Правила хранения и обработки персональных данных

Если вы владелец сайта, вероятно, вам нужно зарегистрироваться в Роскомнадзоре

С 1 марта 2021 года начали действовать поправки в ст. 10.1 закона «О персональных данных». Они касаются всех, у кого есть свой сайт, и к кому каким-либо образом попадают чужие персональные данные.

 
 

    До начала обработки персональных данных нужно уведомить Роскомнадзор, который внесет вас в реестр. Но в некоторых случаях можно работать и без уведомления.

    1

    Что изменилось в законе

    Что меняется в законе о персональных данных с 1 сентября 2022 года? Говорят, что работодатели должны подавать уведомление о начале обработки персональных данных, но я вроде его уже подавал раньше?

    Да, требование уведомлять Роскомнадзор о начале обработки персональных данных (или о внесении изменений в порядок обработки персональных данных) действует очень давно. В 2017 году Роскомнадзор выпустил приказ «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».

    Но тогда требования были не такими жесткими, и, например, от подачи уведомления освобождались организации, которые обрабатывали только персональные данные сотрудников, или если использовали только фамилии, имена и отчества. Теперь таких исключений стало меньше. С 1 сентября уведомление подавать не обязательно, только если данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности, или если оператор обрабатывает данные без средств автоматизации.

    То есть все работодатели должны подать уведомление в Роскомнадзор для включения в реестр операторов персональных данных. Тут можно проверить, находится ли ваша организация в реестре. А как подать уведомление, смотрите тут.

    Новая форма уведомления еще не утверждена Роскомнадзором, а 1 сентября не является крайним сроком подачи уведомлений.

    2

    Согласие на распространение персональных данных

    Я слышал, что с 1 марта 2021 года я должен брать согласие людей на распространение их персональных данных, даже если они сами оставили их в интернете в открытом доступе. Это правда?

    Да. С 1 марта 2021 года нужно брать отдельное согласие, чтобы выкладывать персональные данные в открытый доступ. Если вы как-то распространяете персональные данные на своем сайте — обязательно добавьте отдельным пунктом «Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Требования к такому согласию пока не утверждены Роскомнадзором, в данный момент проводятся общественные слушания текста Приказа.

    Помните, что если такое отдельное согласие не получено — распространять данные в интернете нельзя (даже если эти данные есть в открытом доступе на других сайтах). Такое дополнительное согласие на распространение персональных данных нужно брать у сотрудников, если вы публикуете их данные на сайте.

    Из этого правила есть исключение — согласие на распространение данных не требуется, если есть государственный, общественный или публичный интерес.

    По закону, есть еще одна возможность дать согласие — не непосредственно самому оператору, а через «информационную систему» Роскомнадзора. Для этого там нужно зарегистрироваться, и после проверки данных вам создадут личный кабинет, где вы сможете управлять своими согласиями. Как это будет происходить, когда система заработает (по плану с 1 июля 2021 года), пока не очень понятно.

    3

    Что делать владельцу сайта

    У меня есть свой сайт. За нарушение законодательства о персональных данных меня могут оштрафовать, да?

    Да. С 1 июля 2017 года Роскомнадзор может на законном основании получать доступ к сайтам-операторам персональных данных и проводить там проверки. Соответственно, найдя нарушения, он имеет право выписывать крупные штрафы.

    До 1 июля 2017 года проводить проверки и выписывать протоколы о нарушениях могла только прокуратура, сумма штрафа не зависела от вида нарушения и составляла для гражданина или директора организации максимум 1000 рублей, а для юридического лица — десять тысяч рублей. Теперь суммы значительно возросли, а проверок стало значительно больше.

    4

    Размер штрафов

    О каких суммах идет речь?

    Штрафы увеличили в десятки раз, а различные виды нарушений разделены по группам.

    На вашем сайте опубликована политика конфиденциальности? Если нет — индивидуальных предпринимателей за отсутствие могут оштрафовать на 10 тысяч рублей, юрлицо — на 30 тысяч. Если у вас интернет-магазин, то обработка персональных данных без согласия клиента «обойдется» в 75 тысяч рублей штрафа. Должностному лицу, то есть директору компании или предпринимателю, придется заплатить до 20 тысяч.

    На вашем сайте есть согласие на обработку персональных данных клиента, прочитав которое, тот ставит галочку, что он согласен? Должно быть! И еще — если проверка выявит несколько нарушений, то штраф будет выписан за каждое из них.

    Роскомнадзор может без предупреждения проверить работу с персональными данными любой организации и индивидуального предпринимателя. Закон предусматривает еще большие штрафы за невыполнение требований о хранении персональных данных на серверах, расположенных в России:

    • для физических лиц — от 30 до 50 тыс. руб. и до 100 тыс. руб. за повторное нарушение;
    • для должностных лиц — 100 до 200 тыс. руб. и от 500 до 800 тыс. руб. за повторное нарушение;
    • для юридических лиц — от 1 до 6 млн руб. и от 6 до 18 млн руб. за повторное нарушение.

    За такие нарушения индивидуальные предприниматели теперь несут ответственность как юридические лица.

    5

    Что такое персональные данные

    Как определить, собираю ли я персональные данные?

    Персональные данные – это совокупность информации о конкретном человеке. Они позволяют идентифицировать человека как конкретную личность. К персональным данным относятся: фамилия, имя, отчество, дата рождения, место рождения, место жительства, номер телефона, адрес электронной почты, фотография, возраст и пр.

    Официальное определение из закона о персональных данных звучит так: «персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Если совокупность этих данных позволяет нам понять, о ком именно идет речь, тогда мы можем говорить, что они являются персональными данными. Например, просто имя и фамилия не будут являться персональными данными. А вот сочетание имени, фамилии и мобильного телефона или электронной почты – да.

    Роскомнадзор, уполномоченный орган по защите прав субъектов персональных данных, также выделяет такие группы персональных данных, как расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья. Также есть и биометрические персональные данные – отпечатки папиллярных узоров пальцев, рисунок радужной оболочки глаз, термограмма лица, слепок голоса, ДНК.

    6

    Проверьте себя

    И при чем тут мой сайт?

    Если у вас есть сайт, на котором существует возможность:

    • заводить личные кабинеты,
    • заполнять форму обратной связи,
    • комментировать, предварительно зарегистрировавшись и указав некоторые свои персональные данные,
    • оформить подписку,
    • пройти регистрацию, чтобы совершить покупки, разместить объявление, заполнить анкету,

    то согласно п. 2 ст. 3 закона «О персональных данных» вы являетесь оператором персональных данных. То есть, оператором может быть как юридическое лицо, так и физическое, как редакция СМИ, так и блогер. Вы их собираете, храните у себя, обрабатываете.

    ВНИМАНИЕ! Если вы просите у граждан через свой сайт сообщать: фамилию, имя, отчество, адрес, email, телефон, дату или место рождения, загрузить свое фото, дать ссылку на персональный сайт или соцсети, указать профессию, образование, уровень доходов, семейное положение и т.д. в любом сочетании, которое позволит идентифицировать конкретного гражданина, то вам необходимо будет предварительно получить их согласие на обработку персональных данных пользователей вашего сайта.

    А уже после получения их согласия (достаточно галочки в электронном виде) все введенные для регистрации данные можно на законном основании собирать, хранить, обрабатывать (п. 3 ст. 3 закона «О персональных данных»).

    Отдельное согласие теперь нужно брать для распространения персональных данных в интернете (см. 1 пункт карточек).

    7

    Определение владельца

    Как определят, что сайт действительно мой?

    Согласно п. 2 ст. 10 закона «Об информации», вы должны разместить контактную информацию на сайте.

    Это информация о «наименовании, месте нахождения и адресе, адресе электронной почты…».

    Если такой информации нет, то Роскомнадзор может обратиться к хостинг-провайдеру для получения информации о владельце сайта.

    Персональные данные граждан Российской Федерации должны находиться на серверах, находящихся в Российской Федерации. Если ваш хостинг-провайдер находится за пределами РФ, то вы не можете обрабатывать персональные данные российских пользователей.

    8

    Уведомление

    Правда, что если я являюсь оператором персональных данных, мне нужно подавать какое-то уведомление?

    Да, до начала обработки нужно уведомить Роскомнадзор, который внесет вас в реестр операторов персональных данных. Но обработка может осуществляться в некоторых случаях и без уведомления – если обработка будет без использования средств автоматизации (компьютера), если персональные данные включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка, и если это необходимо в целях транспортной безопасности.

    9

    Проверки

    И что, раз я теперь в реестре, Роскомнадзор будет меня проверять?

    Вот что говорит сам Роскомнадзор: «В среде операторского сообщества существует мнение, что организации, находящиеся в реестре, подлежат обязательно проверке уполномоченным органом, хотя на деле мы большее внимание уделяем тем организациям, кого нет в реестре, и учитываем этот факт при составлении плана проверок. Факт нахождения в реестре говорит о добропорядочности оператора и о прозрачности его деятельности. Многие жалобы начинаются со слов, что некого оператора нет в реестре, и далее звучит просьба его проверить. Поэтому, прежде чем исключаться из реестра, советую хорошенько подумать, а если ещё не внесены в реестр и имеются какие-то сомнения о необходимости подачи соответствующего уведомления, рекомендую сомнения оставить и уведомление подать, от этого больше плюсов, чем минусов».

    10

    Как снизить риски

    Если я все-таки являюсь оператором персональных данных, что же мне нужно сделать, чтобы не нарушать закон?

    Уведомить Роскомнадзор (РКН) о начале деятельности, после чего вы будете внесены в реестр операторов персональных данных (исключения, когда не нужно подавать уведомление в РКН, смотрите выше). Вот ссылка на рекомендации Роскомнадзора по заполнению формы уведомления.

    Еще вам надо обязательно подготовить необходимые документы, часть из них будет размещаться на сайте, часть мы рекомендуем хранить у себя. Ниже мы еще оговорим, какие именно документы нужны. Да, и не забудьте, что персональные данные российских граждан нужно хранить в России!

    11

    Правила использования данных

    Хм… Получается, если я уведомлю РКН и подготовлю все эти документы, я могу спокойно использовать любые персональные данные?

    К сожалению, нет. Персональные данные можно обрабатывать только для определенных целей, при этом обязательно нужно проинформировать, что это за цели. Например, цель – исполнение договора, проведение мероприятия, запись к врачу или сбор информации для улучшения качества. Нельзя использовать персональные данные, которые являются избыточными, которые не являются необходимыми для достижения поставленных целей. То есть, например, если вы заполняете данные для получения карты клиента, то сбор данных о наличии собственности будет явно избыточным.

    Согласно ст. 14 ФЗ «О персональных данных», субъект персональных данных может запросить у оператора персональных данных информацию, касающуюся обработки его персональных данных: цели, условия, наименование и место нахождения оператора, сроки обработки и пр. То есть любой человек, персональные данные которого вы обрабатывали, может обратиться к вам с таким запросом. Ответ нужно предоставить в течение 30 дней.

    12

    Исключения из правил

    Когда закон не действует

    • Если обработка персональных данных осуществляется для личных или семейных нужд (если при этом не нарушаются права лиц, персональные данные которых обрабатываются);
    • если обрабатываются персональные данные документов Архивного фонда РФ и других архивных документов (регулируется законодательством об архивном деле в РФ);
    • если персональные данные являются сведениями, составляющими государственную тайну;
    • если информацию предоставляют уполномоченные органы о деятельности судов в РФ в соответствии с ФЗ «Об обеспечении доступа к деятельности судов Российской Федерации».

    Сегодня вы, являясь оператором персональных данных, должны иметь на своем сайте следующие документы: Соглашение об обработке персональных данных и Политику конфиденциальности.

    Мы рекомендуем разместить на сайте политику в отношении обработки персональных данных. Согласно п. 2 ст. 18.1 закона «О персональных данных», оператор «обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети».

    Этот документ может публиковаться под разными названиями. Например, он может называться «Политика конфиденциальности» или «Пользовательское соглашение».

    Разместите документ о политике в отношении обработки персональных данных так, чтобы его легко можно было увидеть и найти с любой страницы сайта.

    Обязательно пропишите в политике обработки персональных данных следующее:

    • кто обрабатывает информацию;
    • какого рода информацию и каким образом вы собираете, как она будет использоваться (в каких целях, будет ли зашифрована, сколько времени она будет храниться и т.п.);
    • если на сайте используются системы безопасности, укажите это (если ваш сайт связан с продажами, то системы безопасности должны быть установлены);
    • будет ли информация передаваться третьим лицам (если да, то обязательно указать, кому и в каких целях);
    • как вы будете обеспечивать безопасность хранения персональных данных (не забудьте оговорить политику в отношении файлов cookies);
    • обязательно укажите, что посетитель сайта может отказаться от предоставления информации.

    Если форма политики конфиденциальности не предполагает согласия со всем вышеперечисленным до начала регистрации (например, отметки «галочкой»), заполнения форм и пр., то обязательно разместите согласие на обработку персональных данных. Оно может быть размещено в виде, например, всплывающего окна, без ознакомления с которым невозможна дальнейшая регистрация или заполнение формы.

    Что нужно прописать в форме согласия на обработку персональных данных: цель обработки, перечень персональных данных, которые вы будете обрабатывать, перечень действий с персональными данными, срок, в течение которого действует согласие. Если предполагается обработка персональных данных третьими лицами, обязательно укажите, какие это третьи лица и в каких целях будут обрабатывать данные.

    Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В этом случае его персональные данные должны быть уничтожены. Также их нужно уничтожить, если хранение персональных данных больше не отвечает целям их обработки.

    Сбор специальных категорий персональных данных (о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни) и биометрических данных возможен только при письменном согласии. Письменное согласие также необходимо также для трансграничной передачи персональных данных на территории иностранных государств.

    Итак, до того, как человек зарегистрировался или заполнил форму на сайте, нужно, чтобы он обязательно ознакомился с политикой конфиденциальности и выразил согласие на обработку персональных данных (поставил галочки).

    К 1 июля 2017 года необходимо было подготовить и иметь в своем офисе или по тому физическому адресу, который владелец сайта указал в контактных данных, внушительный комплект документов.

    13

    Кто в каких случаях отвечает

    Какие бывают варианты работы сайтов-операторов персональных данных и возложения ответственности на них?

    Над материалом работали:
    Наталья Якимовская, Наталья Гарина
    Иллюстрации:

    Подводя итоги:

    1
    Проверьте, собираете ли вы данные
    2
    Определите, нужна ли вам регистрация
    3
    Примите решение о регистрации