Размещение персональных данных в сети интернет

Персональные данные – любая информация, прямо или косвенно относящаяся к пользователю сети. Хостинг-провайдер при обработке персональных данных принимает все меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления и распространения персональных данных.
Обработка персональных данных гражданина или юридического лица без их согласия не допускается. Обработка персональных данных не должна нарушать прав третьих лиц. Пользователи по своей воле и в своем интересе предоставляют свое согласие на обработку их персональных данных, в том числе, для целей исполнения договора на оказание услуги хостинга. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме.
Обработка персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных в случае необходимости исполнения заключенного договора, а также в иных случаях, предусмотренных законом.
Согласие на обработку персональных данных содержит:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения.
В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные.
Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
На обработку общедоступных персональных данных субъекта его согласие не требуется.
Повторный запрос субъекта персональных данных к оператору о своих персональных данных допускается не ранее 30 дней после первичного обращения с обоснованием причин повторного запроса.
Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных.
Распространение персональных данных пользователя третьим лицам возможно только с согласия этого пользователя.
Для предоставления персональных данных пользователя по запросам органов суда и следствия согласия пользователя не требуется.
(основание – Закон РФ «О персональных данных»)

Согласие на обработку персональных данных пользователя хостинг-провайдером дается посредством принятия (акцепта) пользователем оферты на пользование услугами хостинга. Согласие пользователя, в частности, предполагается также для предоставления его персональных данных в случае возникновения спора с третьим лицом по вопросу о легальности размещенного и/или использования пользователем какого-либо контента в сети «Интернет».

Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных
1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, — влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от тридцати тысяч до пятидесяти тысяч рублей.
2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, — влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от пятнадцати тысяч до семидесяти пяти тысяч рублей.
3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных — влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц — от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от пятнадцати тысяч до тридцати тысяч рублей.
4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, — влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц — от двадцати тысяч до сорока тысяч рублей.
5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, — влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до сорока пяти тысяч рублей.
6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния — влечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до пятидесяти тысяч рублей.
7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных — влечет предупреждение или наложение административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.

(редакция вступает в силу с 01.07.2017; основание -закон N 13-ФЗ от 7 февраля 2017 года)

магистрант кафедры Конституционного, административного и муниципального права, Юридического факультета, ПГУ им.Т.Г.Шевченко,

В современном мире невозможно обойтись без использования сети «Интернет» и число пользователей сети постоянно увеличивается. Человек, используя «мировую паутину», получает полезную информацию, регистрируется на различных ресурсах сети, при этом он может даже не замечать как используются его персональные данные.

Персональные данные это фамилия, имя, отчество, дата и место рождения, адрес, семейное положение, паспортные данные, профессия, место работы, доходы и другая информация, с помощью которой может быть определена личность пользователя. Не являются персональными данными пароли к аккаунтам, так как они не сообщают никакой информации о человеке.

Обработка персональных данных должна осуществляться с согласия субъекта персональных данных на их обработку. Персональные данные являются конфиденциальными, но с согласия их владельца они могут становиться общедоступными (номер телефона, e-mail), так же как и по его требованию они должны быть убраны из общего доступа. Обеспечение конфиденциальности персональных данных не требуется в случае их обезличивания.

В интернете персональные данные могут потребоваться при регистрации электронной почты, в различных социальных сетях, при пользовании услугами электронной коммерции, персонифицированными государственными услугами (on-line подача заявления на регистрацию транспортного средства), интернет – рекрутинг (размещение резюме на сайтах поиска работы).

Такое использование личных данных как их размещение на корпоративных сайтах компании осуществляется с согласия их владельца.

Поэтому и вопрос об информационной безопасности личных данных в современном мире является очень актуальным. С развитием информационных технологий укрепилась и правовая база, регулирующая деятельность в сфере обработки персональных данных.

В Российской Федерации защита персональных данных граждан, в том числе и при обработке персональных данных с использованием средств автоматизации, основана на Конституции РФ, международных договорах РФ, Федеральном законе № 152 – ФЗ от 27.07.2006 «О персональных данных» и других законодательных и нормативно-правовых актах.

Защита персональных данных должна обеспечить защиту прав и свобод человека и гражданина при обработке его персональных данных, право на неприкосновенность частной жизни, личной и семейной тайны, конфиденциальность предоставляемой информации, а также не допущение уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также предотвращение случайного доступа к ним и других неправомерных действий.

Комплекс мер по защите персональных данных включает в себя использование шифровальных средств, антивирусной защиты, защиты доступа к информации индивидуальным паролем, анализ защищенности, обнаружение и предотвращение вторжений, управление доступом, регистрацию и учет.

Большинство компаний, работающих в сети Интернет, предоставляют свои услуги клиентам на основе пользовательских соглашений. Пользовательское соглашение должно предусматривать согласие субъекта персональных данных на их обработку по ряду законных оснований, хотя есть компании, пользовательские соглашения которых не предусматривают получение согласия владельца данных.

Принятие пользовательского соглашения по закону представляет собой заключение договора на оказание услуг, на который распространяются нормы Гражданского кодекса установленные для сделок.

Поэтому в случае обработки персональных данных пользователя в целях продвижения товаров и услуг, через прямые контакты с потенциальными потребителями при помощи средств связи, на операторе лежит обязанность получить предварительное согласие владельца личных данных.

Сейчас большинство рекламных компаний используют в сети таргетированную рекламу. Таргетированная реклама – методика анализа данных, при котором маркетологи собирают информационные электронные базы данных о клиентах для создания профилей пользователей, которые будут наиболее восприимчивы к их сообщениям. [3]

Она позволяет накапливать данные о пользователях, набор персональных данных, а именно cookie-файлов (небольшой файл, состоящий из букв и цифр). Механизм работы cookie-файлов состоит в том, что при посещении пользователем определенных сайтов данные cookie загружаются на его устройство, затем отправляются обратно на сайт и отображаются при каждом последующем визите. Cookie-файлы содержат ценную информацию, так как она позволяет признать устройство пользователя, заходящего на сайт и использовать его личные данные.[4]

Обычно в пользовательском соглашении указывается наличие таргетированной рекламы, хотя в них может и не быть никаких данных о cookie-файлах, и если пользователь отключит передачу cookie-файлов, то доступ к серверу может стать невозможным без объяснения со стороны оператора каких-либо причин, а предоставляемая таргетированная реклама однозначно основана на последних данных о посещении пользователем страниц в сети Интернет.

Например, при создании аккаунта на таких серверах как Yandex и Google для защиты своих личных данных, необходимо ознакомиться с политикой конфиденциальности этих компаний, условиями использования.[6,7]

Большое значение имеет решение таких вопросов как автоматическое изменение пользовательского соглашения и сроки хранения обрабатываемой информации. В случае изменения цели или объема обрабатываемой информации необходимо уведомить субъекта персональных данных и получить его повторное согласие, автоматического изменения соглашения быть не должно. Также должны быть указаны сроки хранения обрабатываемой информации, которые не должны быть избыточными, и сроки, по истечению которых, информация о личных данных пользователя будет удалена.

Часто пользователю предоставляется право восстановления удаленного аккаунта, что предполагает хранение информации о пользователе неопределенное время.

Например, компания Google не удаляет личные данные пользователя со всех серверов за установленный период после удаления аккаунта. Данные остаются у компании Google в back-up хранилище, срок хранения данных в котором американская компания не указала ни в одном документе».[3]

Возникает отдельный вопрос о защите персональных данных при пользовании услугами электронной коммерции. Совершая онлайн покупки, важно внимательно изучить сайт на предмет соответствия нормам закона и не стоит привязывать свою банковскую карту к платежной системе сайта.

В заключении хотелось бы отметить, что пользователи сети Интернет могут сами обезопасить свои персональные данные при внимательном изучении сайтов, соглашений об обработке персональных данных, внимательно следить за тем, что и кому отправляется в сообщении, не привязывать свои банковские карты к платежным системам сайтов, не доверять подозрительным сайтам и при выявлении нарушений законодательства обращаться в соответствующие контролирующие органы.

Операторы сайта также должны соблюдать права владельцев личных данных, получая предварительное согласие пользователя на обработку данных необходимо проинформировать в пользовательском соглашении о цели обработки данных, их виде, объеме, сроках хранения, по истечении которых данные будут уничтожены.

Важно отметить и тот факт, что с распространением новых технологий необходимо обеспечить более надежную форму защиты персональных данных как гармонизацией внутреннего законодательства, так и оперативным законодательным реагированием на появление новых угроз.

Что нужно знать владельцу интернет-ресурса об обработке персональных данных.

1 июля 2017 года вступили в силу изменения в статью 13.11 Кодекса об административных правонарушениях (КоАП РФ), регулирующую ответственность за соблюдение законодательства о персональных данных.

Ранее предусматривался один состав правонарушения — нарушение законодательства о персональных данных. Сейчас этот перечень развернут в 7 пунктов. Увеличивается и размер штрафов. Дела об административных правонарушениях в области персональных данных будут рассматривать территориальные отделения Роскомнадзора.

Сам же Закон «О персональных данных» действует уже 10 лет, кардинально не меняясь. Поэтому непонятна паника, которую раздувают некоторые СМИ. Тем не менее, для владельцев любых сайтов, собирающих данные пользователей, я выделил следующие важные моменты.

Политика обработки персональных данных на сайте

Пункт 3 статьи 13.11 КоАП РФ: невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных — влечет предупреждение или наложение административного штрафа:

• на граждан в размере от 700 до 1 500 рублей;
• на должностных лиц — от 3 000 до 6 000 рублей;
• на индивидуальных предпринимателей — от 5 000 до 10 000 рублей;
• на юридических лиц — от 15 000 до 30 000 рублей.

Минимум, что нужно сделать сейчас, — разместить на сайте политику обработки персональных данных.

Особых требований к месту размещения законодатель не устанавливает, однако рекомендую ссылку на политику установить на главной странице, а также продублировать ее в местах размещения форм для сбора персональных данных. Политика обработки персональных данных должна быть доступной для любого пользователя.

Чек-лист для разработки политики обработки персональных данных (ПД) на сайте

Что нужно проверить:

• любые формы отправки сообщений по типу «задать вопрос» и поля, обязательные для заполнения. Их нужно будет указать в политике обработки ПД в разделе «Объём ПД»;
• регистрация пользователя / личный кабинет / авторизация через соцсети. Проверить поля, обязательные для заполнения. Указать их в политике обработки ПД в разделе «Объём ПД»;
• форма заказа обратного звонка — какие поля в ней обязательны для заполнения. Эти данные нужно будет указывать в политике обработки ПД в разделах «Объем ПД» и «Цели ПД»;
• рассылка. Если есть форма подписки на рассылку, то необходимо размещать согласие на обработку ПД и согласие на получение рассылки (всё можно делать в одном документе). На рассылку нужно также сослаться в разделе «Цели ПД»;
• отзывы посетителей / клиентов / партнёров с ПД (благодарственные письма и т.д). Если пользователь пишет отзыв сам, то нужно размещать согласие на обработку ПД. Если выкладываются сканы благодарственных писем, то нужно предварительно обсудить с партнёром возможность получения такого согласия;
• возможность отправки резюме. В этом случае необходимо согласие на обработку ПД в целях трудоустройства.

База данных сайта с персональными данными пользователей должна находится на территории России.

Если политика обработки ПД (документ может называться «политика конфиденциальности» или аналогично) уже есть на сайте, проверьте по чек-листу цели сбора и объёмы ПД. Лишней информации там быть не должно быть. Принцип «лучше укажем больше данных, вдруг пригодится» неприемлем. Важно помнить, что объём собираемых данных должен соответствовать цели обработки. Универсальных критериев такого соответствия не существует, поэтому нужно руководствоваться принципами разумности и достаточности.

• для заказа авиабилетов нужны паспортные данные, для доставки пиццы — нет;
• для доставки заказа курьером интернет-магазина нужен адрес доставки, для самовывоза — нет;
• для бронирования билета в кино — вообще ничего не нужно, если не оплачивается онлайн.

Если на сайте нет никаких форм обратной связи, нет возможности заказать обратный звонок и т.п. — персональные данные не обрабатываются, следовательно, политику обработки ПД размещать не нужно.

Цель и объем сбора персональных данных

Излишний объем данных, собираемых у пользователя, может быть самостоятельным нарушением. Пункт 1 статьи 13.11 КоАП: обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, — влечет предупреждение или наложение административного штрафа:

• на граждан в размере от 1 000 до 3 000 рублей;
• на должностных лиц — от 5 000 до 10 000 рублей;
• на юридических лиц — от 30 000 до 50 000 рублей.

Таким образом, собираемые персональные данные должны соответствовать цели их обработки и не быть излишними.

Поэтому в политике обработки персональных данных должна быть указана цель обработки и объем.

Пример

Самый частый случай сбора данных на сайте — заказ обратного звонка.

В этом случае достаточно просить указать пользователя лишь номер телефона. Если же для обратного звонка вы просите указать электронную почту, ФИО, адрес, место работы, должность, то такие данные считаются излишними, не соответствующими целям обработки, и, следовательно, их сбор является нарушением.

Без крайней необходимости не осуществляйте сбор паспортных данных. Чаще всего они не нужны. Для выполнения заказа, например, в интернет-магазине, достаточно указать телефон и адрес доставки.

Определившись с целями и объемом обработки персональных, составьте свою политику обработки, разместите на сайт.

Кстати говоря. Я направлял такой запрос в Роскомнадзор:

Необходимо ли размещение политики обработки персональных данных на сайте доставки товаров, если для оформления заказа пользователь указывает только номер телефона? Оператор сайта звонит покупателю по указанному номеру, уточняет детали заказа и адрес доставки. В дальнейшем (после доставки заказа) номер телефона, имя и фамилия покупателя, адрес доставки не сохраняется и не обрабатывается владельцем сайта.

И вот какой ответ получил:

По информации, содержащейся в обращении, дать правовую оценку по существу поставленного вопроса не представляется возможным.

По сути, это означает, что не любой случай сбора персональных данных влечет за собой необходимость размещения политики обработки этих данных, что не отменяет необходимости изучения этого вопроса для каждого сайта индивидуально.

Согласие на обработку персональных данных

Когда необходима письменная форма согласия на обработку ПД

Письменная форма — это документ в печатном виде с оригинальной (не сканированной, не факсимильной) подписью субъекта. Письменная форма не будет соблюдена, если она получена по электронной почте в виде отсканированного документа. Согласие в форме электронного документа может быть подписано электронной подписью в соответствии с ФЗ «Об электронной подписи». Требования к содержанию письменной формы установлены пунктом 4 статьи 9 ФЗ «О персональных данных».

Письменная форма согласия на обработку персональных данных необходима только в случаях, прямо предусмотренных законом. Всего таких случаев пять, и они описаны в статьях 8, 10, 11, 12 и 16 ФЗ «О персональных данных»:

• Статья 8 касается случаев создания общедоступных источников информации (справочников, адресных книг и т.п.). В эти справочники вы можете включать сведения о лицах, предварительно получив от них письменное согласие на обработку персональных данных.
• Статья 10 — специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
• Статья 11 говорит об обработке биометрических персональных данных: фото- и видеоизображения, отпечатков пальцев, ДНК. Фото и видео признаются обработкой персональных данных в том случае, если они используются для установления личности. Съёмка с обычной камеры наблюдения в офисе, в супермаркете или на улице обработкой персональных данных не является.
• Статья 12 касается трансграничной передачи персональных данных.
• Статья 16 запрещает принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы — только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами.

Есть случаи, когда персональные данные могут быть обработаны без согласия субъекта — это пункты 2-11 части 1 статьи 6, часть 2 статьи 10 ФЗ «О персональных данных».

Во всех иных случаях (т.е. когда нет требования получать согласие в письменной форме или когда согласие не требуется) согласие может быть получено в любой форме, позволяющей подтвердить получение такого согласия. Подтверждать наличие такого согласия должен оператор обработки персональных данных.

Гиперссылку на согласие на обработку персональных данных рекомендуем устанавливать рядом с кнопками «отправить», «далее», « подписаться на рассылку» и подобными, сопровождая текстом:«Нажимая на кнопку ОТПРАВИТЬ, я подтверждаю, что ознакомился с политикой обработки персональных данных и даю согласие на обработку персональных данных » , где текст, выделенный курсивом, — это гиперссылки на соответствующие документы.

Уведомление в Роскомнадзор

В определенных случаях необходимо подать уведомление в Роскомнадзор по месту регистрации (юр. лица, предпринимателя или гражданина — администратора сайта) для включения в реестр обработки персональных данных. Если такое уведомление не предоставить, то возможно привлечение к ответственности по статье 19.7 КоАП — предупреждение или наложение административного штрафа

• на граждан в размере от 100 до 300 рублей;
• на должностных лиц — от 300 до 500 рублей;
• на юридических лиц — от 3 000 до 5 000 рублей.

Форма и содержание уведомления, порядок его заполнения есть на сайте Роскомнадзора. Правда, представители Роскомнадзора пока никого за это не штрафуют — и не факт, что будут штрафовать.

В пункте 2 ст. 22 ФЗ «О персональных данных» перечислены случаи, когда уведомление в Роскомнадзор подавать не требуется. Всего таких случаев девять. Самый распространенный — персональные данные получены в связи с заключением договора, если при том персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных. Эти данные должны использоваться исключительно для исполнения указанного договора и заключения договора с субъектом персональных данных.

Заключение

Если на сайте не размещена политика обработки персональных данных, то его владелец не выполняет требования Закона «О персональных данных».

Указанные выше рекомендации относятся ко владельцам любых сайтов, которые так или иначе поддерживают обратную связь со своими посетителями.

Дополнительные требования могут быть предъявлены к интернет-магазинам, сервисам по подбору персонала, сервисам бронирования билетов, приема платежей, сетевых изданий (СМИ) и т.п. Про использование персональных данных в СМИ я напишу отдельно.

Поэтому прошу внимательно отнестись к подготовке документов, не используя «типовых форм политики обработки персональных данных», поскольку их не существует. За помощью обращайтесь к юристам, специализирующимся в этой отрасли.

Постскриптум

А вы знали, что дополнительные требования к информации, размещаемой на любых сайтах установлены и Федеральным законом «Об информации»?

Пункт 2 статьи 10 Федерального закона от 27.07.2006 №149-ФЗ (ред. от 06.07.2016) «Об информации, информационных технологиях и о защите информации»:

Информация, распространяемая без использования средств массовой информации, должна включать в себя достоверные сведения о ее обладателе или об ином лице, распространяющем информацию, в форме и в объеме, которые достаточны для идентификации такого лица.

Владелец сайта в сети «Интернет» обязан разместить на принадлежащем ему сайте информацию о своих наименовании, месте нахождения и адресе, адресе электронной почты для направления заявления, указанного в статье 15.7 настоящего Федерального закона (досудебные меры по прекращению нарушения авторских прав), а также вправе предусмотреть возможность направления этого заявления посредством заполнения электронной формы на сайте в сети «Интернет».

28 июля Михаил Хохолков, ведущий юрист ИНТЕЛЛЕКТ-С, в студии телеканала Malina.Am рассказал о поправках в закон о персональных данных.

Читайте также на тему персональных данных: «Персональные данные: закон суров. »