ТОП-16 вопросов о персональных данных, ответы на которые нужно знать

27 июля 2006 года — день, когда в Российском Законодательстве появился новый закон, регулирующий использование и обработку персональных данных (ОПД). Казалось бы, за более чем 15 лет существования он должен был стать для всех базой и не вызывать ни у кого вопросов. Но последние все еще возникают. И на наиболее частые и популярные из них дадим ответ сегодня.

Что такое закон об обработке персональных данных и зачем он нужен?

Закон № 152-ФЗ «О персональных данных» — это перечень правил по работе с персональными данными. Основными являются:

1. Получать любые данные от сотрудников, подписчиков, пользователей, покупателей и других людей можно исключительно с их согласия;
2. Собранные с согласия граждан данные можно хранить только на территории России.

Создание такого закона обусловлено необходимостью защиты интересов и прав граждан РФ. Конституция Российской Федерации гарантирует каждому тайну телефонных переговоров, переписок, частной жизни и персональных данных. Человек сам должен решать, делиться ему этой информацией или нет.

Что относится к персональным данным?

К персональным данным относится вся информация, которая касается только определенного лица:

• ФИО;
• Семейное положение;
• Возраст;
• Адрес проживания;
• Профессия;
• Уровень дохода и т.д.

Такая информация, как правило, указывается при регистрации на различных сервисах, трудоустройстве, кредитовании, покупках в интернете и не только. Особенную роль в федеральном законе занимают информационные отношения между работодателем и сотрудником. Первый не имеет права разглашать информацию о своих работниках.

Какие основные цели у закона?

У закона № 152-ФЗ две основные цели. Первая — защитить интересы гражданина. Например, вы регистрируетесь на сайте и указываете свой номер телефона. До 2006 года сервис, где вы создаете аккаунт, мог бы свободно передать ваши данные сторонним компаниям. Как результат — вам бы названивали мошенники, сомнительные магазины и просто посторонние люди. С 2006 года никто не имеет права делиться персональными данными. В том же примере с регистрацией сервис может использовать персональные данные для продолжения взаимодействия с пользователем (рассылки, оформление заказа, общение и т.д.). Но передавать их посторонним он не имеет права.

Вторая цель закона заключается в защите стороны, кому персональные данные предоставляются. Без его существования на компанию могли запросто подать в суд только за то, что она отправляет слишком навязчивую рассылку. Сейчас же, ставя галочку в пункте «Согласен на обработку данных», пользователь дает свое разрешение на дальнейшее взаимодействие с сервисом, позволяя ему отправлять сообщения.

Выше представлены примеры информационного взаимодействия с интернет-ресурсами. Но такой же алгоритм действует и в других сферах: кредитование, трудоустройство и т.д.

Форма обратной связи является частью ОПД?

Форма обратной связи на сайте используется для сбора информации о пользователях и последующей работы с ней. Поэтому да, она попадает под закон об ОПД. Но только при условии, если форма собирает именно персональные данные: ФИО, возраст, пол и т.д. Если форма запрашивает, например, мнение пользователя по тому или иному вопросу, то под действие закона об ОПД она на попадает.

Пост в соцсетях с упоминанием друга — это тоже разглашение персональных данных?

Если вы делаете публикацию и упоминаете в ней аккаунт своего друга, то факта разглашения персональных данных в таком действии нет. Оператором ПД выступает социальная сеть. Ваш друг уже согласился с обработкой своих персональных данных, создав аккаунт на конкретном сайте. Точно также, как и вы. Поэтому все пользователи могут делиться аккаунтами друг друга, потому что они уже являются общедоступными по закону. Касается это и различных онлайн-справочников.

Кто должен соблюдать закон?

Если коротко разбирать этот вопрос, то ответ будет лаконичным: все! Если вы получаете персональные данные от других людей, то априори обязаны соблюдать закон об их обработке. Это касается всех:

• Индивидуальных предпринимателей;
• Физических лиц;
• Юридических лиц;
• Представителей государственных органов и т.д.

Каждый человек, который получает персональные данные, становится их оператором и не имеет права передавать их третьим лицам без предварительного получения согласия на это.

Объявление с номером телефона — это нарушение закона?

В данном вопросе все зависит от обстоятельств:

1. НЕТ — если человек сам сделал объявление и сам указал свой телефон;
2. ДА — если номер в объявлении указан без согласия человека, которому он принадлежит.

Двоякая ситуация складывается и со стороной, которая это объявление изучила. Если человек просто прочел номер телефона, записал его и даже позвонил — то никакого закона он не нарушает. Но если объявление используется компанией для рассылки рекламы, то ее уже можно привлечь к ответственности за незаконную обработку персональных данных.

Информация о пользователе на досках объявлений — это персональные данные

Любую информацию о пользователе на досках объявлений (тот же «Авито») можно считать персональной. Но дело в том, что регистрируясь на таких сайтах, люди самостоятельно соглашаются с обработкой ПД. Это те самые «Условия использования сайта», «Политика конфиденциальности», «Условия обработки персональных данных», которые сервис предоставляет в регистрационной форме. Соглашаясь с ними, пользователь автоматически назначает оператором своих данных конкретный сайт. Он-то и будет нести ответственность за их сохранность.

Есть ли какое-то исключение по ОПД?

Да, некоторые исключения закон предусматривает. Так, оператор имеет право делиться персональными данными человека при условии, если это необходимо для личных или семейных нужд. Например, у вас есть номер врача. Вы имеете право передать его своему знакомому, который также хочет воспользоваться помощью специалиста. Но указывать этот номер в публичном доступе — нельзя. Точно также, как нельзя использовать его при оформлении заявки на кредитование или в других подобных ситуациях.

Как раскрывается факт нарушения закона и что за это будет?

Любой факт нарушения закона может быть выявлен либо по проведению проверки Роскомнадзором, либо по реагированию на чью-либо жалобу. Если нарушения будут доказаны, то в отношении оператора данных будет выдвинут административный штраф: от 2000 до 100 000 рублей. Деятельность компании при этом могут приостановить, а сайт — полностью заблокировать.

Нужно ли мне фиксировать согласие на обработку данных, если я собираю только e-mail?

Несмотря на достаточно почтенный возраст закона об обработке персональных данных, вокруг него сохраняется много размытых формулировок. До сих пор юристы спорят на счет того, является ли только имя (без фамилии и отчества) или логин предметом ПД. Аналогичные споры возникают и на фоне электронной почты. Понять по набору рандомных символов, кому именно она принадлежит, трудно. Но электронная почта может использоваться для начала взаимодействия с человеком.

Юридический совет в данном случае следующий: если вы собираете какую-либо персональную информацию, обязательно создайте кнопку предварительного согласия человека на обработку ПД и подготовьте все необходимые документы.

Что закон говорит об обработке персональных данных юрлиц?

С обработкой данных юрлиц дела обстоят двояко. С одной стороны, закон об ОПД касается только физических лиц. Поэтому, например, если в форме обратной связи сайт просит ввести название компании и ее юридический адрес, то данная информация не будет считаться персональными данными. Соответственно, если оператор работает только с такими пользователями и с такого рода информацией, то регистрироваться в Роскомнадзоре ему не нужно.

Но если от лица компании требуют предоставить информацию о ее работниках (имена, должности, возраст и т.д.), то это уже будет считаться сбором персональных данных с соответствующими требованиями. И оператор, работающий с такими ПД, обязательно должен быть зарегистрирован в Роскомнадзоре.

Являюсь ли я как разработчик сайта оператором персональных данных клиентов своего заказчика?

Если вы создаете сайт для заказчика, то прямым оператором данных его клиентов/посетителей не являетесь. Здесь действует следующий алгоритм:

1. Оператором персональных данных выступает исключительно владелец сайта (даже при условии, если он только находится в разработке);
2. Владелец сайта имеет право передать персональные данные подрядчикам (сервис email-рассылки, разработчик сайта и т.д.);
3. Подрядчики не обязаны получать дополнительное разрешение от пользователей на работу с данными, но обрабатывать их должны в соответствии с законом.

Все претензии в случае возникновения спорных ситуаций предъявляются владельцу сайта. Если информации о нем нет, то выдвинуты они будут администратору домена.

Нужно ли соблюдать закон, если сайт на английском языке?

Соблюдать законы обязаны все компании и сервисы, собирающие персональные данные на территории РФ. К иностранному ресурсу такое требование также будет выдвинуто, если он:

• Имеет русскоязычную версию;
• Связан с субъектом РФ (по домену);
• Предоставляет услугу доставки на территории России;
• Нацелен на российскую аудиторию;
• Продвигается через сторонние ресурсы с помощью русскоязычной рекламы.

Даже если компания является иностранной, но хоты бы несколько из перечисленных факторов для нее характерно, то она обязана соблюдать закон об обработке ПД.

Как получить согласие на обработку ПД?

Есть несколько правил получения согласия на обработку персональных данных:

1. Пользователь должен получить максимально подробное соглашение на обработку ПД (нельзя использовать шаблон, но можно опираться на опыт других компаний в составлении такого документа);
2. В соглашении необходимо прописывать только те данные, которые соответствуют целям конкретной компании (например, интернет-магазин может собирать ФИО, информацию о возрасте, адрес, а медицинские учреждения — данные о семейном положении, здоровье);
3. Пользователь должен иметь четкую возможность ознакомления с соглашением и согласия или несогласия с ним (обратите внимание, как это делают топовые сайты: перед регистрацией посетителю необходимо поставить галочку напротив соответствующих пунктов).

Самый оптимальный и безопасный метод получения согласия на ОПД — это составление подходящего соглашения с юристом, который специализируется в данном направлении, и его дальнейшая публикация на своем ресурсе или печать.

Я — оператор персональных данных. Что мне теперь делать?

Если вы понимаете, что ваша деятельность связана с получением и обработкой персональных данных других людей, то первое, что вам необходимо сделать — это изучить закон. Он достаточно объемный и при отсутствии должной юридической базы может оказаться сложным. В таком случае воспользуйтесь помощью юриста, который объяснит все нюансы закона, касающиеся именно вашей ситуации.

После изучения закона вам необходимо составить соглашение и прописать политику конфиденциальности, оферту. В этих документах важно четко и понятно объяснить человеку, какие именно его данные будут использоваться и для каких целей. С формулировками соглашений нужно быть осторожными — от них зависит результат судебных заседаний (в случае возникновения спорных ситуаций). Поэтому доверять составление документации также лучше юристам.

И заключительным шагом является подача соответствующего уведомления в Роскомнадзор. Это нужно для того, чтобы заявить о своем статусе оператора персональных данных.

Соблюдение закона об обработке персональных данных одинаково важно и значимо как для субъекта этих самых данных, так и для их оператора. А вот его нарушение может повлечь за собой множественные проблемы, вплоть до блокировок сайта, штрафных санкций и не только. Поэтому ответственно подходите к данному процессу и не стесняйтесь консультироваться со специалистами KPIB при необходимости.

Официальный сайт - https://kpib.ru/

Номер телефона - +7(812) 240-8166