Регистрация на сайте по законодательству о персональных данных

Управляем сбором персональных данных грамотно

Пришел на почту за посылкой — согласись на обработку своих персональных данных

 
 

    1

    Кто становится оператором персональных данных

    Если я сделал регистрацию для посетителей на своем сайте через соцсети, я все равно являюсь оператором персональных данных?

    Да, вы оператор персональных данных. Такой способ регистрации принципиально не отличается от традиционного, просто в первом случае персональные данные предоставляет сам пользователь вашего сайта, а во втором — используется его информация из соцсети. К тому же, посетителю всё равно надо будет поставить галочку, что он разрешает её использование. Фактически это и есть согласие на обработку персональных данных.

    Внимательно: с 1 марта 2021 года нужно брать отдельное согласие на то, чтобы выкладывать персональные данные в открытый доступ. Если вы как-то распространяете персональные данные на своем сайте — обязательно добавьте отдельным пунктом «согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Подробнее читайте в карточках здесь.

    Помните, что если такое отдельное согласие не получено — распространять данные в интернете нельзя (даже если эти данные есть в открытом доступе на других сайтах). Такое дополнительное согласие на распространение персональных данных нужно брать у сотрудников, если вы публикуете их данные на сайте.

    Из этого правила есть исключение — согласие на распространение данных не требуется, если есть государственный, общественный или публичный интерес.

    По закону, есть еще одна возможность дать согласие — не непосредственно самому оператору, а через «информационную систему» Роскомнадзора.

    2

    Соблюдают ли соцсети законы о персональных данных

    Все соцсети уже зарегистрированы в Роскомнадзоре как операторы персональных данных?

    По логике они должны быть зарегистрированы в реестре Роскомнадзора. Однако на практике, похоже, это не так. Наши юристы внимательно изучили реестр, и результаты нас удивили: «ВКонтакте» не нашли, «Мэйл.ру» не нашли… Попробовали сами зарегистрироваться в этих соцсетях — сначала необходимо ввести имя, фамилию, дату рождения, а потом еще телефон. Все это отправляется в базу данных, и никакого согласия на обработку персональных данных не спрашивают (а ведь они уже отправлены!).

    Ранее наши юристы нашли в реестре ООО «Одноклассники», но оказалось, что запись была исключена из реестра 13.09.2018.

    Еще любопытный пример — социальная сеть «Закон.ру». Вот ее пользовательское соглашение. Но в реестре Роскомнадзора нет никакого «ООО редакция журнала Закон», и по ИНН его тоже не найти. Так что ситуация не ясна.

    3

    Кто имеет право задавать вопросы

    С 1 июля 2017 года только Роскомнадзор может прийти ко мне с проверкой? Если ко мне придут органы правопорядка или силовые структуры с проверкой чьих-то персональных данных, собранных посредством моего сайта, я что, обязан им всю информацию предоставить?

    Вообще, если представители госорганов приходят к вам с вопросом по персональным данным, это означает, что, по их сведениям, вы располагаете некоей важной информацией, касающейся информационной или иной безопасности государства. Внимательно проверяйте документы у тех, кто к вам пришел, а если в чем-то сомневаетесь – звоните в полицию, адвокату, зовите соседей.

    4

    Когда может прийти проверка

    Они предупреждают о готовящейся проверке или приходят внезапно?

    Если проверка плановая, то предупреждают. Если внеплановая – могут прийти неожиданно.

    5

    Можно ли пересылать данные за границу

    Что такое трансграничная передача данных?

    Как мы уже говорили, персональные данные российских граждан должны храниться на серверах, расположенных в Российской Федерации (п. 5 ст. 18 закона «О персональных данных»). Но при этом трансграничную передачу персональных данных закон не запрещает. Согласно ст. 3 закона «О персональных данных» трансграничная передача данных – это «передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу». До начала трансграничной передачи данных вы должны убедиться, что иностранным государством, на территорию которого будут переданы персональные данные, обеспечивается адекватная защита прав субъектов персональных данных (при этом критериев «адекватности» законодательством не предусмотрено).

    Роскомнадзор предписывает руководствоваться законодательством иностранного государства, законодательством Российской Федерации и международными нормативными актами, в том числе Конвенцией о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. ETS № 108 с учетом перечня стран, подписавших и ратифицировавших данную Конвенцию (Австрия, Азербайджан, Албания, Андорра, Армения, Бельгия, Болгария, Босния и Герцеговина, Македония, Великобритания, Венгрия, Германия, Греция, Грузия, Дания, Ирландия, Исландия, Испания, Италия, Кипр, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Молдова, Монако, Нидерланды, Норвегия, Польша, Португалия, Россия, Румыния, Сан-Марино, Сербия, Словакия, Словения, Турция, Украина, Финляндия, Франция, Хорватия, Черногория, Чешская республика, Швейцария, Швеция, Эстония). Предполагается, что на территории этих стран осуществляется адекватная защита персональных данных.

    Также, странами, обеспечивающими адекватную защиту субъектов персональных данных, могут считаться те, в которых есть соответствующие законы и надзорный орган по защите персональных данных (среди них – Австралия, Аргентинская Республика, Государство Израиль, Канада, Королевство Марокко, Малайзия, Мексиканские Соединенные Штаты, Монголия, Новая Зеландия, Республика Ангола, Республика Бенин, Республика Кабо-Верде, Республика Корея, Республика Перу, Республика Сенегал, Тунисская Республика, Республика Чили).

    Если же передача персональных данных осуществляется на территории стран, которые не обеспечивают адекватной защиты (предполагаем, что это все остальные страны), то необходимо:

    • получить согласие субъекта персональных данных в письменной форме, либо
    • передавать данные в случаях, предусмотренных международными договорами, либо
    • осуществлять такие действия в случаях, предусмотренных федеральными законами в целях защиты конституционного строя Российской Федерации, обеспечения обороны страны и безопасности, либо
    • передавать данные в целях исполнения договора с субъектом персональных данных, либо
    • совершать такие действия, если это необходимо в целях защиты жизни, здоровья и жизненно важных интересов субъекта персональных данных и других лиц при невозможности получения согласия в письменной форме (ст. 12 закона «О персональных данных).

    Что необходимо сделать до передачи персональных данных на территорию иностранного государства:

    1. Уведомить об этом Роскомнадзор.
    2. Проинформировать субъекта персональных данных и заручиться его согласием (кроме случаев, когда это согласие не требуется).
    3. Привести в порядок внутренние документы, регламентирующие порядок трансграничной передачи персональных данных. Необходимо указать цель передачи и обработки персональных данных за границей, перечислить нормативно-правовые документы, на основании которых данные будут передаваться и обрабатываться, указать характеристики персональных данных, описать объект защиты, регламентировать обеспечение безопасного информационного обмена персональными данными, описать мероприятия и средства обеспечения защиты данных, изучить законодательство иностранного государства в области защиты персональных данных и сослаться на соответствующие положения.

    6

    Соблюдает ли Почта России законы о персональных данных

    Почта России, доставляя письма адресату, тоже обрабатывает персональные данные? Значится ли она в реестре операторов персональных данных?

    ФГУП «Почта России» значится в реестре операторов персональных данных под номером 08-0004010. «Почта России» обрабатывает персональные данные на основании ч.2 п.1 ст.6 закона «О персональных данных» (то есть согласие субъекта не требуется), в рамках закона «О почтовой связи». Если обработка персональных данных выходит за рамки прописанных в законе «О почтовой связи» действий, то брать согласие необходимо.

    Конституционный суд разъяснил, что когда адресат обращается на почту за посылкой или письмом, то этим действием (фактом обращения) он выражает согласие на обработку своих персональных данных. Получается, что если у вас просят предъявить паспорт при получении письма и куда-то заносят данные без вашего письменного согласия, то это законно – ведь вы пришли на почту сами, значит согласны.

    Вообще, практика достаточно противоречива. В Красноярском крае Роскомнадзор предписал «Почте России» устранить нарушение законодательства в связи с требованием указывать паспортные данные при заполнении формы для получения посылки или денежного перевода, признав эту меру избыточной, а значит, незаконной.

    Но на сайте «Почты России» ничего не изменилось.

    7

    Можно ли использовать псевдонимы

    Если я прошу при регистрации на моем сайте указать вымышленное имя (никнейм), являюсь ли я оператором персональных данных?

    Нет. Если при регистрации на сайте пользователь оставляет только один вымышленный никнейм, то по нему нельзя определить его личность. Но если вы также попросите указать, например, номер мобильного телефона, адрес электронной почты или дату рождения, то совокупность такой информации позволит его идентифицировать.

    8

    Соблюдают ли суды законы о персональных данных

    Можно ли публиковать решения суда со всеми персональными данными?

    В июне 2017 года Верховный суд РФ регламентировал порядок публикации судебных актов в Интернете. В документе приводится исчерпывающий перечень сведений, который нужно исключать из опубликованных судебных решений. Также в нем детально указывается, какую информацию нельзя удалять ни при каких обстоятельствах. Фамилии осужденных и оправданных, истцов и ответчиков, судей, прокуроров и адвокатов должны быть в открытом доступе. Также примечательно, что Верховный суд прямо указал, что нельзя скрывать суммы, присужденные гражданину, в том числе размеры компенсаций морального вреда.

    Но теперь, согласно изменениям в законодательство, а которых мы рассказывали выше, если вы хотите распространять персональные данные человека в интернете, нужно получать его отдельное согласие. Из этого правила есть исключение — если данные распространяются в государственных, общественных и других публичных интересах.

    9

    Где узнать подробности

    Другие материалы о хранении и обработке персональных данных

    Что нужно знать про новые правила хранения персональных данных?

    Почему персональные данные нужно хранить в России?

    Основное про персональные данные

    Над материалом работали:
    Иллюстрации:
    Инструкция актуальна:
    Наталья Гарина, Наталья Якимовская

    Подводя итоги:

    1
    2
    3