Сбор персональных данных

Сбор персональных данных на сайте

Сбор персональных данных

1 июля 2017 года вступила в силу новая редакция статьи 13.11 КоАП, которая предусматривает ответственность за нарушения Федерального закона № 152-ФЗ “О персональных данных” (далее – Закон о персональных данных”).

Теперь к ответственности по статье 13.11 КоАП можно привлечь:

  • любого работодателя (ведь он собирает, обрабатывает и хранит и использует персональные данные своих работников);
  • любое лицо, которое собирает информацию о своих клиентах, в том числе – через сайт (к примеру, если на Вашем сайте размещена форма обратной связи, форма регистрации, подписки на новостную рассыылку или кнопка заказа обратного звонка, запрашивающая имя и номер телефона, то по закону получается, что Вы (минимум) собираете и обрабатываете персональные данные);

за одно из следующих нарушений:

  • незаконная или несовместимая с целями их сбора обработка персональных данных;
  • отсутствие согласия субъекта персональных данных на их обработку или имеются нарушения при получении согласия;
  • неопубликование документов, определяющих политику оператора при обработке персональных данных;
  • непредоставление субъекту информации об обработке его персональных данных;
  • удаление или исправление персональных данных по требованию их субъекта;
  • несоблюдение сохранности персональных данных;
  • несоблюдение требований по обезличиванию персональных данных.

Что надо сделать с сайтом, чтобы нарушений не было

Чтобы избежать штрафа, необходимо выполнить следующие требования Роскомнадзора:

  • перенести сайт и базу данных на территорию РФ;
  • создать и разместить документы на сайте;
  • добавить чекбоксы согласия с документами во все формы.

Для этого необходимо:

  1. Надо выяснить, где находится хостинговая компания (она должна находиться на территории России).

  2. Составить публичные документы о правилах и условиях обработки персональных данных и разместить их на сайте так, чтобы они были доступны с любой страницы вашего сайта. Это может быть уведомление, пользовательское соглашение, правила продажи или политика в отношении обработки персональных данных, важно не название, а содержание.

  3. Приведите в соответствие с публичным документом сами контактные формы. Запрашивать нужно только те персональные данные, которые необходимы для каждой конкретной цели Вашего ресурса. Можно еще подписать, зачем просите эти данные, чтобы пользователям было комфортно их оставлять.

    Это можно сделать следующим образом: форме сбора данных, включая сбор email, разместить текст “Нажимая на кнопку, вы даете согласие на обработку своих персональных данных”.

    В тексте должна быть ссылка на документ — Пользовательское соглашение, договор или согласие на обработку персональных данных.

  4. Показывать всем новым пользователям сайта предупреждение с текстом о том, что вы собираете метаданные пользователя (cookie, данные об IP-адресе и местоположении) для функционирования сайта и, если он не хочет, чтобы эти его данные обрабатывались, то должен покинуть сайт.

  5. Указать email, куда физическое лицо может обратиться за тем, чтобы его персональные данные были удалены, заблокированы.

  6. Подать уведомление об обработке персональных данных в Роскомнадзор (ответственности за невыполнение этого пункта пока нет).

  7. Заключить соглашение о безопасности персональных данных с разработчиком сайта

  8. Дополнительно (для организаций)

  9. Назначить ответственных лиц и разработать пакет внутренних документов, регламентирующих процессы обработки и защиты персональных данных.

  10. Подписать с каждым работником обязательство о неразглашении персональных данных, согласие на обработку персональных данных, а также под роспись ознакомить их с внутренними документами по персональным данным.

Что должно быть в соглашении об обработке персональных данных

Согласно требованиям статьи 9 Закона о персональных данных в соглашении обязательно должна быть следующая информация:

  • наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  • информацию о том, как физическое лицо может отозвать свое согласие на обработку персональных данных.

Статья написана и размещена 15 сентября 2017 года. Дополнена –

ВНИМАНИЕ!

Копирование статьи без указания прямой ссылки запрещено. Внесение изменений в статью возможно только с разрешения автора.

Полезные ссылки по теме “Сбор персональных данных на сайте”

Источник: https://yuridicheskaya-konsultaciya.ru/internet/sbor-personalnyh-dannyh-na-sayte.html

Обработка и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года

Сбор персональных данных

Как следует из положений частей 2 и 3 статьи 105 Воздушного кодекса Российской Федерации, договор воздушной перевозки пассажира, договор воздушной перевозки груза или договор воздушной перевозки почты удостоверяется соответственно билетом и багажной квитанцией в случае перевозки пассажиром багажа, грузовой накладной, почтовой накладной; билет, багажная квитанция, иные документы, используемые при оказании услуг по воздушной перевозке пассажиров, могут быть оформлены в электронном виде (электронный перевозочный документ) с размещением информации об условиях договора воздушной перевозки в автоматизированной информационной системе оформления воздушных перевозок. Таким образом, авиаперевозчикам в целях реализации вышеуказанных положений закона, требуется осуществление деятельности по обработке персональных данных пассажира в целях оформления документов, удостоверяющих заключение договора воздушной перевозки.

В соответствии со ст. 85.

1 Воздушного кодекса Российской Федерации, в целях обеспечения авиационной безопасности перевозчики обеспечивают передачу персональных данных пассажиров воздушных судов в автоматизированные централизованные базы персональных данных о пассажирах в соответствии с законодательством Российской Федерации о транспортной безопасности и законодательством Российской Федерации в области персональных данных, при международных воздушных перевозках также в уполномоченные органы иностранных государств в соответствии с международными договорами Российской Федерации или законодательством иностранных государств вылета, назначения или транзита в объеме, предусмотренном законодательством Российской Федерации, если иное не установлено международными договорами Российской Федерации. При этом следует иметь ввиду, что Российская Федерация является стороной ряда международных конвенций в области авиаперевозок, в частности, Чикагской конвенции («Конвенция о международной гражданской авиации» заключена в Чикаго 7 декабря 1944 года, вступила в силу для Российской Федерации 16 августа 2005 года – «Собрание законодательства РФ», 30.10.2006, №44) , Варшавской конвенции («Конвенция об унификации некоторых правил, касающихся международных воздушных перевозок» заключена в Варшаве 12 октября 1929 года, вступила в силу для СССР 13 февраля 1933 года, Сборник действующих договоров, соглашений и конвенций, заключенных СССР с иностранными государствами, Вып. VIII, – М., 1935, с. 326 – 339.) и Гваладахарской конвенции («Конвенция, дополнительная к Варшавской конвенции, для унификации некоторых правил, касающихся международных воздушных перевозок, осуществляемых лицом, не являющимся перевозчиком по договору» заключена в Гвадалахаре 18 сентября 1961 года, вступила в силу для СССР 21 декабря 1983 года, «Ведомости ВС СССР», 15.02.1984, №7), которые также составляют неотъемлемую часть правового регулирования деятельности авиаперевозчиков и связанных с нею информационных процессов.

Исходя из вышеизложенного, требования ч. 5 ст.

18 ФЗ «О персональных данных» не распространяются на деятельность российских, а также иностранных авиаперевозчиков в части сбора и обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, так как они подпадают под исключение, предусмотренное п. 2 ч. 1 ст. 6 ФЗ «О персональных данных».

Требования ч. 5 ст.

18 ФЗ «О персональных данных» также не распространяются на деятельность лиц, действующих от имени авиаперевозчика (уполномоченный агент), деятельность которых предусмотрена пунктом 6 Общих правил воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей, утвержденных Приказом Минтранса России №82 от 28 июня 2007 года «Об утверждении Федеральных авиационных правил “Общие правила воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей», а также иных лиц, в части обработки персональных данных граждан-пассажиров исключительно для целей бронирования, оформления и выдачи последним авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, в том числе в электронном виде при внутрироссийских и международных перелетах, в случае, если вышеуказанная деятельность данных лиц предусмотрена законодательством Российской Федерации или соответствующим международным договором, в том числе для целей обеспечения авиационной безопасности.

Источник: https://digital.gov.ru/ru/personaldata/

Сбор персональных данных и информационная безопасность

Сбор персональных данных

Проблема регулирования процесса сбора персональных данных, сохранения информационной безопасности и другие сопутствующие вопросы, связанные с работой с персональными данными в нашей стране, сейчас является относительно решенной и известной широкому кругу юристов.

Очевидно, что законодательство не совершенно и нуждается в улучшении, однако основные положения регулируются Законом Украины “О защите персональных данных” от 1 июня 2010 года № 2297-VI. Так, в соответствии со ст.

12 указанного Закона сбор персональных данных является составляющей процесса их обработки, который предусматривает действия по подбору или упорядочению сведений о физическом лице.

Субъект персональных данных уведомляется о собственнике персональных данных, составе и содержании собранных персональных данных, своих правах, определенных Законом, цели сбора персональных данных и лицах, которым передаются его персональные данные: в момент сбора персональных данных, если они собираются у субъекта персональных данных, и в других случаях – в течение тридцати рабочих дней со дня сбора персональных данных. Кроме вышеприведенного Закона, юридические и физические лица имеют возможность решать вопросы, связанные с собственной информационной безопасностью, используя положения Гражданского кодекса Украины, Закона Украины “Об информации” и другие акты законодательства Украины.

Менее исследованным и более интересным вопросом с точки зрения шагов в будущее и евроинтеграционных амбиций Украины является ознакомление, изучение и анализ регулирования защиты персональных данных, в частности их сбор в странах Европейского Союза.

Наиболее актуальной и активно развиваемой сейчас является проблематика защиты персональных данных и информационной безопасности в Интернете. Так, 25 мая 2018 года вступили в силу Правила нового Закона о защите персональных данных в Интернете для пользователей, находящихся на территории Европейской экономической зоны (ЕЭЗ).

Здесь необходимо понимать, что ЕЭЗ охватываются не только страны собственно Европейского Союза, но и страны Европейской ассоциации свободной торговли (ЕАСТ), кроме Швейцарии.

Соглашение о создании Европейской экономической зоны подписано в 1992 году и вступило в силу 1 января 1994 года. ЕЭЗ основывается на тех же “четырех свободах”, что и Европейское Сообщество: свободное передвижение товаров, лиц, услуг и капитала между странами ЕЭЗ. Таким образом, страны ЕАСТ, входящие в ЕЭЗ, имеют режим свободной торговли с Европейским Союзом.

Это позволяет странам – участницам ЕАСТ, таким как Исландия, Норвегия и Лихтенштейн, принимать участие в едином европейском рынке без вступления в ЕС. В соответствии с Соглашением о Европейской экономической зоне, расширение ЕС влечет за собой расширение Европейской экономической зоны. Поэтому сейчас Европейская экономическая зона охватывает 30 стран.

Новые вышеприведенные правила обозначаются аббревиатурой GDPR (The General Data Protection Regulation, Общие правила защиты данных) и распространяются на всех участников всемирной сети Интернет, принимающих участие в сборе, хранении или обработке персональных данных.

Хотя Закон принят для защиты европейских данных, глобальный характер Интернета означает, что GDPR устанавливается стандарт конфиденциальности данных во всем мире.

Практически все крупнейшие интернет-компании, включая , и Google, подпадают под регулирование требований GDPR.

Важно указать, что GDPR – это давно назревший набор современных методов обеспечения и соблюдения конфиденциальности в бизнесе и особенно в Интернете, который является сверхважным в новых условиях развития глобальной экономики. Он призван научить нас относиться к данным пользователей с такой же тщательностью и уважением, с которой мы относимся к собственным.

В целях GDPR – обеспечивать еще большую защиту персональных данных лица, включая, но не ограничиваясь, его религиозные или политические убеждения. Наказания за несоблюдение правил существенные: до 20 млн евро или 4 % от общего оборота за нарушение. Кроме того, GDPR обеспечивается пользователям возможность компенсации любого материального и/или нематериального нарушения GDPR.

Целью настоящей статьи является обзор новых правил GDPR, поскольку на сегодняшний день практически каждый сайт в Интернете тем или иным образом работает с персональными данными пользователей. Если предприниматель будет знать, что ваш сайт соответствует требованиям GDPR, он продемонстрирует, что серьезно относится к конфиденциальности своих пользователей.

К чему/кому применяются правила GDPR?

GDPR применяются к данным, которые собираются, обрабатываются и/или хранятся в Европе независимо от того, где собраны данные.

Если, например, у физического лица есть интернет-магазин в Украине с информационной рассылкой и хотя бы один потенциальный клиент из Европейского Союза подписался на нее, тогда на такой интернет-магазин распространяются правила GDPR, что открывает юристам новые возможности для улучшения своих знаний и предоставления помощи клиентам.

Важным условием GDPR является то, что с момента вступления в силу данного Закона запрещена передача данных за пределы Европейского Союза в любую страну, которую ЕС не считает соответствующей требованиям законодательства о защите персональных данных. Если данные передаются лично за пределы ЕС для обработки или хранения, то необходимо получить явное согласие на это от пользователя, которому принадлежат данные.

Стоит обратить внимание на то, что многоуровневый характер юрисдикций всемирной сети Интернет и такие технологии, как CDN, приведут к тому, что в определенный момент данные, которые собираются и хранятся лицом, будут передаваться за пределы Европейского Союза и одобренных стран. Поэтому независимо от того, какие другие разрешения запрашиваются у своих пользователей, желательно всегда получать разрешение на хранение данных за пределами ЕС и данные должны быть защищены.

GDPR различает два основных типа данных, которые должны быть защищены: личные и деликатные.

Личные данные – это любые данные, идентифицирующие человека. Ваше имя, адрес электронной почты, местоположение, биометрические данные, логин (другие онлайн-идентификаторы) – все это личные данные.

Деликатные данные – это то, что, по мнению ЕС, более личное, чем имя. Этническое происхождение, религиозные убеждения, сексуальные предпочтения, политические взгляды, криминальная история – все это можно отнести к деликатным данным. Новые правила призваны уделять больше внимания защите и деликатных данных.

Также GDPR ставятся условия для данных, которые могут собираться из разных источников. Лучшее поведение в таком случае заключается в том, чтобы никогда не спрашивать больше данных, чем вам нужно – чем меньше данных вы храните, тем меньше риска их потерять.

Права пользователей согласно правилам GDPR

В любой ситуации, когда вы запрашиваете данные пользователя, сначала спросите себя: как это повлияет на права собственника этих данных? GDPR определяются следующие официальные права, которыми владеют собственники данных: право доступа, право на объект, право быть проинформированным, право на исправление, право на перенос данных, право на удаление данных, право не подвергаться автоматическому принятию решений, право ограничить обработку данных.

Однако лица, хранящие данные, также имеют права. Например, если пользователь подписался на вашу рассылку. Со временем он решает, что больше не хочет получать рассылку и отписывается.

В таком случае вы просто обязаны навсегда стереть адрес электронной почты данного пользователя.

Однако, когда пользователь подписывается на рассылку, вы должны знать его IP-адрес, чтобы сопоставить с его согласием получать рассылку (как и обязаны), ведь вы вправе сохранить эти данные, чтобы подтвердить выполнение своим сайтом правил GDPR.

Практические шаги по обеспечению соответствия требованиям

Важно понимать, что регулирующий орган Европейского Союза не обязан доказывать ваше несоблюдение правил. Это ваша юридическая обязанность доказывать, что вы соответствуете правилам, а неспособность сделать это само по себе является несоответствием требованиям.

Также следует выходить из принципа конфиденциальности по умолчанию: пользователю не нужно предпринимать никаких действий для обеспечения конфиденциальности. Если пользователь ничего не делает, его данные обрабатываются как частные.

Внедрение конфиденциальности в проект: конфиденциальность не добавляется к проекту задним числом, она является неотъемлемым компонентом любого продукта или системы. Также необходимо осуществлять оценку влияния на конфиденциальность, насущной необходимостью для крупных компаний также станет необходимость принятия на работу сотрудника по защите данных.

Кроме этого, следует указать, что в соответствии с GDPR согласие тщательно определено для обеспечения защиты прав пользователей: оно должно быть явным, поддающимся проверке и должно быть предоставлено по доброй воле. Согласие на цифровые услуги от ребенка в возрасте до 16 лет требует также согласия родителей.

Необходимо понимать, что если согласием, полученным вами от ваших пользователей, не выполняются какие-либо из этих требований, тогда будет считаться, что у вас нет согласия, независимо от намерений ваших пользователей. Также GDPR, в частности, требует конкретную декларацию о конфиденциальности.

Завершая краткий обзор материальных норм по сбору персональных данных и соблюдению информационной безопасности в Европейском Союзе, считаю необходимым остановиться на некоторых практических аспектах, связанных с судебной практикой относительно вопросов, касающихся тематики настоящей статьи.

Так, интересным с точки зрения понимания баланса между защитой персональных данных и свободой выражения взглядов является дело “Аксель Шпрингер АГ против Германии” (“Axel Sprinder AG v. Germany”), 7 февраля 2012 г., № 39954/08.

Соглашение о строительстве “Северного потока” было подписано в присутствии Шредера и Путина в апреле 2005 года, а договор о строительстве – при их же присутствия в сентябре 2005 года.

Через 10 дней после этого состоялись досрочные национальные выборы, инициированные Шредером путем постановки перед Бундестагом вопроса о доверии правительства, в котором ему было отказано, в результате чего президент Германии распустил парламент.

Опубликованный газетой Bild вопрос был поставлен заместителем председателя парламентской фракции Свободной демократической партии Германии Карл-Людвиг Тиле. Жалобу против Германии подал в ЕСПЧ издатель газеты – компания “Аксель Шпрингер АГ”.

Источник: http://uz.ligazakon.ua/magazine_article/EA012189

Ответственность за нарушение закона о персональных данных

Сбор персональных данных

Новости и аналитика Важная тема Все о персональных данных Ответственность за нарушение закона о персональных данных

Екатерина Добрикова

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Таблица 1. “Виды ответственности за нарушение закона о персональных данных”

Вид ответственностиНарушениеСанкцияНорма
АдминистративнаяНеправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информацииАдминистративный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.Статья 5.39 КоАП РФ
Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данныхПредупреждение или административный штраф:
  • на граждан – от 1 тыс. до 3 тыс. руб.;
  • на должностных лиц – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 30 тыс. до 50 тыс. руб.
Часть 1 ст. 13.11 КоАП РФ
Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласиеАдминистративный штраф:
  • на граждан – от 3 тыс. до 5 тыс. руб.;
  • на должностных лиц – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 75 тыс. руб.
Часть 2 ст. 13.11 КоАП РФ
Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данныхПредупреждение или административный штраф:
  • на граждан – от 700 до 1 тыс. руб.;
  • на должностных лиц – от 3 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 30 тыс. руб.
Часть 3 ст. 13.11 КоАП РФ
Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данныхПредупреждение или административный штраф:
  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 15 тыс. руб.;
  • на юридических лиц – от 20 тыс. до 40 тыс. руб.
Часть 4 ст. 13.11 КоАП РФ
Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)Предупреждение или административный штраф:
  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 45 тыс. руб.
Часть 5 ст. 13.11 КоАП РФ
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении нихАдминистративный штраф:
  • на граждан – от 700 до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 50 тыс. руб.
Часть 6 ст. 13.11 КоАП РФ
Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методовПредупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.Часть 7 ст. 13.11 КоАП РФ
Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном видеАдминистративный штраф:
  • на граждан – от 100 до 300 руб.;
  • на должностных лиц – от 300 до 500 руб.;
  • на юридических лиц – от 3 тыс. до 5 тыс. руб.
Статья 19.7 КоАП РФ
УголовнаяНезаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИШтраф до 200 тыс. руб., либо обязательные работы на срок до 360 часов, либо исправительные работы на срок до одного года, либо принудительные работы на срок до двух лет (с лишением права занимать определенные должности на срок до трех лет или без такового), либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет (с лишением права занимать определенные должности на срок до трех лет)Статья 137 Уголовного кодекса
То же деяние, совершенное с использованием служебного положенияШтраф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет или без такового), либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет)
Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданийШтраф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительные работы на срок до пяти лет (с лишением права занимать определенные должности на срок до шести лет или без такового), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет (с лишением права занимать определенные должности на срок до шести лет)
Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам гражданШтраф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти летСтатья 140 УК РФ
Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копированиеШтраф до 200 тыс. руб., либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительные работы на срок до двух лет, либо лишение свободы на тот же срокСтатья 272 УК РФ
Гражданско-правоваяПричинение лицу убытков в результате нарушения правил обработки его персональных данных.Под убытками при этом понимаются:
  • расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права;
  • утрата или повреждение его имущества;
  • неполученные доходы, которые лицо получило бы, не будь его право нарушено.
Возмещение убытковСтатья 15 Гражданского кодекса
Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данныхКомпенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)Статья 24 закона о персональных данных, ст. 151 ГК РФ
ДисциплинарнаяРазглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностейУвольнениеПодпункт “в” п. 6 ч. 1 ст. 81 Трудового кодекса
Иные нарушения в области персональных данных при их обработкеЗамечание или выговорСтатья 90, ст. 192 ТК РФ

Источник: http://www.garant.ru/actual/persona/otvetstvennost/

Зачем нужно согласие на обработку персональных данных — Право на vc.ru

Сбор персональных данных

Хотите иметь дело с проверкой Роскомнадзором своего ИТ-продукта или сайта? А потом ещё платить штраф, нести ответственность?

Думаю, что нет. Поэтому, давайте, начнём разбирать что надо делать с персональными данными в Российской Федерации и как не попасть под санкции госорганов.

Немного теории

Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

1) нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:

– Физическое лицо: предупреждение или штраф в размере 1 000 – 3 000 рублей;

– Должностное лицо: штраф в размере от 5 000 – 10 000 рублей;

– Юридическое лицо: штраф в размере 30 000 – 50 000 рублей;

2) Обработка персональных данных без согласия гражданина приведет:

– Физическое лицо: штраф в размере 3 000 – 5 000 рублей;

– Должностное лицо: штраф в размере от 10 000 – 20 000 рублей;

– Юридическое лицо: штраф в размере 15 000 – 75 000 рублей;

3) В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:

– Физическое лицо: штраф в размере 700 – 1 500 рублей;

– Должностное лицо: штраф в размере от 3 000 – 6 000 рублей;

– Индивидуальный предприниматель: штраф в размере от 5 000 – 10 000 рублей

– Юридическое лицо: штраф в размере 15 000 – 30 000 рублей;

Первоначально определимся с основными понятиями и поймём, что же они значат (неформальное объяснение по тексту будет обозначаться “Д”, это от слова description):

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Д: это любая совокупность информации, через которую можно определить определенного человека. К примеру, абстрактная электронная почта, допустим posledni_kaktus_naokne@bk.

ru – не относится к ПД, однако электронная почта с рабочим адресом допустим, ivan.ivanov@romashka.ru с подписью в письме “Главный инженер” – относятся к персональным данным, т.к.

мы можем однозначно определить, что это Иван Иванов, работающий главным инженером в организации “Ромашка”.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Д: это вы, собирающий персональные данные. Любой контакт с физическим лицом, в том числе в пространстве Интернет, позволяющий однозначно определить человека – и вот вы уже владелец персональных данных в лице оператора.

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Д: это любые действия, которые вы совершаете как оператор.

Самый большой штраф как вы видите – это за сбор ПД гражданина без согласия, поэтому в статье будем говорить в основном об этом.

Определим сразу случаи, когда согласие на обработку ПД не надо собирать в соответствии с законодательством Российской Федерации:

1. Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.

Д: когда законодательством установлено, что физическое лицо должно предоставить персональные данные и иначе никак.

2. Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Д: когда вы заключили с физическим лицом договор и в рамках этого (только этого) договора вам нужны персональные данные. Сюда подходит и оферты (публичный договор) на сайте и его акцепт, но до покупки товара или услуг, заказа с сайта (к примеру) ещё надо довести пользователя, а значит момент когда собираете ПД – наступает раньше.

3. Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.

Д: вы обезличиваете данные физического лица и “размываете” их в море других данных, соответственно определить кому что принадлежит – невозможно даже вам.

4. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

Д: данный пункт не относится к интернет-проектам, но для понимания ситуации, пример, когда приезжает частная медицинская бригада и оказывает помощь.

5. Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.

Д: если вы организуете почтовую связь, то лицу, которому фактически оказываете услуги – нет необходимости требовать согласия на обработку ПД.

6. Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

7. Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Д: не требуется согласие при использовании ПД, если это данные чиновников, предоставленные в соответствии с законодательством Российской Российской Федерации.

Во всех остальных случаях, при контакте и сборе ПД от физического лица – вы должны получать его согласие и иначе никак – закон есть закон!

Что делать

Теперь разберём как собирать ПД и получать согласие.

Вам требуется подготовить текст политики обработки и защиты персональных данных, а также согласие на обработку персональных данных.

Если у вас юридическое лицо или вы – индивидуальный предприниматель – вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии.

Хочу обратить внимание, что данная политика как в Российской Федерации, так и в зарубежных странах – относится не только к работе с потребителями, но и с работниками.

Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.

Самое главное по теме.

Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.

При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!

Немного юридического обоснования чекбоксов, а как называет Роскомнадзор – “галочек”:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” устанавливает обязательство собирать персональные данные:

“4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью…”.

Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:

“Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме.

Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.

Подать уведомление об обработке ПДн в Роскомнадзор.

В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, оператор должен это сделать до начала обработки ПД.

За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).

Итого, чтобы минимально привести в порядок работу с персональными данными вам потребуется:

– политика обработки персональных данных;

– приказ об утверждении вышеуказанной политики;

– согласие на обработку персональных данных;

– чекбокс с гиперссылкой на вышеуказанное согласие.

Всё это требуется опубликовать на сайте и / или в приложении.

И зачем всё это вообще?

Для чего же это вообще нужно? Зачем нужно беспокоиться о персональных данных и о получении согласия пользователя на их обработку?

Конечно, это прежде всего административная (штрафы, блокировка) и гражданская (причинение вреда) ответственность – такие вещи могут очень серьёзно повлиять на бизнес. Но есть ещё такая штука как частная жизнь граждан, как злоупотребление правом и недобросовестная реклама продавцов.

Я на 100% уверен, что каждый из нас не любит, когда на телефон приходит спам, реклама, а посередине ночи будит смс или звонок с просьбой “срочно перевести деньги, а то в тюрьму посадят”. А всё это происходит из-за ненадлежащего исполнения лицами, осуществляющими сбор персональных данных, своих обязательств.

И согласие на обработку ПД – всего лишь часть механизма, который должен обеспечивать нашу с вами защиту как граждан и повышать социальную ответственность.

К сожалению, такие полезные институты и механизмы могут превратиться в инструмент для давления… И мы как юристы должны эффективно использовать законы и максимально обезопасить бизнес от этого.

Так что, если вы выполнили все условия и шаги из настоящей статьи, то поздравляем – вы не только уменьшили вероятность быть оштрафованным и привлеченным к ответственности (работа с ПД физических лиц лишь небольшая часть правовой политики ИТ-продукта), но и сделали шаг к социально-ориентированному Интернет-пространству, уважающему личные данные пользователей!

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать

Источник: https://vc.ru/legal/46868-zachem-nuzhno-soglasie-na-obrabotku-personalnyh-dannyh

Глав-книга
Добавить комментарий