИО, дату рождения, телефон, адрес, ИНН, сведения о работе, ссылки на аккаунты в соцсетях или личный сайт и другую подобную информацию. 

На любые данные найдётся тот, кто их обрабатывает — то есть делает все те вещи, которые описаны в соглашениях на обработку ПД (вы наверняка это знаете, если когда-нибудь читали подобные документы).

А именно сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Человек, обрабатывающий ПД, называется оператором персональных данных.

Он несёт ответственность за незаконную обработку ПД и может быть как юридическим, так и физическим лицом.

Вас можно считать оператором персональных данных, если на вашем сайте есть формы:

  • подписки на рассылку;
  • регистрации личного кабинета;
  • заявки или обратной связи;
  • системы онлайн-чата или онлайн-консультанта;
  • размещения комментариев.

Обратите внимание, что не все данные являются персональными сами по себе, но их совокупность позволяет им приобрести такой статус. Например, если пользователь укажет только своё имя, то этого явно не хватит для идентификации его личности.

А вот имя и e-mail уже дают более полноценное определение.

В то же время такие сведения, как номер телефона или ИНН, сами по себе уже являются ПД, так как при наличии доступа к соответствующей базе данных они позволяют получить полную информацию о человеке.

Поэтому определить, являетесь ли вы оператором ПД, можно в зависимости от того, какие именно данные вы собираете через формы обратной связи на сайте.

Что делать, если я обрабатываю ПД у себя на сайте?

Собирая информацию о пользователях, вы можете задаться вопросом: «Как обрабатывать ПД, чтобы избежать штрафных санкций?». Сущесвтует ряд условий обработки персональных данных для сайта. Вам необходимо:

  1. Установить защищённый протокол передачи персональных данных на сайте (SSL-сертификат). В выборе сертификата вам поможет хостинг-провайдер: например в REG.RU базовый SSL-сертификат можно получить даже бесплатно.
  2. Составить политику конфиденциальности и разместить её на сайте.
  3. Спрашивать согласие посетителей на обработку их ПД.
  4. Уведомить Роскомнадзор, что вы собираете персональные данные.

На всякий случай подчеркнём, что нужно выполнить все эти шаги. Пройдёмся по каждому из пунктов.

SSL-сертификат

SSL-сертификат — стандарт безопасности для обмена данными между сайтом и пользователем. Главное преимущество SSL-сертификата — зашифрованное соединение, которое защищает трафик, не давая перехватить его и использовать оставленные на сайте персональные данные в мошеннических целях.

Критически важно перейти на протокол SSL всем сайтам, где есть информация первой и второй категории (подробнее о категориях информации можно узнать здесь). Это, например, данные банковских карт, логины и пароли от аккаунтов, формы с указанием полного имени и адреса и прочее.

Политика конфиденциальности

Составляя политику конфиденциальности, обратите внимание на принципы обработки персональных данных. В ней необходимо указать следующую информацию:

  1. Наименование оператора обработки персональных данных. Если сайт принадлежит ИП или просто физическому лицу — указать ФИО, если юридическому лицу — название компании и ИНН.
  2. Адрес оператора: юридический (для юридических лиц) или фактический (для физических лиц).
  3. Список собираемых данных: ФИО, почта, телефон, файлы-cookies, паспортные данные и другое. Список должен быть максимально полным и подробным. 
  4. Цель сбора данных. Обязательно укажите, для чего будут использоваться ПД. Собирайте только необходимые данные.
  5. Сроки обработки данных. Персональные данные после их использования по назначению подлежат удалению. Их обработка возможна только в течение ограниченного времени. 
  6. Факт привлечения третьих лиц к обработке данных. Сюда относятся также различные партнёрские программы, например партнёрская программа REG.RU. Если вы приводите новых клиентов в другую компанию, то она является третьим лицом, которое будет обрабатывать ПД.
  7. Свои контактные данные. В реквизитах политики конфиденциальности укажите контакты, по которым с вами можно связаться. Такая информация будет полезна для ваших клиентов, если они захотят удалить или изменить свои персональные данные.
  8. Меры обеспечения безопасности данных. Расскажите клиентам, что их персональные данные хранятся на защищённых серверах, располагающихся на территории России (да, по закону хранить данные российских граждан можно только на серверах, находящихся в РФ).

Посетители вашего сайта должны иметь возможность беспрепятственно ознакомиться с политикой конфиденциальности, поэтому мы советуем разместить её в футере каждой страницы.

Согласие на обработку персональных данных

В соответствии с законом «О персональных данных» пользователь должен самостоятельно решать, предоставлять ли вам свои данные, и давать согласие на их обработку.

При этом согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Сделайте чекбокс с уведомлением о том, что клиент соглашается на обработку ПД и ознакомлен с политикой конфиденциальности (не забудьте дать на неё ссылку).

Посетитель сайта должен самостоятельно поставить галочку в чекбоксе, и делать это за него мы не рекомендуем.

Но есть ряд случаев, когда согласие на обработку ПД можно получить и другим способом. К ним относится, например, подписание договора, одной из сторон которого является пользователь. 

Уведомление Роскомнадзора

Закон «О персональных данных» гласит, что вам необходимо уведомить Роскомнадзор о сборе и обработке персональных данных посетителей вашего сайта. Сделать это можно через специальную форму.

Но есть и исключения, когда уведомлять Роскомнадзор не обязательно. Среди них, например, обработка общедоступной информации (то есть той, которую пользователь сделал доступной для неопределённого круга лиц, например данные о себе, опубликованные на личном сайте или в открытом профиле социальной сети) или данных, включающих в себя только ФИО.

Выводы

1. Персональные данные — это любая информация, по которой можно прямо или косвенно определить человека.

2. Если вы обрабатываете ПД — подключите к сайту SSL-сертификат, разместите политику конфиденциальности и уведомите Роскомнадзор.

3. У посетителей сайта необходимо брать согласие на обработку персональных данных — разместите под формой ввода данных соответствующую строку с чекбоксом и ссылкой на политику конфиденциальности.

4. Храните персональные данные людей, проживающих в РФ, на серверах, располагающихся на территории России.

Источник: https://www.REG.ru/blog/kak-sobirat-personalnye-dannye-polzovatelej-na-sajte-ne-narushaya-zakon/

Обработка персональных данных в 2018: как избежать штрафа

Согласие на обработку персональных данных если информация в открытом доступе

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы 

ОснованиеРазмер штрафа
ФизлицаДолжностные лицаЮрлицаИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДнпредупреждение или штраф — от 1000 до 3000 руб. предупреждение или штраф — от 5000 до 10 000 руб.предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб.от 10 000 до 20 000 руб.от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДнот 700 до 1500 руб.от 3000 до 6000 руб.от 15 000 до 30 000 руб. от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработкепредупреждение или штраф — от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 6000 руб.предупреждение или штраф — от 20 000 до 40 000 руб.предупреждение или штраф — от 10 000 до 15 000 руб. 
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)предупреждение или наложение штрафа в размере от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 10 000 руб.предупреждение или штраф — от 25 000 до 45 000 руб.  предупреждение или штраф — от 10 000 до 20 000 руб. 
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копированияот 700 до 2000 руб.от 4000 до 10 000 руб.от 25 000 до 50 000 руб.от 10 000 до 20 000 руб. 
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДнпредупреждение или наложение административного штрафа — от 3000 до 6000 руб. 

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:  

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?  

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данныелюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данныхлюбое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан. 

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора  

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально.

 На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.         

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ): 

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.

1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft.

 Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда.

 За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн. 

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;  
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!  

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

5 базовых принципов закона о персональных данных, о которых нужно знать

Как подготовиться к плановой проверке ФСБ по персональным данным?

Проверка Роскомнадзора: как подготовиться и избежать штрафов 

Источник: https://kontur.ru/articles/4816

152-ФЗ: как совладать с персональными данными

Согласие на обработку персональных данных если информация в открытом доступе

В детстве нас учили не говорить незнакомым людям, как нас зовут и где мы живем. А сейчас мы не задумываясь регистрируемся на непонятных сайтах и пишем данные паспорта в странных бланках. Чтобы вашими персональными данными не завладели те самые незнакомые люди, нужно внимательно отнестись к оператору, которому вы их передаете.

Что такое персональные данные

В законе есть три ключевых понятия: персональные данные, оператор и обработка персональных данных.

Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор — тот, кто организует и обрабатывает персональные данные. 

Обработка персональных данных — любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, обновление, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Важно еще понять, что относится к самим персональным данным. В законе нет прямой формулировки, но к ним относят:

  • ФИО (в любых комбинациях);
  • дату рождения;
  • адрес;
  • телефон;
  • e-mail;
  • фотографии;
  • ссылку на персональный сайт;
  • ссылку на профиль в социальных сетях.

Другими словами, персданные — это та информация, по которой можно идентифицировать человека. Если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных.

Что должен сделать оператор персональных данных

Все просто — нужно зарегистрироваться в Роскомнадзоре. Для этого необходимо подать уведомление об обработке персональных данных. 

Оператор заполняет электронную форму на Портале персональных данных Роскомнадзора. После того, как уведомление отправлено в систему, нужно распечатать его бумажную копию. Она заверяется подписью и печатью организации, после чего отправляется в территориальный орган Роскомнадзора по месту регистрации компании-оператора.

К операторам относятся физлица, ИП, юрлица, муниципальные органы, государственные органы. Эти категории влияют на размер штрафов. 

Когда уведомление Роскомнадзора не требуется

Список ситуаций, когда не нужно отправлять уведомление, прописан в ст. 22 152-ФЗ. Оператор не должен регистрироваться, если персональные данные:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • используются оператором исключительно для исполнения договора;
  • являются общедоступными данными;
  • включают только ФИО субъектов;
  • нужны для однократного пропуска субъекта на территорию, на которой находится оператор;
  • включены в федеральные автоматизированные информационные системы и государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;  
  • обрабатываются без использования средств автоматизации.

Логично, что персональные данные должны быть надежно защищены. Для этого создаются регламенты и настраивается система безопасности. Но не все данные нужно охранять одинаково.

Когда не нужна конфиденциальность персональных данных

В той же статье закона прописаны правила, когда обеспечение конфиденциальности персональных данных не требуется:

  • если данные обезличены — по ним невозможно определить принадлежность информации к конкретному лицу;
  • если данные общедоступны;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • если нужно оформить пропуск на территорию, на которой находится оператор;
  • если данные получены оператором в связи с заключением договора;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Для всех остальных случаев нужно составить политику конфиденциальности.

Что отразить в политике конфиденциальности

Утвержденной законом формы этого документа нет, но есть перечень сведений, которые обязательно должны в нем быть:

  • основание и цель сбора персональных данных;
  • наименование, контактные данные и адрес;
  • информация о том, кто обрабатывает данные. Если этим занимается другая компания, то вписывается информация о третьих лицах, у которых есть доступ к данным;.
  • виды данных для обработки и источники их получения;
  • сроки обработки и хранения персональных данных;
  • способ соблюдения прав субъекта, предусмотренных законом «О персональных данных»;
  • информация о передаче данных за пределы России.

Всю эту информацию можно изложить в свободной форме. Требование одно — субъект должен понимать, куда отправляются его персональные данные, как их используют и охраняют. 

Как составить согласие на обработку персональных данных

В больницах, школах, визовых центрах, при трудоустройстве приходится заполнять согласие на обработку персональных данных.Это письменное разрешение, которое дает разрешение на получение, сбор, хранение и использование персональных сведений о себе.

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. В бланке обязательно должны быть следующие данные:

  • наименование оператора персональных данных;
  • место и дата составления документа;
  • фамилия, имя, отчество субъекта, его паспортные данные и сведения о месте жительства.

Далее идет информационная часть согласия. В ней прописывается:

  • каких именно персональных данных касается документ;
  • в каких целях и что именно допустимо с ними делать;
  • срок действия согласия и возможность его отзыва.

Если вам нужен бланк, то скачайте его и измените под ваши нужды.

Когда не нужно согласие

Есть случаи, когда  согласие субъекта персональных данных не требуется. Такое возможно, когда обработка персональных данных:

  • необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
  • осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
  • осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
  • необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных;
  • необходима для доставки почтовых отправлений и расчетов с организациями почтовой связи;
  • осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности;
  • осуществляется в отношении данных, подлежащих опубликованию — например, данные лиц занимающих государственные должности.

Что будет, если нарушать

Штраф. С 1 июля 2017 года действуют поправки в ст. 13.11 КоАП. 

Помимо штрафов, оператор будет внесен в «Реестр нарушителей прав субъектов персональных данных». А еще придется подготовиться к проверке. 

***

Отнеситесь к персональным данным с ответственностью, чтобы не стать жертвой мошенников.

Читайте нас на astral.ru

Источник: https://zen.yandex.ru/media/gk_astral/152fz-kak-sovladat-s-personalnymi-dannymi-5dcbde120d78616983a86453

Помощь юриста
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: