Персональные данные — думаю уже каждый знает или как минимум слышал что с июля 2017 года произошли изменения, связанные с их обработкой. Что именно поменялось и что нужно делать — буду разбираться в этой статье.
Как оказалось — ничего не поменялось, все требования по персональным данным остались неизменны. Но! Поменялась ответственность за нарушения в этой сфере и если раньше можно было попросту игнорировать требования закона, а словосочетание «персональные данные» вызывали смутное представление что это вообще такое, то теперь — хочешь не хочешь, а исполнять придется.
Штрафы действительно большие, кроме того, расширены основания, по которым можно привлечь к ответственности. И то и другое можно самостоятельно изучить в статье 13.11 КоАП.
Что такое персональные данные?
Точного перечня закон не содержит, увы. Определение дано общее — любая прямая или косвенная информация, относящаяся к определенному или определяемому человеку. Как видно, информация может напрямую указывать на человека или позволить определить человека.
Это, в первую очередь, конечно фамилия — имя — семейное положение — национальность — состояние здоровья — сведения о гражданстве — паспортные данные — отпечатки пальцев — телефон и прочее подобное.
Что значит обработка персональных данных?
Это абсолютно любые действия, касающиеся ПД — накопление, хранение, систематизация, использование, уточнение, передача, извлечение и даже блокирование, уничтожение. Все эти манипуляции (а точный их список указан в ФЗ 152) требуют получения согласия от человека на обработку, наличия большого количества документов у ИП или юридического лица и уведомление Роскомнадзора.
Можно ли не уведомлять РКН?
Да, если ваш случай указан в пункте 2 статьи 22 ФЗ 152 — для многих подходят такие основания, как:
- обработка ПД осуществляется по трудовому законодательству — словом, это прием\увольнение работника;
- обработка ПД связана с исполнением договора — это может абсолютно любой договор, стороной которого является физическое лицо (подряда, услуг, в том числе услуги управляющего ИП в ООО и т.п.), главное — персональные данные не должны передаваться третьему лицу. К примеру, если вас наняли сделать ремонт в квартире, а вы привлекаете субподрядчика — ему передавать ПД уже нельзя;
- Физ лицо само раскрыло свои данные широкому кругу лиц — к примеру, у вас есть сайт, на котором указаны ваши контактные данные, номер телефона и прочие, то есть данные общедоступны;
- Персональные данные включают в себя только ФИО — больше ничего;
- ПД обрабатываются без использования средств автоматизациии.
Как видно, уведомлять Роскомнадзор не нужно во многих случаях, но это не умаляет обязанности получить от стороны согласие на обработку его данных, а также иметь всю документацию по обработке данных. Для тех кто хочет «перестраховаться» — заполнить форму уведомления в РКН не составляет сложности, даже ходить никуда не нужно.
Что делать владельцам сайтов?
Как я указывала выше, закон делает исключения в части уведомления РКН для сторон договора. Любого договора, будь то договор уборки квартиры, оферта в пункте проката или пользовательское соглашение на игровом сайте. Сам документ может называться по разному — договор, соглашение, публичная оферта, соглашение о конфиденциальности, политика, пользовательское соглашение, главное условие — документ должен быть двухсторонним — с одной стороны физическое лицо, чьи персональные данные охраняются как зеница ока, с другой — любое другое, кому эти данные вверяются.
Таким образом, что нужно сделать, если у вас сайт? Правильно, разработать и разместить соглашение или политику по обработке ПД (назовем его «документ»), который должен быть доступен неограниченному кругу лиц. Кстати, данная обязанность прямо указана в п. 2 ст. 18.1 152 ФЗ.
Что указывать в документе?
Все что угодно, но обязательно должны быть:
- контактные данные (ФИО, адрес) оператора ПД;
- цель обработки ПД;
- предполагаемые пользователи;
- права носителя ПД, в том числе право на отзыв данных;
- источник получения.
Документ можно составить самостоятельно, скопировать у других или разработать под себя посредством услуг юристов. Размещать лучше на видном месте. Делать или нет специальное окошко, в котором пользователь будет ставить галочку о согласии — решает каждый сам для себя. Акцепт может быть разный и это не обязательно окошко с галочкой. Форму акцепта необходимо прописать в соглашении — документе.
Это же указано в ГОСТ для сайтов, а также про это (необязательность специальных окон) говорил Роскомнадзор в своих разъяснениях об акцепте при заказе в интернет магазине. Согласие посредством смс — акцептом не является.
Являются ли куки, ip адрес и прочие технические характеристики пользователя персональными данными?
Анализируя практику за последние 2 года можно сказать, что да — являются. Но каждое судебное решение имеет свои особенности, а штраф всегда накладывался при совокупности нарушений — не просто за сбор файлов cookie, IP-адресов, а, к примеру, платежных данных или данных третьих лиц, имеющихся в контактах пользователя. К примеру, по делу LinkedIn основанием для привлечение к ответственности была совокупность нарушений вместе с которыми были также сбор куки файлов и айпи адресов (решение было обжаловано, но оставлено в силе).
Трудно заранее предугадать будет ли суд накладывать штраф только за сбор IP адреса или нет — по сути он обезличен, не указывает напрямую на пользователя, к тому же может быть динамическим.
Но есть и ряд других судебных дел, не имеющих, на первый взгляд, отношения к ПД. Одно из них дошло даже до Верховного суда. Суд рассматривал отказ оператора связи выдать персональные данные по запросу полиции, ссылаясь на тайну связи. Суд указал, что сведения об IP адресе не имеют отношения к защищаемой законом тайне связи, а всего лишь относится к пользователю услуг. Как это самое «всего лишь» в последствии скажется на судебных решениях по ПД — практика покажет.
Что касается иных технических характеристик пользователя — в постановлении Апелляционной инстанции, указано, что к ПД абонента относятся
время инициации запроса пользователем, адрес web-страницы, посещенной активным пользователем, HTTP referer (ссылка), User agent, coockie, src ip, src port, dst ip, dst port, геоидентификатор.
Таким образом, лучше заранее позаботиться о наличии на своем сайте оферты\соглашения. И не важно где расположен сайт — хоть в Африке, если услуги оказываются на территории РФ, он русскоязычный, имеет иные признаки, относящиеся к РФ — на него также распространяются требования 152 ФЗ.
Кстати, еще в 2006 году Роскомнадзор публиковал комментарии к 152 ФЗ, в котором на многие вопросы даны ответы. Как я указала в начале статьи — ничего нового с 01 июля 2017 года в законе не принято, только ужесточается ответственность.
Судебная практика по данному закону показала, что больше всего под «раздачу» попали банки, коллекторы и управляющие компании, осуществляющие действия по взысканию задолженности, не имея согласия на это от субъектов ПД и как ни странно — больницы, поликлиники, не обеспечивающие надлежащее хранение историй болезни. Думаю пострадавшим от салонов красоты, фильтров для воды, матрасов, посуды и прочего сервиса можно взять на вооружение новые нормы о штрафе и жаловаться на навязчивые звонки с предложением услуг.
Даже работников кладбищ беспокоят новые штрафы и они на полном серьезе направили в Минкомсвязь письмо с разъяснением волнующего вопроса — у кого нужно испрашивать разрешение на размещение ФИО на могильных плитах. И государственный орган отвечает — согласие на обработку ПД умершего необходимо получать у родственников.
Кстати, если у кого то есть вопросы в части применения закона 152 ФЗ — запросы нужно направлять в Минкомсвязь, а не Роскомандзор.
И еще. Важным моментом является то, что согласие на обработку ПД можно дать исключительно в отношении себя. Поэтому незаконна передача личных данных родственников, друзей как контактных лиц МФО или банку, нельзя публиковать какие то сведения о других людях в соц сетях\форумах и так далее.
Что делать, если я обнаружил свои данные в интернете?
Отвечу кратко: можно на выбор написать заявление в прокуратуру, жалобу хостеру, в Роскомнадзор или заявление поисковикам об удалении ваших данных по закону о забвении. Ну и суд конечно никто не отменял — если вышеуказанные действия не помогут.
В тему
Недавно Верховный суд принял постановление, в которому указал, что в текстах судебных актов, публикуемых на сайтах судов, не нужно удалять ФИО участников процесса, размеры взыскиваемых сумм, адреса юр лиц, за исключением особой категории дел, которая также приводится в постановлении.
Подскажите, везде пишут, что на сайт нужно ставить форму согласия с галкой, вижу у вас на сайте ее нет. Надо или нет?
Такого требования в законе нет, все просто перестраховываются. Как я написала в статье — в законе вообще ничего не поменялось, только увеличили ответственность. Достаточно разместить соглашение или политику — всплывающие и раздражающие окна это лишнее — мое мнение