С 1 июля 2017 года ужесточаются размеры штрафов за нарушения закона об обработке персональных данных. В Интернете не утихают страсти вокруг этой темы, авторы статей по маркетингу придумывают все новые и новые рекомендации владельцам сайтов, как себя обезопасить от санкций.
Но оказалось, что опасности кроются совсем не там, где их многие ищут.
О чем на самом деле надо задуматься владельцам компаний, и какие действия предпринять, рассказала нам в интервью юрисконсульт Иванова Марины Александровна, имеющая 6-летний опыт работы в медицинской сфере услуг, где надзорными органами осуществляется действительно строгий контроль по обработке всех категорий персональных данных, в том числе биометрических.
Что такое персональные данные и что имеется ввиду под их обработкой
— Марина Александровна, давайте введем тех, кто мало знаком с этой темой, в курс дела: что такое персональные данные, что имеется ввиду под их обработкой?
— Персональные данные — любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (субъект персональных данных). Если простым языком, это любые данные о конкретном человеке, позволяющие его в той или иной степени идентифицировать.
Под обработкой персональных данных понимаются любые действия с персональными данными: сбор, систематизация, хранение, обновление, извлечение, передача, удаление и т.п.
Тот, кто осуществляет обработку, называется оператором. Это может быть физическое, юридическое лицо или государственный орган.
Регламентирует работу с персональными данными Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных". А с 1 июля 2017 вступают в силу изменения в статье 13.11 "Кодекса РФ об административных правонарушениях" о нарушениях порядка сбора, хранения, использования или распространения информации о гражданах. Будут повышены штрафы за нарушение правил обработки персональных данных.
— В чем основная суть закона об обработке персональных данных?
— Надо начать с того, что персональные данные разделены на категории:
* общие (ФИО, дата рождения)
* специальные (национальность, расовая принадлежность, состояние здоровья)
* биометрические (отпечатки пальцев, рентгенологические исследования, слепки зубов и т.п.)
Закон говорит о том, что оператор должен иметь конкретные основания для обработки той или иной категории персональных данных, причем обработка персональных данных должна иметь под собой конкретную цель. Именно это в первую очередь и проверяют контрольно-надзорные органы: какие категории персональных данных обрабатывает оператор, и какую цель он преследует.
Например, медицинская организация при оказании медицинских услуг собирает информацию о здоровье пациента, а это специальная категория персональных данных и их обработка возможна именно на том основание, что медицинское учреждение в первую очередь имеет лицензию на ведение медицинской деятельности.
— Говорят, что за нарушение 152 Закона штрафы будут достигать 400 000 руб. Это так?
— Нет. Максимальный размер штрафа согласно статье 13.11 КоАП будет составлять 75 тыс. руб. Действительно, статья 13.11 будет включать 7 составов правонарушений, вместо одного, который содержится сейчас в КоАП РФ, поэтому встречается такое мнение, что при нескольких нарушениях штрафы суммируются.
Но, если дело дойдет до суда, то я думаю, что будет рассматриваться конкретное нарушение. И даже если оно содержит несколько составов административных правонарушений, то будет учитываться положения статьи 4.4 КоАП, наказание будет назначаться в пределах санкции, предусматривающей более строгое наказание.
Проще говоря, статья (или ее часть), которая предполагает больший штраф «поглотит» все остальные.
К тому же судебные органы при привлечение к административной ответственности и назначение наказания должны учитывать наличие смягчающих и отягчающих обстоятельств совершения правонарушения.
Но повторюсь, это личное мое мнение, которое сформировалось за годы моей профессиональной деятельности.
— Нас, прежде всего, интересует вопрос, как предпринимателям подготовить свой сайт к возможной проверке надзорных органов…
— Вы неправильно ставите вопрос, подходите к решению проблемы однобоко.
На самом деле нарушения на сайте, да, могут спровоцировать проверку Роскомнадзора. Но уверяю вас, проверять в таком случае они будут не только и не столько ваш сайт.
В первую очередь проверяющие органы будет интересовать, как в вашей компании организована в целом система обработки персональных данных. И чаще всего это касается информации о сотрудниках, о которых вы собираете помимо общей еще и специальную категорию данных. Именно с этого пункта вам стоит проверить себя.
Условно вторым пунктом по важности будет обработка данных о существующих клиентах (подписывают ли они согласие на обработку, как защищаются данные, кто имеет доступ, как уничтожаются и т.п.).
И лишь в последнюю очередь вам надо думать о данных потенциальных клиентов, так как здесь, как говорит практика, нарушений меньше всего и они не такие серьезные.
— Как в таком случае должна быть построена система обработки данных в компании?
— Согласно 152 Закону, у каждого оператора должна быть определена система обработки персональных данных, которая закрепляется локальными нормативными актами и включает следующие моменты:
* каким способом осуществляется обработка персональных данных – автоматизированным или неавтоматизированным.
* должен быть определен круг лиц, имеющих доступ к персональным данным сотрудников и клиентов, при этом должно быть определено доступ к какой конкретно категории ПД имеет тот или иной сотрудник
* порядок обработки ПД: что мы спрашиваем у клиента, как храним информацию, как уничтожаем и т.п.
В виде приказа с этим знакомится каждый сотрудник.
— А где и как правильно хранить данные клиентов?
— Выбор за оператором, главное, чтобы вы могли обеспечить действительно надежное хранение и доказать, что оно отвечает всем нормам безопасности и требованиям действующего законодательства.
— Например?.. Что Роскомнадзор посчитает надежным хранением?
— Если данные хранятся в электронном виде, тогда должно быть:
* индивидуальный доступ к компьютеру, где хранятся данные, т.е. компьютер закреплен за одним сотрудником и запаролен
* данные нельзя скачать на флэшкарту
* если обработка данных автоматизирована, то у вас возникнет необходимость доказать, что программы лицензионные и у вас есть договор с организацией, которая продала вам данное приложение
* должны быть установлены лицензионные антивирусные программы
* в виде локального акта должно быть определено, кто из сотрудников и в силу каких должностных обязанностей (они прописываются в должностной инструкции) имеет доступ к той или иной категории персональных данных
* если у вас есть видеонаблюдение, осуществляется охрана помещений, где происходит обработка ПД. то это тоже доказательства того, что обработка ПД осуществляется в соответствии с требованиями действующего законодательства.
Как подготовить сайт, чтобы он соответствовал закону о персональных данных
— Все-таки, вернемся к сайту. Как должен быть организован сбор данных на сайте, чтобы не нарушить закон?
— 1. Необходимо разместить на сайте документ, который определяет политику оператора в отношении обработки персональных данных. Законодатель указал, что доступ должен быть неограниченным, а как вы обеспечите этот доступ неограниченному кругу лиц, законодатель не указал, это должен решить для себя сам оператор. Например, можно разместить ссылку «Политика защиты и обработки персональных данных» в низу сайта, чтобы можно было увидеть ее на любой странице.
2. Обрабатывать только те категории ПД , использование которых вы можете обосновать. Если вы запрашиваете дату рождения пользователя и ставите его в известность о том, что у вас в компании работает система скидок, связанная с возрастом клиента или есть специальная скидка в День рождения, то будет считаться, что сбор этой информации вполне обоснован.
3. Использовать собранные данные в строгом соответствии с теми целями, которые вы обозначали вашему клиенту перед тем, как он вам свои данные предоставил.
— В Интернете советуют бегом бежать подавать уведомление в Роскомнадзор, о том, что компания является оператором по обработке персональных данных. В какой срок это надо сделать, какие штрафы предусмотрены, если заявку не подать?
— С момента начала обработки ПД юридическое лицо автоматически становится оператором, уведомление необходимо подать сразу. Так что, если вы собираете данные давно, то уже явно опоздали. Но для ответа на вопрос необходимо обратиться к статье 22 ФЗ «О персональных данных»:
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1. обрабатываемых в соответствии с трудовым законодательством;
2. полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3. сделанных субъектом персональных данных общедоступными;
4. включающих в себя только фамилии, имена и отчества субъектов персональных данных;
5. необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
6. включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
7. обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
Следовательно, оператор при ответе на вопрос необходимо ли ему подать уведомление в Роскомнадзор должен для себя определить, какие категории персональных данных им обрабатываются, осуществляет ли он передачу персональных данных субъекта третьим лицам.
— Имеет ли смысл поменять формулировки в формах на сайте, допустим, вместо «Ваше имя» писать «Как к вам обращаться»? Даются такие советы
— Никакого смысла это не имеет. Если мы говорим о том, что вы запрашиваете имя человека и адрес его электронной почты, то эти персональные данные относятся к категории общедоступных . При регистрации e-mail человек самостоятельно размещает свои данные в сети Интернет, в результате его ПД становятся общедоступными, поэтому письменно согласие на их обработку не требуется.
При этом нельзя забывать, что согласно п. 1 ст. 19 Гражданского кодекса РФ: «Гражданин приобретает и осуществляет права и обязанности под своим именем, включающим фамилию и собственно имя, а также отчество, если иное не вытекает из закона или национального обычая». Вместе с тем абз. 2 п. 1 ст. 19 Гражданского кодекса РФ допускает - в случаях и в порядке, предусмотренных законом, гражданин может использовать псевдоним (вымышленное имя).
Если оператор общается с субъектом ПД только посредством сайта, и обрабатывает только такие категории ПД, как имя и фамилия клиента, при этом никаким образом не идентифицируя последнего, то какую юридическую силу может иметь указанное согласие?
— Как правильно оформить сбор согласий на обработку персональных данных на сайте, чтобы и Роскомнадзор не имел претензий, и конверсия не упала? Можно ли просто разместить на сайте фразу «При отправке любых форм на сайте вы даете согласие на обработку»?
— Могу прокомментировать требования Законодательства следующим образом. Человек должен явным образом дать вам согласие на обработку своих данных. И во время потенциально возможной проверки надзорных органов вы можете доказать факт согласия, представив четкий алгоритм действий потенциального пользователя на сайте. Если алгоритм не подразумевает разночтений и пользователь ну никак не может совершить отправку данных, не дав согласия, значит все хорошо.
Ваш вариант предполагает, что пользователь может проигнорировать или не заметить эту фразу, а значит закон будет вами нарушен.
По поводу возможных опасений пользователей, когда они видят, что им надо дать согласие на обработку данных… Для меня это странно.
Сегодня любое физическое лицо, которое является субъектом персональных данных, почему-то не задумывается о том, что он сам ежедневно делает свои персональные данные общедоступными. Это касается в первую очередь социальных сетей.
Он размещает свои фамилию, имя, отчество, дату рождения, данные о том, к какому полу он принадлежит, многие размещают специальные категории персональных данных, например, о вероисповедании, вступают в соответствующие группы, размещают свои биометрические персональные данные, которыми являются их фото. И при этом у субъекта не возникает вопроса, каким образом, кто хранит эти персональные данные, кто их может просматривать.
Но когда у нас встает вопрос об обращении в какое-либо учреждение для получения разовой услуги или при покупке через интернет-магазин у человека, вдруг, встает вопрос о том, каким образом вы будете обрабатывать его персональные данные.
Какой вопрос уже может быть?! Ваши персональные данные давно есть в сети Интернет, они уже общедоступны! Но здесь сейчас Законодатель поставил операторов в какие-то рамки и захотел дисциплинировать. В чем?
На мой взгляд, нужно дисциплинировать не только операторов, но и субъектов.
— Если мы используем на сайте какой-либо сторонний сервис, который собирает данные, например, онлайн-чат, то там, как правило, не предусмотрена функция согласия пользователя с обработкой данных. Кто за это несет ответственность? Владелец сайта или сервиса?
— Если собираются общие и специальные категории данных, то несет владелец сайта.
Но мы ведь с вами говорим снова об имени (без фамилии, отчества), электронной почте, телефоне, так? Такое сочетание данных нельзя назвать персональными, потому что идентифицировать по этим данным конкретное лицо невозможно. В таком случае согласие пользователя здесь брать не нужно, а значит нарушений нет.
— Как быть с размещением отзывов клиента?
— Размещение отзывов с фотографией и данными, по которым можно человека идентифицировать, без его согласия — нарушение закона. Берите разрешение всегда в письменной форме. Причем указанное согласие должно быть составлено в соответствии с требованиями ФЗ «О персональных данных».
Если вам нужна помощь в доработке или разработке сайта с нуля, чтобы он соответствовал требованиям закона о персональных данных, оставьте заявку здесь.
