Garant-blok.ru

Гарант Блок
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Персональные данные права субъектов ПД Хабр

Персональные данные: март 2021 года – что НЕ надо делать многим работодателям

Е. А. Юрова
автор статьи, консультант Аскон по трудовому праву

В связи с ростом криминального интереса к данным граждан защита персональных данных (далее по тексту – ПД) приобретает особое значение, что находит отражение и в изменениях законодательства.

В частности, Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» был изменен в 2020 году пять раз, и очередная новация вступила в силу 1 марта 2021 года.

В статье рассмотрим два значимых изменения 2020 года, касающихся трудовых отношений и имеющих действующий юридический статус.

Шило в мешке, или Как уберечь персональные данные гражданина в 2021 году

Буквально каждый день мы сталкиваемся с тем, что наши персональные данные (ПД) приходится сообщать разным людям и организациям. Покупки в интернет-магазинах, посещение банков, общение в социальных сетях, бронирование гостиниц и авиабилетов — все это предполагает рассекречивание той или иной личной информации. Безусловно, при этом мы не хотим, чтобы наши данные передавались дальше и дальше. К счастью, бороться с опасными утечками помогают государственные законы, регулирующие данную сферу. Сегодня вместе с нашим экспертом — адвокатом Дарьей Морозовой — мы рассмотрим, что подразумевают под персональными данными в России, как осуществляется их защита в 2021 году и реально ли утаить шило в мешке.

Как закон контролирует сохранность персональных данных в нашей стране

Специальный Федеральный закон №152 «О персональных данных» был принят в России в 2006 году. С тех пор в нашей стране четко регламентированы все моменты, которые касаются получения, применения, передачи и других манипуляций с персональными данными граждан. Также этот документ регулирует вопросы защиты этой информации.

«Основная задача этого федерального закона — защита прав и свобод каждого россиянина в ходе обработки его персональных данных, — разъясняет Дарья Морозова. — В широком смысле это означает защищенность личной жизни любого гражданина, его персональной и/или семейной тайны, например если речь идет об усыновленных детях, правду о рождении которых решено не открывать».

Какие сведения о гражданине относятся к категории персональных данных?

Закон определяет персональные данные человека как информацию, которая прямо либо косвенно относится к этому человеку — так называемому субъекту ПД. Наиболее распространенным примером такой информации можно назвать ФИО, адрес проживания, семейное положение, занимаемую должность, паспортные данные и так далее.

«Вместе с тем есть определенные нюансы, которые тоже рассматриваются в законодательстве. К примеру, имя или даже ФИО полностью сами по себе не рассматриваются как персональные данные. То есть если на бланке написать, например, Сидоров Петр Иванович, то на этом основании нельзя сделать вывод, что персональные данные некоего гражданина Сидорова находятся в свободном доступе и его личные права ущемлены. К категории персональных можно отнести лишь сведения, предоставленные в комбинированном виде, например ФИО в сочетании с датой рождения или местом работы», — уточняет наш эксперт.

Кто имеет право защищать ПД и где происходит обработка этих данных

Как мы уже заметили, субъектами ПД признаны все граждане. Из этого следует, что каждый из нас вправе защитить свою частную информацию от нежелательного использования. Данные требования определены постановлениями №1119 и №687 Правительства РФ, а уполномоченными органами, которые обеспечивают контроль исполнения этих требований — то есть, защиту гражданского права — выступают такие организации, как Роскомнадзор, ФСТЭК России и ФСБ России. Что же касается места стечения персональных данных, которые затем подвергают обработке, то оно может существовать как физически, так и виртуально. Его называют Центром обработки персональных данных. Эта структура представляет собой централизованное хранилище, состоящее из множества компьютерных систем, осуществляющих управление персональной информацией, а также ее хранением и передачей.

Виды персональных данных

Общие. Это данные, которые содержат в себе основную информацию о гражданине. Это уже упомянутые ФИО, паспортные данные, место проживания, семейное положение, уровень дохода, дата рождения и т. д. Напомним также, что по отдельности каждый из этих пунктов не будет принадлежать к ПД.

Биометрические. К этой категории данных относятся отпечатки пальцев, радужная оболочка глаз и аналогичная информация, которая может помочь определить личность человека. Такие данные очень востребованы в визовых службах, на таможне и других современных пунктах идентификации.

Общедоступные персонифицированные. Это, как правило, информация о личной жизни и материальном положении руководителей крупных компаний, политиков, звезд шоу-бизнеса и других известных людей. Такие данные можно найти в открытых источниках, поэтому для их использования не требуется дополнительных разрешений.

Обезличенные персональные. Владея этой информацией вы не сможете определить, какому конкретному физлицу она принадлежит.

Специальные. Речь здесь об информации, которая содержится в медицинских картах, личных делах работников предприятий, закрытых реестрах и других аналогичных документах. Это, в частности, религиозные установки граждан, их расовая принадлежность, наличие хронических заболеваний и т. д.

Что подразумевают под согласием на обработку персональных данных и как происходит обработка ПД

Под согласием на обработку ПД принято понимать добровольное решение гражданина представить другому гражданину (оператору) или организации те или иные свои персональные данные, чтобы впоследствии производить их обработку для конкретных целей. Как правило, такое согласие оформляют в письменном виде, однако закон также предусматривает получение одобрения на обработку ПД и в любом другом виде, главное при этом — чтобы оператор мог подтвердить, что согласие им получено: например, в качестве этого документа может выступать «галочка», поставленная гражданином в электронной форме в процессе его регистрации на интернет-сайте.

«Стоит также обратить внимание на пункты, которые должны в обязательном порядке содержаться в согласии. — продолжает Дарья Морозова. — К таким пунктам относятся ФИО, адрес и паспортные данные гражданина, данные об операторе, принявшем от гражданина персональную информацию, перечень предоставленных сведений и цель обработки, срок выдачи согласия, пути его отзыва при необходимости и, безусловно, личная подпись носителя персональных данных».

Какова ответственность предусмотрена за разглашение персональных данных?

Обеспечивать защиту персональных данных граждан в России обязана организация, которая осуществляет их обработку. Это закреплено в ст. 19 уже упомянутого нами ФЗ «О персональных данных». Если нормы законодательства нарушены и произошел «слив» персональных данных, то в отношении нарушителя предусмотрена ответственность различного рода — от дисциплинарной и административной до уголовной.

К кому следует обращаться, если персональные данные изменились?

Возможно вы удивитесь, но при изменении или дополнении персональных данных гражданин вовсе не обязан сообщать об этом оператору. Не накладывает подобных обязательств и трудовое законодательство РФ. Так что принимать решение о предоставлении или сокрытии новой персональной информации вы можете сами — исходя из своих личных представлений о комфорте, удобстве и безопасности.

Новые требования

Согласие на распространение ПД надо получать отдельно от общего согласия на обработку ПД.

При получении согласия офлайн в письменной форме человеку надо предложить заполнить два бланка: первый ─ общее согласие на обработку ПД, второй ─ согласие на распространение.

В интернете для получения согласия обычно используют чекбокс со ссылкой на текст соответствующего документа. С 1 марта надо будет размещать два чекбокса: один ─ на общее согласие, второй ─ на распространение.

Кроме этого, в законе сказано, что человек еще должен выбрать, какие именно данные о себе он разрешает распространять. Пока непонятно, как технически настроить такой выбор на сайте. Возможно, придется рядом с каждым видом ПД предусматривать отдельные чекбоксы.

Такой формат может, конечно, повлиять на конверсию. И если вам не хочется заморачиваться с настройками под закон о ПД, подумайте, возможно, стоит отказаться от распространения данных.

Биометрические ПДн

Практически на любом предприятии есть система охраны и видеонаблюдения, а также ограничения доступа на территорию либо в отдельные помещения. В качестве идентификатора лиц, которые имеют право находиться в определенных зонах или выполнять определенные действия, выступают, как правило, фотографии, отпечатки пальцев или рисунок сетчатки глаза. Эти и другие физиологические особенности входят в категорию биометрических ПДн, а их использование в обязательном порядке требует получения письменного согласия владельцев. Документ не требуется только, если речь идет об использовании данных в целях обеспечения государственной безопасности, работы госструктур, а также осуществлении правоохранительной деятельности.

Работая с такими сведениями, оператору нужно брать в расчет ограничение по условиям обработки — их разрешено собирать, дополнять, хранить и т.д. только до тех пор, пока не достигнута цель обработки или не прошел срок, прописанный в подписанном субъектом разрешении.

Персональные данные™, права субъектов ПД

Все мы пользуемся телефоном, ходим на работу™ или на собеседования, пользуемся банковскими картами или просто™ путешествуем по просторам интернета. Зачастую даже не задумываясь о том, что оставляем след из персональных данных™. Оставлять свои данные™ стало настолько привычно, что большинство из нас уже не читает™ соглашения или другие™ документы, с которыми соглашается «на автомате». При этом наши данные™ могут быть использованы для разных™ целей: для показа™ определенной рекламы, спам-рассылок, фишинга и т.д. В этой статье™ хотелось бы рассказать о правах™ субъектов персональных данных™, т.е. нас с вами. Какие законы™ регулируют работу™ с персональными данными и как действовать в непростых ситуациях, как отстоять свои честь и достоинство и право на личное™ пространство, которого и так почти не осталось.

Что такое персональные данные™?

«Фамилия и инициалы гражданина — это, несомненно, персональные данные™ субъекта. Однако™, без использования дополнительной информации определить принадлежность персональных данных™ конкретному субъекту персональных данных™ невозможно. ФИО (фамилия, имя, отчество) наряду™ со многими другими способами используется для идентификации отдельного человека среди других™. По своей природе — это составной ключ, идентификатор, основанный на комбинациях трёх параметров фамилии, имени и отчества, на самом деле не идентифицирующий человека однозначно, а лишь сильно™ сокращающий выборку из тех, кому они могут принадлежать»

Таким образом, только™ работа™ с комбинацией данных™ позволяющих определить конкретного человека может считаться обработкой персональных данных™. Например, ФИО в комплексе с номером телефона и паспортными данными несомненно позволят идентифицировать человека.

ФЗ-152 «О персональных данных™»

Основной документ, который регулирует отношения в сфере персональных был принят™, еще в 2006 году и называется Федеральный закон «О персональных данных™». В него уже не раз вносились правки™, но сейчас™ хотелось бы упомянуть о проекте нового™ КОАП, в данный™ момемнт активно обсуждается новый Кодекс™ административных правонарушений. В проект™ добавлена новая статья™, которая предусматривает штрафы™ до 500 т.р. за утечку™ персональных данных™. Раньше™ такой статьи™ не было, но не будем забегать вперед™.

Читать еще:  Материальная помощь в связи с рождением ребенка

Сосредоточим внимание на 3-й Главе вышеупомянутого закона™ — она так и называется «Права субъекта персональных данных™». И начнем™ со статьи™ 14. И первое™ на что имеет право субъект персональных данных™ – доступ™ к своим персональным данным™. Другими словами Вы можете™ в любой момент™ отправить любому™ оператору (не важно является ли он Государственным органом или нет) запрос™ на предоставление сведений касающихся Ваших ПД, и оператор обязан™ предоставить такую информацию. Сроки обработки такого™ запроса могут быть разными, но не превышать 30 дней. Например, если вы обнаружили в сети интернет, данные™ о себе, которые не соответствуют действительности, то владелец такого™ ресурса должен™ в срок не более 7-ми дней с момента получения Вашего™ запроса внести™ необходимые корректировки или вовсе удалить их.
Данный™ момент™ закреплен в статье™ 20 Федерального закона™ «О персональных данных™».

Как сформировать запрос™ оператору персональных данных™?

При формировании такого™ запроса нужно соблюсти ряд требований, но они не очень сложны™. Такой запрос™ должен™ содержать паспортные данные™ субъекта (Номер паспорта, дату выдачи™, кем и когда он был выдан). Помимо™ этого Вы должны™ приложить подтверждение того, что оператор ведет обработку Ваших данных™, это может быть номер и дата договора, скриншот или любые подтверждающие факт обработки сведения. Допускается даже словесное обозначение, т.е. просто™ описание того факта, что обработка Ваших персональных данных™ ведется конкретным оператором. Ну и конечно потребуется поставить подпись.

Допускается направлять запрос™ и в форме электронного документа, но в таком случае™ он должен™ быть подписан электронной подписью.

Если оператор предоставил Вам запрашиваемые сведения, то Вы имеете™ право запросить их повторно, но не ранее чем через 30 дней. Отсчет™ ведется с даты направления предыдущего запроса.

Если же оператор предоставил Вам не все сведения, которые Вы запрашивали, то ждать 30 дней не обязательно, в таком случае™ формировать повторный запрос™ можно сразу же. Но не забудьте обосновать свое обращение.

Какие сведения имеет право запросить субъект персональных данных™?

На самом деле, оператор персональных данных™ должен™ соблюсти достаточно много условий для того, что бы иметь возможность работать с Вашей персональной информацией и поэтому список™ сведений, которые вы можете™ запросить достаточно большой. Давайте разберем их по порядку:

  • подтверждение факта обработки персональных данных™ оператором;
  • правовые основания и цели обработки персональных данных™;

Правовыми основаниями могут выступать договор, устав, лицензия или норма закона™, в памятке операторам РКН приводит следующий пример™:

«ст. 86-90 Трудового кодекса РФ; ст. 53, ч. 2 ст. 54 Федерального закона™ от 07.07.2003г. № 126-ФЗ «О связи»; п. 4.5 Лицензии № _____от______ ., выдана™ ООО «_________» Федеральной службой по надзору в сфере связи на осуществление деятельности по оказанию услуг связи; п.1 Устава™ ООО «_________», утверждённого на общем собрании акционеров 01.01.0000г., протокол № 1.»

Цели обработки персональных данных™ должны™ быть конкретными, заранее определёнными, законными и соответствующими деятельности, при которой такая обработка осуществляется.

Цели оператор определяет заранее, при подаче™ заявления в Роскомнадзор, подробнее про определение целей и подготовке уведомления в Роскомнадзор можно прочитать в этой статье™.

  • цели и применяемые оператором способы обработки персональных данных™;

Способы обработки могут быть автоматизированными, т.е. с применением средств вычислительной техники и неавтоматизированными или смешанными. Причем™ цели для разных™ способов обработки данных™ одного™ и того же человека могут быть разными.

  • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ™ к персональным данным™ или которым могут быть раскрыты персональные данные™ на основании договора с оператором или на основании федерального закона™;
  • обрабатываемые персональные данные™, относящиеся к соответствующему субъекту персональных данных™, источник их получения, если иной порядок представления таких данных™ не предусмотрен федеральным законом;
  • сроки обработки персональных данных™, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных™ прав, предусмотренных Федеральным законом «О персональных данных™»;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных™;

Трансграничная передача, это передача Ваших данных™ на территорию другого государства. Для такой передачи оператору необходимо иметь Ваше письменное согласие на обработку персональных данных™.

  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных™ по поручению оператора, если обработка поручена или будет поручена такому™ лицу;
  • иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

Когда могут отказать в доступе к персональным данным™?

Несомненно каждый™ человек имеет право запросить у оператора сведения об обработке собственных персональных данных™. Но есть и ряд исключений, когда оператор может отказать. Как правило все эти случаи™ связаны с работой силовых ведомств. Это может быть оперативно-розыскная или разведывательная и контрразведывательная деятельность. Доступ™ к ПД может быть ограничен, если в отношении субъекта возбуждено уголовное дело или если обработка персональных данных™ осуществляется в соответствии с законодательством о противодействии легализации( отмыванию) доходов, полученных преступным путем.

Ограничение доступа может возникнуть, если нарушаются права и законные интересы третьих лиц.

Многие™ компании используют персональные данные™ для направления сообщений, которые рекламируют услуги™ или товары™ оператора. Все мы периодически получаем на почту информацию о скидках, акциях™ и специальных предложениях, но зачастую такие сообщения нам не интересны, докучают и мы даже не помним™ когда согласились на это «заманчивое» предложение.

В данном™ случае™, помимо™ федерального закона™ «О персональных данных™» стоит обратиться еще и к закону™ «О рекламе». Но давайте разбираться по порядку.

В ст. 15 ФЗ-152 говориться, что обработка персональных данных™ в целях продвижения товаров, работ и услуг при помощи™ средств связи может осуществляться только™ при условии согласия физического лица. Очень интересный момент™ заключается в том, что в случаях рекламы собственных работ и услуг, компания должна™ доказать, что такое согласие было получено.

В случае™, если Вы все таки дали оператору такое согласие( путем проставления галочки в чек-боксе на сайте или заключая с ним договор), то в любой момент™ можете™ его отозвать. Для этого достаточно написать обращение в компанию, которая забрасывает Вас письмами и оператор обязан™ немедленно прекратить обработку Ваших персональных данных™ для целей носящих рекламный характер.

Более того, если сообщения Вы получаете на электронную почту, в письме™ должна™ быть ссылка™ для автоматического отказа™ и исключения Ваших контактов из рекламной рассылки.

Что же такое реклама, обратимся к определению – «информация, распространяемая любым способом и адресованная неопределенному кругу лиц направленная на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижению на рынке».

Как и в ситуации с законом «О персональных данных™» в законе™ «О рекламе», в главе 2, ст. 18 написано, что распространение рекламы по сетям электросвязи допускается только™ при условии, что абонент дал на это предварительное согласие. Так же рекламодатель обязан™ доказать наличие такого™ согласия, как и в случае™ с требованиями 152-ФЗ. Требования законов сходятся и части того, что рекламораспостранитель обязан™ немедленно прекратить процесс распространения рекламы получив соответствующее требование от физического лица.

Если регулятором в области персональных данных™ выступает Роскомнадзор, то в случае™ закона™ «О рекламе» это Федеральная Антимонопольная Служба™ (ФАС). Требования к оформлению жалобы™, размещены на сайте регулятора. Выполнить их достаточно просто™, во многом™ механизм подачи™ схож с требованиями к подачи™ обращения в РКН, нужно указать:

  • ФИО заявителя и его место жительства
  • Наименование рекламодателя

В случае™ если заявитель не может самостоятельно предоставить доказательства правонарушения, то он вправе™ указать на юридическое или физическое лицо, от которого такие доказательства могут быть получены.

  • Требования заявителя

Срок рассмотрения не должен™ превышать 1 месяц со дня его поступления, за исключением случаев когда доказательств не достаточно. При таком варианте развития событий ФАС должен™ уведомить Вас и может продлить срок рассмотрения жалобы™, но так же не более чем на 1 месяц.

ПО результатам обращения ФАС может инициировать проверку. Результатом которой, вполне™ возможно, окажется штраф рекламораспространителю. Сумма штрафа™ в данном™ случае™ довольно существенная. Размер™ штрафов регламентирует ст. 14.3. КОАП РФ и достигать они могут 500 000р.

Пример™ из жизни, Сбербанк опять не на высоте™

В качестве примера разберем случай™ произошедший с ПАО Сбербанк в 2018г. Суть данного судебного разбирательства состоит в том, что ПАО «Сбербанк» заключил с одним из своих клиентов договор на выпуск™ международной карты. При этом договор присоединения был составлен таким образом, что подразумевал отправку сообщений рекламного характера. Клиент™ не мог получить необходимую ему карту и при этом отказаться от навязанной банком™ услуги™. В данной™ ситуации потребитель банковской услуги™ не растерялся и отозвал ранее данное™ согласие.

Когда же он получил очередную рассылку с рекламой услуг банка он обратился в Федеральную антимонопольную службу™.

Не смотря™ на ряд доводов представителей банка, суд постановил Сбербанк выплатить штраф в размере 250 000р. В соответствии с ч.1 ст. 14.3. КОАП РФ.

Персональные данные, права субъектов ПД

Все мы пользуемся телефоном, ходим на работу или на собеседования, пользуемся банковскими картами или просто путешествуем по просторам интернета. Зачастую даже не задумываясь о том, что оставляем след из персональных данных. Оставлять свои данные стало настолько привычно, что большинство из нас уже не читает соглашения или другие документы, с которыми соглашается «на автомате». При этом наши данные могут быть использованы для разных целей: для показа определенной рекламы, спам-рассылок, фишинга и т.д. В этой статье хотелось бы рассказать о правах субъектов персональных данных, т.е. нас с вами. Какие законы регулируют работу с персональными данными и как действовать в непростых ситуациях, как отстоять свои честь и достоинство и право на личное пространство, которого и так почти не осталось.

Что такое персональные данные?

«Фамилия и инициалы гражданина — это, несомненно, персональные данные субъекта. Однако, без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно. ФИО (фамилия, имя, отчество) наряду со многими другими способами используется для идентификации отдельного человека среди других. По своей природе — это составной ключ, идентификатор, основанный на комбинациях трёх параметров фамилии, имени и отчества, на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать»

Таким образом, только работа с комбинацией данных позволяющих определить конкретного человека может считаться обработкой персональных данных. Например, ФИО в комплексе с номером телефона и паспортными данными несомненно позволят идентифицировать человека.

Читать еще:  Головное и обособленные подразделения как строить отношения

ФЗ-152 «О персональных данных»

Основной документ, который регулирует отношения в сфере персональных был принят, еще в 2006 году и называется Федеральный закон «О персональных данных». В него уже не раз вносились правки, но сейчас хотелось бы упомянуть о проекте нового КОАП, в данный момемнт активно обсуждается новый Кодекс административных правонарушений. В проект добавлена новая статья, которая предусматривает штрафы до 500 т.р. за утечку персональных данных. Раньше такой статьи не было, но не будем забегать вперед.

Сосредоточим внимание на 3-й Главе вышеупомянутого закона — она так и называется «Права субъекта персональных данных». И начнем со статьи 14. И первое на что имеет право субъект персональных данных – доступ к своим персональным данным. Другими словами Вы можете в любой момент отправить любому оператору (не важно является ли он Государственным органом или нет) запрос на предоставление сведений касающихся Ваших ПД, и оператор обязан предоставить такую информацию. Сроки обработки такого запроса могут быть разными, но не превышать 30 дней. Например, если вы обнаружили в сети интернет, данные о себе, которые не соответствуют действительности, то владелец такого ресурса должен в срок не более 7-ми дней с момента получения Вашего запроса внести необходимые корректировки или вовсе удалить их.
Данный момент закреплен в статье 20 Федерального закона «О персональных данных».

Как сформировать запрос оператору персональных данных?

При формировании такого запроса нужно соблюсти ряд требований, но они не очень сложны. Такой запрос должен содержать паспортные данные субъекта (Номер паспорта, дату выдачи, кем и когда он был выдан). Помимо этого Вы должны приложить подтверждение того, что оператор ведет обработку Ваших данных, это может быть номер и дата договора, скриншот или любые подтверждающие факт обработки сведения. Допускается даже словесное обозначение, т.е. просто описание того факта, что обработка Ваших персональных данных ведется конкретным оператором. Ну и конечно потребуется поставить подпись.

Допускается направлять запрос и в форме электронного документа, но в таком случае он должен быть подписан электронной подписью.

Если оператор предоставил Вам запрашиваемые сведения, то Вы имеете право запросить их повторно, но не ранее чем через 30 дней. Отсчет ведется с даты направления предыдущего запроса.

Если же оператор предоставил Вам не все сведения, которые Вы запрашивали, то ждать 30 дней не обязательно, в таком случае формировать повторный запрос можно сразу же. Но не забудьте обосновать свое обращение.

Какие сведения имеет право запросить субъект персональных данных?

На самом деле, оператор персональных данных должен соблюсти достаточно много условий для того, что бы иметь возможность работать с Вашей персональной информацией и поэтому список сведений, которые вы можете запросить достаточно большой. Давайте разберем их по порядку:

  • подтверждение факта обработки персональных данных оператором;
  • правовые основания и цели обработки персональных данных;

Правовыми основаниями могут выступать договор, устав, лицензия или норма закона, в памятке операторам РКН приводит следующий пример:

«ст. 86-90 Трудового кодекса РФ; ст. 53, ч. 2 ст. 54 Федерального закона от 07.07.2003г. № 126-ФЗ «О связи»; п. 4.5 Лицензии № _____от______ ., выдана ООО «_________» Федеральной службой по надзору в сфере связи на осуществление деятельности по оказанию услуг связи; п.1 Устава ООО «_________», утверждённого на общем собрании акционеров 01.01.0000г., протокол № 1.»

Цели обработки персональных данных должны быть конкретными, заранее определёнными, законными и соответствующими деятельности, при которой такая обработка осуществляется.

Цели оператор определяет заранее, при подаче заявления в Роскомнадзор, подробнее про определение целей и подготовке уведомления в Роскомнадзор можно прочитать в этой статье.

  • цели и применяемые оператором способы обработки персональных данных;

Способы обработки могут быть автоматизированными, т.е. с применением средств вычислительной техники и неавтоматизированными или смешанными. Причем цели для разных способов обработки данных одного и того же человека могут быть разными.

  • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;

Трансграничная передача, это передача Ваших данных на территорию другого государства. Для такой передачи оператору необходимо иметь Ваше письменное согласие на обработку персональных данных.

  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

Когда могут отказать в доступе к персональным данным?

Несомненно каждый человек имеет право запросить у оператора сведения об обработке собственных персональных данных. Но есть и ряд исключений, когда оператор может отказать. Как правило все эти случаи связаны с работой силовых ведомств. Это может быть оперативно-розыскная или разведывательная и контрразведывательная деятельность. Доступ к ПД может быть ограничен, если в отношении субъекта возбуждено уголовное дело или если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации( отмыванию) доходов, полученных преступным путем.

Ограничение доступа может возникнуть, если нарушаются права и законные интересы третьих лиц.

Многие компании используют персональные данные для направления сообщений, которые рекламируют услуги или товары оператора. Все мы периодически получаем на почту информацию о скидках, акциях и специальных предложениях, но зачастую такие сообщения нам не интересны, докучают и мы даже не помним когда согласились на это «заманчивое» предложение.

В данном случае, помимо федерального закона «О персональных данных» стоит обратиться еще и к закону «О рекламе». Но давайте разбираться по порядку.

В ст. 15 ФЗ-152 говориться, что обработка персональных данных в целях продвижения товаров, работ и услуг при помощи средств связи может осуществляться только при условии согласия физического лица. Очень интересный момент заключается в том, что в случаях рекламы собственных работ и услуг, компания должна доказать, что такое согласие было получено.

В случае, если Вы все таки дали оператору такое согласие( путем проставления галочки в чек-боксе на сайте или заключая с ним договор), то в любой момент можете его отозвать. Для этого достаточно написать обращение в компанию, которая забрасывает Вас письмами и оператор обязан немедленно прекратить обработку Ваших персональных данных для целей носящих рекламный характер.

Более того, если сообщения Вы получаете на электронную почту, в письме должна быть ссылка для автоматического отказа и исключения Ваших контактов из рекламной рассылки.

Что же такое реклама, обратимся к определению – «информация, распространяемая любым способом и адресованная неопределенному кругу лиц направленная на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижению на рынке».

Как и в ситуации с законом «О персональных данных» в законе «О рекламе», в главе 2, ст. 18 написано, что распространение рекламы по сетям электросвязи допускается только при условии, что абонент дал на это предварительное согласие. Так же рекламодатель обязан доказать наличие такого согласия, как и в случае с требованиями 152-ФЗ. Требования законов сходятся и части того, что рекламораспостранитель обязан немедленно прекратить процесс распространения рекламы получив соответствующее требование от физического лица.

Если регулятором в области персональных данных выступает Роскомнадзор, то в случае закона «О рекламе» это Федеральная Антимонопольная Служба (ФАС). Требования к оформлению жалобы, размещены на сайте регулятора. Выполнить их достаточно просто, во многом механизм подачи схож с требованиями к подачи обращения в РКН, нужно указать:

  • ФИО заявителя и его место жительства
  • Наименование рекламодателя

В случае если заявитель не может самостоятельно предоставить доказательства правонарушения, то он вправе указать на юридическое или физическое лицо, от которого такие доказательства могут быть получены.

  • Требования заявителя

Срок рассмотрения не должен превышать 1 месяц со дня его поступления, за исключением случаев когда доказательств не достаточно. При таком варианте развития событий ФАС должен уведомить Вас и может продлить срок рассмотрения жалобы, но так же не более чем на 1 месяц.

ПО результатам обращения ФАС может инициировать проверку. Результатом которой, вполне возможно, окажется штраф рекламораспространителю. Сумма штрафа в данном случае довольно существенная. Размер штрафов регламентирует ст. 14.3. КОАП РФ и достигать они могут 500 000р.

Пример из жизни, Сбербанк опять не на высоте

В качестве примера разберем случай произошедший с ПАО Сбербанк в 2018г. Суть данного судебного разбирательства состоит в том, что ПАО «Сбербанк» заключил с одним из своих клиентов договор на выпуск международной карты. При этом договор присоединения был составлен таким образом, что подразумевал отправку сообщений рекламного характера. Клиент не мог получить необходимую ему карту и при этом отказаться от навязанной банком услуги. В данной ситуации потребитель банковской услуги не растерялся и отозвал ранее данное согласие.

Когда же он получил очередную рассылку с рекламой услуг банка он обратился в Федеральную антимонопольную службу.

Не смотря на ряд доводов представителей банка, суд постановил Сбербанк выплатить штраф в размере 250 000р. В соответствии с ч.1 ст. 14.3. КОАП РФ.

Выжимка основных моментов из регламента и наши рекомендации:

Чтобы соответствовать европейскому регламенту, проработайте следующие моменты:

Политика конфиденциальности

Разработайте и разместите на сайте отдельным документом Политику конфиденциальности. Полный список того, что туда включить, в оригинале здесь. Если же коротко и по-русски =), то рекомендуем расписать следующие пункты:

Объяснение, кто такой «контролер», «процессор» и «субъект»* персональных данных. У кого какие ответственности, обязанности и права.

* Это новые термины. «Субъект» – тот, чьи данные обрабатываются (например, ваши потенциальные клиенты), «процессор» – тот, кто собирает и обрабатывает данные (например, какой-нибудь сервис лидогенерации на сайте или сам владелец сайта), «контролер» – тот, кто решает, какие данные собирать и как использовать (например, владелец сайта, которому нужны лиды и данные пользователей). В 152-ФЗ мы оперируем терминами «оператор ПД» и «субъект ПД» и термин «оператор ПД» включает в себя функции и контролера, и процессора.

Кто вы/ваша организация есть (контролер или процессор, а может и то, и другое в одном лице). Ваши контактные данные, включая юридический адрес, имя и должность ответственного за ПД лица* (если есть представитель в ЕС, то его имя и контакты).

Читать еще:  Жилищный юрист разъяснит кто нуждается в улучшении жилищных условий

* Ответственное лицо обязательно должно быть назначено, если вы обрабатываете «чувствительные» данные, такие как религиозные убеждения, сексуальную ориентацию, данные личной жизни. В его обязанности будет входить контроль и обеспечение безопасности данных, взаимодействие с субъектами в случае отзыва данных и т.д. Если же вы просто осуществляете коммерческую деятельность на территории ЕС, то нет потребности вводить такую должность. Вы можете просто назначить одного из действующих сотрудников ответственным за контроль и управление данными, указать его контакты для приема претензий или вопросов.

Какая персональная информация собирается вами.

Зачем она собирается, как вы намерены её использовать.

Как пользователь может отозвать, изменить, переслать свои персональные данные.

Куда обращаться, если у пользователя есть претензии – в какой DPA*

* В каждой стране ЕС теперь учреждены Data Protect Authorities (DPA). Это организации, которые следят за соблюдением GDPR на территории ЕС. Каждый пользователь может обратиться туда с жалобой, и в этом случае DPA обязаны проверить – исполняются ли правила GDPR в вашей компании. Сами DPA подчиняются Европейской Комиссии.

Сколько времени хранятся данные.

Как вы обеспечиваете безопасность хранения, обработки и передачи данных.

Каким компаниям (субпроцессорам)* вы можете передавать данные и с какими целями.

* Если вы вынуждены передавать ПД третьим лицам (например, службе доставки), то должны указать в политике, кто эти лица и зачем вы сообщаете им данные. Кроме того, вы должны убедиться, что эти субпроцессоры соблюдают GDPR (как минимум проверить у них наличие политики конфиденциальности). В идеале вам стоит заключить соглашение с суброцессорами о неразглашении и защите передаваемых вами ПД.

Указано ограничение по возрасту 16+ (если же ваш сайт направлен непосредственно на детей и содержит детский контент, то необходимо дополнительно брать согласие родителей на обработку ПД, если эти данные вдруг собираются).

Указана информация о работе куки-файлов (как собираются, зачем, как отключить).

Сама политика должна быть расписана понятным языком, без двусмысленных трактовок и обязательно (. ) на языке клиента. Получается, если потенциальные клиенты сайта жители Германии – информацию представляем на немецком языке. Работаете с итальянцами – пишите на итальянском. Если у вас мультиязычный сайт, то логично, что политика конфиденциальности должна быть переведена на каждый из языков.

Посмотрите, как реализована Политика приватности для граждан ЕС на «Букинге» (она отвечает и GDPR, и 152-ФЗ):

Формы для сбора ПД

Объем данных и количество полей в формах

Прямых указаний «сколько вешать в граммах» нет, но действует ограничение: нельзя собирать данные, не требующиеся для ваших целей. То есть поля «Место жительства» или «Адрес» нельзя включать в формы сбора данных на сайте для покупки онлайн-продукта. Включайте только необходимый минимум! Кстати, для юзабилити это тоже полезно.

Обратите внимание, что при бронировании авиабилетов в нашем примере нет лишних полей ПД.

Согласие на обработку ПД

В отличие от 152-ФЗ, тут однозначно прописано, что никаких согласий по умолчанию быть не может (заранее проставленных галочек в чекбоксах быть не должно).

Только активное действие пользователя (например, проставить галочку перед отправкой данных). То есть пользователь должен сам совершить действие по принятию этого согласия.

Мы сделали это так:

Автоматическая подписка на рассылку

Все данные собираются и используются только в указанных в политике целях. Допустим, если вы собираете данные для выполнения заказа, то применять их для рекламных рассылок без уведомления и предупреждения запрещено. В идеале (чтоб не докопались) для рассылок должен быть отдельный чекбокс и отдельное согласие. Автоматически никто никого не подписывает:

Однако допускается, что вы можете сделать запрос на другое использование данных. Возьмем все тот же пример – вы собирали данные для оформления заказа, у вас накопилась большая база, вы хотите сделать рассылку, но не можете, т.к. нет согласия, а без согласия можно теперь нарваться на штраф. В этом случае вы можете сделать одну рассылку, в которой:

  • укажете, где и при каких обстоятельствах вы получили адрес;
  • опишите, что хотели бы использовать адрес в новых целях (например, email-рассылка);
  • попросите согласие пользователя на такое использование.

Если пользователь своим действием подтвердит согласие, то можно включить его в базу. Тут важно в этой первой (и возможно единственной) рассылке показать все выгоды вашего предложения, чтобы получить максимальное число согласий.

Управление данными

По новым правилам GDPR необходимо предоставить пользователю возможность управления своими данными: смотреть, редактировать и удалять. А также выгружать их в форматах XML, JSON, CSV, чего ранее не было.

В идеале сайт должен иметь личный кабинет с функциями управления ПД.

Также должна быть возможность получить свои ПД или передать их другому оператору. Причем при переходе пользователя, например, к конкурентам, отправить данные должны вы. Это делается для удобства ваших клиентов, чтобы им несколько раз не вбивать одну и ту же информацию.

Как этот пункт будет реализовываться на практике, пока непонятно. Но крупные компании, работающие в ЕС, уже включили в свои политики пункт о передаче данных третьим лицам. Например, вот так сделал «Букинг»:

Пункт о передаче: В определенных случаях, по вашей просьбе, мы можем переслать ваши персональные данные, которые вы передали нам, третьему лицу.

Нам кажется, что в первую очередь данное нововведение коснется медицинских объектов. Так, например, при смене клиники, пользователь может попросить передать все данные о своих предыдущих обследованиях в новое учреждение. И, по сути, это правильно и удобно.

Хранение и защита персональных данных

Теперь в политике конфиденциальности обязательно прописывать сроки хранения ПД. Вы должны их строго придерживаться. Персональные данные не должны храниться дольше указанного срока и не должны быть уничтожены/удалены раньше, чем это зафиксировано в политике (только если пользователь сам не попросит вас об этом).

Исключение – исследования в интересах общества: наука, архивы, социальная статистика, история. Хранить их можно в обезличенной форме или же с обеспечением усиленных мер защиты.

А еще Google подстраховал себя в связи с GDPR: будет удалять любые данные старше 26 месяцев. Чтобы сохранить статданные в Google Analytics, скорректируйте настройки в разделе «Хранение данных» на нужный период: 14, 26, 38, 50 месяцев или «Без срока действия». Если этого не сделаете, то через 26 месяцев все ваши накопленные статданные исчезнут. Если не можете разобраться, как это сделать, пишите в комментариях – накидаем инструкцию.

152-ФЗ так же требует достаточных мер по защите ПД пользователей от несанкционированной или незаконной обработки, уничтожения и повреждения. То есть все данные должны быть надежно зашифрованы, доступ к ним должен быть только у имеющих на это право должностных лиц.

Как будут проверять эту самую «надежность»? Пока тоже под вопросом.

Из нововведений в этом пункте то, что при утечке информации вы обязаны сообщить об этом в полицию и непосредственно пользователям, чьи данные «утекли», в течение 72 часов. Как вы это сделаете – ваши проблемы.

Куки-файлы

Требуется оповещать пользователей при первом посещении сайта, что вы используете куки-файлы. Можно поставить статичное уведомление, а можно настроить всплывающее окно (дисклеймер). Оно должно содержать ссылку на пункт в политике конфиденциальности о сборе и обработке куки-файлов, включать активное действие по согласию сбора этой информации.

Вот так, например, информирует о куках одна из бельгийских пластических клиник:

Текст в дисклеймере: Клиника Велнесс использует куки-файлы, чтобы улучшить ваше взаимодействие с сайтом. Подробнее.

Политика использования куки-файлов

У нас сложилось впечатление, что информацию о том, как вы используете куки-файлы, можно внести в общую политику конфиденциальности (см. п.1 этой статьи).

Но многие европейские компании выносят cooky policy на отдельную страницу. Возможно, так удобнее для юзеров.

Политика использования куки-файлов должна включать:

  • внятное, доступное для обычных пользователей объяснение, что такое куки;
  • информацию о том, как именно вы используете куки, для каких целей;
  • информацию о том, как запретить сбор ПД посредством куки (можно дать ссылку на общедоступные инструкции, например aboutcookies.org).

Пример: информация о куки-файлах на сайте booking.com:

Документирование процессов

Чтобы избежать вопросов и безболезненно пройти проверку (если вдруг случится), рекомендуем обеспечить документальное подтверждение того, что вы соблюдаете регламент GDPR. Для этого в компании должны быть следующие документы:

  • На сайте: политика соблюдения требований GDPR (что в нее включать, мы перечислили выше).
  • Внутренние правила и процедуры работы с персональными данными (подписанные всеми сотрудниками, имеющими доступ к ПД).
  • Реестры персональных данных.
  • Учетные записи обработки персональных данных.
  • Приказ о назначении единого ответственного лица, который будет следить за исполнением регламента и вашей политики конфиденциальности.

Это были основные значимые моменты, отличающие 152-ФЗ (который вы, надеюсь, уже обеспечили) от его европейского аналога GDPR.

Чтобы было удобно составить документы по информационной безопасности на своем сайте, воспользуйтесь нашей итоговой таблицей. Здесь можно наглядно увидеть сходства и различия 152-ФЗ и регламента GDPR; понять, в каком документе какие пункты обязательны и как обеспечить исполнение обоих регламентов:

Необходимо зарегистрироваться как оператор ПД

Наличие уведомления рекомендовано
+
Политика на сайте

Наличие уведомления обязательно
+
Политика на сайте

Тарифы от 2800 руб.

Будьте внимательны при составлении документов и подготовке сайта. Не забывайте следить за обновлениями в законодательстве. Пишите свои вопросы в комментариях, а если будут сложности – обращайтесь, обезопасим вас от штрафов по 152-ФЗ как минимум. Соблюдение же регламента GDPR требует более глубокой проработки и глобальных изменений внутренних процессов компании, поэтому тарифов под него не разработали – все очень индивидуально. Но если у вас есть такая потребность, велком, посмотрим, что можно сделать.

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector