Внимание! Данная консультация подготовлена для операторов, осуществляющих обработку ПД, с использованием сайта. Консультацией могут не охватываться другие категории операторов, осуществляющих обработку ПД иным способом.
Общие сведения:
Прежде всего, стоит определиться понятиями, установленными законодательством о ПД. В силу ст. 2 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» к ПД относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД). Таким образом, в качестве ПД может быть не только ФИО и паспортные данные, но все, что угодно, в том числе телефон, семейное положение, адрес, любимые блюда, интересы субъекта и т.п. Субъектами признаются только физические лица.
Не все данные можно отнести к персональным. Персональными данные становятся только тогда, когда с их использованием можно идентифицировать конкретного человека. Например, пол сам по себе не может являться персональными данными, однако когда пол определяется в связке с ФИО, то пол будет являться персональными данными.
Под обработкой ПД понимается любое действие (операция) или совокупность действий (операций), совершаемых с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД. Обработка может производиться с использованием средств автоматизации или без использования таких средств.
К операторам законодательство относит государственные органы, муниципальные органы, юридических или физических лиц, самостоятельно или совместно с другими лицами организующими и (или) осуществляющими обработку ПД.
Таким образом, сайт, получающий сведения о физических лицах, осуществляет обработку ПД и является оператором, даже если он ничего в дальнейшем не делает с этой информацией.
Что нужно соблюсти при обработке ПД?
По общему правилу при обработке ПД требуется согласие субъекта на такую работку. Согласие на обработку ПД может быть дано субъектом в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Способ и форму получения согласия оператор персональных данных определяет самостоятельно. Если речь идет о сайте, то, как правило, согласие дается путем проставления галочки напротив графы «Я даю согласие на обработку моих персональных данных и принимаю условия и порядок обработки персональных данных, установленные оператором» и нажатием кнопки «Далее».
В каких случаях требуется письменная форма согласия на обработку ПД?
Письменная форма согласия обязательно нужна в следующих случаях:
- Если ПД попадут в общедоступные источники ПД (каталоги, справочники и т.п.);
- Если в качестве ПД выступают сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
- Если в качестве ПД выступают сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПД) и которые используются оператором для установления личности субъекта.
- Если осуществляется трансграничная передача ПД на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов.
- Если на основании исключительно автоматизированной обработки принимаются решения, порождающие юридические последствия в отношении субъекта или иным образом затрагивающее его права и законные интересы.
Равнозначным содержащему собственноручную подпись субъекта согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Например, такое согласие может быть дано при помощи электронной подписи в ЕСИА.
Также следует иметь ввиду, что на оператора всегда возлагается обязанность доказать, что он получил согласие от субъекта. В связи с этим целесообразно устанавливать системы идентификации личности или иного подтверждения, например, путем запроса кода, поступившего в смс-сообщении.
Нужно ли регистрироваться в Роскомнадзоре (РКН)?
В силу п. 1 ст. 22 N 152-ФЗ оператор до начала обработки ПД обязан уведомить Роскомнадзор о своем намерении осуществлять обработку ПД. Уведомлять не нужно, если осуществляется обработка ПД:
- полученных в соответствии с трудовым законодательством;
- в целях заключения и исполнения договора между оператором и субъектом, при условии, что ПД не передаются третьим лицам без согласия субъекта.
- сделанных субъектом общедоступными;
- включающих в себя только ФИО;
- обработка ПД без использования сайта, персонального компьютера и иных средств автоматизации.
Таким образом, если пользователь в личном кабинете размещает какие-то данные, то он самостоятельно делает их общедоступными (не стоит путать с общедоступными источниками). Если пользователь акцептирует оферту (акцепт равноценен заключению договора между оператором и субъектом) и дает согласие на передачу таких данных третьим лицам, то уведомлять Роскомнадзор не нужно даже и в тех случаях, когда ПД субъекта передаются каким-то третьим лицам.
Какие документы необходимо разместить на сайте?
В силу п. 2 ст. 18.1 152-ФЗ оператор обязан опубликовать на сайте документ, содержащий сведения об обработке ПД и их защите, а также обеспечить возможность доступа к указанному документу.
Это может быть, как отдельный документ, так и раздел в оферте (правилах, условиях и т.п.), регулирующих вопросы оказания услуг, продажи товаров. Как правило, такой документ публикуется отдельно, что, конечно же, удобнее и снизит риск возникновения споров с Роскомнадзором.
Как правило, такой документ содержит цели, задачи обработки ПД, состав такой обработки, условия защиты и хранения ПД, а также перечень ПД, предоставляемых субъектом ПД.
Также следует иметь ввиду, что для физ. лиц и ИП штрафы за неуведомление небольшие 300-500 рублей, поэтому этот вопрос не имеет существенного значения ввиду минимальной ответственности.
Трансграничная передача.
Как уже говорилось ранее, для трансграничной передачи ПД требуется письменное согласие субъекта ПД, если иностранное государство не может обеспечить адекватную защиту ПД. Как правило, большая часть государств имеет нормативно-правовые документы, позволяющие обеспечить сохранность трансграничных ПД. Например, Германия является подписантом Конвенции о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года (ратифицирована ФРГ в 1985 году), что исключает необходимость получения письменного согласия субъекта на обработку ПД.
Вместе с тем, если стоит вопрос о хранении персональных данных за пределами РФ, то по общему правилу такие действия считаются незаконным. Данный вывод сделан на основании п. 5 ст. 18 152-ФЗ, в силу которого при сборе персональных данных, в том числе через «Интернет», оператор обязан обеспечить обработку персональных данных с использованием баз данных, находящихся на территории РФ.
Таким образом, нельзя использовать для хранения и обработки ПД (сбора, накопления, систематизации и т.п.) зарубежные серверы, зарубежные доменные зоны и т.п., иначе вышеуказанное требование будет нарушено. Вместе с тем, до нынешнего времени ответственность за нарушение условий трансграничного хранения или передачи не предусмотрена.
Что нужно сделать еще?
В силу положений п. 1 ст. 18 152-ФЗ Оператор обязан принимать меры, необходимые и достаточные для защиты ПД. Оператор самостоятельно определяет состав мер, необходимых для выполнения таких обязанностей. В статье приводятся возможные меры, которые может принимать оператор, однако представляется, что как минимум оператор должен назначить ответственного за организацию обработки ПД.
Ответственность за нарушение законодательства о ПД.
За несоблюдение требований об охране ПД предусмотрены ответственность. Для наглядности меры ответственности представлены ниже в таблице:
|
Основание |
Размер штрафа |
|||
|
Физлица |
должностные лица |
Юрлица |
ИП* |
|
|
Обработка ПД в случаях, не предусмотренных законодательством РФ; обработка ПД, несовместимая с целями сбора ПД |
пред-ние или штраф 1-3т.р. |
пред-ние или штраф 5-10 т.р. |
пред-ние или штраф 30-50 т.р. |
|
|
Обработка ПД без письменного согласия на то их субъекта |
штраф 3-5т.р. |
штраф 10-20 т.р. |
штраф 15-75 т.р. |
|
|
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПД, или сведениям по защите ПД |
штраф 700-1500 |
штраф 3-6т.р. |
штраф 15-30 т.р. |
штраф 5-10 т.р. |
|
Непредоставление субъекту ПД информации по их обработке |
пред-ние или штраф 1-2т.р. |
пред-ние или штраф 4-6т.р. |
пред-ние или штраф 20-40 т.р. |
пред-ние или штраф 10-15 т.р. |
|
Невыполнение оператором требования субъекта ПД или его представителя об уточнении, блокировке, уничтожении (если ПД неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки) |
пред-ние или штраф 1-2т.р. |
предупреждение или штраф - 4-10 т.р. |
пред-ние или штраф 35-45 т.р. |
пред-ние или штраф 10-20 т.р. |
|
Необеспечение оператором при обработке ПД без средств автоматизации обязанности по сохранности ПД, что привело к неправомерному или случайному доступу к ПД и стало причиной их уничтожения, изменения, блокирования, копирования |
штраф 700-2т.р. |
штраф 4-10 т.р. |
штраф 25-50 т.р. |
штраф 10-20 т.р. |
|
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПД; несоблюдение требований по обезличиванию ПД |
|
пред-ние или штраф 3-6т.р. |
|
|
|
Неуведомление РКН перед началом обработки ПД |
штраф 100-300 |
штраф 300-500 |
штраф 3-5 т.р. |
|
*В тех случаях, когда для ИП не установлен штраф, размер штрафа определяется как для должностных лиц.
Обратите внимание, что обработка ПД без получения согласия их субъекта, предусматривает самые крупные штрафы - 75 000 рублей. В связи с этим целесообразно продумать механизм фиксации согласия клиента на обработку ПД (например, чтобы такое согласие фиксировалось путем дополнения какой-то базы данных таким образом, чтобы можно было даже в суде доказать, что рассылка на определенную электронную почту направлена в связи с тем, что клиент сам предоставил данный адрес).
Иные особенности:
Также следует учесть и иные особенности обработки ПД, к которым можно отнести следующее:
1. До 14 лет согласие на обработку ПД могут дать только родители или законные представители несовершеннолетнего.
2. Фотографии также признаются персональными данными.
3. Нельзя хранить на одном материальном носителе разные категории ПД (например, работников и контрагентов). Закон не раскрывает содержание понятия «раздельное», однако исходя из целей 152-ФЗ можно сделать вывод, что хранить их нужно так, чтобы работник, намеревающийся получить информацию о клиентах не имел доступа к документам сотрудников. Соответственно, это может быть запароленный раздел жесткого магнитного диска или шкафчик со стеклянной дверью, имеющий небольшой замок. Конечно же, это могут быть и раздельные помещения с кодовыми дверьми и т.п. В обоих случаях требования 152-ФЗ будут считаться соблюденными.
Подписка и рассылка:
Подписка на получение каких-либо материалов должна быть квалифицирована как заключение договора на получение информационно-консультационных услуг. При этом Вы (исполнитель) обязуетесь рассылать материал клиенту (заказчику) в соответствии с выбором заказчика и сообщенными ими данными. Заключение договора в данном случае будет осуществляться путем акцепта оферты, которую размещает исполнитель.
Таким образом, если клиент сообщает какие-то ПД в целях получения рассылки, то уведомлять РКН не нужно при наличии оферты, поскольку в этом случае клиент дал согласие на обработку ПД, дал согласие на передачу ПД третьим лицам путем акцепта оферты и политики обработки ПД.
РКН уведомлять нужно в тех случаях, когда Вы передаете ПД третьим лицам не в целях исполнения договора. В остальных случаях уведомлять не обязательно и, на мой взгляд, даже вредно, поскольку это привлечен повышенное внимание со стороны РКН.
Вывод:
При оформлении подписки (совершении заказа) в любом случае необходимо предоставить клиенту возможность ознакомления с офертой и политикой обработки ПД. Пакет документов, разработанный для стороннего сервиса, для данных целей подходит в части.
Например, документ «Правила посещения сайта-запрет на публикацию незаконных материалов, нарушающих авторские права-02.05.2017» содержит не все необходимые реквизиты для обработки ПД. На мой взгляд, согласие на использование изображения следует включить в текст политики обработки ПД.
В связи с изложенным, целесообразно дополнительно разместить на сайте политику обработки ПД. В ней необходимо указать цели обработки, состав обработки (запись, систематизацию, накопление, блокирование и т.п. в соответствии с требованиями 152-ФЗ), срок и порядок обработки, состав предоставляемых ПД, а также возможность передачи ПД третьим лицам. Также целесообразно разместить на сайте дополнительную информацию о согласии клиента на обработку ПД в соответствии с политикой. Такое согласие будет даваться в момент совершения заказа.
10.07.2017 г.
Юрист, индивидуальный предприниматель Бакланов Яков Николаевич