Положение об обработке персональных данных пользователей интернет-портала rusюрист.ру

Все, наверное, уже слышали, что 01.07.2017 152-ФЗ «О персональных данных» был изменен и доработан.

Штрафы увеличились до 75 000, проверка для органов Роскомнадзора стала проще: достаточно зафиксировать отсутствие важных на сайте форм, документов, ссылок с помощью скриншота.

Важно, что за каждое даже незначительное несоответствие составляется отдельный штраф. Так что итоговая сумма может стать заоблачной.

Что считается персональными данными по 152-ФЗ

Любая информация о физическом лице: имя, фамилия, отчество; дата, месяц, год рождения; номер телефона; email; адрес проживания; любое социальное положение; образование; профессия. В эту категорию относятся куки-файлы, геопозиция, IP-адрес и информация о поведенческих факторах пользователя.

Теперь все сайты, собирающие базу подписчиков, и интернет-магазины обязаны размещать информацию о персональных данных и их защите. А сами персональные данные должны обрабатываться только с согласия оставившего их пользователя. Такое согласие можно получать с помощью «галочки» под формами.

Выходит, даже если у вас на сайте есть обратный звонок, вы автоматические становитесь оператором персональных данных. И данные, накопленные на вашем сайте, должны обрабатываться по 152-ФЗ.

Чтобы не схлопотать штраф до 75 000 рублей и возбуждение административного дела, на сайте интернет-магазина должны быть:

1. Документ о Политике конфиденциальности

Документ по обработке персональных данных интернет-магазина должен быть размещен в свободном доступе. Все подробные условия текста можно прочитать на сайте Роскомнадзора или на сайте «КонсультантПлюс». Примеры Политики конфиденциальности смотрите в крупных федеральных компаниях – там они хорошо проработаны.

В тексте должны быть следующие пункты:

• каким образом и для каких целей собираются персональные данные;
• как могут использоваться эти данные;
• что происходит с куки-файлами;
• как данные предоставляются другим организациям; Важное замечание. Не забывайте заключать соглашение на согласие на обработку персональных данных на сайте со сторонними компаниями, с которыми вы сотрудничаете (служба доставки, банк, хостер и т. д.), об обеспечении безопасности персональных данных. В соглашении должно быть указано, какие персональные данные компания обрабатывает, в каких целях и какие действия с ними выполняет, как должна их защищать.
• сколько хранятся данные и как обеспечивается их защита;
• что не будет происходить с персональными данными;
• контактные данные организации и изменения в Политику конфиденциальности.

В конце текста про политику конфиденциальности добавьте рабочий адрес электронной почты, куда пользователь может обратиться с просьбой удаления, изменения или блокировки данных. Сотрудникам необходимо ежедневно проверять письма, чтобы не пропустить ни один запрос.

2. Ссылка на документ о Политике конфиденциальности с главной страницы

Это нужно для того, чтобы любой пользователь и проверяющий орган увидел, что документ находится в свободном доступе, и его легко найти. Как правило, достаточно разместить общую ссылку в подвале сайта. Например так:

• 
• Или так:
• 
• 3. Надпись или «галочка», которая подтверждает согласие пользователя на обработку персональных данных
• Обязательна под каждой формой на сайте.
• Например, вот так получают согласие пользователя на обработку персональных данных на сайте интернет-магазина ASOS:
• 
• А вот так получают согласие пользователя на сайте интернет-магазина «Эльдорадо»:
• 
• Согласие пользователя на обработку персональных данных на сайте «МВидео».
• 
• 4. Дисклеймер

Это всплывающее сообщение-предупреждение, что на сайте собираются статистические данные. Те самые куки-файлы, информация о геопозиции и поведенческие, о которых мы говорили выше.

Наличие дисклеймера четко не регламентировано, но многие юристы советуют его установить. Чтобы не испугать посетителей сайта, лучше делать его незаметным, настраивать показ окна только новым пользователям и скрывать его от повторных заходов.

1. Вот так реализовали дисклеймер на сайте интернет-магазина H&M:
2. 
3. А вот дисклеймер сайта Jacobs:
4. 
5. И даже у Сбербанка есть дисклеймер:
6. 
7. И еще важные моменты по 152-ФЗ:

1. Уточните, где физически находится хостинг сайта

   Эту информацию вам предоставят специалисты технической поддержки сайта. По новым правилам, хостинг должен располагаться на территории Российской Федерации, чтобы данные хранились в нашей стране. Если базы данных находятся за границей, переезжайте на другой хостинг.

2. Зарегистрируйте себя в Роскомнадзоре в качестве оператора, работающего с персональными данными

   Это можно сделать на сайте Роскомнадзора, заполнив форму уведомления. Но предварительно нужно подготовить пакет документов. Далее форму нужно распечатать и отнести в территориальный орган Роскомнадзора. Когда мы ведем подготовку сайтов наших клиентов по ФЗ-152, в тарифе 100% защита даем подробную инструкцию о том, как подать заявку в РКН и предоставляем чек-лист обязательных документов.

3. Не забывайте о биометрических и персональных данных специальных категорий

   Если, конечно, ваша деятельность требует такой информации от клиента. Согласите пользователя сайта должно оставляться в письменной форме и только.

Обязательно подготовьте сайт к обработке персональных данных и выполните все пункты, описанные в статье. Если нужна будет помощь – обращайтесь, у нас предусмотрены 3 тарифа, в зависимости от специфики вашего сайта и количества страниц. Защитите сайт со всех сторон.

Как владельцам сайтов работать с персональными данными, чтобы избежать штрафа

С 1 июля 2017 г. возбуждать дела об административных правонарушениях будут органы Роскомнадзора, а не прокуратура, как это делается сегодня. Уже сейчас понятно, что данные дела будут возбуждаться проще и быстрее, так как это будет делать сам орган, выявивший правонарушение.

В настоящее время за нарушение закона №152 ФЗ «О защите персональных данных» (сколько бы таких нарушений за 1 раз не было выявлено) можно привлечь только 1 раз. Начиная с 1 июля 2017 г. Роскомнадзор за один «визит» может составить сколько угодно протоколов об административном правонарушении по каждому нарушению. О размере возможно штрафа в таком случае можно только догадываться.

Расположение хостинга сайта

В соответствии с ФЗ № 152, все интернет-ресурсы, на которых хранятся и обрабатываются персональные данные, должны быть расположены на территории Российской Федерации.

С учётом того, что контролирующие органы считают персональными данными также и данные о поведении пользователя на сайте, то это касается практически любого интернет-ресурса.

За нарушение этого требования Роскомнадзор их блокирует.

Под расположением хостинга подразумевается физическое местонахождение ЦОДа, на котором размещен ваш сайт. То есть, если хостинг-провайдер зарегистрирован в России, а его ЦОДы расположены, к примеру, в Эстонии, вы нарушаете закон и попадаете под блокировку сайта.

Что нужно сделать на сайте, чтобы избежать штрафов

Мы составили список работ, которые стоит сделать на своём сайте прямо сейчас. Это тот необходимый минимум, который позволит вам избежать проблем в случае проверок Роскомнадзора.

1.    Добавить текст согласия на обработку персональных данных

Под каждой формой ввода данных на сайте (регистрация, заявки на услугу, обратный звонок) разместить текст «Нажимая на кнопку «Название кнопки», я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на документ. Примеры документов вы можете посмотреть на федеральных сайтах, например, ozon.ru и tinkoff.ru. 

Вместо согласия можно использовать единую публичную оферту, но в ней будет нужно прописать, в каких целях, какие данные обрабатываются, то есть указать всё, согласно ч.4 ст.9 152-ФЗ. В этом случае обязательно хранить логи, чтобы, в случае чего, доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и оставлял там свои персональные данные.

2.    Составить документ «Политика в отношении обработки персональных данных»

Этот документ нужно разместить на сайте в свободном доступе. В данном документе должны быть описаны процедуры сбора, обработки и хранения персональных данных пользователей сайта. Хорошо проработанный документ о политике в отношении обработки персональных данных есть на ikea.com. При этом с данным документом регистрирующийся не должен соглашаться при заполнении формы.

3.    Узнать, где находится хостинг сайта

Узнать у хостинг-провайдера, где физически находится ЦОД, в котором расположен ваш сайт и, в случае, если он расположен не на территории РФ, перенести сайт на другой хостинг. Сделать это вы можете, отправив запрос в техническую поддержку сайта.

4.    Указать email для обращений пользователей по персональным данным

Укажите email, куда физическое лицо может обратиться за тем, чтобы его персональные данные были удалены, заблокированы и вообще, куда он может задать вопрос по персональным данным. Email можно указать в документах, описанных выше.

Важно, чтобы указанный email был рабочим, информация на нем регулярно проверялась, чтобы не пропустить запрос пользователя на удаление персональных данных с сайта.

5.    Подать уведомление об обработке персональных данных в Роскомнадзор

Вам или агентству-разработчику сайта необходимо подать уведомление об обработке персональных данных в Роскомнадзор, для этого нужно перейти по ссылке и помимо всего прочего указать там адреса местонахождения баз персональных данных и перечень персональных данных, которые в них содержатся.

6.    Заключить соглашение о безопасности персональных данных с разработчиком сайта

В случае если агентство-разработчик сайта имеет доступ к персональным данным из заявок или базы данных сайта (например, сайт находится на технической поддержке), вам необходимо заключить соглашение с агентством об обеспечении безопасности персональных данных. В соглашении должно быть указано, какие персональные данные агентство может обрабатывать, в каких целях и какие действия с ними выполнять. Также там должны быть требования по защите персональных данных.

7.    Поставить на сайте дисклеймер

До 1 июля 2017 года поставить на сайте дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и, если он не согласен, то должен покинуть сайт. Примеры дисклеймеров вы можете посмотреть на сайтах marykay.ru и bmw.ru. В противном случае это будет являться согласием на обработку его персональных данных.

Список внушительный, но не стоит бояться этих изменений. Специалисты Мэйка в течение 5 рабочих дней внесут изменения, которые обезопасят ваш сайт от штрафов Роскомнадзора

Мы оказываем эту услугу как нашим клиентам в рамках технического обслуживания, так и сторонним сайтам

152-ФЗ, или Персональные данные на сайте

10 июля 2017

Что нужно знать владельцу интернет-ресурса об обработке персональных данных

Михаил Хохолков, ИНТЕЛЛЕКТ-С: «Минимум, что нужно сделать владельцу сайта, — разместить на сайте политику обработки персональных данных».

Хохолков Михаил ВладимировичВедущий юрист

1 июля 2017 года вступили в силу изменения в статью 13.11 Кодекса об административных правонарушениях (КоАП РФ), регулирующую ответственность за соблюдение законодательства о персональных данных.

Ранее предусматривался один состав правонарушения — нарушение законодательства о персональных данных. Сейчас этот перечень развернут в 7 пунктов. Увеличивается и размер штрафов. Дела об административных правонарушениях в области персональных данных будут рассматривать территориальные отделения Роскомнадзора.

Сам же Закон «О персональных данных» действует уже 10 лет, кардинально не меняясь. Поэтому непонятна паника, которую раздувают некоторые СМИ. Тем не менее, для владельцев любых сайтов, собирающих данные пользователей, я выделил следующие важные моменты. 

Политика обработки персональных данных на сайте

Пункт 3 статьи 13.

11 КоАП РФ: невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных — влечет предупреждение или наложение административного штрафа:

• на граждан в размере от 700 до 1 500 рублей;
• на должностных лиц — от 3 000 до 6 000 рублей;
• на индивидуальных предпринимателей — от 5 000 до 10 000 рублей;
• на юридических лиц — от 15 000 до 30 000 рублей. 

Минимум, что нужно сделать сейчас, — разместить на сайте политику обработки персональных данных.

Особых требований к месту размещения законодатель не устанавливает, однако рекомендую ссылку на политику установить на главной странице, а также продублировать ее в местах размещения форм для сбора персональных данных. Политика обработки персональных данных должна быть доступной для любого пользователя.

Чек-лист для разработки политики обработки персональных данных (ПД) на сайте

Что нужно проверить:

• любые формы отправки сообщений по типу «задать вопрос» и поля, обязательные для заполнения. Их нужно будет указать в политике обработки ПД в разделе «Объём ПД»;
• регистрация пользователя / личный кабинет / авторизация через соцсети. Проверить поля, обязательные для заполнения. Указать их в политике обработки ПД в разделе «Объём ПД»;
• форма заказа обратного звонка — какие поля в ней обязательны для заполнения. Эти данные нужно будет указывать в политике обработки ПД в разделах «Объем ПД» и «Цели ПД»;
• рассылка. Если есть форма подписки на рассылку, то необходимо размещать согласие на обработку ПД и согласие на получение рассылки (всё можно делать в одном документе). На рассылку нужно также сослаться в разделе «Цели ПД»;
• отзывы посетителей / клиентов / партнёров с ПД (благодарственные письма и т.д). Если пользователь пишет отзыв сам, то нужно размещать согласие на обработку ПД. Если выкладываются сканы благодарственных писем, то нужно предварительно обсудить с партнёром возможность получения такого согласия;
• возможность отправки резюме. В этом случае необходимо согласие на обработку ПД в целях трудоустройства.

База данных сайта с персональными данными пользователей должна находится на территории России.

Если политика обработки ПД (документ может называться «политика конфиденциальности» или аналогично) уже есть на сайте, проверьте по чек-листу цели сбора и объёмы ПД. Лишней информации там быть не должно быть.

Принцип «лучше укажем больше данных, вдруг пригодится» неприемлем. Важно помнить, что объём собираемых данных должен соответствовать цели обработки.

Универсальных критериев такого соответствия не существует, поэтому нужно руководствоваться принципами разумности и достаточности.

Примеры:

• для заказа авиабилетов нужны паспортные данные, для доставки пиццы — нет;
• для доставки заказа курьером интернет-магазина нужен адрес доставки, для самовывоза — нет;
• для бронирования билета в кино — вообще ничего не нужно, если не оплачивается онлайн.

Если на сайте нет никаких форм обратной связи, нет возможности заказать обратный звонок и т.п. — персональные данные не обрабатываются, следовательно, политику обработки ПД размещать не нужно.

Цель и объем сбора персональных данных

Излишний объем данных, собираемых у пользователя, может быть самостоятельным нарушением. Пункт 1 статьи 13.

11 КоАП: обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, — влечет предупреждение или наложение административного штрафа: 

• на граждан в размере от 1 000 до 3 000 рублей;
• на должностных лиц — от 5 000 до 10 000 рублей;
• на юридических лиц — от 30 000 до 50 000 рублей. 

Таким образом, собираемые персональные данные должны соответствовать цели их обработки и не быть излишними. 

Поэтому в политике обработки персональных данных должна быть указана цель обработки и объем.

Пример

Самый частый случай сбора данных на сайте — заказ обратного звонка.

В этом случае достаточно просить указать пользователя лишь номер телефона. Если же для обратного звонка вы просите указать электронную почту, ФИО, адрес, место работы, должность, то такие данные считаются излишними, не соответствующими целям обработки, и, следовательно, их сбор является нарушением.

Без крайней необходимости не осуществляйте сбор паспортных данных. Чаще всего они не нужны. Для выполнения заказа, например, в интернет-магазине, достаточно указать телефон и адрес доставки.

Определившись с целями и объемом обработки персональных, составьте свою политику обработки, разместите на сайт. 

Кстати говоря. Я направлял такой запрос в Роскомнадзор:

Необходимо ли размещение политики обработки персональных данных на сайте доставки товаров, если для оформления заказа пользователь указывает только номер телефона? Оператор сайта звонит покупателю по указанному номеру, уточняет детали заказа и адрес доставки. В дальнейшем (после доставки заказа) номер телефона, имя и фамилия покупателя, адрес доставки не сохраняется и не обрабатывается владельцем сайта. 

И вот какой ответ получил: 

По информации, содержащейся в обращении, дать правовую оценку по существу поставленного вопроса не представляется возможным. 

По сути, это означает, что не любой случай сбора персональных данных влечет за собой необходимость размещения политики обработки этих данных, что не отменяет необходимости изучения этого вопроса для каждого сайта индивидуально.

Согласие на обработку персональных данных

Когда необходима письменная форма согласия на обработку ПД

Письменная форма — это документ в печатном виде с оригинальной (не сканированной, не факсимильной) подписью субъекта. Письменная форма не будет соблюдена, если она получена по электронной почте в виде отсканированного документа.

Согласие в форме электронного документа может быть подписано электронной подписью в соответствии с ФЗ «Об электронной подписи». Требования к содержанию письменной формы установлены пунктом 4 статьи 9 ФЗ «О персональных данных».

Письменная форма согласия на обработку персональных данных необходима только в случаях, прямо предусмотренных законом. Всего таких случаев пять, и они описаны в статьях 8, 10, 11, 12 и 16 ФЗ «О персональных данных»:

• Статья 8 касается случаев создания общедоступных источников информации (справочников, адресных книг и т.п.). В эти справочники вы можете включать сведения о лицах, предварительно получив от них письменное согласие на обработку персональных данных.
• Статья 10 — специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
• Статья 11 говорит об обработке биометрических персональных данных: фото- и видеоизображения, отпечатков пальцев, ДНК. Фото и видео признаются обработкой персональных данных в том случае, если они используются для установления личности. Съёмка с обычной камеры наблюдения в офисе, в супермаркете или на улице обработкой персональных данных не является.
• Статья 12 касается трансграничной передачи персональных данных.
• Статья 16 запрещает принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы — только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами.

Есть случаи, когда персональные данные могут быть обработаны без согласия субъекта — это пункты 2-11 части 1 статьи 6, часть 2 статьи 10 ФЗ «О персональных данных».

Во всех иных случаях (т.е. когда нет требования получать согласие в письменной форме или когда согласие не требуется) согласие может быть получено в любой форме, позволяющей подтвердить получение такого согласия. Подтверждать наличие такого согласия должен оператор обработки персональных данных.

Гиперссылку на согласие на обработку персональных данных рекомендуем устанавливать рядом с кнопками «отправить», «далее», «подписаться на рассылку» и подобными, сопровождая текстом:«Нажимая на кнопку ОТПРАВИТЬ, я подтверждаю, что ознакомился с политикой обработки персональных данных и даю согласие на обработку персональных данных», где текст, выделенный курсивом, — это гиперссылки на соответствующие документы.

Уведомление в Роскомнадзор

В определенных случаях необходимо подать уведомление в Роскомнадзор по месту регистрации (юр. лица, предпринимателя или гражданина — администратора сайта) для включения в реестр обработки персональных данных. Если такое уведомление не предоставить, то возможно привлечение к ответственности по статье 19.7 КоАП — предупреждение или наложение административного штрафа

• на граждан в размере от 100 до 300 рублей;
• на должностных лиц — от 300 до 500 рублей;
• на юридических лиц — от 3 000 до 5 000 рублей. 

Форма и содержание уведомления, порядок его заполнения есть на сайте Роскомнадзора. Правда, представители Роскомнадзора пока никого за это не штрафуют — и не факт, что будут штрафовать.

В пункте 2 ст. 22 ФЗ «О персональных данных» перечислены случаи, когда уведомление в Роскомнадзор подавать не требуется. Всего таких случаев девять.

Самый распространенный — персональные данные получены в связи с заключением договора, если при том персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных.

Эти данные должны использоваться исключительно для исполнения указанного договора и заключения договора с субъектом персональных данных.

Заключение

Если на сайте не размещена политика обработки персональных данных, то его владелец не выполняет требования Закона «О персональных данных».

Указанные выше рекомендации относятся ко владельцам любых сайтов, которые так или иначе поддерживают обратную связь со своими посетителями.

Дополнительные требования могут быть предъявлены к интернет-магазинам, сервисам по подбору персонала, сервисам бронирования билетов, приема платежей, сетевых изданий (СМИ) и т.п. Про использование персональных данных в СМИ я напишу отдельно.

Поэтому прошу внимательно отнестись к подготовке документов, не используя «типовых форм политики обработки персональных данных», поскольку их не существует. За помощью обращайтесь к юристам, специализирующимся в этой отрасли.

Постскриптум

А вы знали, что дополнительные требования к информации, размещаемой на любых сайтах установлены и Федеральным законом «Об информации»?

Кому не нужно уведомлять Роскомнадзор об обработке персональных данных

По общему правилу операторы персональных данных перед обработкой этих данных обязаны направить уведомление в Роскомнадзор. При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не нужно. 

Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведений (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). С 1 июля 2017 года введены повышенные административные штрафы за несоблюдение требований Федерального закона № 152-ФЗ. 

Отправить сообщение в Роскомнадзор можно по интернету на официальном сайте ведомства. В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.

При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Не требуется подавать уведомление в следующих случаях:

• При сборе и обработке персональных данных без использования средств автоматизации. Если обработка осуществляется без компьютера и электронных баз данных, уведомлять Роскомнадзор не требуется. При этом оператор данных должен соблюдать требования Постановления Правительства РФ от 15.09.2008 № 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Если компания использует компьютеры, это не значит, что обработка данных осуществляется с использованием средств автоматизации. Неавтоматизированной обработкой персданных считается использование, уточнение, распространение, уничтожение персональных данных, которые осуществляются при непосредственном участии человека.
• При сборе личных сведений сотрудников в рамках трудовых отношений. Это касается только тех данных, которые необходимо предоставить работодателю при оформлении трудового и коллективного договора. О сборе и обработке сведений, которые не касаются трудовых отношений нужно уведомлять Роскомнадзор. Также уведомлять нужно, если работодатель собирается обрабатывать данные уволенных сотрудников (п. 1 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При оформлении компанией договора с физическим лицом. В этом случае уведомлять Роскомнадзор не нужно, если исполнитель/продавец/поставщик не собирается передавать персональные данные третьим лицам (п. 2 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены.
• При сборе сведений общественным объединением или религиозной организацией. Обработка сведений членов таких организаций осуществляется без уведомления, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При сборе и обработке сведений, которые само физическое лицо сделало общедоступными (п. 4 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При сборе персональных данных, которые включают только имя, отчество и фамилию физического лица (п. 5 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При получении сведений для однократного пропуска физического лица на территорию оператора данных (п. 6 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При обработке данных, включенных в информационные системы персональных данных, имеющих статус государственных автоматизированных информационных систем (п. 7 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При сборе сведений транспортными компаниями для обеспечения безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса.

Во всех других случаях уведомлять об обработке данных нужно обязательно. Чтобы уточнить, обязана ли ваша организация подавать уведомление, можно обратиться в Роскомнадзор.

О том, как обезопасить свой бизнес от штрафов по Закону №152-ФЗ, читайте в статье «Закон 152-ФЗ о персональных данных: как обезопасить бизнес от новых штрафов с 1 июля 2017».

Как действовать законно: образец обработки персональных данных, полученных на сайте

Персональные данные – это та информация о человеке, по которой можно идентифицировать его личность. За незаконный сбор, обработку и разглашение таких сведений предусмотрена ответственность. Все ли владельцы сайтов являются операторами персональных данных или есть исключения?

Скрыть содержание

В каких случаях нужно уведомлять роскомнадзор?

К персональным данным закон относит всякую информацию, которая прямо или косвенно относится определяемому лицу. Но что именно считается такой информацией – нужно выяснять в каждом отдельном случае.

Так, чаще всего, сочетание имени, фамилии, отчества, физического адреса, электронной почты, номера телефона, даты или места рождения, изображения или фото человека, информация о его профессиональной деятельности, уровне зарплаты, даты и места рождения, а также семейном положении дают не только исчерпывающие сведения о человеке, но и делают его уязвимым.

Нужно задаться вопросом: можно ли по собранной информации определить личность? Если ответ положительный, то владелец сайта, требующий эти сведения, уже является оператором. И не важно, в какой форме происходит запрос – обратная связь, регистрация, размещение объявлений.

Важно! Одного имени для наступления юридической ответственности мало. Номер телефона тоже может быть запрошен анонимно. Но сведения, в сумме дающие конкретное представление о человеке, могут считаться персональными данными.

Например, просто имя или электронная почта не учитываются, а соединение этих сведений уже дает представление о человеке и, значит, обязывает соблюдать закон.

Статья 22 Федерального закона «О персональных данных» предписывает операторам уведомить уполномоченный орган, а именно – Роскомнадзор. И сделать это нужно до того, как заработала непосредственно форма сбора.

Условия сбора

Самое важное, что необходимо указать при сборе данных – это цель. Клиенту необходимо сообщить, зачем собирается информация. Цели сбора нужно обозначить в форме письменного согласия на обработку персональных данных. Следует указать тех, кто будет пользоваться полученной информацией, и объяснить гражданину его права.

По запросу клиента (покупателя, работника и пр.) необходимо сообщить следующее:

• уточнить, что факт обработки состоялся;
• указать, где располагается оператор, дать информацию о тех, кто имеет доступ к полученным сведениям или которым в будущем они могут быть открыты на основании договора с оператором или на основании закона;
• указать срок обработки;
• сообщить сведения о случившейся или возможной трансграничной передаче данных.

Состав сведений

Самое важное, что следует учитывать при обработке: полученная информация должна отвечать целям сбора. Не разрешается обрабатывать избыточный объем. Если интернет-магазин продает одежду, он может запросить и обработать данные о маркетинговой активности покупателя, о его вкусах и выборе, но сведения о наличии недвижимости или брака будут лишними.

Важно собрать точные, достоверные и актуальные (по отношению к заявленным целям) сведения. Иначе совершение покупки или другого юридического действия станет невозможно.

Справка. За обработку персональных данных без письменного согласия человека, когда это необходимо, и за за обработку данных с нарушением требований к составу сведений, включаемых в такое согласие, предусмотрены штрафы:

• на граждан – от 3000 до 5000 руб.;
• на должностных лиц – от 10 000 до 20 000 руб.;
• на юридических лиц – от 15 000 до 75 000 руб.

Закон «О персональных данных» предписывает российским и иностранным компаниям хранить персональные данные россиян на территории РФ. Хранение ПД осуществляется в любой форме, например, в бумажной.

В том случае, если база данных в России содержит одинаковый или больший объем персональных данных, то их обработка может проходить за рубежом.

Использоваться собранные сведения могут ТОЛЬКО в тех целях, для которых они были взяты.

Если информацию от покупателя получил интернет-магазин по аренде квартир, то эти данные человека не могут быть использованы на сайте по продаже горящих путевок.

Это уже будет являться нарушением, за которое предусмотрены штрафы.

То же самое правило относится и к сроку хранения: хранить персональные данные на сайте можно только на протяжении того срока, которого требует цель сбора.

По достижении результата (или в случае утраты необходимости достижения цели) данные надлежит уничтожить или обезличить. Например, при закрытии сайта с объявлениями сведения о его клиентах должны быть утилизированы. Закон предусматривает возможность для гражданина пожаловаться на неправомерное использование его данных.

Хозяин сайта обязан заблокировать персональные данные обратившегося и проверить, как это произошло. Неточность предоставленных сведений может стать поводом для блокировки.

В случае нарушения порядка сбора, хранения, использования или распространения информации о гражданах предусмотрено предупреждение или административный штраф.

Разглашение

• За незаконное разглашение персональных данных в России с 2017 года ужесточили законодательство, и теперь за такое нарушение предусмотрена и административная, и уголовная ответственность.
• Если персональные данные были случайно или умышленно разглашены, или случилась ошибка при обеспечении безопасности персональных сведений и закрытой информации, то придется выплатить до 2000 рублей для физических лиц, до 10000 для должностных лиц и до 50000 рублей – для организаций.
• Если незаконно (без предварительного согласия) были собраны и распространены (например, опубликованы на сайте или в СМИ) сведения о частной жизни человека, и они признаны личной или семейной тайной, предусмотрен либо штраф в размере 200 тысяч рублей, либо исправительные работы или арест.

Если владелец сайта является оператором персональных данных, то необходимо предпринять следующие действия:

1. До начала сбора и обработки данных уведомить Роскомнадзор о своих намерениях. Информация о компании будет внесена в соответствующий реестр.
2. Запрашивать и иметь письменное согласие с посетителей сайта.
3. Сообщить о политике ресурса в отношении личных сведений граждан.
4. Следить за целевым использованием информации.
5. Если от клиента (подписчика, покупателя) поступил запрос о том, какие данные получены и для чего они обрабатываются, необходимо дать ответ.
6. Нести ответственность за хранение сведений, обезопасить их от утечки.

Необходимые документы и общие положения

Необходимо составить и опубликовать документы, которые помогут заключать договор с клиентом. Это могут быть пользовательские соглашения, правила продажи, уведомления, политика конфиденциальности.

Они должны быть доступны на всех страницах сайта. На сайте нужно утвердить политику в отношении обработки персональных данных и сделать ее общедоступной, то есть затвердить в положении.

В документе следует указать:

1. Общие положения (цель принятия данного Положения, вопросы, которые оно регулирует, дата, с которой вступает в силу, как может быть подвергнуто корректировке).
2. Основные понятия и состав персональных данных (список документов, которые необходимо соблюдать при обработке персональных данных).
3. Обработка персональных данных (условия, которые будут соблюдены).
4. Порядок передачи (что понимается под передачей, как она происходит, как соблюдается хранение, ликвидация и т.п.).
5. Доступ к ним (кто имеет на это право, в каких случаях может быть разрешен посторонним лицам).
6. Обязанности сотрудников по работе с информацией, их права.
7. Ответственность за нарушение норм, которые регулируют обработку и защиту сведений.

В документ необходимо внести:

1. ФИО человека, дающего личную информацию;
2. адрес;
3. номер, серия паспорта/другого документа, удостоверяющего личность;
4. цель запроса персональной информации;
5. перечисление данных, которые будут обработаны;
6. сведения о компании или ИП, которые по поручению оператора будут работать с данными;
7. перечисление того, чему подвергнутся персональные данные, а также опись способов использования и хранения;
8. продолжительность периода согласия на обработку;
9. способ для клиента отозвать согласие;
10. подпись заявителя.

Всю вышеперечисленную информацию подает и законный представитель, если именно он действует от лица гражданина.

За нарушение Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» предусмотрена уголовная ответственность:

• ст. 140 УК РФ – за отказ в предоставлении гражданину информации о его персональных данных грозит штраф от 200 000 рублей или лишение права заниматься определенной деятельностью;
• ст. 272 УК РФ – за неправомерный доступ к охраняемой законом компьютерной информации -наказание от штрафа в 500 000 рублей до лишения свободы до 7 лет.

Административная ответственность:

• ч.1 ст. 13.11 КоАП РФ – за незаконную обработку данных – штраф 50 000 рублей;
• ч.2 ст. 13.11 КоАП РФ – за обработку без согласия человека – штраф 75 000 рублей.

Штраф за ненадлежащее хранение данных в 50 000 рублей предусмотрен ст. 13.11 ч.6 КоАП РФ.

За передачу данных третьим лицам без согласия предусмотрен отзыв лицензии (п.6, ч.3, ст. 23 ФЗ – №152), за обработку информации, взятой незаконно – блокировка (ч.3, ст. 23 ФЗ – №152).

Сноска к форме обратной связи

Нужно поместить под формой регистрации, заявкой, под формой обратной связи текст «Я согласен на обработку персональных данных на следующих условиях», где к «условиям» привязать ссылку на документ.

Главное – сделать так, чтобы человек смог узнать, зачем и на каких условиях собираются персональные данные и поставить свое согласие под документом (например, галочку в форме регистрации «даю согласие»).

Ужесточение закона в 2017 году уже привело к увеличению числа дел, связанных с незаконным сбором, хранением и разглашением персональных данных. Поэтому, даже если кажется, что сайт собирает минимальное число сведений, лучше перестраховаться и совершить все нужные действия для законной работы с персональными данными. Это не только поможет избежать штрафов, но и упрочит репутацию компании.

Обработка персональных данных в 2018: как избежать штрафа

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы 

Основание	Размер штрафа
Физлица	Должностные лица	Юрлица	ИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн	предупреждение или штраф — от 1000 до 3000 руб.	предупреждение или штраф — от 5000 до 10 000 руб.	предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта	от 3000 до 5000 руб.	от 10 000 до 20 000 руб.	от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДн	от 700 до 1500 руб.	от 3000 до 6000 руб.	от 15 000 до 30 000 руб.	от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработке	предупреждение или штраф — от 1000 до 2000 руб.	предупреждение или штраф — от 4000 до 6000 руб.	предупреждение или штраф — от 20 000 до 40 000 руб.	предупреждение или штраф — от 10 000 до 15 000 руб.
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)	предупреждение или наложение штрафа в размере от 1000 до 2000 руб.	предупреждение или штраф — от 4000 до 10 000 руб.	предупреждение или штраф — от 25 000 до 45 000 руб.	предупреждение или штраф — от 10 000 до 20 000 руб.
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования	от 700 до 2000 руб.	от 4000 до 10 000 руб.	от 25 000 до 50 000 руб.	от 10 000 до 20 000 руб.
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн	предупреждение или наложение административного штрафа — от 3000 до 6000 руб.

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:  

• Являюсь ли я оператором персональных данных?
• Распространяется ли на меня закон о персональных данных?
• Как уведомить Роскомнадзор об обработке персональных данных?
• Что делать владельцу сайта, чтобы избежать штрафов?  

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

• Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
• Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

• ФИО (вместе и даже по отдельности)
• дата рождения
• адрес
• телефон
• email
• фотография
• ссылка на персональный сайт
• ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан. 

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора  

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально.

 На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.         

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ): 

• ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
• цель обработки ПДн;
• перечень ПДн, на обработку которых субъект дает согласие;
• наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
• перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
• срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
• подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.

1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft.

 Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда.

 За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн. 

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

• относятся к субъектам, которых связывают с оператором трудовые отношения;
• получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
• являются общедоступными ПДн;
• включают только ФИО субъектов ПДн;
• нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
• включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;  
• обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

• в случае обезличивания персональных данных;
• в отношении общедоступных персональных данных;
• если данные включают только фамилии, имена и отчества субъектов персональных данных;
• для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
• если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
• если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1. 1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2. 1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
3. 2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
4. 3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
5. 4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
6. 5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
7. 6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8. 7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

• Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!  
• Более детальная информация об обработке персональных данных — в материалах наших экспертов:
• 5 базовых принципов закона о персональных данных, о которых нужно знать
• Как подготовиться к плановой проверке ФСБ по персональным данным?
• Проверка Роскомнадзора: как подготовиться и избежать штрафов