Паспортные данные закон о персональных данных

Что такое персональные данные и как регулируется работа с ними?

Персональные данные являются неотъемлемой частью функционирования любой организации, начиная от крупных коммерческих организаций, заканчивая различными интернет-ресурсами. Работа с клиентами, обеспечение трудовой деятельности собственных сотрудников, персонифицированные отзывы на сайтах – все это обработка персональных данных. Правильная обработка и своевременное обеспечение защиты персональных данных – гарантия снижения информационных рисков, а также меньших вопросов со стороны государственных регуляторов.

Основным документом, регулирующим рассматриваемый вид деятельности, является Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон). Что же такое персональные данные? Чаще всего люди понимают под данным термином некую информацию, содержащуюся в официальных документах лица (паспортные данные, данные из трудовой книжки, финансовые данные и т.п.).

В самом законе прописано, что персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Исходя из определения, кроме официальных документов в указанную категорию могут включаться и сведения, которые при первом просмотре не производят впечатления относящихся к персональным данным.

Примеры персональных данных

Так, например, размещение на сайте отзыва о компании с указанием фамилии менеджера, который вел обслуживание, говорит об обработке персональных данных, ведь в рассматриваемом случае в отзыве косвенно упоминается конкретная личность (фамилия, должность, место работы). На размещение такой информации требуется согласие этого менеджера как субъекта персональных данных. В иных случаях публикация сведений является нарушением законодательства РФ и может грозить блокировкой сайта в случае непринятых вовремя мер.

Другой случай. На сайте присутствует форма обратной связи. Для того, чтобы ею воспользоваться, пользователю необходимо указать минимальный перечень данных: имя, номер телефона. Обработка таких данных позволяет обеспечить взаимосвязь между пользователями и сайтом, таких данных достаточно для обеспечения «таргетированной» рекламы, что уже говорит об их принадлежности к конкретному лицу. Использование таких сведений несет обязанность соблюдать требования Закона.

В любом случае, всегда необходимо внимательно относиться к той информации, которую Вы обрабатываете, ибо даже если Вы считаете, что не работайте с персональными данными, то субъект и Регуляторы могут решить иначе. Как говорится, незнание законов не освобождает от ответственности: Вас могут причислить к категории операторов персональных данных.

Оператор персональных данных

Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Сразу стоит оговорить, что для обработки персональных данных не существует отдельных лицензий и сертификатов. Оператором персональных данных может стать любой желающий, требования к оператору предъявляются только если он начал обработку персональных данных.

Нормы при обработке персональных данных

В самом простом случае (если обрабатываются персональные данные только на бумажных носителях) законными основаниями обработки персональных данных являются либо согласие субъектов персональных данных, либо заключенный договор, для исполнения которого необходима обработка персональных данных. Требованием в данном случае является принятие ряда внутренних документов по организационной защите персональных данных (инструкции), а также принятия Политики об обработке и обеспечении безопасности персональных данных (либо же Положения об обработке персональных данных сотрудников, если лицо не работает с клиентами – физ. лицами).

Если ведется обработка с помощью информационных систем, то к лицу кроме вышеуказанных требований предъявляются требования Постановления Правительства № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и Приказа № 21 ФСТЭК России, которые обязуют лицо проводить мероприятия по защите данных информационных систем, а также провести оценку эффективности принятых по защите мер.

Легитимная обработка персональных данных с помощью информационных систем

Для выполнения законодательных требований к обработке персональных данных с помощью информационных систем у лица существует несколько вариантов, в том числе:

1. Аутсорс, т.е. привлечение лицензиата на деятельность по технической защите конфиденциальной информации;
2. Самостоятельное получение лицензии по указанному виду деятельности, т.к. только лицензиат на деятельность по технической защите конфиденциальной информации имеет право осуществлять монтаж, настройку средств защиты информации и проводить оценку эффективности системы защиты персональных данных, а также оценку соответствия средств защиты информации.

Что такое обработка персональных данных

И тут возникает вопрос, что такое обработка персональных данных, какие действия и мероприятия подразумевает данное понятие. Согласно все тому же Закону обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Виды обработки персональных данных

Обработка персональных данных может быть, как автоматизированной, т.е. с применением средств вычислительной техники, либо неавтоматизированной – без использования таковых.

Подготовка шаблонов документов, переменная часть которых включает в себя персональные данные, на компьютере, при этом заполнение персональных данных прописью и хранение подготовленных документов в шкафу является неавтоматизированной.

В случае заполнения переменной части при помощи компьютера обработка будет считаться автоматизированной, даже если документы не будут храниться на компьютере. Размещение персональных данных на сайте, внесение данных в таблицу и более сложные технологические процессы представляют собой примеры автоматизированной обработки.

Принципы обработки персональных данных

Обработка персональных данных должна осуществляться при соблюдении следующих принципов (перечисленные далее принципы выполняются одновременно):

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры, либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Случаи допущения обработки персональных данных

Обработка персональных данных допускается в следующих случаях:

1. Осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
2. Необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
3. Осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.
4. Необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – исполнение судебного акта).
5. Необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг.
6. Необходима для исполнения договора, стороной которого, либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
7. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
8. Необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
9. Необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
10. Осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных.
11. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных);
12. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

В каких случаях 152-ФЗ не распространяется

Следует отметить, что не все вопросы в сфере персональных данных базируются на 152-ФЗ. Так, деятельность Закона не распространяется при:

• обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных (не следует распространять данные без согласия супруга);
• организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
• обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Категории персональных данных

Требования к обработке персональных данных зависят также и от непосредственно от той информации, действие с которыми совершает оператор. Всего существует четыре категории персональных данных: общедоступные, специальные, биометрические и иные.

К общедоступным персональным данным относятся те сведения, которые были открыты самим субъектом персональных данных, например, опубликовал и распространил о себе сведения путем размещения их на своей странице в социальных сетях (в Интернете). Существует также ряд общедоступных источников (справочники и адресные книги), формирование которых требует письменного согласия субъекта. Такие данные оператор может использовать без личного согласия субъекта. Стоит отметить, что по отзыву согласия или же при удалении данных со страницы в Интернете оператор обязан прекратить обработку таких данных.

Наиболее ценными для субъекта персональных данных является категория специальных данных. Сюда относятся сведения, касающееся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни человека. В виду их ценности в большинстве случаев обработка таких данных допускается только при наличии письменного согласия субъекта. Без письменного согласия в силу своих полномочий специальную категорию могут обрабатывать медицинские, религиозные учреждения, государственные и муниципальные органы власти. Но следует сказать, что письменное согласие является гарантом законной обработки таких данных.

Отдельной категорией выделяют биометрические персональные данные. Это те сведения, которые характеризуют физиологические и биологические особенности человека и на основании которых можно установить его личность. Такие сведения могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключения случаев, связанных с противодействием терроризмом, обеспечением безопасности и оперативно-розыскной деятельности.

Остальные сведения, не входящие в состав уже рассмотренных, и предоставляемые только оператору, относятся к иным. ФИО, паспортные данные, трудовая книжка, финансовые данные и т.п. сотрудника или клиента и отданные на обработку определенному кругу лиц классифицируются как иные.

Согласие на обработку персональных данных

Ключевым элементов взаимодействия между оператором и субъектом персональных данных является согласие. Согласие на обработку персональных данных может быть дано субъектом его представителем в любой позволяющей подтвердить факт его получения форме, за исключением случаев, когда требуется письменное согласие. Электронный документ, подписанный ЭП, является равнозначным письменному согласию

Письменное согласие должно включать в себя следующие реквизиты:

• фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
• наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
• срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
• подпись субъекта персональных данных.

Согласие не требуется в случае, если соблюдаются иные условия обработки персональных данных.

Требования к оператору персональных данных

Обработка персональных данных накладывают на оператора ряд обязанностей. В первую очередь, оператор должен выполнять законодательство. Оператор сам определяет каким способом и какими мерами это делать, за исключением случаев, когда Закон предъявляет требования. Ряд основных требований предоставлен ниже:

• назначить ответственное за обработку персональных данных лицо;
• издать Политику обработки персональных данных и ряд уточняющих её документов, Политика должна быть общедоступным документом, т.е. либо опубликована на сайте оператора, либо на стендах, либо другим возможным способом;
• защищать персональные данные;
• осуществлять контроль внутренних процессов, связанных с обработкой персональных данных, в том числе обучить своих сотрудников работе с персональными данными;
• оценить вред субъектам, в случае нарушения Закона.

Органы, контролирующие легитимность обработки персональных данных

Контроль за выполнением требований Закона в силу своих полномочий осуществляют следующие органы государственной власти:

• Роскомнадзор (уполномоченный орган по защите прав субъектов персональных данных) в части, касающейся процессов обработки персональных данных, их организационной и технологической составляющей, её законности;
• ФСТЭК, в части технической защиты информационных систем персональных данных;
• ФСБ России, в части криптографической защиты информации.

Кроме того, существует ряд специализированных органов, которые также могут заинтересоваться обработкой персональных данных, если оператор попадает в их сферу деятельности, например, ЦБ, Роструд, Роспотребнадзор.

Информационные системы персональных данных и уровни их защищенности

В случае обработки персональных данных с помощью средств вычислительной техники такие системы называются информационными системами персональных данных (далее – ИСПДн). В зависимости от категории обрабатываемых данных, от количества субъектов и от актуальных угроз ИСПДн могут относится к одному из четырех уровней защищенности, представленных в таблице ниже.

Сотрудничество с организациями немыслимо без заключения письменного соглашения сторон, т.е. без договора. Как часто вы заключали договор, последним пунктом которого вы соглашались на использование и хранение ваших личных данных в базе соответствующей организации?

Дорогие читатели! Статья рассказывает о типовых способах решения юридических вопросов, но каждый случай индивидуален. Если вы хотите узнать, как решить именно Вашу проблему – обращайтесь к консультанту:

+7 (812) 317-60-09 (Санкт-Петербург)

ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ.

Это быстро и БЕСПЛАТНО!

Если после подписания какого-либо договора или же после короткого сотрудничества, например, с кредитными организациями вам звонили из других фирм и предлагали свои услугу подобного характера, будьте уверены, что ваши персональные данные разглашены и ваши права нарушены.

Краткий обзор

Информация о гражданах РФ относится к персональным данным лиц и защищается одноименным законом. Кроме того, закон о персональных данных защищает все права и свободы человека, его интересы, связанные с личной информацией о нем в причинно-следственном отношении. Как информацию о вас защитить, чтобы сохранить и не нарушить ваши интересы, права и свободы.

Закон устанавливает и контролирует правила сбора личных данных, их обработки, хранения и возможной передачи. В нем можно найти информацию о случаях, в которых личная информация может передаваться, или когда личная информация не может быть получена, т.е. за лицом сохраняется право ее не разглашать.

ФЗ 152 полноправно действует с 23.01.2007 года. До этой даты персональные данные лиц были фактически не защищены, поскольку отсутствовал соответствующий закон, который бы устанавливал правила и контролировал их исполнение, связанных с получением, хранением и передачей личных данных.

Существуют определенные требования к обработке персональных данных, их также можно найти в законе.

Любая информация, которая относится к персональным данным лица, может быть принятой и обработанной оператором только с согласия самого лица. Однако существуют случаи, когда разрешение субъекта не требуется. Данные исключения описываются в законе.

Ответственность за нарушение

Сохранность личных данных, правильный сбор информации, передача ее третьим лицам, а также уведомление самого лица о том, что сотрудник сохраняет ваши персональные данные, ведет ответственный в организации человек, это может быть сотрудник отдела кадров или же любой другой назначенный человек, в том числе оператор.

Если оператор (бухгалтер, сотрудник отдела кадров, банковский служащий или другое назначенное лицо) допустил утечку информацию, или же информация была случайно разглашена, ответственность за нее несет он, а не субъект данной информации.

Наказание за нарушение закона о персональных данных может быть в виде штрафа, наложенного на самого сотрудника, принимающего персональные данные, и (или) на организацию, в которой случилась утечка данных.

Штраф за разглашение информации возлагается на каждый случай утечки, а не единожды на лицо, допустившее данную оплошность. В среднем штраф составляет от 500 до 1000 руб. с оператора, или же от 5000 до 10 000 руб. с организации.

Одна годовая проверка документации может выявить огромное количество нарушений, каждое из которых будет оштрафовано и обойдется юридическому лицу немалой суммой из бюджета организации.

В соответствии с Кодексом об административных нарушениях, если у юридического лица отсутствует Положение о личных данных персонала или клиентов, то при нарушении трудового кодекса организация может быть привлечена к административной ответственности. В таком случае сумма единовременных штрафов будет намного больше.

Уполномоченным органом, контролирующим выполнение закона о персональных данных, является Роскомнадзор. Если предписания этого госоргана не выполняются, на предприятие может быть наложен штраф в размере 20000 руб. Игнорирование запроса Роскомнадзора о персональных данных обойдется организации в 5 000 руб.

Оператора, который был назначен ответственным за работу над личными данными, могут привлечь к административной ответственности, дисциплинарной, материальной, гражданско-правовой или даже к уголовной.

Что значит федеральный закон о страховых пенсиях 400? Ответ здесь.

Основные положения закона о персональных данных с 1 января 2019 года с комментариями

ФЗ №152 в его новой редакции обязывает хранить все персональные данные, касающиеся граждан РФ, на серверах, которые находятся на территории России.

Операторы, работающие с личными данными граждан, должны вести соответствующие записи, собирать информацию и дополнять ее при необходимости только информацией, собранной на территории РФ и хранить ее тоже только на территории РФ.

Категорически нельзя использовать ту информацию, которая практически может находиться за пределами России, т.е. берется с источников, находящихся за пределами России. Даже используя сеть интернет, нельзя дополнять личные данные человека информацией с зарубежных сайтов, если эти сайты ведутся не на территории России.

В соответствии с данным законом, к персональным данным лица относится или может относиться абсолютно любая информация о лице как-либо с ним связанная. Последняя редакция закона пояснила этот момент гражданам, что к персональным данным относятся не только их полное имя, дата рождения и адрес по регистрации.

Персональные данные граждан относятся к типу информации конфиденциального характера. Любая организация, которая прямо или косвенно использует имена клиентов, реквизиты компаний, с которыми она работает, почтовый индекс кого-либо в своей переписке и т.д., должна позаботиться о полной сохранности этих данных, т.е. обеспечить систему защиты при помощи шифрования или других средств.

При отсутствии таковых компания рискует быть оштрафованной или закрытой до выяснения обстоятельств.

Способы обеспечения защиты личных данных компаниями, которых нет в законе 152:

• построение дата-центров (мелкие организации не могут позволить себе данную процедуру в виду ее высокой стоимости реализации);
• обезличивание личной информации (отделить данные от субъекта, при необходимости данные возвращаются на территорию РФ и объединяются с их владельцами);
• скрывать месторасположение иностранного сервера, дублировать информацию о клиентах и отправлять на зарубежные серверы;

Видео: Зачем нужен

Когда применяется

Закон применяется с целью защиты лиц, когда осуществляется процесс обработки его персональных данных. Также закон применяется в тех случаях, когда может пострадать неприкосновенность вашей личной жизни, на которую вы имеете право, тайны личного характера или тайны вашей семьи.

ФЗ 152 не работает в случаях, когда персональные данные лица используются другими лицами исключительно в личных целях, т.е. без получения выгоды или с целью обогащения. Использование личных данных для архивных фондов также не является нарушением. Если информация о вас является составляющей государственной тайны, данный закон вас не защитит.

Что является персональными данными

Вся информация о вас, прямо или косвенно относящаяся к вам или вашей деятельности, в том числе ваше полное имя, дата рождения, место вашего проживания, все кредиты, оформленные вами когда-то, все ваши браки и прочее, относятся к персональным данным лица.

Какие отношения регулирует

Закон устанавливает правила работы между физическими лицами и юридическими, которые используют персональные данные граждан в своей работе. Задача закона предотвратить разглашение персональных данных лица, поскольку это может привести к нарушению прав, свобод и интересов граждан.

Практически, если вы даете свое согласие на обработку и хранение персональных данных какой-либо организации, например, банку, вы позволяете ему использовать эти данные только в работе, касающейся банковского дела конкретного банка, поскольку вы состоите с этой организацией только в отношениях займа или, например, кредита.

Имеет ли право банк передавать ваши персональные данные другим банкам – нет, подобное нарушение банком недопустимо в соответствии с ФЗ 152, и грозит уголовной ответственностью операторам и самому юридическому лицу.

В первую очередь, закон регулирует сам процесс обработки полученной информации. Она может быть получена государственными органами власти, муниципальными органами, а также частными предпринимателями, организациями или физическими лицами.

ФЗ 152 строго ограничивает права всех организаций, которые работают с персональными данными клиентов. Закон обязывает их устанавливать и использовать сложнейшие программы защиты их баз данных. Мелкие организации и фирмы не могут себе позволить подобную роскошь в виду ее высокой стоимостью.

Какие часы тишины в московской области по закону? Подробности в статье.

Нужен страховой медицинский полис нового образца? Как его получить читайте далее.

Подписывая соглашение об использовании юридическим лицом ваших персональных данных, вы позволяете исключительно ему ваши данные хранить и применять только для своей работы, поскольку вас связывают определенные рабочие отношения. Разглашение личных данных может грозить вам нарушением прав и свобод, а организации немалым штрафом или же привлечением к уголовной ответственности.

Фото: Документы

• В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
• Все случаи очень индивидуальны и зависят от множества факторов. Базовая информация не гарантирует решение именно Ваших проблем.

Поэтому для вас круглосуточно работают БЕСПЛАТНЫЕ эксперты-консультанты!

1. Задайте вопрос через форму (внизу), либо через онлайн-чат
2. Позвоните на горячую линию:
3. Москва и Область – +7 (499) 110-43-85
4. Санкт-Петербург и область – +7 (812) 317-60-09
5. Регионы – 8 (800) 222-69-48

ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ.

C 1 июля 2017 года вступил в силу закон "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" от 07.02.2017. Изменения коснулись статьи 13.11 "Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)", а также статей 28.3 и 28.4 КоАП РФ.

Ранее протоколами по таким делам занималась прокуратура, теперь их возбуждает Роскомнадзор. Причем РКН уже активно ведет проверки, начисляет штрафы по каждому пункту нарушений, а суммы возросли в десятки раз.

Если на сайте нет информации о политике конфиденциальности, индивидуального предпринимателя могут оштрафовать на сумму в 10 тысяч рублей, а компанию — на 30 тысяч. Если обработкой персональных данных будет заниматься новостной сайт без согласия своих подписчиков или интернет-магазин — без согласия клиентов, то руководителя компании или предпринимателя оштрафуют на сумму до 20 тысяч рублей, а юрлицо — до 75 тысяч рублей. Количество штрафов будет равно количеству нарушений, заплатить один раз за несколько ошибок не получится.

Кто виноват?

Согласно Федеральному закону « О персональных данных» — «персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.»

Ответственность за нарушение нового закона несут так называемые «операторы персональных данных».

Оператор персональных данных, согласно тому же закону — « государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных».

Все владельцы сайтов, на которых есть контактная форма — анкета, форма регистрации, обратной связи, подписки или просто кнопка заказа обратного звонка, запрашивающая имя и контактный номер телефона, являются операторами персональных данных и могут быть привлечены к ответственности за нарушения пунктов закона.

Вместе с тем, закон не распространяется на запись и сохранение любой личной информации, которую планируется использовать для личных или семейных нужд. Телефонная книга в смартфоне или список контактов в клиенте электронной почты не сделают вас оператором персональных данных. Но, если вы передадите эти данные лицу или организации, которая по закону, является оператором персональных данных или опубликуете сведения, это будет нарушением.

Что делать?

1. Подготовьте публичные документы о правилах и условиях обработки персональных данных и разместите их на сайте так, чтобы они были доступны с любой страницы. Это может быть уведомление, пользовательское соглашение, правила продажи или политика в отношении обработки персональных данных. Важно не название, а содержание. Не копируйте документы других компаний без обработки. Их можно использовать в качестве шаблона, но список данных и цели их использования пропишите свои.

Данные, которые могут потребоваться интернет-магазину для доставки товара, не понадобятся для оформления подписки на информационном сайте. Почему это важно – см. следующий пункт.

Приведите в соответствие с публичным документом сами контактные формы. Запрашивать нужно только те персональные данные, которые нужны для работы с вашим ресурсом. Подпишите, зачем просите эти данные, чтобы пользователям было комфортно их оставлять.

Запрос излишних данных может быть расценен как нарушение закона и стать поводом для штрафа.

Реализуйте программное решение, которое гарантирует согласие пользователя на обработку персональных данных. Это может быть чек-бокс в форме регистрации, в котором нужно поставить галочку, или кнопка согласия с условиями использования, без активации которых человек не сможет отправить сообщение или оформить заказ.

В случае, если персональные данные не предполагается публиковать, а только использовать для обработки внутри компании, явным образом ограничьте передачу персональных данных без согласия на их обработку. Согласно закону, обязанность доказать, что пользователь добровольно оставил свои данные, возлагается на оператора.

Важно! Перед получением персональных данных, которые предполагается публиковать в общедоступных источниках или передавать третьим лицам, получите письменное согласие у каждого посетителя, клиента или подписчика на их обработку, хранение и распространение.

Обезопасьте базу данных. Подготовьте внутренние документы, регламентирующие правила обработки и хранения персональных данных, ответственности сотрудников, имеющих к ним доступ, назначьте лицо, ответственное за безопасность персональных данных и соблюдение правил работы с ними, определенных Федеральным законом N152.

Даже в том случае, если ваш сайт обслуживает другая компания или специалист на аутсорсе, штраф за нарушение закона будет выписан на компанию или ИП, которые указаны на сайте в качестве владельца и, следовательно, получателя персональных данных.

Отправьте, если сайт подпадает под требования Закона, уведомление в Роскомнадзор.

Уведомление можно не подавать, если:

• обрабатываются только данные сотрудников;
• персональные данные получены только для исполнения конкретного договора с конкретным человеком и не будут распространяться или использоваться иным образом;
• у вас хранятся только ФИО клиента;
• данные опубликованы в общем доступе самим человеком или кем-либо по его поручению.

Если уверены, что отправлять уведомление не нужно, оформите всю документацию так, чтобы это было понятно и возможным проверяющим. Укажите в пользовательском соглашении, что данные открыты с согласия пользователя, но помните, что доказывать это придется вам.

По закону операторы персональных данных должны уведомить Роскомнадзор. Это нужно сделать до начала обработки данных или вскоре после. Роскомнадзор внесёт информацию об операторе в Реестр операторов персональных данных.

Кроме того, вы обязаны сообщать по запросу пользователя, какие у вас есть данные о нём, как и для чего они обрабатываются и кому вы их передавали, а также удалять данные по первому требованию лица, персональные данные которого хранятся в вашей базе.

Подготовить документы, опубликовать политику и уведомить РКН бесплатно можно здесь.

Дополнено 04.07.2017:

Мы получили комментарий от сотрудника Роскомнадзора:

"При проверке важно, чтобы у вас на сайте можно было подтвердить согласие на сбор и обработку данных — поле для галочки или какая-то другая форма, публичный документ о целях сбора, порядке обработки персональных данных и обеспечении их безопасности, и ссылка на этот документ на форме, где собираются ПД. Персональными данными мы считаем любую информацию, которую человек оставил на сайте, даже если она недействительна — никнейм, неверный номер телефона и т. д. Штрафы уже были, в основном, за отсутствие документов с политикой в отношении персональных данных или за ошибки в них."

Пример формы регистрации на сайте РИА Новости:

Форма регистрации на сайте

Как видим, подтверждения согласия пользователя на обработку ПД в виде чек-боксов или кнопок "согласен" нет. По ссылке можно перейти на страницу с политикой конфиденциальности, где указано, что пользователь дает это согласие, регистрируясь на сайте:

Согласие на обработку конфиденциальных данных на сайте

Другой пример сайта, где регистрационная форма обязывает пользователя вводить несколько типов персональных данных – Avito:

Форма регистрации

Есть текст, уведомляющий пользователя, что при регистрации он принимает условия пользовательского соглашения, и ссылка на него.

Текст соглашения не содержит информации об обработке персональных данных, кроме указания, что пользователь делает свои данные общедоступными, размещая объявление на сайте.

Текст соглашения

Политика в области обработки и безопасности персональных данных на Avito размещается в разделе "Безопасность", ссылка доступна с любой страницы сайта.

Универсального совета нет. Для каждого сайта в зависимости от рода занятий — своя форма, поэтому лучше проконсультироваться в Роскомнадзоре.