Он следит, чтобы данные использовались только с разрешения владельца и никуда не утекали. Требования и наказания устанавливает 152-ФЗ «О персональных данных».
В Сети много юридических статей о том, что такое 152-ФЗ, как ему соответствовать, какие грозят штрафы. Эти статьи такие сложные, что предприниматели пугаются и откладывают их на потом. А проблемы с персональными данными в компании остаются. Я хочу по-человечески рассказать об основных принципах правоприменения в области защиты персональных данных. Прочитав материал, вы с легкой душой приведете бизнес в соответствие требованиям закона.
Какие данные персональные, а какие — нет
В теории все очень легко: если по набору данных можно идентифицировать человека как конкретное физическое лицо, эти данные — персональные. То есть «Сидоров Матвей Анатольевич, тел.:8 915 345-23-54, адрес: гор. Москва, ул.Ленина, д. 5, кв. 23» — это персональные данные. А вот только телефон или только адрес — нет. Но это в теории.
Подписывать или нет?! СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ.
РКН и суды очень широко трактуют определение персональных данных. На практике персональные данные — любая информация о человеке даже без прямой привязки к нему. В прошлом году показательный прецедент произошел с МГТС: на оператора связи наложили штраф за сбор и передачу партнерам сведений об абонентах.
В данных не было ФИО, телефонов или адресов — только обезличенные cookies, IP-шники и адреса посещенных страниц. Суд посчитал, что раз данные получены в результате активности клиентов МГТС, они являются персональными. И неважно, что компания их обезличила. Если на сайте для оформления заказа достаточно ввести адрес и телефон, не надейтесь, что РКН останется в стороне.
Как Роскомнадзор выбирает компании для проверки
Роскомнадзор представляют как ведомство, которое направо и налево блокирует что вздумается и выписывает штрафы кому хочет. Но по меньшей мере в области персональных данных ведомство следует предписаниям закона и подзаконных актов. План проверок РКН публичен, его согласуют в конце каждого года и публикуют на официальном сайте.
Актуальный план — первым пунктом Иногда РКН внепланово проверяет компании, на которые прислали жалобу. Проверка следует, если чиновники сочтут жалобу веской. Без жалоб и вне плана РКН не имеет права проверять организацию.
Что будет, если нарушить закон
- Если предприниматель не предусмотрел или неправильно оформил Политику в отношении обработки персональных данных — для ИП последует штраф от 3 000 до 5 000 рублей, для юрлица — от 15 000 до 75 000 рублей:
- сбор и обработка данных не соответствовали заявленным целям — ИП получит штраф от 5 000 до 10 000 рублей, юрлицо — от 30 000 до 50 000 рублей;
- клиенту отказали в предоставлении информации о том, как обрабатываются персональные данные, или проигнорировали просьбу — штраф от 10 000 до 15 000 рублей для ИП, от 20 000 до 40 000 тысяч рублей — для юрлиц.
Да, по закону клиент имеет право узнать, что́ магазин делает с персональными данными. Также клиент может потребовать, чтобы его данные удалили, и магазин обязан подчиниться.
Что такое персональные данные (ПДн)? Защита по 152-ФЗ и требования Роскомнадзора в 2022
Для начала нужно уведомить Роскомнадзор о сборе данных
Еще до начала работы нужно рассказать РКН, что интернет-магазин намерен осуществлять сбор и обработку персональных данных. Форма уведомления — на официальном сайте.
Оператор — это компания, которая будет собирать персональные данные
В форме куча неочевидных полей, давайте разбираться.
Все примеры ниже — рабочие, можно подправить под свой бизнес и использовать. Хорошо, что требования к тексту уведомления не строгие: никто не придирается, штрафы не предусмотрены.
Правовое основание обработки персональных данных. Здесь нужно перечислить положения и законы, которыми руководствуется интернет-магазин при сборе и обработке данных.
152-ФЗ «О персональных данных», Уставом ООО «Ромашка», Политикой ООО «Ромашка» в отношении обработки персональных данных, Правилами продажи товаров дистанционным способом (утв. Постановлением Правительства
РФ от 27 сентября 2007 г. N 612), ст.18 ФЗ «О рекламе», ст. 86-90 Трудового кодекса РФ.
Цели обработки персональных данных. Расскажите, зачем вам нужны персональные данные клиентов.
— Оказание услуг по дистанционному оформлению заказов и осуществлению доставки товаров;
— систематизация и анализ с целью улучшения качества товаров и услуг;
— исполнение договорных обязательств;
— ведение личных дел сотрудников;
— работа с жалобами.
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных». Тут нужно перечислить технические средства, которые вы используете, чтобы защитить персональные данные от утечек.
- Антивирусы;
- запирающиеся на ключ шкафы для хранения информации в распечатанном виде;
- сейфы;
- шредеры.
Также желательно назначить ответственного за хранение персональных данных, указать ФИО и должность.
Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ. Напишите, что разработали и утвердили Политику обработки персональных данных, приказом определили ответственное лицо и провели с ним инструктаж. Сотрудники проинформированы о правилах работы с персональными данными, а доступ третьих лиц исключен.
Разработана и утверждена Политика обработки персональных данных в ООО «Ромашка», приказами определены лица, ответственные и допущенные к обработке персональных данных в ООО «Ромашка», приказом определены места хранения носителей, содержащих персональные данные, обеспечивается раздельное хранение материальных носителей, содержащих персональные данные, назначено должностное лицо, ответственное за обеспечение безопасности персональных данных в информационной системе. Несанкционированный доступ к базам персональных данных исключён.
Неконтролируемое проникновение или пребывание посторонних лиц в помещениях, где ведётся обработка персональных данных, исключено. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки. На основании модели угроз безопасности информации разработана система защиты информации (СЗИ). Хранение сведений организовано на электронных носителях (в ИСПДн) с использованием средств обеспечения безопасности, на бумажных носителях — в сейфах (шкафах, исключающих несанкционированный доступ).
Срок или условие прекращения обработки персональных данных. Здесь все коротко и просто.
Ликвидация (реорганизация) ООО «Ромашка».
Категории субъектов, персональные данные которых обрабатываются. Это можно заполнить так.
— физические лица, состоящие в договорных отношениях с ООО «Ромашка»;
— сотрудники ООО «Ромашка», с которыми заключены трудовые договоры;
— граждане, обратившиеся в ООО «Ромашка» с жалобами;
— граждане, направившие резюме при устройстве на работу.
Оформить и опубликовать Политику обработки персональных данных
Следующий шаг — составить Политику обработки персональных данных. С ней будут соглашаться покупатели, прежде чем отправить вам имена, фамилии, адреса и т. д.
Политику оформляют как документ, чтобы показать в случае проверки. Документ выкладывают на сайте в публичном доступе.
Обычно при проверке РКН не цепляется к тексту документа, штрафует только за отсутствие. Поэтому можно сделать Политику краткой, как «Ситилинк». Но лучше подстраховаться и составить подробную Политику, следуя рекомендациям, как «Связной».
У Политики нет обязательного шаблона, но РКН рекомендует включать в нее 6 разделов. Разберем их подробно.
Общие положения. В этом разделе описывают:
— назначение Политики;
— принципы обработки данных;
— понятия («обработка персональных данных», «оператор», «субъект персональных данных», «конфиденциальность персональных данных»);
— основные права и обязанности оператора и субъекта (ов) персональных данных.
Это совершенно стандартный раздел, который можно спокойно взять, например, у «Связного».
Правовые основания обработки персональных данных. Тут нужно перечислить законы, правовые акты и документы, которые регулируют работу с персональными данными. Для интернет-магазинов это стандартный набор.
Политика персональных данных ООО «Ромашка» разработана в соответствии с Конституцией Российской Федерации, 152-ФЗ «О персональных данных», Уставом ООО «Ромашка», другими законодательными, нормативными документами и правовыми актами Российской Федерации в области персональных данных.
Цели сбора персональных данных. Подробно опишите, зачем вам нужны персональные данные клиентов.
— Для обеспечения регистрации на сайте;
— выполнения условий договоров;
— осуществления доставки товара;
— проведения внутренних исследований аудитории сайта;
— осуществления документооборота.
Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных. Начало стандартное для всех.
В информационных системах персональных данных ООО «Ромашка» обрабатываются персональные данные следующих субъектов персональных данных.
Далее перечислите категории субъектов. Если по-простому, это категории людей и организаций, который будут оставлять данные в магазине. Рядом с категориями в скобках укажите, какие конкретно данные вы у них собираете и обрабатываете.
- сотрудники (ФИО, паспортные данные, телефон, домашний адрес, СНИЛС);
- бывшие сотрудники (ФИО, паспортные данные, телефон, домашний адрес, СНИЛС);
- кандидаты на замещение вакантных должностей (ФИО, телефон, электронная почта, место работы);
- клиенты и контрагенты (ФИО, телефон, электронная почта, домашний адрес, рабочий адрес).
Важно, чтобы данные, которые вы собираете, соответствовали заявленным целям сбора и обработки. Например, если в целях только «Осуществление доставки товара», при проверке придется объяснить, зачем вы спрашиваете у клиентов уровень дохода.
Порядок и условия обработки персональных данных. Расскажите, что делаете с данными и когда прекращаете их обрабатывать. Это самый важный раздел, на который можно ссылаться в конфликтных ситуациях.
ООО «Ромашка» осуществляет сбор, запись, систематизацию,
накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Обработка осуществляется следующими способами:
- неавтоматизированная обработка персональных данных;
- смешанная обработка персональных данных, в том числе, с передачей по внутренней сети ООО «Ромашка» и/или с передачей по сети Интернет.
Важно указать все, что планируете делать с данными. Например, если вы с помощью dadata.ru чистите от опечаток ФИО и адреса клиентов, придется добавить в список еще один пункт:
автоматизированная обработка персональных данных.
Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным. Опишите, как будете реагировать на запросы клиентов: куда им писать, чтобы получить ответ, в течение какого срока вы отвечаете, что указывать в обращении.
Клиент ООО «Ромашка» имеет право обратиться в ООО «Ромашка», чтобы скорректировать свои персональные данные, узнать о форме их обработки или потребовать удалить их.
ООО «Ромашка» обязуется информировать клиентов о любых изменениях условий обработки персональных данных.
При достижении целей обработки персональные данные клиентов ООО «Ромашка» подлежат уничтожению.
Все разделы нужно собрать в документ и выложить на сайт. Посетители должны видеть ссылку, обычно ее ставят в подвале.
Получить согласие покупателей
У 152-ФЗ есть важный принцип: клиент должен разрешить обработку персональных данных.
Чтобы получить согласие, в форму регистрации на сайте добавляют «галочку». Рядом с ней — ссылка на Политику в отношении обработки персональных данных.
Если не отметить вторую «галку», купить на «Озоне» не получится
Не подставляться на мелочах
Интернет-магазины постоянно допускают две простые ошибки. Очень уж велик соблазн: данные вроде бы лежат под ногами, хочется пустить их в дело. Но нет.
Нельзя собирать информацию из якобы открытых источников. У таких источников тоже есть Политика, где прописаны условия использования и обработки данных.
Например, вы изучили интересы московских студентов во «ВКонтакте» и рассылаете им адресные предложения.
Если после такого предложения последует хотя бы одна жалоба в РКН, чиновники вправе выдвинуться с внеплановой проверкой. Придется объяснить, где вы собрали данные и почему тревожите людей без согласия. Могут и еще что-нибудь найти.
Сослаться на открытость данных не получится, потому что Политика «ВКонтакте» защищает персональные данные пользователей от третьих лиц. Это принципиальная позиция социальной сети.
Нельзя обзванивать своих клиентов без согласия. Такие обзвоны легальны, только если вы получили предварительное разрешение. То есть включили в договор пункт «использование данных в рекламных целях по сетям электросвязи». Иначе любое использование данных клиента в целях продвижения товаров будет признано не соответствующим целям их сбора.
«Телефонное» продвижение товаров вызывает интерес еще и Федеральной антимонопольной службы. Рекламируя услуги без согласия абонента, нарушаешь статью 18 закона «О рекламе».
Как собрать данные клиентов и не нарваться на Роскомнадзор
- Перед запуском магазина отправить уведомление в РКН.
- Составить Политику в отношении обработки персональных данных, опубликовать ее на сайте.
- При регистрации на сайте получать у клиентов согласие на обработку персональных данных.
- Соблюдать цели обработки данных.
- Следить за планом проверок на сайте РКН.
Помните: чтобы провести внеплановую проверку, Роскомнадзору достаточно одной жалобы от клиента. Не давайте повода.
Источник: oborot.ru
Что такое персональные данные. Объясняем простыми словами
Персональные данные — информация, которая прямо или косвенно относится к конкретному физическому лицу.
Проще говоря, это Ф. И. О., паспортные данные, банковские данные, номера телефона, адрес проживания, фотография и так далее. Важно, чтобы данные относились к конкретному человеку. Абстрактный номер телефона не является персональными данными, потому что невозможно понять, кому он принадлежит. Но если напротив этого телефона стоит Ф. И. О., то это уже персональные данные, так как понятно, к какой персоне они относятся.
Субъект персональных данных — лицо, чьи данные собираются, обрабатываются и хранятся. Оператор персональных данных — это юридическое лицо или государственная организация, которые эти данные собирают, обрабатывают, хранят, передают и уничтожают.
Пример употребления на «Секрете»
«»Яндекс» указал, что некоторые возможности сервисов станут недоступны после удаления персональных данных. Например, «Яндекс.Музыка» советует новые треки, опираясь на историю прослушиваний, лайки и дизлайки, и без этой информации рекомендации будут неточными».
(Из новости о том, что «Яндекс» разрешил пользователям навсегда удалять персональные данные.)
Нюансы
Выделяют несколько видов персональных данных:
- Общие персональные данные. Например, Ф. И. О., место работы, место регистрации, номер телефона, электронная почта. Такие данные и так могут быть известны некоторым людям, например родственникам, или опубликованы на общедоступных площадках, например в интернете.
- Специальные персональные данные. Они находятся в закрытом доступе, и узнать их можно, только получив согласие человека (субъекта персональных данных) либо в установленном законом порядке (через суд или полицию) при наличии оснований. Как правило, это сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
- Биометрические персональные данные. Это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Например, группа крови, отпечатки пальцев, фотографии или использование функции Face ID. Важный нюанс: такие данные считаются персональными, только если благодаря им можно идентифицировать личность. Если на входе в офис стоит камера с распознанием лиц, то фотография сотрудника — это биометрические персональные данные, так как фото служит, чтобы определить личность.
- Иные персональные данные. Служат дополнением к общим персональным данным и могут часто меняться. Например, данные, которые хранятся в бухгалтерии: информация о заработной плате, период отпуска, трудовой стаж.
Критика
Главная проблема персональных данных — в их частых утечках. Скандалы вокруг таких инцидентов происходят в России нередко. Так, в мае 2020 года в интернете появились паспортные данные москвичей, оштрафованных за нарушение самоизоляции. В ноябре 2019 года в открытом доступе оказалась личная информация 500 000 пользователей сайта по поиску работы Job in Moscow. Хакерам стали доступны не только персональные данные соискателей, но и логины и пароли их учётных записей.
«Аксиома: любая база данных утечёт. Завтра или через три года, целиком или по кусочкам, но это обязательно случится. Вот чем опасен сбор персональных и необезличенных данных», — констатирует сооснователь и генеральный директор HFLabs Дмитрий Журавлёв.
Цифры
Чтобы решить эту проблему, в 2021 году Госдума в 10 раз подняла штрафы за разглашение персональных данных. Для граждан — с 500–1000 рублей до 5000–10 000 рублей, для должностных лиц — с 4000–5000 рублей до 40 000–50 000 рублей. Помимо этого, систематически вносимые в законодательство поправки довели ответственность юрлиц за мелкие нарушения до 200 000 рублей.
Более серьёзные нарушения, включая сбор персональных данных посредством информационно-телекоммуникационной сети «Интернет», могут повлечь наложение административного штрафа на юрлицо от 1 млн до 6 млн рублей. Повторное совершение такого нарушения может повлечь штраф от 6 млн до 18 млн рублей.
Факты
- Большинство россиян считают, что за безопасность персональных данных в интернете должны отвечать государство или владельцы сайтов, но не они сами. К цифровой самозащите готов лишь каждый пятый гражданин, следует из результатов опроса, проведённого Аналитическим центром НАФИ.
- Роскомнадзор вправе инициировать судебные иски в отношении операторов персональных данных, которые допустили нарушения. Но сведений об использовании Роскомнадзором такого права практически нет.
Источник: secretmag.ru
