Регистрация на сайте по законодательству о персональных данных

Продолжаем разъяснять обновленные положения правовых документов о персональных данных. Сегодня – о регистрации на веб-сайте.

Если я сделал регистрацию для посетителей на своем сайте через соцсети, я все равно являюсь оператором персональных данных?

Да, вы оператор персональных данных. Такой способ регистрации принципиально не отличается от традиционного, просто в первом случае персональные данные предоставляет сам пользователь вашего сайта, а во втором – используется его информация из соцсети. К тому же, посетителю всё равно надо будет поставить галочку, что он разрешает её использование. Фактически это и есть согласие на обработку персональных данных.

Все соцсети уже зарегистрированы в Роскомнадзоре как операторы персональных данных?

По логике они должны быть зарегистрированы в реестре Роскомнадзора. Однако на практике, похоже, это не так. Наши юристы внимательно изучили реестр, и результаты нас удивили: «Вконтакте» не нашли, «Мэйл.ру» не нашли… Попробовали сами зарегистрироваться в этих соцсетях – сначала необходимо ввести имя, фамилию, дату рождения, а потом еще телефон. Все это отправляется в базу данных, и никакого согласия на обработку персональных данных не спрашивают (а ведь они уже отправлены!).

Наши юристы нашли в реестре ООО «Одноклассники», хотя вообще в контактной информации на сайте «Одноклассники» указаны ООО «Мэйл.ру» и ООО «ВКонтакте».

Еще любопытный пример – социальная сеть «Закон.ру». Вот ее пользовательское соглашение. Но в реестре Роскомнадзора нет никакого «ООО редакция журнала Закон», и по ИНН его тоже не найти. Так что ситуация не ясна.

С 1 июля 2017 года только Роскомнадзор может прийти ко мне с проверкой? Если ко мне придут органы правопорядка или силовые структуры с проверкой чьих-то персональных данных, собранных посредством моего сайта, я что, обязан им всю информацию предоставить?

Вообще, если представители госорганов приходят к вам с вопросом по персональным данным, это означает, что, по их сведениям, вы располагаете некоей важной информацией, касающейся информационной или иной безопасности государства. Внимательно проверяйте документы у тех, кто к вам пришел, а если в чем-то сомневаетесь – звоните в полицию, адвокату, зовите соседей.

Они предупреждают о готовящейся проверке или приходят внезапно?

Если проверка плановая, то предупреждают. Если внеплановая – могут прийти неожиданно.

Что такое трансграничная передача данных?

Как мы уже говорили, персональные данные российских граждан должны храниться на серверах, расположенных в Российской Федерации (п. 5 ст. 18 закона «О персональных данных»). Но при этом трансграничную передачу персональных данных закон не запрещает. Согласно ст. 3 закона «О персональных данных» трансграничная передача данных – это «передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу». До начала трансграничной передачи данных вы должны убедиться, что иностранным государством, на территорию которого будут переданы персональные данные, обеспечивается адекватная защита прав субъектов персональных данных (при этом критериев «адекватности» законодательством не предусмотрено).

Роскомнадзор предписывает руководствоваться законодательством иностранного государства, законодательством Российской Федерации и международными нормативными актами, в том числе Конвенцией о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. ETS № 108 с учетом перечня стран, подписавших и ратифицировавших данную Конвенцию (Австрия, Азербайджан, Албания, Андорра, Армения, Бельгия, Болгария, Босния и Герцеговина, Македония, Великобритания, Венгрия, Германия, Греция, Грузия, Дания, Ирландия, Исландия, Испания, Италия, Кипр, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Молдова, Монако, Нидерланды, Норвегия, Польша, Португалия, Россия, Румыния, Сан-Марино, Сербия, Словакия, Словения, Турция, Украина, Финляндия, Франция, Хорватия, Черногория, Чешская республика, Швейцария, Швеция, Эстония). Предполагается, что на территории этих стран осуществляется адекватная защита персональных данных.

Также, странами, обеспечивающими адекватную защиту субъектов персональных данных, могут считаться те, в которых есть соответствующие законы и надзорный орган по защите персональных данных (среди них – Австралия, Аргентинская Республика, Государство Израиль, Канада, Королевство Марокко, Малайзия, Мексиканские Соединенные Штаты, Монголия, Новая Зеландия, Республика Ангола, Республика Бенин, Республика Кабо-Верде, Республика Корея, Республика Перу, Республика Сенегал, Тунисская Республика, Республика Чили).

Если же передача персональных данных осуществляется на территории стран, которые не обеспечивают адекватной защиты (предполагаем, что это все остальные страны), то необходимо:

  • получить согласие субъекта персональных данных в письменной форме, либо
  • передавать данные в случаях, предусмотренных международными договорами, либо
  • осуществлять такие действия в случаях, предусмотренных федеральными законами в целях защиты конституционного строя Российской Федерации, обеспечения обороны страны и безопасности, либо
  • передавать данные в целях исполнения договора с субъектом персональных данных, либо
  • совершать такие действия, если это необходимо в целях защиты жизни, здоровья и жизненно важных интересов субъекта персональных данных и других лиц при невозможности получения согласия в письменной форме (ст. 12 закона «О персональных данных).

Что необходимо сделать до передачи персональных данных на территорию иностранного государства:

  1. Уведомить об этом Роскомнадзор.
  2. Проинформировать субъекта персональных данных и заручиться его согласием (кроме случаев, когда это согласие не требуется).
  3. Привести в порядок внутренние документы, регламентирующие порядок трансграничной передачи персональных данных. Необходимо указать цель передачи и обработки персональных данных за границей, перечислить нормативно-правовые документы, на основании которых данные будут передаваться и обрабатываться, указать характеристики персональных данных, описать объект защиты, регламентировать обеспечение безопасного информационного обмена персональными данными, описать мероприятия и средства обеспечения защиты данных, изучить законодательство иностранного государства в области защиты персональных данных и сослаться на соответствующие положения.
Почта России, доставляя письма адресату, тоже обрабатывает персональные данные? Значится ли она в реестре операторов персональных данных? 

ФГУП «Почта России» значится в реестре операторов персональных данных под номером 08–0004010. «Почта России» обрабатывает персональные данные на основании ч.2 п.1 ст.6 закона «О персональных данных» (то есть согласие субъекта не требуется), в рамках закона «О почтовой связи». Если обработка персональных данных выходит за рамки прописанных в законе «О почтовой связи» действий, то брать согласие необходимо.

Конституционный суд разъяснил, что когда адресат обращается на почту за посылкой или письмом, то этим действием (фактом обращения) он выражает согласие на обработку своих персональных данных. Получается, что если у вас просят предъявить паспорт при получении письма и куда-то заносят данные без вашего письменного согласия, то это законно – ведь вы пришли на почту сами, значит согласны.

Вообще, практика достаточно противоречива. В Красноярском крае Роскомнадзор предписал «Почте России» устранить нарушение законодательства в связи с требованием указывать паспортные данные при заполнении формы для получения посылки или денежного перевода, признав эту меру избыточной, а значит, незаконной.

Но на сайте «Почты России» ничего не изменилось.

Если я прошу при регистрации на моем сайте указать вымышленное имя (никнейм), являюсь ли я оператором персональных данных?

Нет. Если при регистрации на сайте пользователь оставляет только один вымышленный никнейм, то по нему нельзя определить его личность. Но если вы также попросите указать, например, номер мобильного телефона, адрес электронной почты или дату рождения, то совокупность такой информации позволит его идентифицировать.

Можно ли публиковать решения суда со всеми персональными данными?

Не так давно, в июне 2017 года, Верховный суд РФ регламентировал порядок публикации судебных актов в Интернете. В документе приводится исчерпывающий перечень сведений, который нужно исключать из опубликованных судебных решений. Также в нем детально указывается, какую информацию нельзя удалять ни при каких обстоятельствах. Фамилии осужденных и оправданных, истцов и ответчиков, судей, прокуроров и адвокатов должны быть в открытом доступе. Также примечательно, что Верховный суд прямо указал, что нельзя скрывать суммы, присужденные гражданину, в том числе размеры компенсаций морального вреда.

Другие материалы о хранении и обработке персональных данных

Вы редактор, блогер или журналист? Вам нужен совет, консультация медиаюриста? Напишите свой вопрос, и мы вам обязательно ответим

15 + 6 =