Вопросы к Юристу

Как могут быть использованы персональные данные

Статья про закон о персональных данных неожиданно для нас вызвала много вопросов у читателей. Неожиданно, потому что закону уже больше десяти лет. За нарушение этого закона и сейчас могут штрафовать: его нужно было соблюдать и год назад, и сегодня. Просто с 1 июля 2017 года всё станет серьезнее.

Вот что вы спрашивали о персональных данных.

Объясните вкратце для тех, кто не в курсе

В России есть закон о персональных данных. Чтобы собирать, обрабатывать и хранить данные о сотрудниках, подписчиках на рассылку и посетителях сайта, нужно почти всегда получать их согласие, а сами данные хранить в России.

За нарушение закона штрафуют. С 1 июля штрафы увеличатся до 75 тысяч рублей, а у Роскомнадзора будет побольше полномочий.

Зачем придумали этот закон? Это очередной способ пополнить кормушку. Теперь и сайт нет смысла делать, будут еще штрафовать каждый месяц.

Закон о персональных данных нужен тем, чьи данные собирают, обрабатывают и хранят. Цель закона — защитить интересы и права этих людей.

Нормы защиты персданных придумали не в России. Правила их обработки ООН описала еще в 1948 году во Всеобщей декларации прав человека. В 1981 году Совет Европы принял конвенцию по обработке персональных данных. А Россия ее ратифицировала и в 2006 году разработала свой закон.

В Европе паранойя по поводу персданных уже давно

Конституция гарантирует каждому человеку неприкосновенность частной жизни, тайну переписки и телефонных переговоров. Даже без закона о персональных данных нельзя обрабатывать, хранить и распространять информацию о человеке без его согласия.

Отдельная глава про персональные данные есть в трудовом кодексе: работодатели не могут свободно распоряжаться информацией о сотрудниках.

Однако персональные данные оставляют постоянно: чтобы оформить заказ в интернет-магазине, взять кредит в банке, устроить ребенка в детский сад, зарегистрироваться в соцсети или подписаться на рассылку. Когда человек оставляет свои данные, он должен быть уверен, что его адрес не разместят в открытом доступе, а телефон не передадут кому-то без разрешения. А тот, кто обрабатывает персональные данные, хочет гарантий, что на него не подадут в суд за рекламную рассылку.

Недавно мы рассказывали, как мошенники смогли получить чужой НДФЛ. Это произошло в том числе из-за того, что кто-то нарушил правила обработки персональных данных.

Закон о персональных данных прописывает для всех правила игры. Он заставляет всех принимать дополнительные предосторожности, но и защищает он тоже всех.

У меня есть сайт. Я не ИП и не юрлицо — просто человек. Нужно ли соблюдать закон о персональных данных в таком случае?

Да, закон нужно соблюдать всем, кто обрабатывает чьи-то персональные данные. Оператором может быть юридическое лицо, ИП , государственный орган или обычный человек, который создал и администрирует форум по интересам. Точное определение, кто является оператором и что такое обработка персональных данных, есть в 3 статье закона.

Например, девушка создала форум для беременных, чтобы потом размещать там рекламу. При регистрации участники указывают информацию о себе. Эта девушка — оператор персональных данных. Она получает сведения о других людях и что-то с этими данными делает: систематизирует по возрасту и интересам, проверяет активность пользователей, использует для рассылки, приглашений или просто хранит.

Любое из этих действий — это обработка персональных данных. Любой, кто это действие производит, — оператор.

У меня есть электронные почты друзей, список контактов в телефоне, аккаунты разных людей в соцсетях. Получается, я тоже оператор и должен получать согласие этих людей на то, чтобы хранить и удалять их данные?

Нет, в таких случаях согласие не нужно. Под действие закона не попадают персональные данные, которые обрабатывают для личных и семейных нужд . Это могут быть контакты нужных людей в телефонном справочнике, визитки коллег и партнеров, профили друзей на фейсбуке.

Это исключение действует, только если не нарушаются права этих людей. Например, их данные не оставляют в банке как контакты для связи при оформлении кредита, не публикуют в общем доступе без разрешения или не передают рекламодателям.

Форма обратной связи тоже попадает под действие закона?

Если в ней человек может ввести свои персональные данные — то да, попадает.

В законе нет исключений по поводу формы и способа сбора персональных данных. И уточнения, что именно является сбором, тоже нет. Минкомсвязи считает, что сбор — это какая-то документально оформленная процедура получения данных о человеке. Форма обратной связи подходит под это определение .

Сама по себе форма обратной связи не попадает под действие закона только потому, что она есть. Важно, какие данные передает посетитель через эту форму , можно ли по ним прямо или косвенно идентифицировать человека и нанести ему вред в случае утечки и распространения.

Если посетитель сайта указывает в форме свое имя, фамилию, телефон и электронную почту — это персональные данные. Тот, кто эти данные получает, обрабатывает и хранит, считается оператором персональных данных и должен соблюдать закон.

А если получаешь только имя без фамилии и номер телефона, это тоже попадает под персональные данные? А если только номер телефона?

По закону персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Это определение ничего не дает и не проясняет.

Если понимать буквально, то персональными данными можно считать что угодно. Юристы спорят по этому поводу уже много лет.

Минкомсвязи конкретики не дает и говорит так: более точно определить состав персональных данных, в том числе привести их перечень, представляется нереализуемым . Никаких четких пояснений от других ведомств по этому поводу тоже нет.

Если будет спор по поводу принадлежности почты или логина к персональным данным, всё решит суд. Несколько решений по поводу персональных данных суды уже вынесли. Из них следует очевидное: персональными данными считаются ФИО , паспортные данные, адрес, номера телефонов, информация о членах семьи, из пенсионного дела и трудового договора. Еще из них следует неочевидное: ИНН сам по себе не является персональными данными, а данные о факте пересечения границы — являются.

Сам по себе логин — это вроде бы не персональные данные. По набору символов нельзя понять, что это за человек и даже какого он пола.

Но если на аватарку человек поставит свою настоящую фотографию или при регистрации укажет почту, где в названии будет его фамилия с инициалами, а в доменном имени — название компании, то в совокупности это уже персональные данные.

Никто толком не знает, какие данные персональные

В законе нет никаких исключений по теме сайта, организационно-правовой форме и набору данных.

Чтобы не рисковать, лучше сделать так.

Если вы где-нибудь с какой-нибудь целью собираете любую информацию о каких-то физических лицах, нужно зафиксировать их согласие и подготовить документы . Если это сделать для страховки, даже когда не надо, ничего страшного не будет. А если этого не сделать, могут быть претензии от пользователей и Роскомнадзора.

Я делаю сайт для клиента, обрабатываю и храню данные на своей стороне. При этом владелец сайта не обязан быть оператором персональных данных?

Владелец сайта обязан быть оператором персональных данных и соблюдать закон. По закону можно собирать персональные данные и передавать их кому-то на обработку. Владелец сайта может передать данные клиентов вебмастеру, интернет-магазин — сервису рассылки.

Чтобы так делать, владелец сайта должен получить у посетителей разрешение и объяснить им, кому и зачем он передаст их данные.

Ответственность на владельце

Тот, кому он передаст данные на обработку, отдельное разрешение получать не должен, а соблюдать закон — должен.

Отвечать за соблюдение закона перед посетителями сайта будет его владелец.

Владельца сайта Роскомнадзор и суд будут определять по совокупности данных. Если на сайте размещена информация о конкретном юридическом лице или ИП , спросят с него. Если таких данных нет, спросят с администратора домена.

А как они поймут, что я храню и обрабатываю данные, чтобы выписать штраф? Это в российском дата-центре можно маски-шоу устроить и вынести сервер, а за границей такие номера не проходят.

Роскомнадзор узнает о нарушениях двумя способами:

  • сам проведет проверку,
  • отреагирует на чью-то жалобу.

Например, вы получили рассылку, на которую не подписывались, или вам звонят менеджеры из интернет-магазина, хотя вы не соглашались на рекламный обзвон. Или автосалон без разрешения передал ваш телефон страховому агенту, и теперь вам пытаются впарить каско. Можно потребовать удалить данные из базы, пожаловаться в Роскомнадзор и возместить ущерб через суд. Для этого нужно быть уверенным, что согласия не было, а данные передали незаконно. Иногда согласие получают через договор присоединения или законно передают данные, чтобы выполнить условия договора.

Сначала читать, потом подписывать

Если Роскомнадзор обнаружит нарушения, сайт могут заблокировать, а компанию оштрафуют.

По закону операторы обязаны хранить персональные данные на российских серверах. Есть несколько исключений, но это частности. Любой интернет-магазин или сервис по подписке должен хранить базу с персональными данными граждан в России.

Потом можно передавать эти данные за границу. Это законно, но при определенных условиях. Иначе нельзя было бы бронировать гостиницы и покупать билеты на самолет за границей.

Роскомнадзор может потребовать предоставить подтверждение по поводу места хранения баз данных. Например, договор с дата-центром, хостингом или документы на собственный сервер. Если выяснится, что персональные данные хранятся с нарушениями и не в России, будут проблемы.

Кроме закона о персональных данных есть требования Федеральной службы по техническому и экспортному контролю и ФСБ. Еще к проверке может подключиться прокуратура. Им хватит полномочий, чтобы узнать, где на самом деле хранятся данные, и разобраться с нарушениями.

А если у нас сайт на английском?

Закон о персональных данных нужно соблюдать, если сайт используется для работы на территории РФ . Теоретически Роскомнадзор имеет право и может его заблокировать.

Вот какие признаки используют, чтобы это понять:

  • доменное имя связано с РФ или субъектом,
  • есть русскоязычная версия сайта,
  • расчет за товары или услуги происходит в рублях, доставка возможна на территорию РФ ,
  • потребители содержимого сайта — россияне,
  • есть реклама на русском, которая ведет на этот сайт.

Если есть какое-то сочетание этих факторов, оператор персональных данных должен соблюдать закон, даже если это иностранная компания. А это значит, что документы должны быть доступны и понятны в РФ . Достаточно иметь их на русском языке, чтобы их понимал Роскомнадзор и граждане России. На нерезидентов за пределами страны наш закон о персональных данных не распространяется.

Как определять гражданство посетителя, закон не объяснил. Операторам предложили решать эту проблему самостоятельно. А если четкой позиции и инструментов нет, стоит соблюдать закон в отношении всех персональных данных, которые собрали на территории России.

Дублировать те же документы на иностранных языках для россиян нет смысла. Но эти правила придумали не в России. Есть конвенция Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера. Так что, если собираете данные иностранцев, подумайте, как соблюдаете закон той страны, резидентами которой они являются.

В Европе за однократное нарушение правил обработки персональных данных штрафуют на сотни тысяч евро. В России максимальный штраф с 1 июля 2017 года — 75 тысяч рублей.

Могу ли я не регистрироваться в Роскомнадзоре, если поменяю поле в форме обратной связи с «Ваше имя» на «Ваша компания»?

Закон о персональных данных защищает данные только физических лиц . Он не распространяется на данные о компаниях. Но то, что указано в форме обратной связи, — это формальность. Важно, какие именно данные и с какой целью собирает владелец сайта.

Если это на самом деле название компании и телефон офиса, такая информация не попадает под действие закона. Но если сайт собирает почтовые адреса и телефоны сотрудников компаний, чтобы потом делать по ним рассылку или передавать их третьим лицам, могут быть проблемы как со стороны этих сотрудников, так и от Роскомнадзора.

В Роскомнадзоре должны зарегистрироваться все операторы персональных данных. Исключения только для случаев, перечисленных в п. 2 ст. 22 закона о персональных данных.

Вот публикую я пост в фейсбуке и упоминаю своего друга — значит, я данные обрабатываю? Кэш поста хранится на телефоне, значит, я данные храню? А если сделаю репост в твиттер, то я их еще и предоставляю третьей стороне. И как с этим жить?

Это не нарушение закона. В этом случае оператором персональных данных выступает социальная сеть. Каждый, кто там зарегистрировался, дал согласие на публикацию, обработку и использование его данных.

Все пользователи фейсбука согласились на обработку данных о своем местоположении, используемых устройствах, друзьях, интересах, платежах, посещенных сайтах и связях с другими людьми. И даже на то, что фейсбук может получить доступ к адресной книге на любом устройстве и потом использовать эти данные.

Вы уже разрешили фейсбуку делать с вашими персданными что угодно

Все согласились на то, что эти данные фейсбук передает своим партнерам и рекламодателям. И на то, что любой пользователь может ссылаться, упоминать и отмечать на фотографиях кого захочет в рамках их настроек безопасности. Это законно и за это отвечает фейсбук, а не пользователи.

Так устроена любая соцсеть и общедоступные справочники.

Если на столбе объявление «Куплю рога оленя, 8 800…, Геннадий», то этот столб можно оштрафовать?

Нет, столб оштрафовать нельзя. Юридическим лицом он тоже не является. А люди, которые читают такие объявления и записывают номера телефонов, чтобы продать рога, не операторы персональных данных и не попадают под действие закона.

Геннадий сам сделал свои данные общедоступными , чтобы купить рога оленя. А те, кто позвонит ему по поводу покупки рогов, используют телефон в личных целях.

Если телефон Геннадия запишет микрофинансовая организация и начнет присылать ему рекламу быстрых займов, то ее можно привлечь к ответственности. Геннадий не давал ей согласия на обработку персональных данных для рассылки рекламы.

Человека, который случайно увидел телефон Геннадия, записал его в телефонную книгу или даже позвонил Геннадию с предложением купить рога, привлечь к ответственности нельзя.

То есть если человек специально опубликовался для каких-то рекламных целей, то это не считается персональными данными? На «Авито», например.

Если человек передает свои персональные данные какому-то ресурсу, даже с рекламной целью, этот ресурс должен соблюдать закон. Он должен предупредить пользователя, зачем собирает персональные данные, что будет с ними делать, где публиковать, кому передавать.

Чтобы подать объявление на «Авито», нужно зарегистрироваться и подтвердить номер телефона. Без регистрации объявление подать нельзя.

«Авито» объясняет, что использует данные, чтобы размещать их на сайте, информационных ресурсах, передавать своим партнерам, проводить конкурсы и проверять личность пользователя. Еще «Авито» может передавать данные пользователей за границу и отдавать их на обработку каким-то третьим лицам и честно об этом пишет. Это законно.

Нет такого правила, что если человек сам разместил данные в общем доступе на каком-то ресурсе, то с ними можно делать что угодно: распространять, обрабатывать и хранить у себя без разрешения.

Единственное исключение для общедоступных данных: оператор таких данных может не подавать уведомление в Роскомнадзор. Но получать согласие, обеспечивать безопасность и удалять данные по требованию их владельца он обязан.

Как правильно получить согласие на обработку персональных данных на сайте? Можно взять шаблон с сайта какой-то крупной компании?

Нельзя брать любое соглашение и использовать его на своем сайте, но можно посмотреть, как сделали другие, и использовать этот опыт.

Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Молчание или отсутствие возражений на обработку персональных данных — это не согласие.

Конкретной формы, в которой его нужно получать от посетителя и клиента, нет. Это может быть ссылка на пользовательское соглашение в ответном письме или галочка в форме регистрации.

Согласие должно быть осознанным и информированным

Главное, чтобы можно было доказать, что это согласие получено и посетитель понимал, на что он соглашается.

У каждого оператора должны быть цели. Интернет-магазин собирает данные об адресах, чтобы доставить товар, сервис по подписке просит указать электронную почту, чтобы отправлять письма, медицинский центр систематизирует данные о состоянии здоровья, школа — данные о семье.

Собирать, обрабатывать и хранить можно только те персональные данные, которые соответствуют цели. У «Ламоды», «Главреда», «Библио-глобуса» и детского сада цели не могут быть одинаковыми. А если собирать лишние данные, за это могут оштрафовать.

Получить согласие на обработку персональных данных недостаточно. Нужно соблюдать семь принципов обработки и правильно оформлять внутренние документы.

Лучше сделать это один раз и с помощью юриста, чем платить штрафы государству и возмещать моральный вред.

Ясно. Судя по всему, я оператор персданных. Что мне конкретно делать?

Изучите закон. Он сложный, там много непонятного, а какие-то вопросы вообще не объясняются. Если не можете разобраться сами, попросите юриста, которому доверяете.

На некоторые вопросы отвечает Минкомсвязи — эти разъяснения тоже лучше изучить лично. Можно там же задать вопрос по своей ситуации или написать в Роскомнадзор.

Разместите на сайте пользовательское соглашение, политику конфиденциальности, оферту или еще какой-то документ, откуда посетитель поймет, какие данные вы собираете, что с ними делаете, куда передаете, как храните и когда удаляете. Внимательно относитесь к формулировкам: они пригодятся в суде.

Формируйте базу с персональными данными на российских серверах. Потом можете передавать данные за границу, если это законно, обоснованно и безопасно.

Обеспечьте техническую безопасность данных и защитите их от утечки.

Оформите внутренние документы. Их много. Это приказы, распоряжения, инструкции и подписки. Это нужно сделать один раз, но правильно. При проверке Роскомнадзор имеет право их потребовать и проверить.

Подайте уведомление в Роскомнадзор, если не попадаете под исключения из ст. 22 закона о персональных данных. Если попадаете под исключения, оформите документы так, чтобы это было понятно при визуальной проверке и к вам не придрались.

Заверьте страницы сайта с документами по поводу персональных данных у нотариуса, чтобы вас не обвинили в их отсутствии или изменении формулировок.

Если у вас нет сайта, вы тоже можете быть оператором персональных данных. Необязательно собирать их автоматизированным способом и через интернет. Когда вы берете на работу сотрудника, вы тоже обрабатываете персональные данные. Правильно оформляйте документы.

Закон о персональных данных — это не страшно

Это нормальная мировая практика. Чтобы его соблюдать, не нужно тратить много денег. И бояться штрафов тоже не нужно. Если один раз всё правильно оформить и аккуратно относиться к информации о других людях, вам ничего не грозит.

Каждый из нас — субъект персональных данных. Этот закон защищает и наши данные тоже. И если кто-то его нарушит, можно подать в суд, заблокировать сайт-нарушитель, потребовать удалить информацию о себе и даже получить компенсацию.

Закон «О персональных данных» все что вы хотели знать, но боялись спросить

Вся эта кутерьма с локализацией хранения данных граждан у нас на Руси – законодательная новинка. Поэтому закон несколько противоречив.

То есть требование о хранении персональных данных в России не должно распространяться на организации, зарегистрированные за рубежом и собирающие персональные данные граждан РФ.

Какова цель обработки персональных данных?

Предоставляя сведения о себе, человек должен быть уверен, что личная информация не будет передана третьим лицам без его согласия. Российское Законодательство предупреждает такие ситуации и защищает права и свободы граждан.

Конституция РФ и . регулируют работу с личными сведениями о гражданине, признавая его права на неприкосновенность частной жизни, на личную и семейную тайны. . Не нашли ответа на свой вопрос?

Вы можете без комментирования.Оставить комментарий Новое в разделе

Подписка (E-mail) Обсуждения

3 Лика Ушакова —

6 Людмила Михайловна —

Получите бесплатную консультацию прямо сейчас: +7 (499) 755-96-87Москва +7 (812) 565-33-94Санкт-Петербург Получите бесплатную консультацию прямо сейчас: +7 (499) 755-96-87Москва +7 (812) 565-33-94Санкт-Петербург © Copyright 2019 Новое в разделе

Вход для клиентов

руб. Часть 1 Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо их обработка, несовместимая с целями сбора этих данных, за исключением случаев, предусмотренных ч.

2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния Для ДЛ – от 5 до 10, для ЮЛ – от 30 до 50. Вместо штрафа может быть сделано предупреждение Часть 2 Обработка персональных данных без согласия в письменной форме их субъекта на обработку его данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его данных* Для ДЛ – от 10 до 20, для ЮЛ – от 15 до 75 Часть 3 Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных Для ДЛ – от 3 до 6, для ИП – от 5 до 10, для ЮЛ – от 15 до 30.

Заработная плата – это персональные данные или нет?

«О муниципальной службе в Российской Федерации» статья 29, к ПД муниципального служащего относятся:

  1. воинская обязанность,
  2. информация о здоровье.
  3. зарплата и льготы,
  4. договор о трудоустройстве,
  5. наличие или отсутствие судимости,
  6. сведения, изложенные в паспорте,
  7. информация о выслуге лет и стаже,
  8. местожительство и телефонный номер,
  9. заявления, которые были предоставлены и подавались налоговой,
  10. о составе семьи и семейном положении,
  11. некоторые данные, взятые из биографии,
  12. данные о специальности, квалификации,

к содержанию ↑ Гражданского служащего Согласно ст.24 ФЗ от 27.07.04г.

N 79-ФЗ «О государственной гражданской службе РФ», поступающему на работу лицу необходимо предоставить в инспекцию следующие ПД:

  1. адреса из Интернет-ресурсов, на которых госслужащий размещал информацию, имеющую общий доступ,
  2. заявление о начале рабочей деятельности или поступлении на гражданскую службу, сюда же относится заявление о замене отсутствующего сотрудника,
  3. трудовую книжку,
  4. сведения о зарплате,
  5. СНИЛС,
  6. при заключении соглашения, может потребоваться предоставление иных документов.
  7. копия свидетельства о постановке на учет физлица в налоговом органе по местожительстве в РФ,
  8. анкета, которая выдается сотруднику при трудоустройстве,
  9. сведения об специальности, опыте работы, повышении квалификации,

Персональные данные: как соблюсти порядок их обработки

В работе юридических и кадровых служб компаний обрабатываемые персональные данные обычно включает в себя следующие сведения о лице:

  1. образование, профессия, должность, доходы,
  2. фамилия, имя, отчество,
  3. год, месяц, дата и место рождения,
  4. адрес,
  5. семейное, социальное, имущественное положение,
  6. биометрические персональные данные.

Судебная практика расширяет перечень персональных данных.

Например, суды признавали персональными данными:

  1. фотографии гражданина (апелляционное определение Свердловского областного суда от 09.04.15 по делу № 33-5232/2015)
  2. сведения о смерти гражданина (постановление АС Поволжского округа от 25.09.14 по делу № А49-2005/2014),
  3. номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.13 по делу №33-9241/2015),

Закон о хранении персональных данных простыми словами. Защита персональных данных в России

Таким образом, если владелец бизнеса создает корпоративный сайт, содержащий форму для регистрации посетителей, он становится оператором персональных данных. Пользоваться он полученной информацией может лишь для осуществления той деятельности, о которой известно тем, кто ее предоставил.

Разглашение персональных данных предполагает административную или уголовную ответственность, в зависимости от тяжести преступления.Распространять данные о человеке оператор может лишь с его согласия.

Персональные данные: как работать по закону?

Кроме этого, персональные данные содержатся в документах, обязательно предъявляемых при трудоустройстве. Их перечень указан в ст. 65 Трудового кодекса РФ и эта статья позволяет работодателю принимать и обрабатывать перечисленные в ней документы без предварительного согласия.

Некоторые работодатели (видимо, по старой привычке) до сих пор требуют фото для вклеивания в личную карточку Т2, однако не спрашивают официального согласия работника. Есть мнение, что фотография не относится к персональным данным, но с этим можно поспорить.

Ведь законодатель говорит, что персональными данными считаются любые сведения, позволяющие идентифицировать определенного человека, даже без использования его имени, фамилии и даты рождения.

Таким образом, если специалист запрашивает фото работника, об этом обязательно надо упомянуть в письменном согласии на обработку персональных данных, с указанием целей обработки.

Понятие и виды персональных данных

Операторы получают доступ к тому объему данных, который требуется для решения их задач.

Они не имеют права хранить и использовать их после того, как цель достигнута. Например, наниматель должен уничтожить записи, анкеты — все, что относится к персональным данным работника, после его увольнения. В ином случае, грозит ответственность за Нормам ФЗ № 152 должны следовать все юридические и частные лица.

Что такое персональные данные

Это любая информация, с помощью которой можно идентифицировать человека: например, ФИО, дата рождения, образование, доходы и даже семейное положение. Вы спросите: «А что, моя фамилия, напечатанная на визитке, — это тоже персональные данные?»

Ответ: «Да». По закону неважно, напечатана ли на визитке только ваша фамилия или в сочетании, например, с номером телефона и адресом. И первое, и второе, и третье — персональные данные. Правда, за хранение визитки или номера телефона девушки в телефонной книге отвечать по закону не придётся, но об этом ниже.

Идём дальше. В СМИ постоянно пишут «хранение персональных данных». Правильно говорить не хранение, а обработка персональных данных. В чём разница? Хранение — это лишь часть того, что называется обработкой персональных данных. Любые действия, которые вы совершаете с персональными данными (собираете, накапливаете, храните, передаёте, изменяете), в законе обозначены как «обработка персональных данных».

Важно понимать, что в законодательстве выделяется два субъекта персональных данных: оператор и обработчик. Оператор осуществляет обработку персональных данных, а также определяет цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработчик — это тот, кто совершает какие-либо действия с персональными данными: сбор, хранение, систематизацию, накопление, уточнение, обновление, изменение, удаление, обезличивание и так далее.

На самом деле, обработчик — это не только конечный пользователь, которому персональные данные нужны для работы, но и любой промежуточный пользователь, через руки которого прошли эти персональные данные. Показываем на практике.

У интернет-магазина есть база данных клиентов, которая размещена в «облаке» сторонней компании. С этой базой работает маркетинговое агентство. Вопрос: сколько операторов персональных данных мы имеем?

Правильный ответ — одного. Это интернет-магазин, который задаёт цели обработки персональных данных. Второй вопрос: сколько обработчиков персональных данных мы имеем? Правильный ответ — два.

  1. Компания, в облаке которой размещена база данных интернет-магазина.
  2. Маркетинговое агентство, которое извлекает данные и на основе этих данных может подготовить рекламное предложение клиентам.

Персональные данные обрабатываются во множестве различных учреждений: например, в банках, школах, поликлиниках, визовых центрах. Не говоря уже про интернет-страницы, где мы регистрируемся, оставляя свои адреса электронной почты и телефонные номера. Но как и где именно?

В законе есть такой малопонятный термин, как «информационная система персональных данных». Если попытаться объяснить простыми словами — это целый комплекс, состоящий из серверов баз данных, технических средств, обеспечивающих их обработку, и информационных технологий. В соответствии с законодательством любую информационную систему персональных данных необходимо защищать.

Методы защиты информации бывают разными.

  • Физическими: например, в комнате, где расположены компьютеры, могут быть установлены камеры, использоваться пропускной режим, сигнализация.
  • Техническими — c помощью специализированных средств защиты информации.
  • Административными: всевозможные регламенты и правила, регулирующие обработку персональных данных внутри компании.

Одно из средств защиты информации — это обезличивание персональных данных. Что это такое? В визовом центре каждому подающему на визу человеку присваивается отдельный идентификационный номер. Сам по себе номер не относится к персональным данным, так как обезличивает человека: по нему нельзя определить лицо, подавшего документы на визу.

Кажется, я обрабатываю персональные данные

Итак, с терминологией разобрались. Теперь всем представителям бизнеса, в особенности индивидуальным предпринимателям, у которых может быть всего несколько сотрудников в штате, стоит честно ответить на вопрос: «Обрабатываю ли я персональные данные?»

Да, если вы владелец сайта с посещаемостью пять человек в неделю, но на нём есть форма обратной связи с полями «ФИО, адрес электронной почты, телефон». Информация о том, для каких целей вы собираете персональные данные, как вы их используете, должна быть представлена на вашем сайте.

Да, если вы обрабатываете персональные данные своих сотрудников или сторонних специалистов, нанятых для выполнения каких-то работ.

Да, если вы работаете с частными клиентами и вам требуются их паспортные данные для заключения договоров — это касается турагентств, фитнес-центров, разного рода сервисных компаний, интернет-магазинов и прочего.

И снова да, если вы бюджетная организация, политическая партия или детский сад. Последние обладают не только информацией о ребёнке, но и о его родителях, включая место работы и должность. Не говоря уже о медицинских учреждениях — там море личной деликатной информации, которую необходимо надёжно хранить.

Однако если вы используете данные для личной коммуникации без коммерческой выгоды, то требования законодательства на вас не распространяются и ни о какой уголовной ответственности речи идти не может.

Например, использование вами контактов, напечатанных на визитке, которую вы получили от коллеги, или номеров телефонов в записной книжке на смартфоне, информации в социальных сетях не накладывает на вас ответственность перед законом.

Главное — не разглашать данные рекламодателям и не публиковать их без разрешения владельцев персональных данных в открытом доступе.

Определяем категорию персональных данных

Поздравляем, вы — гордый обладатель звания «оператор персональных данных». Самое важное теперь — понять, какие именно персональные данные вы обрабатываете. Потому что именно от категории персональных данных зависит, как данные защищать и каким требованиям нужно соответствовать. Категории подробно описаны в ФЗ-152 и постановлении правительства от 1 ноября 2012 г. N 1119.

Категории персональных данных простыми словами:

Общедоступные персональные данные: данные из открытых ресурсов, которые публикуются субъектом персональных данных или с его одобрения. Общедоступные данные — это данные из СМИ или интернета.

Пример: информация, выложенная в открытый доступ в социальных сетях или на сайте компаний. Номер телефона и семейный статус, опубликованный в открытом доступе в Facebook. Имя сотрудника и занимаемая им должность на сайте работодателя.

Биометрические персональные данные: к этой категории причисляются все данные по физиологическим и биологическим особенностям людей.

Пример: вес, рост, цвет глаз или волос, длина волос, группа крови, фотография.

Персональные данные специальной категории: сюда относится информация о принадлежности к какой-либо расе и нации, политические взгляды, религиозные и философские убеждения, состояние здоровья или интимной жизни.

Пример: врачебный диагноз (информация о том, чем вы болели, когда, какой врач вас лечил).

Персональные данные иных видов — сюда входят персональные данные, не вошедшие в указанные выше категории.

Пример: корпоративная информация. Карточки учёта сотрудников, в которых содержатся сведения, с которыми работает HR и бухгалтерия: зарплата, периоды отпуска, даты приёма на работу.

Категория, количество, тип угроз — уровень защиты

После того, как вы определились с категорией персональных данных, вам надо понять точное количество данных, которое вы обрабатываете: до 100 тысяч или свыше 100 тысяч.

Узнали категорию и количество, определите тип угрозы:

Угрозы №1. «Дыры» и уязвимости в операционной системе. Пример: уязвимости, которые используют хакеры для проникновения в операционную систему с целью хищения информации.

Угрозы №2. «Дыры» и уязвимости в прикладном ПО, то есть в софте, который используется в вашей повседневной работе. Пример: Word, Excel.

Угрозы №3. Все другие угрозы, не указанные в первых двух типах. В первую очередь, человеческий фактор. Сотрудник может оставить открытым документ на незаблокированном компьютере, отправить документ на печать на чужой принтер или по электронной почте.

Количество персональных данных, категория, тип угроз — все вместе позволяют определить, какой уровень защиты требуется вашей информационной системе. Всего сейчас существует четыре уровня защиты.

Первый и самый высокий уровень защиты чаще всего применяется для обработки персональных данных в государственных органах и медицинских учреждениях. Четвёртый уровень защиты — самый простой, чтобы его обеспечить, иногда достаточно выполнить организационно распорядительные меры, в основном он касается защиты общедоступных данных.

Определить уровень защиты можно по этой таблице.

Больница обрабатывает персональные данные своих пациентов — это персональные данные специальной категории. Также она обрабатывает персональные данные сотрудников — это персональные данные иной категории. Скорее всего, у больницы две базы данных. Если сложить обе базы, получится общее количество персональных данных, которые крутятся в информационной системе этой больницы.

Например, всего их — до 100 тысяч. Далее смотрим, как обрабатываются данные: автоматизировано (в компьютере) или не автоматизировано (в ручной картотеке). Если всё автоматизировано, смотрим, какое ПО использует больница, какие у него есть уязвимости.

Исходя из этого выявляются угрозы и их уровень. Складываем все факторы и получаем класс защиты второго уровня. Смотрим, какие требования в законе прописаны ко второму уровню защищённости. На базе этих требований необходимо будет построить защиту информационной системы для соответствия требованиям ФЗ.

Немного про опасность утечек персональных данных

Зачем вообще так беспокоиться о защите персональных данных? Персональные данные — это дорогой товар на чёрном рынке. За профиль, содержащий полные данные медицинской карты человека, мошенникам готовы платить внушительные суммы. Отдельный рынок — продажа деталей банковских карт, аккаунты в социальных сетях.

Последствия утечки персональных данных бывают разными. Данные могут оказаться в открытом доступе в интернете: например, в сети легко можно найти украденные базы данных с адресами и телефонами клиентов компаний. Зная имя и фамилию, любой может узнать домашний адрес человека, залезть в соцсети, посмотреть профиль или просто написать SMS на мобильный телефон.

Персональные данные могут попасть в базу назойливой рассылки какой-нибудь коммерческой организации, тогда их владельца начнут одолевать непрошенными предложениями услуг. Также ими могут воспользоваться интернет-мошенники для онлайн-казино или чтобы открыть электронный кошелёк.

В худших случаях злоумышленник может выдать себя за другого человека и взять кредит на чужое имя. К числу наиболее тяжёлых последствий утечек персональных данных относятся: противоправные действия с недвижимостью, кража денег с банковских карт, шантаж родственников и регистрация фирмы.

Бремя ответственности

Вы поняли важность вопроса и готовы нести ответственность? Правильно. Потому что ответственность за сохранность персональных данных полностью лежит на операторе.

Это значит, что оператор должен позаботиться о том, чтобы информация не утекла в публичный доступ или не попала в руки третьих лиц, которые не имеют на неё никаких прав. Для этого требуется постоянный мониторинг и предотвращение угроз безопасности данных, контроль за уровнем сохранности информации и её восстановление в случае утраты.

В нашей стране Роскомнадзор контролирует соблюдение законодательства в области обработки персональных данных. Этот орган реагирует на жалобы, регулирует отношения между субъектами и операторами.

За технические требования по защите информации отвечает ФСТЭК и ФСБ: они вырабатывают требования и контролируют их исполнение.

Требования по обработке персональных данных

А теперь пришло время изучить таблицы с требованиями по технической защите персональных данных. Подробности можно найти в приказе Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21.

Но начните хотя бы с этого:

  1. Зарегистрируйтесь в Роскомнадзоре как оператор персональных данных. Требуется подать заявление в Роскомнадзор в бумажном или электронном виде. Информация по ссылке.
  2. Получите согласие в письменном виде от всех субъектов, чьи персональные данные обрабатываются. Согласие на обработку персональных данных — это главный юридический документ, который подтверждает законность обработки персональных данных.
  3. Разработайте внутреннюю документацию. Ввод в действие приказом руководителя организации «Положения об обработке персональных данных». В этом документе оператор поясняет, как он планирует использовать персональные данные, для чего и куда они будут переданы. Это основополагающий документ, который требуется любому оператору персональных данных. На его основании разрабатываются все остальные распорядительные документы.

Многие владельцы сайтов думают, что если посетитель нажал кнопку «Я согласен на обработку персональных данных», юридических проблем не будет, а обработка данных автоматически попадает в легальное поле. Это не так.

С юридической точки зрения есть только два способа подтвердить своё согласие на обработку персональных данных: поставить подпись на бумаге или при помощи электронной цифровой подписи.

Во всех остальных случаях, если дело дойдёт до суда, владелец сайта никак не сможет подтвердить, кто именно нажимал кнопку «Я согласен». Остаётся только надеяться, что субъект, пришедший к вам на сайт, добровольно передаёт свои данные и жалобу не подаст.

Неужели действительно могут быть проверки

Да, проверки могут быть от Роскомнадзора.

Ежегодно Роскомнадзор публикует перечень проверок выборочно из списка зарегистрированных операторов, если компания попала в перечень проверок, то следующая плановая проверка возможна не ранее чем через три года. Посмотреть, не попала ли ваша компания в список этого года, можно здесь.

Проверки вне плана обычно вызваны жалобами. Если проверка внеплановая, вас о ней должны предупредить за сутки в письменном виде.

Также могут быть документарные проверки. При документарной проверке вам пришлют список документов, копии которых надо будет отправить в Роскомнадзор.

Иногда Роскомнадзор делает выездные проверки: инспекторы лично наносят визиты, чтобы проверить компанию на месте.

Подготовка к любой из этих проверок — трудоёмкое занятие. Будете ли вы решать задачу подготовки к проверке самостоятельно, или привлечёте внешних специалистов, для начала надо определить, кто в компании будет отвечать за соблюдение ФЗ-152.

Штрафы, суды и другие ужасы

За нарушение 152-ФЗ предусмотрена гражданская, уголовная, административная, и дисциплинарная ответственность.

Итак, Роскомнадзор провёл проверку, если он обнаружил несоответствия законодательству, он выдаст предписание следственному комитету провести разбирательство по факту нарушения закона «О персональных данных».

После этого прокуратура начнёт проверку, в ходе которой она может приостановить деятельность компании: изъять базу данных компании, в частности, компьютеры, на которых производилась обработка персональных данных.

Нарушителей закона прежде всего ждут штрафы. Размеры штрафов варьируются в зависимости от правонарушений. Так, за обработку персональных данных без письменного разрешения субъектов юридическим лицам придётся понести административную ответственность.

Даже если оператор готов заплатить штраф, а по меркам крупного бизнеса он не кажется огромным, правонарушителю всё равно придётся устранить несоответствие перед законом (например, удалить хранящиеся данные) и уведомить об этом Роскомнадзор.

Худший сценарий — это если Роскомнадзор решит отозвать лицензию компании, запретить бизнесу обработку персональных данных, а сайты, незаконно публикующие персональные данные граждан, подвергнуть блокировке.

За прошедшие несколько лет в России самый громкий скандал был связан с блокировкой сайта LinkedIn, владельцев которого обвинили в обработке персональных данных граждан без их согласия на серверах, находящихся за пределами РФ. Также «нашумела» блокировка сервиса autonum.info.

Сколько мне это будет стоит денег и сил

Организовать обработку персональных данных можно самостоятельно или с помощью компании, которая предоставляет подобную услугу.

Если решили обрабатывать персональные данные самостоятельно, потребуется:

  1. Разобраться, какую категорию персональных данных вы обрабатываете и какие есть технические требования к их защите.
  2. Своими силами или с помощью ИТ-компании разработать технические решения, подготовить закупки необходимого оборудования и программного обеспечения, установить его и внедрить.
  3. Оформить все юридические документы. Разработать комплект внутренних документов: инструкций и регламентов.

На это уйдёт в лучшем случае три-четыре месяца, стоимость такого внедрения может составить 200-300 тысяч рублей — это стоимость покупки оборудования, лицензий. Трудозатраты и дальнейшая поддержка информационной системы — отдельная статья расходов. Также потребуется администратор, который будет контролировать работу системы.

Если говорить объективно, совсем маленькие компании просто не выполняют все требования закона в надежде, что проверки не будет. Возможно, её действительно не будет. Другие компании создают «потёмкинские деревни», лишь делая вид, что обрабатывают персональные данные в соответствии с требованиями законодательства, иными словами, «покупают» необходимые документы.

В следующем материале мы покажем, как посчитать стоимость обработки персональных данных внутри компании и расскажем, когда выгоднее заниматься обработкой персональных данных самим, а когда лучше отдать на хранение в «облаке».

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Ваши персональные данные могут быть использованы против вас

Может ли человек остаться независимым и самостоятельным в своих пристрастиях, выводах и мнениях? Или каждый из нас строит свою жизнь, исходя из навязанных кем-то другим идеалов и устремлений?

Похоже, наша самостоятельность в принятии решений сокращается, как шагреневая кожа — день за днем. Каждый из нас понимает, что все наши личные данные «под колпаком» у неких темных силовых структур, представляющих интересы творцов мирового заговора. Большой брат следит за тобой.

За десять процентов скидки они хотят знать о нас сокровенное

Как уберечь от чужого интереса свои персональные данные, оставить хотя бы иллюзию того, что твоя частная жизнь вне зоны доступа чужого нездорового интереса?

В последние три-пять лет наши персональные данные требуют выдавать везде — от банка до магазина, в котором оформляешь дисконтную карточку. Причем часто вопросы, которые интересуют менеджеров магазина, идут гораздо дальше паспортных данных, адреса электронной почты и места проживания.

За десять процентов скидки они хотят знать о нас сокровенное. В гипермаркете одной из крупнейших в России торговых сетей покупателям, оформляющим скидочные карты, предлагают заполнить анкету, в которой такие вопросы:

«Какая у вас мечта?», «К достижению каких целей вы стремитесь на работе?», «Насколько вы чувствуете себя счастливым?».

Было ощущение, что сотрудники гипермаркета одновременно подрабатывают социологами. Зачем им наши жизненные устремления?

Выясняется, что это новая (хотя давно известная в остальном мире) фишка - маркетинговая прогнозная аналитика, о целях и технологии работы которой мы поговорим ниже.

Как защититься от спама

Насколько законно собирать наши персональные данные всем этим ведомствам, магазинам и прочим структурам. И как им противостоять.

Итак, мы заполняем анкету магазина, оставляем свои данные. День спустя на наши телефоны, в ящики электронной почты начинает сыпаться спам от тех или иных магазинов.

Для того, чтобы отказаться от получения такой информации, - стоит обратиться к отправителю с требованием прекратить рассылку: вы требуете удалить ваши данные из базы данных данного предприятия.

Если просьба проигнорирована — это прямое нарушение закона. Надо подать жалобу в контролирующий орган или суд. К исковому заявлению обязательно приложите копии рекламных материалов, которые вы получаете по почте, на e-mail , СМС-сообщениями.

Следующая ситуация: вам отказывают в предоставлении неких услуг в силу того, что вы отказываетесь от передачи своих персональных данных конкретному учреждению. Если эти данные важны для оказания необходимых вам услуг — придется выполнить требование. Но если они нужны для вторичных целей, в частности, для рассылки рекламы — у вас есть право отказаться от рассылки. Но отказ в предоставлении услуги — если он последует - конечно надо будет обжаловать в суде.

Если гражданин готов предоставить данные о себе, он добровольно купил скидочную карточку — это его дело. Другое — если учреждение без согласия гражданина имеет доступ к сведениям, которые должны быть за семью печатями. Допустим, покупатель оплатил покупку кредитной картой, - магазин не должен иметь возможность выявлять, кто и что оплатил, что купил. А те, кто это знают (государство, банк) и сливают эту информацию третьим лицам — должны караться по всей строгости закона.

Так должно быть, во всяком случае.

Персональные данные собирают для пафоса?

Сегодня многие компании, магазины, фитнес-клубы наработали практику при выдаче карт собирать очень подробные базы данных на своих клиентов. Насколько это в принципе законно?

По словам председателя союза потребителей России Петра Шелища эти действия незаконны. Глава союза потребителей объясняет, что со стороны фитнес-клубов желание знать данные клиентов объясняется тем, что если вдруг клиент испортит имущество, его можно будет разыскать по базе данных.

«Однако магазины, считает Петр Шелищ, - усложняют себе жизнь, храня личную информацию о покупателе. В случае утечки персональных данных, спровоцированной, например, конкурентом, отвечать перед клиентом будет магазин. Таким образом, продавец неосознанно повышает уровень своей ответственности перед покупателем».

На сбор излишне подробных персональных данных, можно пожаловаться в Роспотребнадзор. Это ведомство компетентно подробно разъяснить всем интересующимся чужой частной жизнью структурам, что подобная деятельность незаконна. Утечка такой информации будет дорого стоить.

Конечно, в основном личные данные нужны магазинам для того, чтобы пересылать рекламу, но это не нужно, вы об этом не просили.

Впрочем, бывает и так, что запрашивают излишнюю информацию, не относящуюся к идентификации личности и договору на оказание услуг - тогда надо обратиться к нормам закона — считает адковкат Общества защиты прав потребителей Алишера Захидова.

Речь о новой моде, получившей распространение в последнее время — во многих фитнес-клубах, магазинах, салонах, где «в целях непонятного пафоса собирают совершенно лишнюю информацию о человеке — о месте работы и должности, его зарплате и так далее, - то есть информацию, которая не имеет никакого отношения к предоставлению данной услуги.

Адвокат также призывает обращать внимание, заключается ли при передаче персональных данных соглашение, дающее право эту информацию собирать. Речь о том, что если организация собирает о человеке информацию, она должна нести ответственность по защите персональных данных, доказательством чего и является это самое соглашение. Если же соглашения нет, - организация не имеет права ни собирать, ни хранить эту информацию.

Какие данные - персональные

Статья 3 ФЗ «О персональных данных», дает определение этому понятию. Персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
К кому можно апеллировать, если стало известно что персональные данные гражданина были несанкционированно «слиты» (проданы или переданы спамерам)?

Если следовать закону, без ведома гражданина собирать и распространять сведения о нас, нашей жизни, предпочтениях - нельзя. Если наши права окажутся нарушены, мы сможем восстановить их, обратившись в Федеральную службу по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия - Роскомнадзор, выполняющую функции контролирующего органа. Региональные управления Роскомнадзора обязаны проводить выездные проверки по заявлению гражданина.

Смотрите видео: Как мошенники используют персональные персональных данных. Будьте осторожны!!! (none 2020).