Как собирать персональные данные пользователей на сайте, не нарушая закон
Многие из нас постоянно регистрируются на разных ресурсах в Сети, подписываются на рассылки, заполняют формы и оставляют комментарии. Все эти действия так или иначе подразумевают сбор персональных данных. Мы расскажем, как обрабатывать персональные данные пользователей сайта и при этом избежать серьёзных нарушений и штрафов.
Если вы собираете данные пользователей из России, то основной документ, на который нужно полагаться — Федеральный закон № 152-ФЗ «О персональных данных». Давайте разберёмся, в чём его суть и как организовать сбор персональных данных законным путём.
Что такое персональные данные?
В соответствии с определением вышеупомянутого закона: «Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)».
То есть, к персональным данным (далее ПД) можно отнести: ФИО, дату рождения, телефон, адрес, ИНН, сведения о работе, ссылки на аккаунты в соцсетях или личный сайт и другую подобную информацию.
На любые данные найдётся тот, кто их обрабатывает — то есть делает все те вещи, которые описаны в соглашениях на обработку ПД (вы наверняка это знаете, если когда-нибудь читали подобные документы). А именно сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Человек, обрабатывающий ПД, называется оператором персональных данных. Он несёт ответственность за незаконную обработку ПД и может быть как юридическим, так и физическим лицом.
Вас можно считать оператором персональных данных, если на вашем сайте есть формы:
- подписки на рассылку;
- регистрации личного кабинета;
- заявки или обратной связи;
- системы онлайн-чата или онлайн-консультанта;
- размещения комментариев.
Обратите внимание, что не все данные являются персональными сами по себе, но их совокупность позволяет им приобрести такой статус. Например, если пользователь укажет только своё имя, то этого явно не хватит для идентификации его личности. А вот имя и e-mail уже дают более полноценное определение. В то же время такие сведения, как номер телефона или ИНН, сами по себе уже являются ПД, так как при наличии доступа к соответствующей базе данных они позволяют получить полную информацию о человеке.
Поэтому определить, являетесь ли вы оператором ПД, можно в зависимости от того, какие именно данные вы собираете через формы обратной связи на сайте.
Что делать, если я обрабатываю ПД у себя на сайте?
Собирая информацию о пользователях, вы можете задаться вопросом: «Как обрабатывать ПД, чтобы избежать штрафных санкций?». Сущесвтует ряд условий обработки персональных данных для сайта. Вам необходимо:
- Установить защищённый протокол передачи персональных данных на сайте (SSL-сертификат). В выборе сертификата вам поможет хостинг-провайдер: например в REG.RU базовый SSL-сертификат можно получить даже бесплатно.
- Составить политику конфиденциальности и разместить её на сайте.
- Спрашивать согласие посетителей на обработку их ПД.
- Уведомить Роскомнадзор, что вы собираете персональные данные.
На всякий случай подчеркнём, что нужно выполнить все эти шаги. Пройдёмся по каждому из пунктов.
SSL-сертификат
SSL-сертификат — стандарт безопасности для обмена данными между сайтом и пользователем. Главное преимущество SSL-сертификата — зашифрованное соединение, которое защищает трафик, не давая перехватить его и использовать оставленные на сайте персональные данные в мошеннических целях.
Критически важно перейти на протокол SSL всем сайтам, где есть информация первой и второй категории (подробнее о категориях информации можно узнать здесь). Это, например, данные банковских карт, логины и пароли от аккаунтов, формы с указанием полного имени и адреса и прочее.
Политика конфиденциальности
Составляя политику конфиденциальности, обратите внимание на принципы обработки персональных данных. В ней необходимо указать следующую информацию:
- Наименование оператора обработки персональных данных. Если сайт принадлежит ИП или просто физическому лицу — указать ФИО, если юридическому лицу — название компании и ИНН.
- Адрес оператора: юридический (для юридических лиц) или фактический (для физических лиц).
- Список собираемых данных: ФИО, почта, телефон, файлы-cookies, паспортные данные и другое. Список должен быть максимально полным и подробным.
- Цель сбора данных. Обязательно укажите, для чего будут использоваться ПД. Собирайте только необходимые данные.
- Сроки обработки данных. Персональные данные после их использования по назначению подлежат удалению. Их обработка возможна только в течение ограниченного времени.
- Факт привлечения третьих лиц к обработке данных. Сюда относятся также различные партнёрские программы, например партнёрская программа REG.RU. Если вы приводите новых клиентов в другую компанию, то она является третьим лицом, которое будет обрабатывать ПД.
- Свои контактные данные. В реквизитах политики конфиденциальности укажите контакты, по которым с вами можно связаться. Такая информация будет полезна для ваших клиентов, если они захотят удалить или изменить свои персональные данные.
- Меры обеспечения безопасности данных. Расскажите клиентам, что их персональные данные хранятся на защищённых серверах, располагающихся на территории России (да, по закону хранить данные российских граждан можно только на серверах, находящихся в РФ).
Посетители вашего сайта должны иметь возможность беспрепятственно ознакомиться с политикой конфиденциальности, поэтому мы советуем разместить её в футере каждой страницы.
Согласие на обработку персональных данных
В соответствии с законом «О персональных данных» пользователь должен самостоятельно решать, предоставлять ли вам свои данные, и давать согласие на их обработку. При этом согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Сделайте чекбокс с уведомлением о том, что клиент соглашается на обработку ПД и ознакомлен с политикой конфиденциальности (не забудьте дать на неё ссылку). Посетитель сайта должен самостоятельно поставить галочку в чекбоксе, и делать это за него мы не рекомендуем.
Но есть ряд случаев, когда согласие на обработку ПД можно получить и другим способом. К ним относится, например, подписание договора, одной из сторон которого является пользователь.
Уведомление Роскомнадзора
Закон «О персональных данных» гласит, что вам необходимо уведомить Роскомнадзор о сборе и обработке персональных данных посетителей вашего сайта. Сделать это можно через специальную форму.
Но есть и исключения, когда уведомлять Роскомнадзор не обязательно. Среди них, например, обработка общедоступной информации (то есть той, которую пользователь сделал доступной для неопределённого круга лиц, например данные о себе, опубликованные на личном сайте или в открытом профиле социальной сети) или данных, включающих в себя только ФИО.
Выводы
1. Персональные данные — это любая информация, по которой можно прямо или косвенно определить человека.
2. Если вы обрабатываете ПД — подключите к сайту SSL-сертификат, разместите политику конфиденциальности и уведомите Роскомнадзор.
3. У посетителей сайта необходимо брать согласие на обработку персональных данных — разместите под формой ввода данных соответствующую строку с чекбоксом и ссылкой на политику конфиденциальности.
4. Храните персональные данные людей, проживающих в РФ, на серверах, располагающихся на территории России.
Имеет ли право физическое лицо собирать персональные ( паспортные) данные?
Россияне теперь будут сами решать, какие сведения позволительно использовать для своих нужд владельцам сайтов, а какие необходимо оставить приватными.
Кроме того, операторы обязаны удалять персональные данные по первому запросу пользователей.
Вместе с тем у соотечественников остаётся масса вопросов по поводу того, кто, в принципе, может касаться наших личных данных, а кто такого права не имеет. «Парламентская газета» разбиралась в этом вопросе.
Удалите меня полностью или частично
Помимо закона о персональных данных, принятого в 2006 году, неприкосновенность частной жизни, тайну переписки и телефонных переговоров на самом высоком уровне нам гарантирует Конституция.
Тем не менее, хотя обрабатывать или распространять информацию о человеке без его согласия категорически запрещается, мы все вольно или невольно становимся участниками глобального процесса обмена персональными данными, то и дело оставляя их для оформления заказа в интернет-магазине или кредита в банке.
Просто так удобно и быстрее. Не нужно стоять в очереди с бумажками для того, чтобы определить ребёнка в школу или получить субсидию от государства.
Однако, оставляя свои данные в различных учреждениях и на торговых площадках, названий которых порой и не вспомнишь, мы уверяем себя, что их не разместят в открытом доступе, а телефон не передадут посторонним лицам.
Увы, самообольщение в этом случае — не лучший советник. Каждый из нас многократно убеждался в этом, отбиваясь от назойливых кредитных менеджеров или продавцов заманчивых услуг, которым кто-то «слил» информацию о нас.
Теперь, по идее, всё должно встать на свои места — доступ к приватным сведениям россиян будет серьёзно ограничен. С 1 марта в России вступил в силу запрет сайтам обрабатывать персональные данные без согласия их владельца. Также россияне получают право требовать удаления персональных данных из общего доступа без дополнительных условий.
Оформление согласия на обработку персональных данных предложено упростить
«У граждан появится возможность указывать, какие именно персональные данные можно обрабатывать и собирать, а какие можно распространять и передавать дальше», — пояснил первый замглавы Комитета Госдумы по информационной политике, информационным технологиям и связи Сергей Боярский. Он добавил, что Роскомнадзор разработал специальную форму согласия на обработку персональных данных, разрешённых гражданином для распространения. По его словам, приказ находится на утверждении в Минюсте.
Депутат отметил, что теперь граждане могут свободно отзывать согласие на обработку персональных данных — как письменно, так и онлайн через специальную систему. «Новый закон закрепляет правило, что молчание или бездействие гражданина ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешённых им для распространения», — подчеркнул парламентарий.
Плюс День рождения и гражданство
Ранее «Парламентская газета» писала, что в Роскомнадзоре разработали список данных, которые должны фигурировать в форме согласия на обработку. Это помимо телефона и почты имя с фамилией человека. Всё остальное — биометрические данные, адрес и прочее — может быть указано дополнительно. Также в форме согласия должны быть данные об операторе и цель обработки сведений о человеке.
Напомним, в конце 2019 года список данных, которые отражаются в Единой информационной системе персональных данных, дополнили номером мобильного телефона и адресом электронной почты. Теперь же Минцифры предлагает добавить к ним дату рождения и информацию о гражданстве. Проект постановления Правительства размещён на федеральном портале проектов нормативных правовых актов 11 февраля.
• Минцифры определило угрозы безопасности персональных данных
Также Минцифры разработало поправки к принятому 16 февраля Госдумой в первом чтении законопроекту, который вносит изменения в закон о персональных данных. Об этом сообщается на сайте ведомства 3 марта. Поправки предусматривают свободную обработку бизнесом обезличенных данных.
А для защиты персональных данных россиян предлагается ввести ряд ограничений для операторов, которые обрабатывают приватную информацию. Например, оператор не сможет использовать информацию, действия и методы, которые помогут определить принадлежность персональных данных конкретному субъекту.
Также будет запрещено в дополнение к обезличенным данным передавать третьим лицам информацию, позволяющую идентифицировать конкретного человека.
«Законопроект позволит повысить эффективность системы защиты прав субъектов персональных данных — наших граждан, а также даст возможность бизнесу использовать данные, полученные в результате обезличивания. При этом права россиян на безопасную обработку и сохранение их персональных данных будут соблюдены», — прокомментировал новацию врио директора департамента информбезопасности Минцифры Дмитрий Реуцкий.
Кто может собирать данные
По закону оператор Единой информационной системе персональных данных должен предоставить доступ к информации о человеке по запросу правоохранителей, но мы уже знаем, что некоторым операторам закон не писан и появление баз данных россиян на чёрном рынке всё ещё становится поводом для СМИ порассуждать об информационной безопасности. Так кто же эти люди, владеющие информацией о нас с вами и имеющие право ею распоряжаться?
Увы, их великое множество. Согласно закону, тот, кто обрабатывает чьи-то персональные данные, тот и становится автоматически оператором.
То есть им может быть как муниципальный или государственный орган власти, так и обычная компания-работодатель или владелец сайта, где пользователи, проходя регистрацию, оставляют сведения о себе.
Эти данные впоследствии систематизируются и используются в том числе для рассылки, приглашений на акции и так далее. Всё это и называется обработкой персональных данных.
В соответствие с законом, операторы персональных данных должны зарегистрироваться в Роскомнадзоре, подав уведомление в электронном виде на официальном сайте ведомства через специальную форму. Либо то же самое сделать через портал Госуслуг или в письменной форме.
Россияне смогут сами менять объём доступных персональных данных
При этом список контактов в наших телефонах, которые мы обрабатываем в личных целях, под действие закона о защите данных не попадают. Правда, до тех пор пока не будут нарушены права наших знакомых. А права их могут быть нарушены, если оставить их e-mail или номер телефона в качестве контактных при оформлении кредита и в остальных схожих случаях.
За сохранностью персональных данных сегодня следит Роскомнадзор, который может потребовать у провайдера или хостера предоставить подтверждение места хранения баз данных россиян. Если выяснится, что они хранятся с нарушениями или вовсе за рубежом, то у операторов возникнут проблемы.
Законом устанавливается ответственность за нарушение требований о локализации баз персональных данных граждан на территории России.
Для граждан штраф составляет от 30 тысяч до 50 тысяч рублей, для должностных лиц — от 100 тысяч до 200 тысяч рублей, для юридических — от 1 млн до 6 млн рублей.
Кроме того, защитой персональных данных занимается Федеральная служба по техническому и экспортному контролю, также к проверкам могут подключиться ФСБ и прокуратура, у которых достаточно полномочий, чтобы разобраться с нарушениями.
Адвокатский запрос и персональные данные граждан
1 63-ФЗ следует, что адвокатский запрос представляет собой официальное обращение адвоката в органы власти, различные организации о предоставлении сведений, справок, характеристик и прочих документов, без которых невозможно оказание квалифицированной правовой помощи. Ответ на запрос организации обязаны предоставить в течение 30 суток, а если требуется дополнительное время на сбор сведений, то указанный срок может быть продлен еще на 30 дней.
Если организация или орган власти не предоставит адвокату запрашиваемую информацию, передаст ее в искаженном виде или нарушит установленные сроки, то их ждет административная ответственность по ст.5.
39 КоАП. Возможное наказание за нарушение достаточно мягкое – штраф от 5 до 10 тысяч рублей.
Однако есть ситуации, при которых организации не обязана предоставлять адвокату запрашиваемые сведения:
- Организация не располагает интересующей юриста информацией.
- Адвокатский запрос составлен с нарушением закона, либо не соблюден алгоритм его подачи.
- Требуемые сведения относятся к информации с ограниченным доступом.
Если с первыми двумя пунктами все понятно, то на третьем стоит остановиться поподробнее. Итак, доступ к информации может быть ограничен в целях необходимости защиты конституционного строя, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны и безопасности страны. В 149-ФЗ сказано, какая именно информация находится в ограниченном доступе:
- государственная тайна;
- коммерческая тайна;
- профессиональная тайна;
- служебная тайна;
- личная тайна;
- семейная тайна;
- персональные данные граждан;
- иная охраняемая законом информация.
По общему правилу, указанные сведения по адвокатскому запросу не предоставляются.
Когда персональные данные по адвокатскому запросу могут быть предоставлены
Согласно ст.7 152-ФЗ, лица, имеющие доступ к персональным данным, обязаны не передавать информацию третьим лицам без согласия на то субъектов персональных данных. Иными словами, если гражданин, предоставивший свои персональные данные, дал такое согласие, то сведения могут быть переданы в рамках адвокатского запроса.
Что делать гражданину, не желающему, чтобы его персональные данные передавались третьим лицам (в том числе через адвокатский запрос)? Физлицо вправе отозвать свое согласие путем направления соответствующего уведомления в адрес оператора (например, администратора доменного имени и т.д.). Точный адрес для отправки уведомлений, как правило, указывается в Политике конфиденциальности. Оператор, получивший письмо, обязан удалить персональные данные в течение 30 дней. Однако гражданин должен быть готов к тому, что вторая сторона прекратит договорные отношения.
Можно ли сделать частичный отзыв согласия на обработку персональных данных (например, запретить компании только передачу данных третьим лицам или ограничить обработку какой-то определенной информации)? Есть ли возможность защитить бизнес и продолжать получать нужные услуги? На практике многие организации говорят четкое «нет», ссылаясь на то, что без передачи данных другим лицам они не смогут оказывать услуги гражданину. Другие компании допускают такой вариант, предлагая клиенту заключить дополнительное соглашение. Однако, с нашей точки зрения, граждане могут осуществить частичный отзыв согласия на обработку персональных данных.
Почему это возможно?
- В понятие «обработка персональных данных» включаются такие действия, как сбор, хранение, систематизация, передача информации и т.д. Если гражданину дано право запретить совершение всех указанных действий, то он вправе ограничить и отдельные из них.
Есть еще один момент, который заключается в цели обработки персональных данных.
Например, во многих типовых согласиях на обработку персональных данных основной целью регистратора доменного имени является выполнение услуг по Договору, заключенному с заказчиком (обслуживание доменного имени, направление уведомлений, обработка заявлений от клиента и т.д.).
В приложении к согласию могут быть указаны IT-организации, которым может передаваться информация, и с технической точки зрения без такой передачи регистратор действительно не состоянии осуществлять свою деятельность.
Однако, например, передача данных по адвокатскому запросу никаким образом не связана с целью сбора персональных данных регистратором. Следовательно, если гражданин запретит передавать свои данные именно по адвокатским запросам, то регистратор обязан выполнить это требование: прочие действия по обработке персональных данных будут продолжены.
Алгоритм действий будет выглядеть примерно следующим образом:
- Подготовьте заявление об отзыве согласия на обработку персональных данных. Если Вы желаете запретить какие-либо конкретные действия – опишите их. Не забудьте сослаться на соответствующие статьи 152-ФЗ. Единого образца заявлений нет, оно составляется в свободной форме.
Сайты, передавшие без согласия граждан персональную информацию о них по адвокатскому запросу, могут быть оштрафованы по ст.13.11 КоАП РФ на сумму 75 тысяч рублей. Граждане, пострадавшие от незаконных действий оператора, могут обратиться в суд.
Конечно, чаще всего граждане судятся с кредитными учреждениями по поводу предоставления последними персональных данных коллекторским организациям. Однако встречаются ситуации, когда субъекты подают в суд и по причине неправомерной передачи данных по адвокатским запросам.
Приведем пример
Три гражданина обратились в суд с иском к администрации МО Репьевский сельсовет об обязании прекратить передачу и обработку их персональных данных, уничтожении персональных данных граждан и компенсации морального вреда.
Было установлено, что сельсовет по адвокатскому запросу предоставил персональные данные из похозяйственной книги о месте проживания истцов.
Граждане не предоставляли своего согласия администрации МО Репьевский сельсовет на обработку своих данных.
Также суд обнаружил следующие нарушения:
- адвокатский запрос не содержал данных о лице, в чьих интересах действует адвокат;
- администрация предоставила данные о трех гражданах, хотя адвокат запрашивал информацию только на одного субъекта.
По этим причинам иск граждан был удовлетворен: МО Репьевский сельсовет было запрещено обрабатывать и передавать персональные данные третьих лиц. Однако компенсация морального вреда оказалась совсем небольшой: вместо 100 тысяч на каждого истца суд присудил по 1 500 рублей.
Если бы граждане представили убедительные доказательства своих моральных страданий, скорее всего, компенсация была бы намного выше.
Итак, как мы видим, адвокатский запрос имеет меньшую юридическую значимость, чем, например, запрос правоохранительных органов.
И поэтому у гражданина есть реальная возможность сохранить свои персональные данные в тайне.
Однако каждая ситуация сугубо индивидуальна, поэтому если Вы хотите узнать, как можно защитить собственную личную информацию, — посоветуйтесь с опытным уголовным адвокатом.
Скачать пример (шаблон) заявления на отзыв персональных данных
Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать
В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
Что такое персональные данные и что к ним относят
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).
К персональным данным, согласно данному закону, относят:
- фамилия, имя, отчество;
- место, дата рождения;
- место постоянной или временной регистрации;
- фотография или видеозапись человека, позволяющие идентифицировать человека;
- сведения о детях, родственниках, семейном положении;
- сведения о заработной плате;
- оценка навыков, личностных качеств;
- индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
- информация о судимостях, или их отсутствии;
- номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах;
- паспортные данные, СНИЛС, ИНН (хотя с ИНН вопрос спорный);
- биометрические данные.
Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут.
Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.
ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.
Также существует классификация персональных данных. Их подразделяют на:
- общедоступные;
- специальные;
- биометрические;
- иные.
Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.
- Немного подробнее по каждой категории.
- Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
- Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
- судимостях.
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.
К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,
информация о принадлежности к определенной социальной группе,
стаж работы и пр.
Также стоит упомянуть, кто является субъектом персональных данных, а кто оператором. Соответственно, субъект — физическое лицо, чьи данные обрабатывают. К примеру, собирают и хранят. А оператор персональных данных — юридические лица, государственные организации или ведомства. Они данные собирают, обрабатывают, хранят, передают и уничтожают.
Обратите внимание! Уничтожение персональных данных должно происходить таким образом, чтобы впоследствии ими не могли воспользоваться ни злоумышленники, ни нечистоплотные сотрудники организации, а у проверяющих не оставалось сомнений в законности процедуры. Делис Архив проведет экспертизу документов, отбор и уничтожение, предоставит все подтверждающие документы и уничтожит документы, содержащие конфиденциальную информацию. Подробнее.
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
- сбор;
- передача;
- запись;
- хранение;
- извлечение;
- изменение;
- обезличивание;
- анализ;
- удаление.
В свою очередь, обработка может осуществляться тремя путями:
- Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты.
- Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
- Неавтоматизированная — без автоматизации.
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Чтобы поиск не стал квестом, рекомендуем правильно организовать архив, как обычный, так и электронный. Как это сделать знают специалисты Делис Архив.
Определить срок хранения документа онлайн
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
- обработка ПД, несовместимая с целью сбора — штраф до 3 тыс. для граждан, до 10 тыс. на должностных лиц, до 50 тыс. — на организации.
- обработка ПД без письменного согласия субъекта — штраф для граждан до 5 тыс., до 20 тыс. на должностных лиц, до 75 тыс. на организации.
- неопубликование документа о политике оператора в отношении обработки ПД — штраф для граждан до 1,% тыс руб., для должностных лиц до 6 тыс., для ИП до 10 тыс., а для юрлиц — до 30 тыс.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Что делать, чтобы не попасть под штрафы
Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:
- Зарегистрироваться в Роскомнадзоре, как оператор персональных данных.
- Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
- Отвечать на обращения субъектов и предоставлять им всю информацию.
- Собирать и хранить информацию только для достижения определенных целей, и на определенный срок.
- Хранить и защищать ПД по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
- Уточнять, блокировать или уничтожать ПД по заявлению субъектов или когда достигли целей их сбора.
Смотреть, что будет, если неправильно хранить документы
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
- сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
- персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
- обработка персональных данных, находящимся в открытом доступе;
- сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
- сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
- сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Кстати, хранить свой бумажный архив, включая кадровые документы и персональные данные вы можете и вне офиса. Так можно избежать их утраты и несанкционированного доступа к информации.
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!
Ждём ответного поста от Андрея Васильевича. Парковка на улице Губернского Будущее экономического кризиса в России: Н.Зубарев… Парковка на улице Губернского
Персональные данные и их виды: для тех, кому нужно быстро разобраться | Блог VK Cloud Solutions
Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.
Какие бывают виды персональных данных
В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.
Общие персональные данные
К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.
Специальные персональные данные
Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.
Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.
Биометрические персональные данные
Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.
Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.
А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.
То же самое касается других подобных данных, в том числе медицинских. Если их используют просто для сбора информации о пациенте, они не биометрические, а общие или специальные.
В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.
Иные данные сложнее всего отличить от специальных. Разница следующая:
- Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
- Иные данные — это просто дополнительная информация, они часто могут меняться.
Кто такие оператор и субъект персональных данных
В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.
Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:
- Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
- Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.
Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.
В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.
Кратко: Кто является оператором персональных данных? Тот, кто собирает ПДн, хранит их у себя на серверах, анализирует, изменяет и передает.
Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.
Как оператор обязан защищать персональные данные
Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:
- Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
- Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
- Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
- В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.
Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.
Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.
То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать.
Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.
В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS.
При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства.
При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.
Что мошенники могут сделать, зная ваши персональные данные
1. Оформить микрозайм через интернет
У крупных МФО для получений онлайн-займа требуется, как правило, сделать фото со своим паспортом. Но на некоторых сайтах можно оформить заём, просто зная ФИО, дату и место рождения, номер, дату выдачи, код подразделения и адрес регистрации.
Если мошенники обратятся сразу в несколько таких микрофинансовых организаций, они смогут занять крупную сумму.
Также мошенники могут сделать фальшивый паспорт с данными жертвы и вклеить в него свою фотографию. А потом получить по нему более крупный кредит в банке.
Как проверить наличие мошеннических кредитов на своё имя
Проверить, не оформляли ли мошенники на ваше имя займы и кредиты, можно, запросив свою кредитную историю в бюро кредитных историй (БКИ). Делать это стоит как минимум раз в полгода-год.
Что делать в такой ситуации
Если на вас незаконно оформлен заём, в первую очередь нужно направить в МФО или банк претензию и попросить кредитора списать задолженность. После — обязательно обратиться в полицию и написать заявление, что вы стали жертвой мошенников (статья 159 УК РФ). Если МФО или банк не пойдёт вам навстречу, то придётся обращаться в суд, чтобы признать кредитный договор незаключённым.
- 2. Прислать поддельную квитанцию на оплату штрафа
- Ещё один распространённый тип мошенничества — поддельная квитанция на оплату штрафов ГИБДД, ФНС или других государственных органов.
- Мошенники обычно требуют срочно погасить долг и угрожают подачей иска в суд.
Что делать в такой ситуации
Нужно убедиться, действительно ли вам начислен штраф или нет. Проверить это можно на сайте Госуслуг. Также многие кредитные организации позволяют бесплатно это сделать в своём интернет-банке.
3. Оформить сим-карту
Преступники могут оформить новую сим-карту по паспортным данным и пользоваться ей при телефонных аферах. Для получения сим-карты в салоне связи обязательно попросят паспорт. Но клиент может уговорить сотрудника использовать скан документа, потому что оригинал «забыл» дома. Скан паспорта мошенник может создать с помощью специальных программ.
Что делать в такой ситуации
Если третьи лица заключили от вашего имени договор на оказание услуг связи, то в первую очередь напишите претензию мобильному оператору. Отправьте заявление заказным письмом с уведомлением о вручении.
В письме опишите все обстоятельства дела и укажите, что сим-карту вы не получали, договор не подписывали. Попросите провести проверку по этому факту и заблокировать сим-карту. Также сразу запросите у оператора заверенную копию договора — она нужна будет для обращения в суд и в полицию, если компания откажет в удовлетворении ваших требований.
При обращении в полицию с заявлением попросите их провести проверку по предполагаемому факту мошенничества (статья 159 УК РФ).
Чтобы признать сделку недействительной, потому что вы не заключали и не подписывали этот договор (статьи 166 и 168 ГК РФ) — подайте соответствующее заявление в суд.
Что могут злоумышленники, если у них есть ваш номер телефона и имя
1. Притвориться банком и выудить другие данные для кражи денег с карты
Этих данных достаточно, чтобы завязать с жертвой разговор под видом банка и выудить недостающую информацию для кражи денег с карты: пароль для входа в интернет-банк, CVV-код (трёхзначный код на обратной стороне карты), пароль из СМС или ПИН-код.
Аферисты действуют по телефону напористо, сразу выдают самые мрачные сценарии («ваш счёт будет заблокирован», «с вашего счёта пытаются вывести деньги», «злоумышленник через ваш личный кабинет пытается взять на ваше имя кредит ПРЯМО СЕЙЧАС» и так далее). Основная цель — взволновать и напугать человека, чтобы он перестал мыслить критически, после чего выведать у него данные счёта и/или карты.
Если вы сомневаетесь, то мошенник может предложить заказать обратный звонок. Он будет упирать на то, что при обратном звонке на экране телефона вы увидите номер, указанный на вашей банковской карте. Однако не стоит верить и этому: существуют специальные программы, благодаря которым телефонный номер можно подменить.
Пример телефонного разговора с мошенниками
В записи слышно, что мошенник давит на срочность и напористо настаивает на своём. Настораживают и отдельные слова: аферист говорит «наш банк», не называя наименование организации. Настоящий сотрудник банка называет его при каждом упоминании. К тому же злоумышленник делает ошибку, говоря «носитель карты» вместо «держатель карты». Настоящий сотрудник никогда так не ошибётся.
Помните: настоящий сотрудник колл-центра видит на экране абсолютно всю информацию о вас, которая доступна банку. Поэтому он не будет просить назвать, например, остаток на счёте — он и так увидит сумму остатка в системе.
И сотрудник банка никогда не попросит вас назвать ему CVV-код, цифры из СМС-кода или ПИН-код, он знает, что это секретная информация.
Проверьте собеседника: если он не может ответить на простой вопрос, например, назвать ваш баланс или номер карты, а, напротив, требует этого от вас, — это стопроцентно мошенник.
Телефонные мошенники также могут отправлять якобы «из банка» СМС. Вас должно насторожить, если:
- в СМС неправильно написано имя получателя, название банка (например, изменена очерёдность букв: «Себрбанк», «Асболют») или оно написано с орфографическими ошибками;
- СМС открывается в новой переписке, а не продолжает старую ветку.
- Что делать в такой ситуации
- Единственный способ обезопасить себя при сомнительном разговоре с «банком» — повесить трубку и самостоятельно перезвонить по телефону, указанному на вашей карте.
- То же самое касается и сомнительных СМС — не отвечайте на них и не переходите по ссылкам в сообщениях.
2. Вымогать деньги от лица Росфинмониторинга
Злоумышленники могут угрожать заблокировать ваш счёт, если вы не заплатите им. Мошенники прикрываются законом о противодействии отмыванию преступных доходов.
Что делать в такой ситуации
Бросить трубку. Федеральная служба по финансовому мониторингу не взаимодействует напрямую с физлицами. А блокировкой счетов занимаются банки.
Имеет ли право физическое лицо собирать персональные ( паспортные) данные?
Согласно ст.ст.6,9 Федерального закона «О персональных данных», обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных Федеральным законом от 27 мая 1996 года N 57-ФЗ «О государственной охране».
Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.
В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.
В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.
Таким образом, физическое лицо может собирать персональные данные других лиц с их согласия.
С уважением, адвокат Анатолий Антонов, управляющий партнер адвокатского бюро «Антонов и партнеры».