Timeplus-kazan.ru

Консультации адвоката
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Защита персональных данных Изменения в 152ФЗ О персональных данных

Закон о персональных данных: что поменялось и как теперь правильно

Без предисловий и вступлений – актуализируем уже существующую статью на эту тему «Политика конфиденциальности» – разберемся с нововведениями и узнаем, как теперь надо делать.

Напомню, персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

То есть, это фамилия-имя-отчество, дата рождения, паспорт/СНИЛС, номер телефона, e-mail и иные идентификаторы в соцсетях и мессенджерах, место проживания, сведения о семейном положении/о родственниках, сведения о зарплате, информация о судимостях, индивидуальные данные (политические и религиозные взгляды, раса, национальность), фото и/или видео, которые позволяют идентифицировать личность, биометрические данные.

Если копнуть немного глубже, то законодатель подразделяет персональные данные на несколько видов:

  • Общедоступные – те данные, на доступ к которым субъект дал свое письменное согласие, а не те, которые находятся в общем доступе, как вы могли подумать =);
  • Специальные – данные, которые касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 ФЗ «О персональных данных») – здесь установлены определенные порядки обработки персональных данных;
  • Биометрические – данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (ст. 11 152-ФЗ) – это генетическая информация, отпечатки пальцев и т.д. – также установлен определенный порядок обработки персональных данных;
  • Иные – это все остальное, например, e-mail, IP-адрес, геолокация.

Какие изменения произошли в ФЗ-152 в 2021 году?

На самом деле, ответ на поверхности. Введено новое понятие – «персональные данные, разрешенные субъектом для распространения». Внимательно вчитайтесь в него.

Персональные данные, разрешенные субъектом персональных данных для распространения – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом (п. 1.1 ст. 3).

Если простыми словами, то обрабатывать и распространять можно только те персональные данные, на которые субъект дал свое согласие.

Сделано это для того, чтобы третьи лица НЕ могли осуществлять сбор и последующее использование персональных данных в целях, отличных от цели их первоначального распространения (нарушая положения п. 2 ст. 5 ФЗ «О персональных данных», где четко сказано, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей).

Банальный пример – ваша страничка в ВКонтакте, где вы тщательно заполнили профиль (ФИО, дата рождения, номер телефона, e-mail, политические/религиозные взгляды и т.п.). Это все ваши персональные данные, которые вы разместили в общем доступе. И если раньше компании, которые собирали персональные данные из таких общедоступных источников (и потом звонили вам с разными сомнительными предложениями) могли делать это свободно, то теперь нужно обязательно получить ваше согласие на обработку и на распространение ПД.

Также ранее, чтобы требовать у оператора блокировки/удаления своих персональных данных, нужно было ДОКАЗАТЬ, что они являются неполными/устаревшими/неточными/незаконно полученными или не являются необходимыми для заявленной цели обработки.

Теперь же субъект вправе потребовать оператора удалить его персональные данные из общего доступа без объяснения причин. И оператор обязан это сделать.

Новые положения в обработке персональных данных

Теперь поговорим о сложностях, которые создали эти нововведения для операторов ПД.

Оператор персональных данных – государственный/муниципальный орган, юридическое/физическое лицо, самостоятельно или совместно с другими лицами организующие/осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия/операции, совершаемые с ПД (ст. 3 152-ФЗ).

Новые положения определяют, что согласие на обработку персональных данных и согласие на распространение персональных данных – это два разных документа. Какие данные можно обрабатывать и распространять, а какие нет – решает сам субъект ПД.

На практике это означает, что теперь всем операторам персональных данных, которые выкладывают их в общий доступ, необходимо получать два согласия от субъекта.

Сейчас будет слегка запутано, но в итоге все разложим по полочкам. Разберемся в терминологии.

Обработка ПД – это любое действие с персональными данными, например, сбор, хранение, обновление, блокирование/удаление, обезличивание, использование, передача.

Передача ПД – это распространение, предоставление персональных данных.

Предоставление ПД – это раскрытие своих персональных данных определенному кругу лиц.

Распространение ПД – это раскрытие своих персональных данных неопределенному кругу лиц.

Из этих определений становится очевидно, что распространение персональных данных входит в обработку ПД. Тогда зачем два согласия? Давайте разбираться на примере.

Как работают на практике изменения в ФЗ-152

Заходите вы на сайт компании, чтобы что-то заказать, например, тортик =). Оформляя заказ и/или регистрируя личный кабинет, вы даете свое согласие на обработку персональных данных, соглашаетесь с политикой конфиденциальности, принимаете условия пользования сайтом.

И до вступления поправок в 152-ФЗ компания имела возможность распространять ваши ПД третьим лицам без вашего отдельного на то согласия (ведь вы согласились на обработку ПД, а распространение туда входит). И стали вы получать рекламные рассылки, на которые не подписывались, звонки от банков с предложениями взять кредит и т.д.

Теперь компания не имеет права распространять ваши ПД никак и никому. Только если вы сами дадите на это согласие. Обратите внимание, что по идее, даже оставляя отзыв на сайте компании, с вами должны заключить соглашение о распространении персональных данных, в котором вы должны указать, какие конкретно ПД компания может распространять. Например, только ваше фото или e-mail.

Обратите внимание: молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения (п. 8 ст. 10.1 152-ФЗ).

На практике это значит, что, даже ставя галочку напротив поля «Согласен на обработку персональных данных», вы НЕ даете своего согласие на их распространение.

Выразить свое согласие оператору на распространение персональных данных вы можете двумя способами:

  1. Собственно, на бумаге с личной подписью (хоть сейчас садитесь и пишите = ));
  2. Через информационную систему Роскомнадзора (а это получится только с 1 июля 2021 года). Если вам интересно, то по ссылке найдете функции данной инфосистемы, права участников и правила (процесс) регистрации.

И да, не забывайте, что отозвать свое согласие на распространение ПД вы можете в любой момент (п. 2 ст. 9 152-ФЗ). Оператор обязан прекратить распространение ПД в течение 3 рабочих дней с момента получения вашего требования.

А теперь давайте поговорим об исключениях из правил (куда ж без них).

Все исключения, когда оператор может передавать ваши персональные данные без вашего согласия, прописаны в пп. 2 – 11 ст. 6. Чтобы не делать из статьи портянку, приведу лишь несколько примеров:

  • обработка ПД осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
  • обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • обработка ПД необходима для осуществления профессиональной деятельности журналиста и/или законной деятельности СМИ либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
  • обработка ПД осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных.

Представим, что в вашем городе проводят опрос на тему «Устраивает ли вас ваша заработная плата». В опрос будут входить такие вопросы, как нынешний размер вашей зп, место работы, должность. Эта информация относится к персональным данным, но поскольку опрос проводится в статистических целях, то ваши ПД могут обработать без вашего согласия, но с условием их обезличенности.

Чем грозит несоблюдение изменений в ФЗ-152

И вот мы плавно подошли к, пожалуй, самому важному пункту: ответственность операторов ПД за нарушения 152-ФЗ.

За нарушения закона о персональных данных ответственность предусмотрена Кодексом об административных правонарушениях, ст. 13.11. В частности, за обработку персональных данных без согласия субъекта:

Наложение штрафа на:При первом нарушении:При повторном нарушении:
Гражданеот 6 до 10 тысяч рублейот 10 до 20 тысяч рублей
Должностные лицаот 20 до 40 тысяч рублейот 40 до 100 тысяч рублей
Юридические лицаот 30 до 150 тысяч рублейот 300 до 500 тысяч рублей
Индивидуальные предпринимателиот 100 до 300 тысяч рублей

А за невыполнение оператором обязанности по опубликованию/обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПД, или сведениям о реализуемых требованиях к защите персональных данных (другими словами, если вы прячете от всех тексты согласия на обработку ПД, политики конфиденциальности), грозят следующие штрафы:

Читать еще:  Каков порядок универсального правопреемства при наследовании?
Наложение штрафа на:При первом нарушении:
Гражданеот 1,5 до 3 тысяч рублей
Должностные лицаот 6 до 12 тысяч рублей
Юридические лицаот 30 до 60 тысяч рублей
Индивидуальные предпринимателиот 10 до 12 тысяч рублей

Но помимо административной ответственности, можно напороться и на уголовную, ведь происходит нарушение неприкосновенности частной жизни (ст. 137 УК РФ).

К частной жизни законодатель относит: сведения о происхождении, о месте пребывания или жительства, о личной и семейной жизни (ст. 152.2 ГК РФ).

И за незаконный сбор или распространение сведений о частной жизни лица (без его согласия) или распространение этих сведений в публичном выступлении/публично демонстрирующемся произведении/СМИ наказание от административного штрафа вплоть до 200 тысяч рублей до лишения свободы сроком до 2 лет.

Санкции нехилые, поэтому рекомендую вам озадачиться пересмотром соглашений о персональных данных/политикой конфиденциальности на ваших сайтах и быть готовыми блюсти закон.

А если сомневаетесь, что у вас получится сделать все правильно и грамотно – обращайтесь к нам – поможем подготовить сайт к 152-ФЗ.

Публикация и защита персональных данных в 2021 году. Что изменится в 152-ФЗ

Приняты поправки в 152-ФЗ в части распространения персональных данных (далее — ПД) неограниченному кругу лиц. 30.12.2020 года Президентом подписан № 519-ФЗ «О внесении изменений в Федеральный закон 152-ФЗ », который вступил в силу с 1 марта 2021 года (кроме абз.10 п.5 ст.1). Полностью действие нового закона о персональных данных начнется 1 июля 2021 года.

Санкции в сфере защиты ПД ужесточаются. Из обращения убирается понятие «общедоступные персональные данные» — п.10 признан утратившим силу. Окончательно утверждена норма — любую личную информацию о субъекте можно размещать только с его прямого согласия.

Новое положение закона — персональные данные, к которым возможен доступ любых лиц — это ПД, разрешенные их владельцем для распространения.

Внесены изменения в закон о персональных данных в части особенности обработки личных сведений, разрешенных владельцем для распространения. Пункт 1.1 статьи 3 №152-ФЗ теперь звучит так: персональные данные, разрешенные субъектом для распространения, — это те ПД, к которым самим субъектом ПД предоставлен доступ неограниченного круга лиц.

Доступ предоставляется путем дачи согласия на обработку ПД, которые разрешены субъектом для распространения в порядке, предусмотренном настоящим ФЗ.

Этот пункт закона о данных в интернете означает, что размещать где-либо сведения о человеке без его согласия нельзя — ни на корпоративном сайте, ни на своей страничке в соцсети — нигде.

Каким должно быть согласие субъекта на разрешение распространять свои ПД — об этом говорит новая часть 9, введенная в 9 статью №152-ФЗ — требования к содержанию согласия устанавливаются уполномоченным органом по защите прав субъектов ПД.

Соответствующий проект приказа, на основании поправок в закон о персональных данных , регламентирующий, какую информацию должно содержать согласие, уже разработан Роскомнадзором .

Изменения в защите персональных данных не коснулись требования пункта 1 ст. 9 — формы согласия. Она может быть любой, позволяющей подтвердить его получение. То есть обязательной письменной формы нет (только в случаях, предусмотренных законами).

Как обрабатывать ПД, разрешенные субъектом для распространения — этому посвящена новая статья закона №152-ФЗ — ст.10.1 о распространении персональных данных в интернете.

Согласие на обработку ПД, которые разрешены субъектом для распространения оформляется отдельно:
1. Оператор должен предоставить возможность субъекту ПД определить список тех ПД, которые он разрешает распространять по каждой категории ПД.
2. Если сам субъект раскроет свои личные данные, но не предоставит согласие, обязанность доказать правомерность их распространения лежит на всех лицах, которые распространили эти сведения.
3. Источник ПД — нарушения, преступления или обстоятельства непреодолимой силы.
4-5. Эти пункты говорят о корректности формулировок. В согласии должно быть четко сформулировано, на что конкретно согласен субъект. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий ПД и их перечня — такие сведения можно только обрабатывать без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.
6. Пункт, определяющий, каким образом получать это согласие от субъекта. Их два:
— непосредственно от субъекта;
— с использованием «инфосистемы» Роскомнадзора .

Таким образом, с марта и до июля имеется единственный способ получения ПД, разрешенных для распространения — непосредственно от субъекта.

8. Молчание или бездействие субъекта не может быть расценено как согласие.

9. Этот пункт регламентирует право субъекта устанавливать запрет на условия обработки или передачу своих ПД. Ограничивать его в этом праве оператор не может.

10. Оператор обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом в течение 3 дней после получения согласия.

11. Нельзя запретить публикацию ПД, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ .

12-13. Субъект ПД может в любой момент потребовать запретить распространение своих ПД. В статье перечислены сведения о субъекте ПД, которые должны содержаться в соответствующем требовании. Действие согласия прекращается с получением оператором такого требования.

14. Обратиться с запретом на распространение своих персональных данных субъект может к любому лицу, обрабатывающему его ПД при несоблюдении установок ст. 10.1 или обратиться в суд. Распространение ПД должно прекратиться в течение:

  • 3 рабочих дней с момента обращения;
  • в срок, указанный в постановлении суда;
  • 3 рабочих дней с момента вступления решения суда в законную силу.

15. Требования ст.10.1 не распространяются на случаи обработки ПД органами власти.

Закон вступил в силу 1 марта 2021 г., за исключением нормы о предоставлении оператору согласия на обработку ПД, разрешенных для распространения, через информационную систему уполномоченного органа. Данное положение применяется с 1 июля 2021 г.

Обработка ПД в случаях, не предусмотренных законодательством, повлечет за собой следующие штрафы:
— 2000- 6 000 рублей для граждан;
— 10 000 — 20 000 для должностных лиц;
— 60 тыс. — 100 тыс. для юридических лиц.

Также вводится норма об ужесточении наказания, если нарушение повторится:
— 4 000 — 12 000 рублей для граждан;
— 20 000 — 50 000 для должностных лиц;
— 50 тыс. -100 тыс. для предпринимателей;
— 100 тыс. — 300 тыс. для юридических лиц.

Персональные данные: в чём суть закона?

Мы все в самых разных ситуациях вынуждены делиться сведениями о себе, а практически в каждой компании вынуждены их обрабатывать.

Порядок использования данных о физических лицах определён в федеральном законе № 152 «О персональных данных». Он был принят в июле 2016 года. С тех пор в этот закон было внесено немало поправок и дополнений.

Ознакомиться с его текстом можно в «Российской газете», месте официальной публикации правовых актов. И конечно, он имеется во всех популярных правовых информационных системах.

Многие из наших клиентов, разместивших свои информационные системы в облаке 1cloud, так или иначе обрабатывают чьи-то личные данные: клиентов, работников или кого-то ещё. Однако несмотря на уже продолжительный период действия закона о персональных данных, регулярно возникают вопросы о порядке их обработки по нормам российского законодательства.

Мы решили подготовить краткий обзор нормативных документов по этой теме. В том числе, с учётом особенностей размещения информационных систем в публичном облаке. Этому посвящены три статьи: 1) обзор закона; 2) меры защиты; 3) особенности защиты в публичном облаке.

О каких данных идёт речь?

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.

Общо? — Очень! Но так мыслил законодатель, принимая и изменяя рассматриваемый закон.

Вообще, в полицейско-правовом отношении физическое лицо идентифицируется тремя параметрами: полным именем, датой рождения и местом рождения. Они именуются краткими установочными данными.

Всё остальное — номер паспорта, номер пенсионного страхового свидетельства, индивидуальный номер налогоплательщика, различные документальные удостоверения, отпечатки пальцев, радужная оболочка глаза и прочее — это дополнительные идентификаторы.

Кого касается закон?

Он касается так называемых операторов — государственных и муниципальных учреждений, юридических и физических лиц, которые производят обработку персональных данных.

Под обработкой данных законодатель понимает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Следует обратить внимание на то, что под обработкой понимается не только автоматизированная (компьютерная) обработка, но и любая другая, включая, например, картотеки или журналы на бумажных носителях.

Читать еще:  Существенные условия контракта по 44ФЗ новые основания для изменения

Кого этот закон не касается?

Действие закона о персональных данных не распространяется на ситуации, когда:

  • данные обрабатывает физическое лицо исключительно для личных и семейных нужд (если при этом не нарушаются права других лиц);
  • данные обрабатывают в официальных архивах;
  • данные отнесены к государственной тайне.

Согласие на обработку персональных данных

В ряде случаев согласие на обработку таких данных не требуется, например, если:

  • обработка нужная для журналистской, научной, литературной или иной творческой деятельности при условии, что это не нарушаются права и законные интересы других лиц;
  • обработка производится в судах;
  • обработка необходима для исполнения договора, в котором владелец персональных данных является стороной;
  • обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получить его согласие невозможно.

При необходимости согласия оно должно включать в себя следующие сведения:

  • фамилию, имя, отчество, адрес, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование и адрес оператора, получающего согласие;
  • цель обработки;
  • перечень данных, на обработку которых даётся согласие;
  • перечень действий с данными, на совершение которых даётся согласие, общее описание используемых оператором способов обработки данных;
  • срок, в течение которого действует согласие, а также способ его отзыва;
  • личную подпись.

Уведомление об обработке персональных данных

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов этих данных о своем намерении осуществлять такую обработку. О том, что это за орган, будет сказано далее.

Такое уведомление не требуется, когда данные:

  • обрабатываются в соответствии с трудовым законодательством;
  • получены в связи с заключением договора, стороной которого является физическое лицо, если его данные не распространяются и не предоставляются третьим лицам, а используются оператором исключительно для исполнения указанного договора;
  • относятся к членам общественного объединения и обрабатываются соответствующим общественным объединением, действующими в соответствии с законодательством Российской Федерации, при условии, что данные не будут распространяться или раскрываться третьим лицам;
  • сделаны самим владельцем персональных данных общедоступными;
  • включают в себя только фамилию, имя и отчество субъекта;
  • необходимы в целях однократного пропуска субъекта на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в государственные автоматизированные информационные системы для защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации;
  • обрабатываются в целях транспортной безопасности.

Сняты ли все вопросы? — Нет. Например, является ли интернет-магазин оператором персональных данных? — Изначально, вроде, нет, так как данные клиента используются только «в связи с заключением договора, стороной которого является субъект». Но ведь при отправке заказа почтой или транспортной компанией сведения о клиенте предоставляются третьей стороне.

Кто контролирует исполнение норм?

В настоящее время уполномоченным органом по защите прав субъектов персональных данных назначена Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Непосредственно этим направлением занимается одно из её подразделений — Управление по защите прав субъектов персональных данных.

Деятельность Роскомнадзор направлена на организационно-документальную сторону дела. Технические аспекты защиты персональных данных курирует Федеральная служба по техническому и экспортному контролю (ФСТЭК).

Если в технических средствах защиты информации используется криптография (шифрование), к регулированию подключается Федеральная служба безопасности РФ (ФСБ).

Общая схема обработки персональных данных

Для упрощения восприятия порядка обработки данных, установленного в законе о персональных данных, мы решили представить его в виде схемы.

Безопасность персональных данных

Оператор персональных данных обязан обеспечить их защиту от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении них.

Под мерами по обеспечению безопасности персональных данных при их обработке законодатель понимает следующие действия.

  1. Определение угроз безопасности.
  2. Применение организационных и технических мер по обеспечению безопасности.
  3. Применение средств защиты информации.
  4. Оценка эффективности принимаемых мер по обеспечению безопасности до ввода в эксплуатацию информационной системы.
  5. Учёт съёмных носителей персональных данных.
  6. Обнаружение фактов несанкционированного доступа к данным.
  7. Восстановление данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
  8. Установление правил доступа к обрабатываемым данным, а также обеспечение регистрации и учёта всех действий, совершаемых с ними.
  9. Контроль за принимаемыми мерами по обеспечению безопасности данных и уровня защищенности информационных систем.

Этот список не является исчерпывающим, то есть законом допускаются иные действия, направленные на обеспечение безопасности персональных данных.

Ответственность за регламентацию уровней защиты данных разных категорий и мер защиты законодатель возложил на Правительство Российской Федерации.

Сейчас по этому вопросу действует постановление Правительства № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Подробнее организационно-технические аспекты защиты персональных данных при их автоматизированной (компьютерной) обработке мы рассмотрим в нашей следующей статье.

Нужны ли лицензии или сертификаты?

Непосредственно для обработки персональных данных никакие лицензии не нужны. Но при обеспечении их безопасности могут потребоваться сертифицированные технические средства.

Кроме того, по действующему российскому законодательству, обязательно должны быть сертифицированы средства защиты информации, если в них применяется криптография (шифрование).

Оказание услуг по защите информации является лицензируемым видом деятельности. Но если юридическое лицо или индивидуальный предприниматель применяет криптографические средства защиты для собственных нужд, наличие у него лицензии не требуется.

Заключение

Задача обеспечения безопасности и сохранности персональных данных является вполне реальной, весьма актуальной и многогранной. Она касается очень и очень многих. Поэтому нормативные акты, регламентирующие порядок и методики обработки персональных данных на государственном уровне, нужны и полезны. В этой статье мы попытались кратко осветить содержание и общую логику этих актов.

Один из главных посылов закона заключается в том, что лицо, обрабатывающее персональные данные, должно осознавать угрозы этим данным и принимать меры по предотвращению и преодолению их возможных последствий. И это — бесспорно позитивная цель!

Однако в целом этот закон весьма далёк от совершенства. В нём присутствуют неясные формулировки, недостаточно полные нормы. По очень многим важным вопросам имеются отсылки к иным правовым актам, которые, в свою очередь, ясности не добавляют.

О конкретных мерах по обеспечению безопасности данных мы расскажем в нашей следующей статье.

152-ФЗ: полное руководство 2018 г. по обработке и защите персональных данных

Пошаговая инструкция: что делать, чтобы не попасть на штрафы и блокировку сайта.

  • Тренды

Понравится и работать с нами.

Федеральный закон 152-ФЗ “О персональных данных” существует с 2006 года, но только 1 июля 2017 г. про него вспомнили все — тогда начали действовать поправки к статье 13.11 КоАП РФ. Штрафы за незаконную обработку персональных данных существенно выросли, а Роскомнадзор получил полную свободу действий по отношению к нарушителям.

Рассказываем, как сделать все правильно и обезопасить свой бизнес.

  • В чем суть 152-ФЗ
  • Как соблюсти требования закона
  • План действий: сайт
  • План действий: документооборот
  • Не обязательно, но желательно

В чем суть 152-ФЗ

Любое юридическое лицо, ИП или некоммерческая организация является оператором персональных данных, которые условно делятся на 3 категории:

  • информация о сотрудниках,
  • информация о клиентах,
  • данные о пользователях сайта.

На любого оператора распространяются требования закона к обработке и защите персональных данных:

  • получать, хранить и использовать данные можно только с согласия владельцев,
  • использовать их можно только в целях, указанных во взаимном соглашении,
  • хранить данные необходимо на территории РФ (это касается всех видов носителей — в частности, хостинга сайта),
  • требуется удалять или обезличивать данные по окончании использования.

Карать за незаконную обработку персональных данных может Роскомнадзор, Федеральная служба по техническому и экспортному контролю и даже Трудовая инспекция.

Не ответили вовремя на запрос пользователя удалить его из базы рассылки? Штраф 40 тыс. руб. Храните резюме сотрудников в открытом доступе — 50 тыс. руб. Не уведомляете пользователей сайта о сборе их персональных данных — 75 тыс. руб.

UPDATE 2019 г.: в июне принят законопроект, в соответствии с которым штрафы по той же статье 13.11 КоАП РФ могут достигать уже 18 млн руб.

Как соблюсти требования закона

  1. Сначала приведите сайт в соответствие с требованиями 152-ФЗ — скорее всего аудит начнут именно с него и в первую очередь придут к тем, у кого на сайте нет ни слова про персональные данные.
  2. Затем начинайте вносить изменения в документооборот компании — это может занять не один месяц.
  3. Не используйте данные ваших пользователей для рекламы без их согласия. Это касается и онлайн-пользователей, и покупателей оффлайн-магазинов, которые оставляют свои координаты, получая карты лояльности. Уставшие от назойливых рассылок граждане теперь могут подать на вас жалобу и быть услышанными.
  4. Если среди ваших сотрудников, клиентов или целевой аудитории есть жители европейских стран, с 26 мая 2018 г. вам также нужно выполнять требования Регламента GDPR.
Читать еще:  Регистрация граждан Армении в России в 2021 году

План действий: сайт

Шаг 1. Разработать и утвердить «Политику конфиденциальности» компании

Владельцам сайтов необходимо разработать и утвердить приказом собственный документ, где будут прописаны права и обязанности оператора в отношении сбора и обработки персональных данных пользователей.

В соответствии с рекомендациями Роскомнадзора в Политике конфиденциальности для сайта нужно прописать:

  • Общие положения по обработке и защите персональных данных. Включают назначение документа, расшифровку ключевых понятий (персональные данные, обработка, оператор, субъект), права и обязанности сторон.
  • Цели сбора. Сбор данных должен проводиться только в рамках определенных целей — приема обращений, корректной работы сайта, конкретных маркетинговых активностей и т.д.
  • Правовые основания. Сюда относятся уставные документы компании, согласие пользователей на обработку данных и другие документы, согласно которым владелец сайта собирает и использует данные субъекта. Обратите внимание: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» не является основанием сбора данных, так как он лишь регулирует отношения сторон и требования к операторам.
  • Объем и содержание подлежащих сбору данных. Категории обрабатываемых сведений о субъекте должны в обязательном порядке соответствовать указанным в документе целям и не могут быть избыточными. Например, если вы не сформулировали, зачем вам скан паспорта пользователя, за сбор таких данных вас могут оштрафовать.
  • Условия обработки. Здесь нужно перечислить операции, которые вы совершаете с данными пользователей, а также методы и сроки их обработки.
  • Условия передачи данных третьих лицам. Если у вас есть необходимость в передаче конфиденциальных данных третьим лицам, нужно обозначить категории третьих лиц, цели, условия, методы и объемы передачи данных, разрешенные способы использования и требования к их защите.

Если вы вносите изменения в условия Политики в отношении персональных данных, нужно не только уведомить пользователей об изменениях, но и обязательно сохранить на сайте старые редакции Политики, на основании которых сбор данных производился ранее.

Шаг 2. Получить согласие пользователей с Политикой конфиденциальности

Разработанный документ нужно разместить на сайте (обычно в футере) и получать согласие с ним пользователей в момент отправки данных. Это относится ко всем формам, собирающим информацию: заявки, обратного звонка, подписки на рассылку и т.д.

Нажимая на кнопку целевого действия (оставить заявку / купить / подписаться), пользователь должен по умолчанию или с помощью галочки согласиться на обработку данных. В текст «Я даю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности сайта» нужно вставить ссылку на Политику. Иногда делают отдельный документ «Согласие на обработку персональных данных», короче и понятнее для пользователей, но строгих требований закона по этому вопросу нет.

Один из вариантов оформления согласия

Шаг 3. Разместить уведомление о сборе cookies

Существует 4 категории cookies, которые собираются на современных сайтах и также могут являться персональными данными по закону:

  • Обязательные. Используются для работы пользователей с сайтом и позволяют им регистрироваться, совершать быстрые покупки и получать доступ к защищенным областям.
  • Эксплуатационные. Сведения о поведении на сайте — посещенные страницы, время на сайте, полученные сообщения об ошибках и т.д. Такие данные анонимны и собираются для анализа трафика и улучшения работы сайта.
  • Функциональные. Позволяют запомнить выбранные пользователем параметры (имя, геоположение, язык и т.п.) и настроить сайт под него.
  • Маркетинговые. Сведения о профиле пользователя (пол, возраст) и его интересах (на основе поисковых запросов и посещенных сайтов). Эти данные часто передаются третьим лицам (рекламным сетям) и позволяют показывать ему наиболее релевантную рекламу.

На сайте необходимо разместить уведомление, в соответствии с которым пользователь автоматически соглашается со сбором определенных видов cookies. В противном случае он должен покинуть сайт.

Шаг 4. Предоставить пользователям возможность отозвать свои персональные данные

Обычно сбор данных прекращается, когда достигнуты цели их использования, но иногда причиной может стать запрос самого субъекта ПД.

Чтобы не нарушать закон, нужно:

  1. Разместить в информационных рассылках заметные кнопки отписки. Проверить корректность их работы.
  2. Разместить на сайте e-mail для запросов, связанных с персональными данными.
  3. Оперативно реагировать на запросы пользователей предоставить информацию о его ПД или удалить их.

Шаг 5. Проверить расположение баз данных

Узнайте у своего хостинг-провайдера точный адрес сервера вплоть до здания. Если сервер находится за пределами РФ, рекомендуется перенести сайт — иначе придется составлять Регламент по трансграничной передаче данных, да и у РКН будет больше вопросов.

Помните LinkedIn? Именно за хранение данных вне РФ его и заблокировали еще в 2016 г.

Шаг 6. Подать заявление в Роскомнадзор

Владелец сайта должен уведомить РКН о том, что он является оператором персональных данных. Для этого понадобится точный адрес сервера, который вы узнали на предыдущем шаге.

Обратите внимание: даже если вы подаете заявление в 2018 г., датой начала обработки персональных данных следует считать дату регистрации вашей компании.

После отправки электронного заявления не забудьте его распечатать, подписать у руководителя компании и отправить печатную версию по адресу Роскомнадзора — это обязательное требование. Спустя пару недель стоит проверить, добавили ли вас в Реестр операторов ПД.

В каких случаях НЕ нужно подавать заявление:

  • если вы обрабатываете персональные данные без средств автоматизации (компьютера),
  • если вы обрабатываете только внутренние персональные данные (сотрудников, клиентов или партнеров на основании договорных отношений),
  • если все данные ваших пользователей находятся в публичном доступе (например, комментарии к записям),
  • если вы собираете только ФИО пользователей,
  • общественным, религиозным и государственным структурам.

План действий: документооборот

Шаг 1. Назначить лиц, ответственных за ПД

Необходимо назначить сотрудника, ответственного за обработку персональных данных в компании — речь идет о данных сотрудников, клиентов и партнеров. Это может быть бухгалтер или кто-то из руководства.

Шаг 2. Составить внутренние правила обращения с ПД

Нужно составить Правила обработки персональных данных в компании и в письменной форме ознакомить с ними сотрудников. В документе, в том числе, нужно отразить уровни доступа к конфиденциальным данным, согласно с должностными инструкциями. Все сотрудники должны подписать Обязательство о неразглашении персональных данных.

Правила обработки персональных данных должны быть прописаны отдельным разделом и в договорах с клиентами и партнерами компании. Также это можно сделать в форме Соглашения, которое подписывается в дополнение к существующему договору.

Не обязательно, но желательно

1. Защитить информационные системы

Если конфиденциальные данные пользователей задействованы в информационных системах (к примеру, в 1С, CRM и т.д.), нужно убедиться в высоком уровне их технической защищенности, составить специальный акт, а при наличии угроз — техническое задание на проект системы защиты с использование продукта, рекомендованного ФСТЭК. Процедура долгая и достаточно дорогая.

В первую очередь, это актуально для корпораций, больших интернет-магазинов, государственных и общественных учреждений. Особенно осторожными нужно быть владельцам компаний, которые собирают и обрабатывают данные более чем 100 000 субъектов, касающиеся политических взглядов, состояния здоровья, интимной жизни, расовой или национальной принадлежности, а также религиозных убеждений.

Риск проверки этого требования ФСТЭК и ФСБ РФ у малого и среднего бизнеса крайне мал. Бюджетный вариант для подстраховки — организовать хранение баз данных в облаке с помощью специального сервиса.

2. Перейти на защищенный протокол HTTPS

Установка протокола HTTPS для шифрования данных и их безопасной передачи не является требованием 152-ФЗ, но очень рекомендуется. Если вы до сих пор этого не сделали, то рекомендуем запланировать переход до конца 2018 года.

Для чего это нужно, если кратко: протокол исключает перехват информации сторонним сервисом и ее использование мошенниками, существенно повышая доверие и пользователей, и поисковых систем.

В сети вы можете найти и другие рекомендации: о том, что подавать заявление в РКН и городить кучу документов вовсе не обязательно. Некоторые статьи даже написаны юристами и сопровождаются вполне убедительными трактовками закона.

Однако практика показывает, что при проверке контролирующий орган скорее всего будет трактовать закон в свою пользу. Рекомендуем всем реализовать тот минимум, который мы изложили, и спать спокойно.

Для наших клиентов на продвижении мы сами выполняем требования к сайту (пункты 1-4).

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector