Адрес электронной почты является персональными данными

8 мифов о персональных данных

В Федеральном законе N 152-ФЗ «О персональных данных» иногда встречаются спорные формулировки. Например, ключевое определение «персональных данных» из 3 статьи сформулировано настолько широко, что иногда действительно трудно понять, обрабатывает компания-оператор персональные данные или нет.

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)

Законодательство не дает чёткого перечня персональных данных, в который можно было бы посмотреть и сказать: «Да, вот сейчас я обрабатываю персональные данные» или «Нет, вот тут нет персональных данных». Поэтому компаниям приходится самостоятельно относить ту или иную информацию к персональным данным, зачастую ошибаясь и выдавая желаемое за действительное.

Из-за неоднозначности в формулировках закон «О персональных данных» оброс мифами. В этой статье мы собрали 8 самых популярных заблуждений, с которыми ежедневно сталкиваемся в работе, и рассказываем, как обстоят дела на самом деле.

Миф первый: я собираю емейлы, я не оператор персональных данных

Если вы собираете емейлы пользователей на сайте или в анкетах, чтобы отправлять им емейл-рассылки, то вы однозначно оператор персональных данных.

Подтверждение можно найти в пункте 2 статьи 3 ФЗ «О персональных данных», в котором говорится, что компания, собирающая персональные данные с определенной целью, является оператором.

Причем согласно 22 статье из закона, которая обязывает каждую компанию-оператора уведомлять Роскомнадзор о начале работы с персональными данными, оператором вы являетесь независимо от того, отправляли вы уведомление о начале обработки персональных данных в Роскомнадзор или нет.

Формула простая: собираете емейлы для осуществления рассылок — вы оператор.

Миф второй: хранение персональных данных — это не обработка персональных данных

В пункте 3 статьи 3 ФЗ «О персональных данных» говорится, что обработка персональных данных — это любое действие с персональными данными, например, сбор (получение емейлов через формы на сайте), использование (рассылка сообщений на эти емейл-адреса) и хранение (когда вы храните емейлы в базе данных в CRM-системе).

Таким образом, хранение емейлов (персональных данных) — это обработка персональных данных, даже если вы ничего не отправляете по своей базе.

Миф третий: если передать базу с подписчиками в ExpertSender, наша компания больше не несет ответственности перед подписчиками, вся ответственность на ExpertSender

Пункты 3-5 статьи 6 ФЗ «О персональных данных» прямо устанавливают, что в случае передачи персональных данных третьему лицу по договору ответственность за сохранность персональных данных перед пользователем несёт оператор персональных данных, а не третье лицо.

Если перевести с юридического на человеческий, схема выглядит так:
Вы получаете персональные данные от пользователя — вы несёте ответственность перед пользователем. ExpertSender получает персональные данные пользователя от вас — ExpertSender несёт ответственность перед вами, а не перед пользователем.

Миф четвертый: ФИО, емейлы, телефоны из , , Instagram можно брать и использовать в маркетинге

Нет, брать такие данные без согласия пользователя запрещено.

Об этом в 2021 году со ссылкой на Роскомнадзор рассказывали «Известия». Позиция Роскомнадзора простая: чтобы обрабатывать персональные данные, нужно согласие пользователя в соответствии со статьей 6 ФЗ «О персональных данных». Нет согласия — нет обработки.

Размещая свои ФИО, телефон или емейл в социальной сети, пользователь даёт согласие на обработку только данной социальной сети и больше никому.

Миф пятый: емейл — не персональные данные, могу собирать и ничего не бояться

Если вы собираете только емейлы «koshechka222@mail.ru» или «SuperSANYA111@yandex.ru» и при этом не собираете дополнительной информации в виде как минимум ФИО, то возможно (я подчеркну, именно возможно)такие емейлы в случае спора с Роскомнадзором не признают персональными данными.

Но давайте будем реалистами:
1. Если вы собираете базу, помимо кошечек222 и СуперСань111 к вам в базу 100% попадут IvanovIvan1993, SmirnovaAnastasiya_msk1979, а эти емейлы будут являться персональными данными однозначно, так как есть прямое указание на пол, имя и фамилию, возраст и место жительства;

2. К вам в любом случае попадут и другие персональные данные пользователя. Вы либо уже собираете ФИО, дату рождения и т.д, либо в процессе взаимодействия с пользователем он сам сообщит вам эти данные.

3. 13 сентября 2021 года вышло Постановление 1197 Правительства РФ, которое включило адрес любой электронной почты в состав сведений, размещаемых в Единой информационной системе персональных данных. То есть Правительство РФ прямо назвало адрес электронной почты персональными данными.

Миф шестой: подписчик отписался, но я всё равно отправлю ему письмо через год с предложением подписаться обратно

Отписаться от рассылки, то есть отозвать своё согласие на обработку персональных данных, — законное право пользователя. С момента отписки обработка персональных данных должна быть прекращена.

Если подписчик отписался, а вы через год отправите ему письмо с предложением вернуться, это будет свидетельствовать о том, что вы продолжили обработку персональных данных после отписки, что будет прямым нарушением закона. Пользователь пожалуется, а вы получите штраф до 50 тысяч рублей по части 1 ст. 13.11 КоАП.

Миф седьмой: я могу использовать купленную базу

К сожалению, всё ещё есть компании, которые для рассылок не собирают емейлы самостоятельно на сайте или оффлайн, а предпочитают купить «базу» на сторонних ресурсах. Делать так нельзя.

Как минимум, это будет противоречить статье 18 ФЗ «О рекламе», в которой говорится, что емейл-рассылки могут осуществляться только с согласия пользователя. Пользователи из купленной базы такого согласия, естественно, не давали. Штраф за нарушение по части 1 статьи 14.3. КоАП РФ до 500 тысяч рублей.

Как максимум, вас признают виновным в нарушении неприкосновенности частной жизни, а тут уже можно получить реальный срок до 2 лет по статье 137 Уголовного кодекса.

Миф восьмой: Трансграничная передача персональных данных запрещена

Трансграничная передача персональных данных — это отправка данных на территорию иностранного государства, например, из России в Германию или Францию.

Если страна, куда вы планируете передавать данные, не ратифицировала 108 Конвенцию, нужно будет получить письменное согласие пользователя.

Сбор персональных данных граждан должен осуществляться только на территории России, но передавать данные после этого трансгранично не запрещено.

Получается, мифы действительно мифы?

Источник: https://blog.expertsender.ru/2021/02/21/8-mifov-o-personalnyh-dannyh/

Требования закона о персональных данных | Ответственность за нарушение | Awara

Согласно изменениям в федеральный закон «О персональных данных», вступающим в силу 1 сентября 2015, компании, осуществляющие обработку персональных данных, должны обрабатывать персональные данные российских граждан с использованием баз данных, размещенных на территории России. Новые требования законодательства в первую очередь скажутся на деятельности IT компаний и их клиентов, использующих облачные сервисы для хранения информации.

Ниже мы ответим на самые частые вопросы по данной теме.

1. Что является персональными данными?

Персональными данными является любая информация о физическом лице, в том числе:

1. Адрес электронной почты, содержащий в себе фамилию и/или название компании;
2. Номер банковской карты, а также, в определенных случаях, код CVC;
3. В некоторых случаях, номер мобильного телефона (так называемые «конфиденциальные персональные данные»)

Например:

Электронный адрес: ivan.ivanov@pochta.com – является персональными данными
Электронный адрес: ivan@pochta.com – не является персональными данными.

Необходимо отметить, что даже в случае, если информация, относящаяся к субъекту персональных данных, не позволяет идентифицировать физическое лицо, при определенных обстоятельствах такая информация может являться персональными данными.

В настоящий момент Роскомнадзор разрабатывает четкие критерии определения «персональные данные»1.

2. Какие компании попадают под действие новых требований закона?

1. Компании, зарегистрированные в России;
2. Иностранные компании, имеющие представительства и филиалы в России;
3. Иностранные компании, деятельность которых направлена на территорию России и и/или включает в себя обработку персональных данных российских граждан.

Например:

Если гражданин России, работающий в российском представительстве иностранной компании, может просматривать и загружать информацию о себе на общий внутренний портал иностранной компании, и сервер, на котором обрабатывается и хранится данная информация, располагается за пределами России, то такая компания может быть признана нарушающей требования закона о локализации персональных данных на территории России.

3. Распространяются ли требования закона на «обезличенные» персональные данные?

Если компания передает зашифрованные персональные данные за рубеж, и при этом принимающий сервер ни при каких условиях не может осуществить дешифрацию полученных персональных данных, то такие действия компании не могут быть признаны нарушением требований закона о локализации персональных данных в России, поскольку в данном случае отсутствует факт передачи персональных данных за пределы России. Иными словами, за рубеж осуществляется передача не персональных данных, а зашифрованного кода.

Действия в части IT

1. Провести IT-аудит:
   • Определить, где происходит сбор, обработка, и хранение персональной информации, и кто отвечает за эти процессы в компании;
   • Используя DLP-системы, определить, как организовано перемещение данных в компании;
   • Сравнить, какой объем информации находится на внутренних серверах компании, а какой — на серверах третьей стороны, поскольку часть данных может храниться у сторонней организации;
   • Проверить, насколько четко организована процедура резервного копирования и восстановления, и убедиться, что вам точно известно место хранения резервных копий;
   • Установить, какое программное обеспечение используется для сбора, обработки, и хранения персональных данных.
2. Определить, какая информация, использующаяся в работе компании, попадает (или может попадать) под категорию персональных данных. Особенно это касается данных, задействованных в работе кадрового и расчетного отделов, отдела IT-безопасности, бухгалтерии, данных из CRM-систем и клиентских соглашений;
3. Проанализировать IT-инфраструктуру компании с целью определить возможные «центры» обработки персональных данных за пределами России;
4. Оценить риски;
5. Основываясь на полученных результатах, разработать стратегию и план действий, а также определить размер бюджета для возможных преобразований.

Юридические действия

Для локализации персональных данных российских граждан на территории России, необходимо:

1. Провести юридический аудит обрабатываемых компанией сведений о субъектах персональных данных для того, что бы определить, что из них относится к персональным данным в соответствии с применимым законодательством;
2. Привести внутреннюю документацию компании в соответствие с новыми требованиями к процедуре обработки и хранения персональных данных, в частности:
   • политику о персональных данных компании или иной документ, оформляющий порядок обработки персональных данных;
   • согласия работников и иных субъектов персональных данных на обработку их персональных данных;
   • иные документы, регламентирующие процедуры обработки персональных данных в компании.
3. Ознакомить сотрудников с новой версией документации по работе с персональными данными, и получить согласия работников на обработку и трансграничную передачу их персональных данных в соответствии с требованиями законодательства.
4. Уведомить контролирующие органы о местонахождении баз данных, используемых для работы с персональными данными российских граждан.

5. Ответственность в случае нарушения закона

В случае нарушения закона для юридических лиц и сотрудников компании (например, генеральный директор или ответственный за работу с персональными данными) предусмотрен административный штраф в размере от 5 000 до 10 000 рублей.

В случае, если в руководящий состав компании входят иностранные граждане, обратите, пожалуйста, внимание на то, что иностранным гражданам, которые привлекались к административной ответственности 2 или более раза в течение 3х лет (вне зависимости от оснований привлечения), может быть отказано во въезде на территорию России.

На данный момент Госдумой принят в первом чтении законопроект об увеличении размера штрафа до 500 000 рублей за нарушение законодательства о персональных данных и увеличении штрафа за незаконную обработку персональных данных до 300 000 рублей.

Изменения в Закон о персональных данных предусматривают также возможность Роскомнадзора ограничить доступ к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных с использованием сети Интернет. Процедура ограничения доступа длительная и многоступенчатая.

Вместе с тем, поскольку закон не ограничивает возможность применения блокировки информации только для определенных категорий операторов персональных данных или ресурсов обработки персональных данных, с юридической точки зрения, существует возможность применить такую процедуру в том числе и ко внутренним системам хранения и обработки персональных данных работников компании (например, Intranet).

C уважением,

Антон Кабаков
Партнёр, Awara

Александр Ермаков
Партнёр, Awara IT Solutions

Контакты

1. http://pd.rkn.gov.ru/advisory-council/activity/subject1/newshtm

Источник: https://www.awaragroup.com/ru/blog/localization-of-personal-data-in-russia/

Кто относится к операторам персональных данных, что является персональными данными

Если компания собирает персональные данные клиентов через сайт или отправляет данные сотрудников в банк для зарплатного проекта, она должна подать уведомление в Роскомнадзор и зарегистрироваться как оператор персональных данных. Но иногда компании думают, что лучше не привлекать внимание ведомства и не подавать уведомление. Они ведь и раньше собирали данные, а уведомление подают только сейчас. Точно придет проверка, и придется платить штраф.

Отсиживаться рискованнее, чем подать уведомление. Об этом рассказывает эксперт по персональным данным Максим Лагутин.

152-ФЗ: закон о персональных данных на сайте Консультанта

Оператор персональных данных — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Например, собирают электронные адреса для рассылки или просят покупателей оставить имя и телефон для заказа в интернет-магазине. Дословно в законе так:

Збагойно: 152-ФЗ — в «Деле»

Персональные данные — это любые данные о человеке, по которым его можно определить. Например:

• электронная почта;
• телефон,
• имя и фамилия;
• дата рождения;
• адрес;
• ссылка на сайт.

Ник без других данных не считается персональными данными, по нему нельзя определить человека.

С геопозицией и куками ситуация спорная. Формально сами по себе они не считаются персональными данными. Например, только по геопозиции трудно определить, кто находится в этой точке. В реальности Роскомнадзор в 2021—2021 годах разработал рекомендации по обработке этих данных и начал проводить проверки.

«МГТС» продавала данные своих клиентов другим компаниям:

• временные метки;
• деперсонализированный идентификатор useid;
• адреса страниц, к которым было обращение;
• адреса, с которых был переход;
• информацию о браузере и устройстве, с которого был запрос;
• IP-адрес.

По сути это были куки — данные о том, какие страницы посещают клиенты. По этим данным компании показывали клиентам нужную рекламу. Согласия от клиентов у «МГТС» на обработку данных не было. Компания думала, что куки не считаются персональными данными, поэтому согласие на них не нужно.

Суд с компанией не согласился и назначил штраф 30 000 рублей.

Судебное решение

Мы рекомендуем перестраховываться и считать куки и геопозицию персональными данными. Особенно если компания вместе с этими данными получает другую личную информацию о клиентах, например имя, телефон, электронную почту.

Роскомнадзор считает, что компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет. Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных. Такой же позиции придерживаются суды.

Данные из социальных сетей

152-ФЗ о персональных данных на сайте Консультанта

По закону компания не должна подавать уведомление в Роскомнадзор, если использует общедоступные данные. Например, если берет телефон и имя человека из телефонного справочника. Справочник уже получил согласие от человека разместить данные о нем, поэтому второй раз спрашивать не надо.

Оферта с пользователями

Номинально информацию с открытых страниц в социальных сетях можно считать общедоступной. Казалось бы, человек зарегистрировался в соцсети, сам открыл доступ к своим имени и телефону. Значит, данные можно брать. В оферте с пользователями есть пункт о том, что данные могут быть доступны другим пользователям интернета:

В реальности мало кто читает оферту. Поэтому Роскомнадзор говорит, что данные из соцсетей можно обрабатывать, если человек дал на это согласие.

В 2021 году ВКонтакте подал в суд на компанию «Double Data» и «Национальное бюро кредитных историй». Они брали информацию из открытых профилей пользователей, оценивали их кредитную историю и продавали информацию банкам.

Социальная сеть просила взыскать с компаний по одному рублю. «» выиграл суд.

Судебное дело

Получается, данные в соцсетях не считаются общедоступными. Нельзя просто взять телефоны пользователей и начать им продавать пылесосы-роботы. В этом деле соцсеть хотела обратить внимание на проблему, поэтому иск был на рубль. Но в другом деле пользователь может подать в суд на компанию на миллион или два.

Наш совет — получать от клиентов разрешение, чтобы использовать открытые данные из социальных сетей. Например, при регистрации в интернет-магазине с данными можно показывать такое сообщение:

«Для регистрации мы будем использовать открытые данные с вашей страницы : имя, электронную почту, телефон. Если согласны с этим, нажмите на кнопку „Далее“».

Если пользователь согласится, то претензий к компании не будет.

Когда уведомление не нужно

По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:

• обрабатывает только данные сотрудников, которые нужны по закону и не передает их кому-то еще без согласия сотрудника. Например, заполняет приказ о приеме на работу и карточку сотрудника и хранит их в сейфе.

Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника;

• обрабатывает персональные данные на бумаге. Чтобы выдать скидочную карту, продавец записывает имя и телефон клиента в тетрадке, но не заносит данные в компьютер;
• использует общедоступные сведения — те, которые человек сообщил о себе сам. Например, берет данные из телефонного справочника жителей Тулы.

Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор. Исключение — парикмахерские в поселке или продавцы мяса на рынке.

Проверка Роскомнадзора

Мы знаем компании, которые обрабатывают персональные данные и боятся подавать уведомление. Они думают, что раз раньше обрабатывали данные без уведомления, то нарушали закон и получат штраф. Они и правда нарушали закон, но это не значит, что Роскомнадзор сразу придет с проверкой.

Реестр операторов персональных данных на сайте Роскомнадзора

В реестре Роскомнадзора 380 тысяч компаний, и цифра постоянно растет:

Проверить все компании из списка Роскомнадзор не может. По нашим наблюдениям проверки чаще всего приходят к компаниям, которые пытаются затаиться и не подают уведомление. Это Роскомнадзор подтвердил летом на Дне открытых дверей.

Проверка приходит не сразу. Сначала Роскомнадзор присылает письмо с просьбой объяснить, почему компания собирает данные и не регистрируетя как оператор. Не ответить на такое письмо — повод для проверки.

Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то еще способ. Был случай, когда в Астрахани оштрафовали все компании на букву А. которые обрабатывали персональные данные и не подали уведомление.

Роскомнадзор чаще всего обращает внимание на компании, которые используют персональные данные для:

• устройства сотрудников на работу и оформления им страховых полисов или зарплатных проектов;
• карт лояльности;
• рекламных рассылок;
• оказания услуг;
• регистрации на сайтах;
• звонков потенциальным клиентам.

Штрафы за нарушение закона о персональных данных в КоАП РФ на сайте Консультанта

Поэтому мы рекомендуем подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку. Штраф за обработку персональных данных без уведомления — 5000 рублей. Дополнительно к этому Роскомнадзор может заблокировать сайт или приостановить деятельность компании, но это редкие меры.

Если Роскомнадзор придет с проверкой, он может обнаружить, что компания неправильно обрабатывает персональные данные, штраф может быть до 75 000 рублей.

Источник: https://delo.modulbank.ru/all/data_operator

10 правил работы с персональными данными. Как избежать штрафа за контактную форму на сайте

Вниманию сайтовладельцев! С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей (за одно обнаруженное нарушение). У вас на сайте есть контактная форма? Значит, скорее всего это касается и вас.

Прокуратуры уже штрафуют компании и суды их поддерживают. Помимо штрафов в пользу государства за нарушение правил обработки персональных данных может быть также взыскана компенсация морального вреда и определена иная ответственность.

Правила безопасности при работе с персональными данными

В феврале 2021 года внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных, которые вступят в силу 1 июля. Нововведения коснутся всех, кто получает, собирает, обрабатывает или хранит персональные данные.

Штрафы увеличены в десятки раз и разделены по видам нарушений. Так, если на сайте не размещена политика конфиденциальности, то штраф для ИП составит 10 тысяч рублей, а для компании — 30 тысяч.

До 75 тысяч рублей составит штраф для юрлица, если посредством сайта обрабатываются персональные данные клиента интернет-магазина или подписчика на информационный ресурс без его согласия (директор компании или ИП должен будет заплатить до 20 тысяч). И т.д.

Если будет зафиксировано несколько нарушений, штрафов будет тоже несколько.

Что делать? Срочно привести сайты в порядок! Проверки уже начались

Сейчас протоколы о нарушениях имеет право выписывать только прокуратура, и размер штрафа вне зависимости от вида нарушения составляет для юрлица 10 тысяч рублей, а для ИП или директора — 1000 рублей. С 1 июля уже в соответствии с более высокими ставками и, по всей видимости более рьяно, выписывать протоколы будет Роскомнадзор.

Какузнать, являетесь ливытем самым операторомперсональныхданных?

Персональные данные согласно Федеральному закону «О персональных данных» — это любые данные о человеке, по которым его можно идентифицировать. При этом в законе не содержится перечня типов таких данных, поэтому приходится исходить из общей логики закона и практики, и «дуть на воду».

К примеру, по имени пользователя или логину нельзя понять, что это за человек, то по имени и телефону или ФИО и электронной почте уже можно некоторым образом идентифицировать человека, а значит получение подобного сочетания уже может определяться как сбор и хранение персональных данных.

Итак, скорее всего, вы уже являетесь оператором персональных данных, если каким-то образом получаете от людей, к примеру, следующую информацию (в любом сочетании): фамилию, имя, отчество, какой-либо физический адрес, электронную почту, номер телефона, дату или место рождения, фото, ссылку на персональный сайт или соцсети, профессию, образование, уровень доходов, семейное положение и т.д..

На практике это означает, что все владельцы сайтов, которые содержат личные кабинеты, формы обратной связи, подписки или регистрации, анкеты и т.д.

, одним словом заполняемые формы, где посетитель должен оставить свои данные — это операторы персональных данных.

Даже если на сайте есть лишь популярные нынче кнопки заказа обратного звонка (пользователь оставляет имя и номер телефона) или отправки сообщения (имя и электронный адрес) — это тоже может быть квалифицировано как обработка персональных данных.

А записи в моей телефонной книжке тоже считаются сбором и хранением персональных данных?

Нет. На данные, которые вы храните для личных и семейных нужд, данный закон не распространяется. Но если вы передадите эти данные лицу или организации, которая согласно данному закону является оператором персональных данных или опубликуете сведения, это будет считаться нарушением.

Какработатьсперсональнымиданными, ненарушаязакон?

Как минимум необходимо выполнить и соблюдать 10 нижеследующих правил.

10 правил по работе с персональными данными

• публиковать в открытом доступе всю информацию о ваших принципах взаимодействия и работы с персональными данными клиентов и посетителей вашего предприятия или ресурса;
• запрашивать только те данные, которые нужны для каждой конкретной цели. Например, нельзя запрашивать паспортные данные или домашний адрес для осуществления рассылки по электронной почте;
• перед получением персональных данных, которые предполагается публиковать в общедоступных источниках, получать письменное согласие у каждого посетителя, клиента или подписчика на их обработку, хранение и распространение. В случае, если данные не публикуются, а используются исключительно для обработки внутри компании, необходимо явным образом ограничить возможность передачи вам персональных данных без согласия на их обработку*;
• использовать данные только для тех целей, о которых вы предупредили человека и которые указаны в опубликованных вами документах, касающихся работы с персональными данными;
• сообщать по запросу человека, какие у вас есть данные о нём, как и для чего они обрабатываются и кому вы их передавали;
• удалять данные по первому требованию лица, персональные данные которого хранятся в вашей базе;
• хранить базы данных в надёжном месте, защищать их от взлома и утечки;
• назначить лицо, ответственное за обеспечение безопасности персональных данных и соблюдения определённых ФЗ N152 правил работы с персональными данными;
• обучить сотрудников работе с персональными данными;
• зарегистрироваться в Роскомнадзоре. Форма уведомления на сайте Роскомнадзора — //pd.rkn.gov.ru/operators-registry/notification/form/

*Согласно Закону обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Законе, возлагается на оператора.

Почему владелец сайта должен регистрироваться?

По закону операторы персональных данных должны уведомить Роскомнадзор. Причем сделать это нужно до начала обработки данных или вскоре после начала осуществления данной деятельности. Роскомнадзор внесёт информацию об операторе в Реестр операторов персональных данных.

Уведомление можно не подавать, если:

• обрабатываются только данные сотрудников;
• персональные данные получены только для исполнения конкретного договора с конкретным человеком и не будут распространяться и использоваться никак иначе;
• у вас хранятся только ФИО клиента;
• данные опубликованы в общем доступе самим человеком или кем либо по его поручению.

Чтоделать, если ваш сайт содержит формы и позволяет получать персональные данные?

Если ваш сайт даёт возможность получать персональные данные и вы до сих пор не выполнили перечисленные выше условия, то уже сейчас может быть зафиксировано нарушение и уже сейчас вас могут оштрафовать.

Даже в том случае, если ваш сайт обслуживается другой компанией или специалистом на аутсорсинге, штраф будет выписан на компанию или ИП, которые указаны на сайте в качестве владельца и, следовательно, получателя персональных данных.

Как избежать возможных проблем (необходимая программа-минимум)

1) Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны с любой страницы вашего сайта.

Это может быть уведомление, пользовательское соглашение, правила продажи или политика в отношении обработки персональных данных как, например, у «Озона» (//ozon.ru/context/detail/id/137942530/).

Как бы не назывался этот документ, он должен содержать правила и условия обработки персональных данных.

2) Не используйте документы других компаний без обработки. Их можно использовать в качестве шаблона, но список данных и цели использования персональных данных необходимо прописать свои.

Запрос излишних данных может быть расценен как нарушение закона и стать поводом для штрафа.

3) Реализуйте программное решение, которое гарантирует однозначное установление того, что человек согласился на обработку персональных данных.

Это может быть чек-бокс в форме регистрации, в котором необходимо поставить галочку, или кнопка согласия с условиями использования, без активации которых человек не сможет отправить сообщение или оформить заказ.

Для подстраховки можно заверить у нотариуса распечатанные скриншоты веб-страниц с формами, прокомментировав их сопроводительным текстом (к примеру, «на момент заверения указанные на данной распечатке кнопки работали согласно описанному в преамбуле функционалу и без их активации пересылка данных была технически невозможна»).

4) Подготовьте внутренние документы, регламентирующие правила хранения и обработки персональных данных, и ответственности сотрудников, которые имеют к ним доступ.

5) Отправьте, если сайт подпадает под требования Закона, уведомление в Роскомнадзор. Если стопроцентно  уверены, что отправка уведомления не требуется, оформите всю документацию так, чтобы это было явно понятно и возможным проверяющим.

Например, можно указать в политике работы с персональными данными, что они используются только для исполнения конкретных договоров, или зафиксировать в документации, что данные открыты для общего доступа по желанию пользователя (но помните, что доказывание этого факта Закон возлагает на оператора).

Для составления необходимой документации и соблюдения всех требований Закона рекомендуется воспользоваться услугами квалифицированного юриста.

Источник: https://press.spb.ru/10-pravil-rabotyi-s-personalnyimi-dannyimi/

Что относится к персональным данным с точки зрения российского регулятора (персональные данные в облаке, часть 1)

Что такое персональные данные (ПДн) и как этот термин трактуется с позиции российского законодательства? В этой статье мы уделили внимание тонкостям определений и подготовили развернутый пост-ответ, который поможет во многом разобраться.

Что такое ПДн

Почему так важно определиться с понятиями? Дело в том, что, если этого не сделать сейчас, в дальнейшем будет трудно о чем-либо договариваться. Важно понимать, что относится к персональным данным и что необходимо защищать при размещении их в облаке.

Итак, законодательство РФ понимает под персональными данными (ПДн) «любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу — субъекту персональных данных».

Обратите внимание, что это определение довольно широкое и здесь не сказано про идентификацию конкретного лица.

Хотя на портале персональных данных, официальном сайте Роскомнадзора, вопрос подобного характера уже задавался и звучал так: каков минимальный набор персональных данных, достаточный для идентификации человека? На что Роскомнадзор ответил: «Указанный минимальный перечень действующим законодательством не установлен.

На этом также сделан акцент в научно-практическом комментарии к закону «О персональных данных». В документе поясняется, что «при буквальном трактовании рассматриваемой нормы к понятию «персональные данные» можно отнести широкий круг информации, в том числе выходящий за рамки разумно ожидаемого в данном контексте».

То есть здесь нет указания на связь между информацией, прямой или косвенной определенностью или «определяемостью» физического лица. Отсюда напрашивается вывод, что на сегодняшний день отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные относятся к персональным, а в каких — нет.

Как быть, если отсутствует однозначность определений

В таком случае следует обратиться к научно-практическому комментарию Роскомнадзора, который рекомендует использовать следующий подход:

Если совокупность данных необходима и достаточна для идентификации лица, эти данные следует считать персональными, даже если они не содержат никаких документов, удостоверяющих личность. Если же без дополнительной информации установить конкретное лицо, к которому относятся персональные данные, невозможно, их нельзя считать персональными данными.

Для лучшего понимания ситуации рассмотрим пример:

Иванов Иван Иванович — сочетание этих трех слов не является персональными данными, ведь если мы не знаем человека и не имеем о нем дополнительных сведений, невозможно определить, что это за личность. Если же говорить об Иванове Иване Ивановиче, менеджере по развитию в группе компаний «ИТ-ГРАД» — эти данные относятся к ПДн, поскольку явно определяют сотрудника, о котором идет речь.

Зачем Роскомнадзор вводит понятие “идентификатора”

И снова обратимся к научно-практическому комментарию Роскомнадзора: здесь вводится понятие идентификатора, или тех сведений, которые позволяют однозначно определить физическое лицо. Такой идентификатор присваивается каждому гражданину, носит название государственного идентификатора и представлен следующим списком:

идентификатора, или тех сведений, которые позволяют однозначно определить физическое лицо. Такой идентификатор присваивается каждому гражданину, носит название государственного идентификатора и представлен следующим списком:

• Номер и серия паспорта.
• Страховой номер индивидуального лицевого счета (СНИЛС).

• Идентификационный номер налогоплательщика (ИНН).
• Биометрические данные.
• Банковский счет, номер банковской карты.

Кроме того, Роскомнадзор выделяет в отдельную категорию данные, которые рассматриваются как персональные, несмотря на то что в их отношении остается некоторый аспект вероятностного совпадения.

К ним относятся:

• Фамилия, имя, отчество, дата рождения, место прописки.
• Фамилия, имя, отчество, дата рождения, должность.
• Фамилия, имя, отчество (возможно — фамилия и инициалы) плюс любая информация, которая однозначно выделяет среди прочих лиц для идентификации его как конкретной личности.

При этом фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения не могут в отдельности друг от друга рассматриваться как персональные данные.

Хотя в этом вопросе происходят определенные трансформации: в одном из интервью Роскомнадзора говорилось, что фамилия с электронным адресом (а иногда и электронный адрес) могут рассматриваться как персональные данные, если корпоративные правила компании предусматривают формирование электронной почты в виде сочетания полного имени, фамилии сотрудника и названия компании (например, ivanov.ivan@it-grad.ru). Такие данные с большой вероятностью позволяют определить конкретного человека. Следовательно, персональные данные считаются таковыми, когда имеются какие-либо признаки или идентификаторы, позволяющие установить конкретное лицо, к которому они относятся.

Файлы cookie и персональные данные

Также важно заметить, что за последние два года в отношении файлов cookie и следов, которые пользователь оставляет в Интернете, позиция Роскомнадзора радикально изменилась. На это стоит обратить внимание, поскольку появилась новая зона риска.

Теперь, по мнению регулятора, если используются файлы cookie и они передаются аналитическим службам типа Google Analytics, Webtrends, Яндекс.

Метрика, эти данные в совокупности после их обработки позволяют определить уникального пользователя сайта, сформировать сведения о его предпочтениях и поведении на сайте, что говорит об обработке персональных данных. Следовательно, необходимо получить согласие пользователя на обработку таких ПДн.

!  Хостинг персональных данных в облаке— особенности услуги

Теперь обратим внимание на то, что Google Analytics и Webtrends работают из американского облака, а США — это страна, не обеспечивающая адекватную защиту прав субъектов персональных данных, а значит, используя такие инструменты, нужно получить согласие в письменной форме или в форме электронного документа, подписанного в соответствии с законодательством.

Решение проблемы

Напрашивается единственный выход: если на сайте используются файлы cookie, необходимо предусмотреть пользовательское соглашение или баннер, который позволяет подтвердить, что пользователь, пусть даже анонимный, согласен с обработкой ПДн.

Пользователь должен поставить галочку в соответствующей форме, выражая тем самым согласие. В таком случае необходимо сделать раздел в отношении обработки следов в Интернете или сформировать отдельную политику в отношении файлов cookie. Чтобы понимать, какие данные, содержащие файлы cookie, относятся к персональным данным гражданина по мнению Роскомнадзора, приведем выписку:

• Операционная система.
• Часовой пояс и время браузера в 24-часовом формате.
• Язык браузера.
• Глубина цвета и разрешение экрана.
• Поддерживает ли браузер и/или включен JavaScript.
• Версия JavaScript, поддерживаемая браузером.
• Тип соединения, используемый для передачи данных.
• Размер окна браузера.

Новый европейский регламент GDPR

Правила, устанавливаемые относительно персональных данных на уровне закона, — не только российская тенденция. Так, 25 мая этого года вступает в силу новый европейский регламент GDPR (General Data Protection Regulation) — большой, сложный и подробный закон.

И, в частности, 30 пункт преамбулы к закону обращает внимание на то, что к персональным данным относятся онлайн-идентификаторы, поскольку они ассоциируются с конкретными физическими лицами, к которым относятся адреса интернет-протоколов (IP-адреса), идентификаторы cookies и другие следы, радиочастотные метки, предпочтения по выбору сайта и так далее.

В соответствии с новым европейским регламентом (как и с трактовкой российского регулятора) онлайн-идентификаторы позволяют идентифицировать конкретного интернет-пользователя. В целом же стоит признать, что однозначно определить персональные данные в полном объеме мы не можем, поскольку многие аспекты зависят от соответствующего контекста и контента.

Остались вопросы?

Проходите по ссылке на запись вебинара «Облако в соответствии с законом «О персональных данных» и следите за новыми материалами первого блога о корпоративном IaaS.

В следующих статьях мы расскажем о принципах и условиях обработки ПДн с точки зрения российского законодательства, поговорим о видах согласия со стороны субъекта ПДн и уделим внимание зонам ответственности заказчика и облачного провайдера при размещении персональных данных в облаке.

Источник: https://iaas-blog.it-grad.ru/bezopasnost/chto-otnositsya-k-personalnym-dannym-s-tochki-zreniya-rossijskogo-regulyatora-personalnye-dannye-v-oblake-chast-1/