Что такое персональные данные (ПДн) и как этот термин трактуется с позиции российского законодательства? В этой статье мы уделили внимание тонкостям. К персональным данным относятся любые сведения, позволяющие идентифицировать конкретного человека. По закону, обработка этой информации требует специального разрешения

Категории ПД

Закон № 152-ФЗ делит информацию по информативности, сложности использования и уровню раскрытия сведений. Категории персональных данных, которые нельзя использовать без согласия: обезличенные, общие и специальные, биометрические данные.

Общие личные данные о человеке

К ним относится базовые инфоматериалы о конкретном физическом лице:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес регистрации и проживания;
  • номер телефона;
  • ИНН;
  • паспортные данные – серия, дата его выдачи и др.;
  • СНИЛС;
  • место работы;
  • размер заработной платы.

Персональные сведения, отнесенные к общему типу, зафиксированы в базовых документах гражданина (это паспорт, трудовая книжка и др.). Во многих случаях для их обработки хватает и косвенного разрешения. Такие упрощенные случаи характерны для заполнения онлайн-анкет с минимумом сведений, когда от субъекта хватит галочки в соответствующем поле вместо письменного подтверждения. Тут передача данных происходит по открытым каналам связи.

Некоторые из этих сведений не являются персональными, если используются автономно от других. Текущая позиция Роскомнадзора заключается в том, что только по одному телефонному номеру (без соотнесения его с фамилией владельца) возможность идентификации физического лица отсутствует. По этой причине неперсонифицированная SMS-рассылка не является нарушением законодательства.

  • Что относится к социальным выплатам и какой их размер
  • ЛПХ – что это такое, размер земельного участка, назначение деятельности и необходимые разрешительные документы
  • Стимулирующие выплаты в 2019 году - положение о надбавках

Биометрические

Сюда относятся физиологические и биологические параметры физического лица:

  • дактилоскопия (отпечатки);
  • группа крови;
  • рост;
  • вес;
  • цвет глаз;
  • особые приметы, связанные с внешностью (например, приобретенные увечья).

К этой же категории относятся любые аудиовизуальные файлы – фотографии конкретного физического лица, записи с диктофона, видеорегистратора и др. Развитие технологий находит широкое применение биометрическим параметрам – они используются в медицине, приеме на работу в госструктуры, оформлении загранпаспортов. Часто такие данные наносят вред субъекту в профессиональной деятельности или личной жизни.

Специальные данные

В эту категорию включены:

  • национальность;
  • политические предпочтения;
  • вероисповедание;
  • наличие судимости;
  • медицинский диагноз;
  • сексуальная ориентация;
  • интимная жизнь.

Подобные сведения содержатся в специальных документах. Они могут быть использованы для дискриминации конкретного физического лица. По этой причине, согласно статье 10 Закона № 152-ФЗ, доступ к сведениям этого типа для общих случаев не допускается. Исключениями из этого являются ситуации, когда:

  • Субъект дал письменное согласие на обработку ПД.
  • Досье конкретного человека изучается для сохранения жизни/здоровья этого человека или третьих лиц, когда получение разрешения нельзя (например, пострадавший в автокатастрофе находится в коме и срочно требуется операция). Этот случай может быть распространен на все ситуации постановки диагноза и оказания услуг медицинского характера, при условии, что это осуществляется уполномоченным работником и он сохраняет профессиональную тайну.
  • Эти ПДн стали публичными по инициативе лица, которому они принадлежат (например, эстрадный исполнитель дает интервью телеканалу о своей сексуальной ориентации). Сюда же относится обработка сведений в связи с осуществлением Всероссийской переписи населения или реализацией программ социальной помощи, трудового или пенсионного законодательства.
  • Производится обработка персональных данных об участниках общественного объединения или религиозной организации (например, эту личную информацию могут собирать в муниципалитете или органах государственной статистики). Определяющим тут является условие нераспространение таких сведений без письменного согласия субъектов ПД.
  • Извлечение необходимой личной информации связано с осуществлением конституционных прав этого физического лица или производством правосудия (по закону, это разрешено, например, сотрудникам полиции или прокуратуры). Сюда же входят ситуации исполнения законодательства об обороне, противодействию терроризму, транспортной безопасности, антикоррупционной деятельности и пр.
  • Такая ситуация возникает при необходимости реализации законодательных требования об обязательных видах страхования, о гражданстве Российской Федерации и при проверке родителей, берущих на воспитание детей-сирот.

Обезличенные ПД

В соответствии с Законом № 152-ФЗ, сюда относятся сведения, соотнесение которых с конкретным человеком невозможно без уточнений. Это может быть любая из составляющих ПД, лишенная других сведений, например:

  • Фамилия, имя, отчество человека, его число, месяц, год рождения, улица, номер дома и квартиры в совокупности являются персональными данными.
  • Каждое из этих сведений по отдельности (например, только имя, без фамилии и другой информации) не может являться ПД.

Обезличивание является дополнительным методом защиты. К нему часто прибегают государственные органы, уполномоченные на обработку персональных сведений о гражданах, передавая массив информации на стороннее изучение. К примеру:

  1. В результате переписи населения у Федеральной службы государственной статистики (Госкомстата) скапливается большое число анкет, содержащих личные данные. Это могут быть сведения о возрасте, национальности и пр.
  2. Отправляя такие данные в другие ведомства для аналитического изучения по их профилю работы, сотрудники Госкомстата принимают меры для защиты ПД. Для этого личная информация лишается персонификации. Например, в Министерство социальной защиты РФ передается выборка данных о лицах, с указанием их национальности, возраста и образования, но без упоминания имени и фамилии.

Big Data

Сюда относятся сведения, поступающие в интернет от конкретного пользователя или накапливающиеся в его цифровых устройствах:

  • IP-адрес компьютера;
  • история просмотра страниц;
  • данные авторизации на сайтах;
  • никнеймы и аватары форумов или социальных сетей.

Неоднозначность этой категории в юридическом ракурсе рассмотрения связана со следующими особенностями:

  • Эта информация прямо или косвенно может указывать на конкретного человека.
  • Сам обладатель не может полностью контролировать их.
  • При желании они могут быть фальсифицированы (например, один человек может зарегистрироваться в соцсети под именем своего знакомого и оставлять от его лица порочащие сообщения).

С учетом этих обстоятельств, не все сведения из категории Big Data являются ПДн. Если они прямо не указывают на конкретного человека, то, по мнению Роскомнадзора, они не относятся к категории ПД. Тогда на них не распространяются требования Закона № 152-ФЗ. Примеры таких сведений:

  • Фото человека. Если оно сопровождается именем и фамилией, то является персональными данными, ведь указывает на конкретную личность.
  • Аватар (юзерпик) и никнейм на форуме. Эти позиции не являются ПДн. Они напрямую не указывают на определенного человека. Есть исключение: когда на картинке представлено фото человека с именем, фамилией или другими сведениями.
  • К категории ПД не относятся поисковые запросы пользователя компьютера и информация о его местоположении, которые обрабатываются для предоставления ему контекстной рекламы и геотаргетинга (выдачи данных в зависимости от географического расположения физического лица).
Фото 1

Что не входит в ПД?

В настоящее время грань между персональными данными и «не персональными данными» заметно истончилась. В первую очередь это связано с появлением современных технологий и различных гаджетов. С появлением интернета большинство сведений о человеке стали общедоступными, а расплывчатое объяснение в Федеральном законе №-152 «О персональных данных» не дает точного ответа на вопрос «Что такое персональные данные?».

Многие юристы и по сей день спорят о том, что из представленной информации в интернете попадает под это определение, а что можно отнести к «не персональным данным». С полной уверенностью можно сказать, что IP-адрес компьютера не считается ПДн физического лица, так как он не может напрямую идентифицировать человека.

Тоже касается и доменного имени и сетевых адресов. Также прочую техническую информацию невозможно отнести к этой категории.
Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.
 
Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (495) 212-90-15. Это быстро и бесплатно!

Какие сведения считаются персональными данными

Распространенные персональные данные:

  • Фамилия, имя, отчество физического лица. В этом ракурсе физлицо выступает в виде субъекта ПДн.
  • Дата и место рождения.
  • Адрес регистрации и проживания.

Персональные данные работника концентрируются в информационной системе (ИС). Она может быть цифровой или аналоговой (компьютерной базой или личным делом в бумажной папке). При этом законодательные требования распространяются на ПД вне зависимости от технической реализации инфосистемы. Существуют разные способы обработки личной информации физлица – сбор, классификация, уточнение и др.

Понятие ПДн относится не только к гражданам, но и к юридическим лицам вне зависимости от организационно-правовой формы (фирмы, компании, организации, коммерческие предприятия и т. д.). Их особенностью является то, что на их основе происходит идентификация не конкретного человека, а определенной компании. Официальные сведения о компании нужны при заключении договоров и т. д.

Физические лица

К персональным сведениям для этой категории субъектов относятся:

  • ФИО;
  • дата и место рождения;
  • гражданство;
  • адрес регистрации и проживания;
  • решение о полной или частичной недееспособности;
  • семейное положение + информация о членах семьи;
  • образование;
  • место работы;
  • оклад, страховые и налоговые отчисления;
  • воинская обязанность.

Существуют особенности отнесения разных данных к категории персональных у физических лиц:

  • Номер телефона. Относится к ПДн, если информация о владельце есть в общедоступном источнике (например, на сайте депутата указаны контакты для прямого обращения).
  • Верификационные параметры для авторизации на разных интернет-сервисах являются ПДн по определению и не подлежат разглашению третьим лицам.
  • Фото- и видеозаписи. Относятся к ПДн только в ситуации, когда по ним можно провести идентификацию физического лица. Исключением является фото- или видеосъемка, произведенная на мероприятиях, имеющих массовый характер. Если запись порочит честь, достоинство или деловую репутацию человека, он в соответствии с частью 1 статьи 152 Гражданского Кодекса РФ может требовать опровержения.

Работники предприятия

К числу персональных сведений в этом случае относится информация, которую сотрудник должен сообщить при устройстве на работу. В основной части они совпадают с ПДн для физлица и предназначены для занесения в личное дело работника. По причине того, что сотрудник заполняет типовой бланк, в ИС могут попадать сведения, не связанные с выполнением им своей работы.

Дополнительно к личной информации физлиц персональное досье работника предприятия в обязательном порядке включает:

  • должность;
  • ИНН;
  • заявление о приеме на работу;
  • оклад;
  • СНИЛС;
  • трудовой стаж (+ на этом предприятии);
  • справки о поощрениях и взысканиях со стороны администрации;
  • информацию об использованном отпуске;
  • медсправки и/или документы о диспансеризации (если это требуется условиями работы).

Работодатель не имеет права (и это прописано в законах):

  1. Передавать третьим лицам личные данные без согласия самого работника (защита данных).
  2. Запрашивать сведения о состоянии здоровья сотрудника без согласия. Исключением являются ситуации, когда это непосредственно связано с выполнением работником своих функций.

Обязанностью работодателя является:

  • Защитить имеющиеся в его распоряжении ПД от стороннего доступа и разрешить знакомство с ними только специально уполномоченных сотрудников, предоставляя им данные в пределах их компетенции.
  • Предупреждение третьих лиц, которым передается информация о работнике, что она может быть использована только для конкретных затребованных целей. Законодательством наложен запрет на несанкционированное распространение личных данных и виновные могут быть привлечены к ответственности.
  • Закрепить соответствующим образом (например, подписью в специальном бланке) обязательство соблюдения конфиденциальности лицами, которым передаются ПД.

Государственные или муниципальные служащие

Помимо массива сведений, обязательного для работника предприятия, в число ПДн для этой категории тружеников входит:

  • стаж + выслуга лет;
  • должность;
  • классный чин (если есть);
  • разряд по тарифной сетке;
  • ученая степень, награды, поощрения;
  • допуск для работы с секретными материалами;
  • справки об аттестации и повышении квалификации;
  • справка о судимости;
  • медсправки, копии больничных.

Юридические лица

К этой категории сведений относятся:

  • наименование организации;
  • юридический и фактический адрес;
  • номера лицензий;
  • ОГРН;
  • ИНН;
  • КПП;
  • номер расчетного счета и другие банковские реквизиты.
Фото 2

Персональные данные: что это, нормативная база

Персональные данные: что это, нормативная база

Государство регулирует сферу персональных данных посредством целого ряда нормативных актов. Основу составляет Конституция РФ, базис — ФЗ № 152 от г. Закон разъясняет, что такое персональные данные, что к ним относится. Этот термин означает сведения, напрямую или косвенно характеризующие субъекта ПД — физическое лицо. Говоря простым языком, по ним можно точно определить, что речь идет о конкретном человеке.

Косвенное упоминание о персональных данных есть в российской Конституции. Статьи 23–24 основного закона дают гражданам право на тайну частной жизни, ее неприкосновенность и защиту. Все, что входит в понятие персональные данные, принадлежит только их носителю и не может контролироваться правительством или 3-ми лицами. Граждане сами вольны распоряжаться этой информацией, препятствовать распространению или, наоборот, передавать ее другим. Государство, со своей стороны, гарантирует и защищает эту возможность.

ФЗ № 152 определяет, кто вправе использовать персональные данные кроме их носителя, на каких условиях, по каким правилам. Получать и обрабатывать личную информацию о субъекте могут только операторы с его разрешения. Гражданин подписывает согласие на проверку ПД при оформлении заявок на кредит, заполнении анкет или поступлении на работу.

Операторы получают доступ к тому объему данных, который требуется для решения их задач. Они не имеют права хранить и использовать их после того, как цель достигнута. Например, наниматель должен уничтожить записи, анкеты — все, что относится к персональным данным работника, после его увольнения. В ином случае, грозит ответственность за разглашение персональных данных работника

Нормам ФЗ № 152 должны следовать все юридические и частные лица. Особые правила применяются, когда ПД:

  1. получают для личных или семейных нужд, если это не ущемляет права 3-х лиц;
  2. содержатся в архивных документах;
  3. составляют гостайну;
  4. собираются по судебному акту.

Другие законодательные акты уточняют положения о ПД применительно к разным ситуациям, вводят систему и классификацию средств защиты. Например, гл.14 ТК РФ раскрывает понятие персональных данных работника. Это сведения, позволяющие охарактеризовать его как сотрудника определенной организации (размер зарплаты, стаж, квалификация, информация из ФНС и ПФР и др.), его деловые качества. Они должны использоваться и храниться для помощи работнику в выполнении его трудовых обязанностей, повышении опыта и знаний, продвижении по службе, для защиты персонала и имущества компании.

Фото 3

Файлы cookie и персональные данные

Также важно заметить, что за последние два года в отношении файлов cookie и следов, которые пользователь оставляет в Интернете, позиция Роскомнадзора радикально изменилась. На это стоит обратить внимание, поскольку появилась новая зона риска. Теперь, по мнению регулятора, если используются файлы cookie и они передаются аналитическим службам типа Google Analytics, Webtrends, Яндекс.Метрика, эти данные в совокупности после их обработки позволяют определить уникального пользователя сайта, сформировать сведения о его предпочтениях и поведении на сайте, что говорит об обработке персональных данных. Следовательно, необходимо получить согласие пользователя на обработку таких ПДн.

Это интересно! Сертификация PCI DSS: часто задаваемые вопросы

Теперь обратим внимание на то, что Google Analytics и Webtrends работают из американского облака, а США — это страна, не обеспечивающая адекватную защиту прав субъектов персональных данных, а значит, используя такие инструменты, нужно получить согласие в письменной форме или в форме электронного документа, подписанного в соответствии с законодательством.

Решение проблемы

Напрашивается единственный выход: если на сайте используются файлы cookie, необходимо предусмотреть пользовательское соглашение или баннер, который позволяет подтвердить, что пользователь, пусть даже анонимный, согласен с обработкой ПДн.

Пользователь должен поставить галочку в соответствующей форме, выражая тем самым согласие. В таком случае необходимо сделать раздел в отношении обработки следов в Интернете или сформировать отдельную политику в отношении файлов cookie. Чтобы понимать, какие данные, содержащие файлы cookie, относятся к персональным данным гражданина по мнению Роскомнадзора, приведем выписку:

  • Операционная система.
  • Часовой пояс и время браузера в 24-часовом формате.
  • Язык браузера.
  • Глубина цвета и разрешение экрана.
  • Поддерживает ли браузер и/или включен JavaScript.
  • Версия JavaScript, поддерживаемая браузером.
  • Тип соединения, используемый для передачи данных.
  • Размер окна браузера.

Вопросы и ответы

Планирется к запуску вебсайт, тематика-черные список нерадивых арендаторов и арендодателей. Вопрос какая информация может быть опубликована в сооответствии с законом о персональных данных. Предполагалось что будет фамилия, инициалы имени и отчества, послелние две цифры номера паспорта и суть проблемы. ТАк же на сайте будет раздел для арбитража, где стороны могут разрешить конфликт и недопонимание. Вопрос, соответствует ли это закону или необходимо предпринять какие- либо действия по отношению информации о должнике.

Эксперт:

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», персональными данными является «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

Но это, думаю, Вы уже и так знаете.

А дальше вопрос непростой. Непростой в силу того, что однозначно нормативно обоснованный ответ на Ваш вопрос дать сложно. Здесь многое будет зависеть от позиции надзорных органов, ежели они Вами заинтересуются.

В общем случае, полагаю, что только фамилия, инициалы и последние цифры паспорта нельзя расценить как персональные данные. Поскольку зная только их, посторонний человек идентифицировать субъекта персональных данных не сможет. 

Так что не думаю, что 152-ФЗ будет Вам мешать в размещении такой информации.

Но вместе с тем сразу возникает другой вопрос — а откуда у Вас вообще эти данные? Просто сразу может возникнуть подозрение, что если Вы знаете две последние цифры номера паспорта, то вполне можете знать и остальную информацию. А вот это в общем случае само по себе уже незаконно без согласия субъекта персональных данных. Соответственно у Вас могут быть проблемы на предмет незаконной обработки, а у тех, кто эту информацию Вам передал на предмет незаконной передачи.

Посему лучше изначально организовать сервис так, что бы у Вас вообще не было полной информации.

При этом повторюсь, что в связи с тем, что до сих пор никто не может однозначно сказать что является персональными данными, а что точно нет, многое будет зависеть от надзора.

Напишите обращение в Роскомнадзор (как государственный орган, осуществляющий защиту прав субъектов персональных данных). Изложите то, что Вы указали здесь, а так же информацию о том откуда будут эти данные браться и в каком объёме у Вас храниться и для чего использоваться (в смысле кто и при каких условиях сможет получить к ним доступ). И прямо задайте вопросы будут ли считаться эти данные персональными и законна ли такая схема работы.

Если ответ гос.органа будет более-менее внятным (не водой, а ответом на поставленный вопрос), у Вас будет уже документ, подтверждающий Вашу правоту. Это не панацея, но при возможных проверках помочь может.

Эксперт:


Коллеги в целом уже ответили на Ваш вопрос, я бы хотел дополнительно от себя еще раз обратить внимание на полный перечень требований законодательства по персональным данным.
Действующее законодательство, и в первую очередь 152-ФЗ устанавливает ряд требований, касающихся обработки персональных данных. 
Основные требования:
1. На своем сайте Вы должны разместить Политику конфиденциальности. При этом нужно обратить внимание, что подойдет не каждая политика, то есть вариант «взять у конкурента» (который, как правило, сам откуда-то «взял») или просто «с интернета» не самый лучший, поскольку многие политики сделаны некачественно и основное — Вам нужна Политика, которая конкретно будет подходить под Вас.

К Политике есть ряд требований. Если говорить о самых общих моментах (перечень не исчерпывающий), то Политика должна содержать:

1.1. Перечень персональных данных, которые Вы обрабатываете.
1.2. Сведения о способах обработки персональных данных.
1.3. Должно быть прописано, что, проставляя галочку о согласии с политикой конфиденциальности Пользователь тем самым Пользователь дает свое согласие на обработку его персональных данных, указанных в Политике конфиденциальности.
1.4. Цели использования персональных данных.
1.5. Принципы обработки персональных данных, которыми Вы руководствуетесь.
1.6. Меры, применяемые для защиты персональных данных.
1.7. Очень важный момент, про который многие забывают – если в процессе использования персональных данных, эти данные становятся доступны третьим лицам, в том числе в автоматическом режиме, например, лицам, которые просто помогают Вам в управлении сайтом, маркетинговому партнеру и т.д., то об этом обязательно (!) должно быть указано в политике. Это частая ошибка, которая приводит к тому, что Вам могут вменить незаконное разглашение персональных данных, несмотря на то, что Вы даже не думали ничего не нарушать. С этим мне неоднократно приходилось сталкиваться лично, Роскомнадзор за это активно штрафует.
1.8. Также в политику конфиденциальности нужно обязательно включить положение о том, что Вы вправе в любой момент изменить условия политики конфиденциальности в одностороннем порядке. Про это тоже часто забывают.
1.9. Еще нужен ряд положений, которые касаются того, что мол проставлением отметки Пользователь подтверждает, что он согласен со всеми условиями Политики конфиденциальности, что положения ему ясны и т.д.
1.10. Также в Политике отдельное внимание должно быть уделено файлам cookie, про это тоже часто забывают, хотя это тоже важный момент.
Это самый общий ряд требований, при этом стоит отметить, что каждый пункт должен быть сформулирован грамотно и должен учитывать конкретно Ваши нюансы. 

2. На сайте должно быть Пользовательское соглашение (либо договор-оферта, либо лицензионное соглашение – в принципе это все одно и тоже).
Стоит отметить, что с одной стороны ничто не мешает «запихать» положения о персональных данных (политику конфиденциальности) в пользовательское соглашение. Однако лично я рекомендую эти документы разделять, поскольку мне лично уже приходилось сталкиваться с тем, что Роскомнадзор при проверке сайта нескольких моих клиентов просто не разглядел положения про персональные данные в пользовательском соглашении и повесил штраф. И хотя все это дело мы успешно оспорили, но лишний раз «давать повод» я не рекомендую, лучше перестраховаться.  

В ситуации же когда Политика сделана отдельно, то ее пропустить уже невозможно и соответственно риск того, что кто-то просто не разглядит эти пункты в пользовательском соглашении, отпадают. Плюс ко всему если делать нормальную качественную политику конфиденциальности, то она получается не на 1 и не на 2 страницы, не говоря уже о пользовательском соглашении и если все совмещать, то Пользовательское соглашение вполне вероятно получится чрезмерно раздутым, что не очень удобно и при этом не стоит также забывать, что на Вас лежит обязанность по доведению до клиентов всей необходимой информации о реализуемых товарах/услугах и для целей выполнения этой обязанности делать плохо читаемые раздутые и неструктурированные документы не самая лучшая идея (например, по банкам есть судебная практика когда суды не признают написанное в документах мелким шрифтом, что мол нельзя в таком виде доводить информацию до клиентов, здесь может быть применена та же логика).
Что касается требований к Пользовательскому соглашению (договору-оферте, лицензионному соглашению), то это предмет отдельного разговора, требований очень много и здесь они уже полностью зависят конкретно от Вашей ситуации и как следствие их нужно каждый раз обсуждать отдельно. Общая цель Пользовательского соглашения – расписать условия предоставления доступа к сервису и/или условия продажи товаров/услуг, описать предмет договора, права и обязанности сторон, порядок расчетов, порядок разрешения споров, ограничить Вашу ответственность (настолько, насколько это позволяет закон, частая ошибка – вопросам ответственности в Пользовательском соглашении изначально уделяют очень мало внимания и возвращаются к ним только после того как столкнутся с конкретной претензией от клиента или еще хуже с судебным иском, я всегда рекомендую все риски (настолько насколько это позволяет закон) закрывать изначально при подготовке документации).
Также в Пользовательском соглашении можно прописать условие о договорной подсудности по месту Вашего нахождения (кстати в способе описания условия о договорной подсудности очень часто допускаются ошибки, и суды потом признают пункт о договорной подсудности не согласованным, если хотите, чтобы в случае чего судебные споры были по месту Вашего нахождения (не во всех случаях применимо), то нужно к описанию этого пункта подойти максимально ответственно и с учетом судебной практики).

3. Помимо непосредственно наличия самих документов, есть требования к самому сайту, а именно: 

3.1. На сайте на абсолютно всех формах обратной связи, через которые может быть осуществлена передача персональных данных, должно быть окошечко, в котором Пользователи проставляют отметку о согласии с политикой конфиденциальности и пользовательским соглашением. Частая ошибка – делается политика конфиденциальности, а в окошечке Пользователь просто дает согласие с «обработкой персональных данных», а не с условиями Политики конфиденциальности и как следствие в этом случае фактически у Вас не будет подтверждения, что Пользователь согласился соблюдать условия политики конфиденциальности. Надо понимать, что цель политики конфиденциальности – в том числе получение от Пользователя согласия с обработкой его персональных данных, поэтому еще отдельно брать с него согласие на саму обработку уже не нужно, только согласие с политикой конфиденциальности.
3.2. Без проставления отметки о согласии с политикой конфиденциальности и пользовательским соглашением Пользователь не должен иметь возможности отправить Вам свои персональные данные. Это касается в том числе случаев даже если он Вам передает только имя, номер телефона или адрес электронной почты (это все относится к персональным данным – ст. 3 152-ФЗ).
4. Политика конфиденциальности и Пользовательское соглашение касаются урегулирования вопросов обработки персональных данных Ваших клиентов/Пользователей сервиса. Однако если у Вас есть работники, то дополнительно также нужно, чтобы был комплект документов, регулирующих вопросы обработки персональных данных Ваших сотрудников. Основным документом, который выполняет эту задачу является положение об обработке персональных данных, либо часто его называют положением о коммерческой тайне (хотя коммерческая тайна это другое, многие называют его именно так, а в содержании все равно прописывают вопросы обработки персональных данных), название тут не принципиально, строгих требований к нему нет, главное содержание. Я как правило предпочитаю объединять эти документы в один общий и именовать его «Положение о коммерческой тайне и обработке персональных данных» и в нем сразу урегулировать как вопросы коммерческой тайны, так и вопросы обработки персональных данных. Что касается требований к содержанию положения, то оно должно включать в себя:
4.1. Информацию о том, какие данные сотрудников обрабатываются.
4.2. Цели обработки персональных данных.
4.3. Порядок ознакомления сотрудников компании с положением.
4.4. Порядок и сроки уведомления работниками работодателя об изменении своих персональных данных.
4.5. Меры по защите персональных данных.
4.6. Порядок доступа отдельных работников к персональных данным сотрудников компании.
4.7. Порядок хранения персональных данных.
4.8. Условия предоставления третьим лицам персональных данных сотрудников компании.

Стоит отметить, что данное положение представляет собой локальный нормативный акт работодателя (ст. 8 Трудового кодекса РФ) и к нему применяются соответствующие требования, в частности: 1. Данное положение должно быть утверждено приказом единоличного исполнительного органа (директора) компании. 2. Работники должны быть ознакомлены под подпись с содержанием указанного положения (п.6 ч.1 ст. 18.1 152-ФЗ).

5. Помимо приказа об утверждении положения, регулирующего вопросы обработки персональных данных, также у Вас должен быть принят приказ о назначении ответственного за обработку персональных данных (ст. 22.1 ФЗ № 152-ФЗ). Чаще всего им выступает сам директор компании, но это не обязательно. Каких-либо специфичных требований к приказу здесь нет, требования к нему общие – такие, как и к любому другому внутреннему приказу.
6. Помимо указанных документов также, как правило, Вы должны направить уведомление в Роскомнадзор об обработке персональных данных (не путать с регистрацией в Роскомнадзоре).
Уведомление направляется по онлайн форме — https://pd.rkn.gov.ru/operators-registry/notification/form/и плюс должно быть продублировано в письменном виде по обычной почте. 

Здесь частая ошибка – люди считают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор.
С точки зрения закона действительно далеко не все компании должны направлять уведомление в Роскомнадзор. Например, если Вы обрабатываете персональные данные только своих контрагентов по договорам, то у Вас нет обязанности по направлению уведомления в Роскомнадзор (это лишь один пример, исключений больше).
Однако на сегодняшний день позиция Роскомнадзора такова, что уведомление нужно направлять практически всегда, поскольку практически всегда компании помимо обработки данных, которые подпадают под исключение о необходимости направления уведомления, также осуществляют иные формы обработки персональных данных. Например, если Вы храните персональные данные потенциальных или бывших клиентов (в маркетинговых, рекламных или иных целях) – то это уже не подпадает под исключение, поскольку у Вас с ними нет действующего договора. Поскольку, как правило, все хранят данные о тех клиентах, которые обратились, но еще не заключили договор или с которыми у Вас уже закончились договорные отношения, то в любом случае с точки зрения закона Вы уже не подпадаете под исключение и как следствие должны направить уведомление в Роскомнадзор по указанной выше форме.
Многие к сожалению, ошибочно полагают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор, за что потом Роскомнадзор их привлекает к ответственности.

7. Необходимо отметить, что приведенные выше требования касаются ситуации, когда Вы обрабатываете данные граждан РФ в соответствии с 152-ФЗ. Однако не стоит забывать, что если Сервис ориентирован также на международный рынок, в частности на европейских клиентов или клиентов из США, то тут возникают дополнительные требования. Особое внимание следует в этом случае обратить на Регламент №2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» General Data Protection Regulation (GDPR), который вступил в силу с 25.05.2018 г. Описывать все его требования в данном случае я думаю не совсем уместно, так как это тема отдельного полноценного разговора, но суть в том, что если Вы ориентированы на европейский рынок, то Ваша политика конфиденциальности должна быть составлена в полном соответствии со всеми требованиями GDPR. В отношении других стран также следует обратить внимание на местное законодательство, в частности, для работы с гражданами США, например, обязательно следует учесть требования Children's Online Privacy Protection Act (COPPA).  

В целом нюансов и требований в части иностранного законодательства много, но их следует прорабатывать уже индивидуально и смотреть на кого ориентирован сервис.

8. Также еще частной ошибкой является хранение персональных данных граждан РФ на зарубежных сервисах, что запрещено законом (ст. 18 152-ФЗ). Хранить персональные данные граждан РФ можно только на российских серверах, про это ни в коем случае нельзя забывать. 

Что касается ответственности, то за любое нарушение установленного законом порядка сбора, хранения или распространения информации о гражданах (персональных данных) влечет за собой ответственность по ст. 13.11 КоАП РФ (там большой перечень видов нарушений, всего 7 частей в данной статье). При этом каждое нарушение рассматривается отдельно и, соответственно наказание за каждое нарушение также назначается отдельно, максимальный размер штрафа на текущий момент – 75000 руб.
Также если речь идет о нарушении обязанностей по хранению и использованию персональных данных работников, то может грозить ответственность по ст. 5.27 КоАП, здесь помимо штрафа уже предусмотрено административное приостановление деятельности на срок до 90 суток. 
Также непредставление в органы Роскомнадзора уведомления об обработке персональных данных влечет ответственность по ст. 19.7 КоАП РФ. 

Помимо прочего стоит отметить, что Роскомнадзор неоднократно обращал внимание, что существует и уголовная ответственность за нарушение неприкосновенности частной жизни – ст. 137 УК РФ.
Стоит отметить, что в целом это основной набор требований по 152-ФЗ, однако не стоит забывать, что в зависимости от ситуации набор требований может расширяться или наоборот сужаться. При этом стоит обратить внимание, что если, например, есть требование о наличии на сайте политики конфиденциальности, то это не значит, что к нему можно подходить формально и использовать любую политику, так как просто наличие формальной бумажки на сайте с названием «политика конфиденциальности» не имеет ничего общего с выполнением требований законодательства об обработке персональных данных.
(!!!) Также обращаю ваше внимание, что, если что-то останется непонятным БОЛЕЕ ПОДРОБНУЮ УСТНУЮ ИЛИ ПИСЬМЕННУЮ КОНСУЛЬТАЦИЮ по ЛЮБЫМ вопросам обработки персональных данных, в том числе по требованиям 152-ФЗ, GDPR, COPPA, Вы всегда можете получить, обратившись ко мне в чат (кнопка «общаться в чате» возле фотографии аккаунта).

(!!!) Также обратившись в чат ЛЮБОЙ может получить ПОМОЩЬ В РАЗРАБОТКЕ НЕОБХОДИМОЙ ДОКУМЕНТАЦИИ, касающейся исполнения требований российского и/или иностранного законодательства в сфере обработки персональных данных, в том числе помощь в разработке Политики конфиденциальности, Пользовательского соглашения (договора-оферты, лицензионного соглашения), положения о коммерческой тайне и обработке персональных данных, заполнении уведомления в Роскомнадзор, проведении аудита сайта/мобильного приложения на предмет соответствия требованиям законодательства о персональных данных. Буду рад помочь.

С Уважением,

Васильев Дмитрий.

Источники

Использованные источники информации.

  • https://sovets.net/20918-chto-otnositsya-k-personalnym-dannym.html
  • https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/chto-otnositsya
  • https://otdelkadrov.online/5841-ponyatie-vidy-personalnyh-dannyh
  • https://iaas-blog.it-grad.ru/bezopasnost/chto-otnositsya-k-personalnym-dannym-s-tochki-zreniya-rossijskogo-regulyatora-personalnye-dannye-v-oblake-chast-1/
0 из 5. Оценок: 0.

Комментарии (0)

Поделитесь своим мнением о статье.

Ещё никто не оставил комментария, вы будете первым.


Написать комментарий