ИП персональные данные или нет

Текст обновлен 1 сентября 2022 года с учетом изменений в законодательстве. Все действия с личными сведениями граждан регулируются федеральным законом «О персональных данных» № 152-ФЗ. В отношении работодателя дополнительно применяется глава 14 Трудового кодекса.

❗️ Внимание
Роскомнадзор пристально изучает документы работодателя, относящиеся к персональным данным наемных работников. Проверяет их наличие, правильность заполнения и хранения. Штраф за нарушения может достичь 6 млн рублей.

Какие данные считаются персональными

Персональные данные — сведения о человеке, позволяющие напрямую или косвенно идентифицировать его как конкретную личность. Потеря, хищение или распространение этой информации может нанести человеку ущерб. Закон оберегает граждан от несанкционированного использования сведений о них. Согласно 152-ФЗ, подобными данными считаются:

• имя, отчество, фамилия;
• число, месяц, год рождения;
• место рождения, проживания, регистрации;
• национальность, раса, вероисповедание;
• состояние физического и психического здоровья;
• номера мобильного и домашнего телефонов;
• сведения о семейном положении и обо всех родственниках, включая родителей, детей;
• паспортные данные;
• реквизиты СНИЛС;
• информация из документов об образовании;
• информация из документов, относящихся к трудоустройству, например о стаже, зарплате;
• информация о судимостях, привлечении к административной, материальной ответственности или отсутствии таковых;
• все фото и видео, позволяющие установить личность человека;
• логин электронной почты;
• логины и ники аккаунтов в социальных сетях;
• биометрические данные.

Кроме того, к персональным данным относятся результаты тестирования личностных качеств и ассессмента, сведения о политических взглядах, философских убеждениях и жизненных ценностях. Факт пересечения человеком границы также считается конфиденциальной личной информацией.

Почему нужно отозвать согласие на обработку персональных данных

Некоторые данные из списка выше считаются персональными только в сочетании с другими.

Какие есть виды персональных данных

Разновидности личных сведений рассмотрены в постановлении правительства № 1119:

• общедоступные — информация, на доступ к которой получено согласие ее владельца;
• специальные — сведения, касающиеся расы человека, его национальности, религиозной принадлежности, сексуальной ориентации, личной жизни, включая судимости, философские и политические убеждения;
• биометрические — информация, связанная с генетическими индивидуальными особенностями: голос, отпечатки пальца, ДНК, радужная оболочка;
• иные — другие сведения, не попадающие в одну из вышеперечисленных категорий, например email, место проживания, трудовой стаж.

В работе с личными сведениями принимают участие:

• субъект — владелец, хозяин данных;
• оператор — лицо, организация или предприятие, которое занимается обработкой персональных данных субъекта.

Оператором может быть не только наймодатель, но любое лицо, в том случае, если оно занимается обработкой персональных сведений других людей вне личных и семейных нужд.

Что делать, если у ИП изменились персональные данные (ИП/РФ)

Примеры:
• человек хранит в телефонной книге номера друзей — он не оператор;
• вебмастер собирает на своем сайте электронные адреса посетителей для рассылки — он является оператором;
• бизнесмен — ИП, самозанятый, не нанимает никого на работу, однако занимается продажами и собирает контакты покупателей для доставки товаров — он оператор.

Обработка персональных данных — это комплекс действий, например получение, классификация, ликвидация, с индивидуальной информацией, обозначенной в законе как персональные данные.

Обработка может быть:

• автоматизированной — проводится с помощью информационных технологий;
• неавтоматизированной — выполняется без применения техники;
• смешанного типа — данные обрабатывают вручную, а затем используют те или иные программы, например переносят информацию в 1С с письменных документов.

❗️ Внимание
Персональные данные должны храниться в архиве так, чтобы их можно было найти, уничтожить или предоставить субъекту или госорганам — Роскомнадзору, ФСБ, прокуратуре — по требованию. Уничтожать сведения нужно так, чтобы информацией не могли воспользоваться злоумышленники.

Сервис по регистрации бизнеса от Деловой среды

Мечтаете о своем бизнесе? Зарегистрируйте ИП или ООО удаленно и бесплатно

Штрафы за ошибки в работе с персональными данными

За ошибки при обработке личных сведений предусмотрены штрафы, согласно статье 13.11 Кодекса об административных правонарушениях. Подробности — в таблице.

Чтобы не допустить штрафов, следует:

1. Зарегистрироваться в Роскомнадзоре как оператор.
2. Оформить письменные согласия на обработку персональных данных с теми людьми, данные которых планируется подвергать обработке.
3. Не собирать и не хранить излишнюю нецелевую информацию.
4. По первому обращению или заявлению субъекта своевременно делать с его персональными данными то, что он попросит. Например, уничтожать, менять.
5. Сохранять конфиденциальную информацию в соответствии с порядками и сроками, обозначенными в законе.
6. Гарантировать безопасность персональных данных, передавать их только уполномоченным третьим лицам, например представителям проверяющих инстанций.

Роскомнадзор может узнать о нарушениях в работе с данными по результатам плановой или внеплановой проверки и оштрафовать. Иногда это делают после чьей-либо жалобы.

Telegram Деловой среды

Больше пользы для вас и вашего бизнеса каждый день в нашем Telegram-канале

Кому нужно регистрироваться в Роскомнадзоре

Регистрация юридических и физических лиц в качестве оператора является обязательной.

Чтобы ее пройти, нужно подать извещение о том, что компания — оператор. По закону уведомление следует отправлять до начала работы с данными. Форму уведомления устанавливает Роскомнадзор, ее можно заполнить и отправить через портал персональных данных.

С 1 сентября 2022 произошли изменения, касающиеся случаев, в которых компаниям нужно уведомлять Роскомнадзор (законы от 14.07.2022 № 266-ФЗ; 28.05.2022 № 145-ФЗ; 01.05.2022 № 135-ФЗ).

Теперь предприятия обязаны подавать уведомление, когда намереваются обрабатывать персональные данные:

• своих сотрудников, в том числе тех, с кем заключены договоры ГПХ;
• своих клиентов, когда данные нужны для заключения и исполнения договоров, дополнительных соглашений;
• физлиц, которые разрешили использовать свои персональные данные, в том числе те, кто передал только ФИО для подготовки одноразового пропуска на территорию.

Уведомление должно содержать категорию данных, их субъектов, правовое основание обработки, перечень действий, способы обработки. Если у оператора есть доступ к персональным данным, которые находятся в государственных или муниципальных информационных системах, либо он обрабатывает данные из этих систем по договору, ФИО таких физлиц и наименование юрлиц нужно указать в уведомлении.

❗ Внимание
Уведомление в Роскомнадзор подавать не требуется, если компания не использует средства автоматизации при обработке данных. Например, когда для выдачи пропуска данные записываются вручную на бумажный носитель.

Вступайте в клуб Деловая среда Премиум и получите доступ к знаниям о развитии бизнеса

Когда работодатель вправе собирать персональные данные

В соответствии с 152-ФЗ, если субъект — получатель выгоды и сведения о нем требуются для исполнения соглашения (договора), согласия субъекта не требуется. Под этот пункт попадают трудовые договора. Но если наймодатель запрашивает информацию, которая не влияет на исполнение договора, например контакты, то для ее сбора согласие работника необходимо.

Трудовой кодекс обязывает работодателей предоставлять сотрудникам политику персональных данных. Сотрудники вправе понимать, что за данные у них берут, для чего, кто и как их будет обрабатывать. Каждый новый сотрудник должен поставить подпись в документе — Положении о хранении и использовании персональных данных.

В положении указывают:

• личные сведения, с которыми работают официальные лица;
• категории субъектов данных;
• способы и сроки обработки данных;
• порядок допуска к данным;
• процедуру передачи данных внутри и вне компании;
• реестр людей, кому внутри компании доступны персональные данные;
• список мест, где хранятся личные сведения;
• порядок уничтожения данных.

За обработку данных отвечает назначенный сотрудник. Он должен подчиняться руководителю компании, иметь возможность давать указания руководителям подразделений в рамках защиты конфиденциальной личной информации.

Когда точно нужно согласие работника:

• если работник предоставляет свои личные сведения через третью сторону;
• если нужно запросить информацию о работнике в другой организации.

В ряде случаев работодателю приходится запрашивать у сотрудников сведения о супругах и детях. Это происходит, когда в компании оформляют документы, касающиеся налоговых вычетов и пособий для женщин с маленькими детьми, или вносят изменения в документы сотрудника, потому что он сменил фамилию или имя.

В таких ситуациях предоставлять согласие должны и совершеннолетние родственники сотрудников. Чтобы наймодатель мог работать с данными несовершеннолетних детей, согласие за них дают родители — сотрудники компании.

Для передачи сведений третьей стороне у работника также запрашивают согласие. Но оно не нужно, если личную информацию нужно представить, чтобы предотвратить опасность жизни и самочувствию, а также когда данные передаются:

• фондам — пенсионному, социального страхования;
• банкам, с которыми ведется зарплатный проект;
• третьему лицу, если у работодателя есть доверенность на представление интересов сотрудника;
• при утверждении коллективного договора — в нем должна быть форма согласия на обработку персональных данных.

❗️ Внимание
Если планируется вести видеонаблюдение или как-то еще контролировать работников — такое право зафиксировано в статье 22 Трудового кодекса, — работодатель издает внутренний документ, в котором перечисляются все формы контроля. С ним необходимо ознакомить всех сотрудников и собрать их подписи.

Как разработать форму согласия на обработку персональных данных

Форма для размещения на веб-ресурсе или для письменного заполнения может быть составлена на основании форм других компаний. Однако полностью копировать чужую форму недопустимо.

Компаниям разрешается опираться на основную структуру подобных форм и формулировки из федерального закона 152-ФЗ, создавая свой документ. Так, согласие на обработку персональных данных Деловой среды доступно на сайте dasreda.ru.

Фрагмент согласия Деловой среды на обработку персональных данных

Согласно последним изменениям в законе о персональных данных, вступившим в силу с 1 сентября 2022 года, согласие на обработку персональных данных должно быть предметным и однозначным. Организация, собирающая данные, должна разъяснить субъекту, какие последствия наступят, если он откажется предоставить личные данные или согласие на их обработку.

Если предполагается использовать онлайн-форму, согласие можно получать, прося пользователей ставить галочку рядом с фразой: «Даю согласие на обработку своих персональных данных» или аналогичной. Такая форма должна ссылаться на опубликованную политику, касающуюся обработки персональных данных, и сведения о реализуемых мерах по их защите. При отсутствии политики оператора оштрафуют.

Важное правило — согласие должно быть информативным, подтверждать, что человек действительно соглашается и осознает, для чего представляет сведения о себе и как они будут использоваться. Если человек ничего не делает в ответ на просьбу подписать документ, такое молчание нельзя рассматривать как знак согласия.

Сервис по регистрации бизнеса от Деловой среды

Источник: dasreda.ru

Приводим сайт в соответствие с законом о персональных данных

С 1 июля вступили в силу поправки в КоАП о нарушениях в работе с персональными данными. Штрафы за нарушения стали на порядок больше, и теперь эти штрафы реально будут накладывать.

Это касается всех владельцев сайтов — юридических и физических лиц. Если вы собираете хоть какие-то персональные данные не в соответствии с законом 152-ФЗ , Роскомнадзор может наказать рублём.

В этой статье мы расскажем, как сделать всё правильно и избежать штрафов. Она будет полезна, если вы раскручиваете сайты клиентов или собственные проекты, продаёте что-то с лендингов или ведёте личный блог.

Немного теории: персональные данные и что о них надо знать

Персональные данные (ПД) — это любая информация, по которой можно прямо или косвенно определить человека:

• ФИО;
• дата рождения;
• телефон;
• адрес;
• электронная почта;
• ИНН;
• фотографии;
• сведения о работе;
• ссылки на аккаунты в соцсетях или личный сайт;
• метрики сайта (ip-адрес, геотеги, cookies и т.д.);
• и очень многое другое.

Проблема вот в чём: в самом законе нет точного и исчерпывающего объяснения, что и при каких условиях считать персональными данными.

По отдельности большинство перечисленных данных не считаются персональными. Нельзя определить человека ТОЛЬКО по дате рождения или ТОЛЬКО по email-адресу. И даже по ФИО нельзя — есть же полные тёзки. А вот если от человека обязательно требуется указать на сайте имя и email — это уже персональные данные.

Персональные данные — почти всегда совокупность нескольких разных данных о человеке.

Но есть исключения. Например, номер телефона. Обычно SIM-карты в салонах связи продают по паспорту, а паспортные данные вносят в базу. А значит, если у вас есть доступ к базе оператора — теоретически вы можете установить личность человека по одному только номеру.

Закон не может регламентировать каждую мелочь и каждый частный случай. Приходится руководствоваться здравым смыслом. Если вы абсолютно уверены, что нельзя установить личность человека по данным, которые собираете на сайте — хорошо. Если не уверены — лучше сразу считайте, что всё-таки собираете персональные данные.

Посмотрите на примеры. Здесь посетитель должен ввести только email, чтобы подписаться на рассылку. Email в этом случае — обезличенные данные:

А здесь обязательно нужно указать и имя, и адрес почты. Это уже персональные данные:

Если сайт собирает персональные данные — его владелец считается оператором персональных данных. Операторами могут быть и юридические, и физические лица.

Как понять, оператор вы или нет

Иногда владелец сайта и сам не знает, что он — оператор персональных данных. Вот распространённые «сборники» ПД:

• формы подписки на рассылку (имя + email, телефон и т.д.);

• личный кабинет интернет-магазина (имя + адрес, телефон и т.д.);

• форма заявки или обратной связи (имя + email или телефон);

• системы онлайн-чат, онлайн-консультант (имя + email, телефон и т.д.);

• форма размещения комментариев в блоге (имя + email или адрес сайта).

Если что-то из этого есть на сайте и требует от посетителей ввода персональных данных, то владелец автоматически признаётся оператором. И это только частные случаи. Возможно, вы собираете данные каким-то другим образом.

Важно. Если человек сам проявляет инициативу и выкладывает свои ПД на сайте, хотя вы его об этом не просили — вы не становитесь оператором. В комментариях к статье посетитель может выложить хоть скан паспорта и фотографию банковской карты. Вы не несёте за это ответственность.

Как видим, почти все коммерческие сайты попадают под действие закона. Но не обязательно управлять интернет-магазином, чтобы быть оператором — даже сайты с информационными рассылками и блоги собирают персональные данные.

Что делать, если вы собираете персональные данные

Законодатель предъявляет 3 главных требования:

1. Составить политику конфиденциальности и разместить её на сайте.
2. Уведомить Роскомнадзор , что вы собираете персональные данные.
3. При сборе данных брать согласие с посетителей сайта.

Обо всём по порядку.

Как составить политику конфиденциальности

Вот что нужно прописать в политике:

1. Наименование компании-оператора. Если сайт принадлежит ИП или просто физическому лицу — ФИО.
2. Адрес оператора: юридический (для юрлиц) или фактический (для физлиц).
3. Список собираемых данных : имя, почта, телефон, cookies, геометки и т.д. Список должен быть максимально полным. Посмотрите, какие данные попадают в системы аналитики (и CRM-систему, если пользуетесь).
4. Цель сбора данных. Вы должны объяснить, для чего будете использовать персональные данные. Например, для доставки товара, рассылки рекламных писем, отправки СМС-сообщений с напоминанием о конференции и т.д. Собирайте и обрабатывайте только нужные для работы данные — иначе могут выписать штраф.
5. Действия с данными: это сбор, уточнение, хранение и т.д.
6. Сроки обработки данных. Нельзя хранить ПД вечно — после «использования по назначению» их надо удалять. Интернет-магазин взял email, чтобы присылать уведомления о заказе? Когда человек примет товар — его почту следует стереть из базы. Исключение — если вы собираете данные для регулярной рассылки.
7. Факт привлечения третьих лиц к обработке данных. Если это геотеги или cookies — в качестве третьих лиц выступят Яндекс и Google. Если вы по партнёрской программе приводите покупателей в какой-то интернет-магазин — третьим лицом будет этот магазин.
8. Свои контактные данные — почту, телефон. Это нужно, чтобы человек мог обратиться к вам и попросить изменить, уточнить либо удалить свои персональные данные.
9. Меры обеспечения безопасности данных. Объясните, что персональные данные в безопасности и расположены на защищённых серверах. Каких именно — можно узнать у своего хостинг-провайдера.

Эти принципы обработки персональных данных устанавливает закон 152-ФЗ в статье 5 .

• текст политики нужно разместить на отдельной странице;
• ссылку на политику поставить в футере (нижней части) сайта;
• активная ссылка на политику должна быть на каждой странице.

Как уведомить о сборе данных Роскомнадзор

Уведомление можно подать на сайте Роскомнадзора в специальной форме . Желательно сделать это до того, как начнёте собирать персональные данные — например, перед запуском сайта.

Подавать уведомление в Роскомнадзор надо, даже если вы живёте не в России. Граждане Украины, Беларуси и любой другой страны обязательно должны обратиться в Роскомнадзор, если они собирают ПД российских граждан.

Как получить согласие посетителей на сбор данных

При сборе ПД нужно брать согласие посетителя на обработку персональных данных. Учтите вот что:

• согласие на обработку ПД должно быть «конкретным, информированным и сознательным» — выраженным в явном виде;
• ссылка на политику конфиденциальности — обязательно;
• чек-бокс с галочкой — обязательно.

Выполнение всех этих условий послужит доказательством, что человек добровольно и осознанно согласился на обработку своих ПД. Это выглядит примерно так:

Имя, фамилия, почта и марка автомобиля — это ПД. Если вы просите у человека эти данные при подписке на рассылку (или в другом случае) — он должен подтвердить согласие галочкой в чекбоксе

Обычно эту строчку помещают рядом с полем для ввода данных: под формой подписки, в настройках аккаунта интернет-магазина.

Обратите внимание на чёткость формулировки. Галочка в чекбоксе не проставляется автоматически — посетитель должен сделать это сам

Можно сделать совсем хардкорный вариант, но это не обязательно:

Такую форму заполнят только самые упорные и заинтересованные

Если вы собираете cookies, геотеги, ip и другие данные для систем аналитики — на сайте желательно вывесить дисклеймер. Это уведомление, которое всплывает при заходе на сайт. В дисклеймере кратко укажите:

• какие данные вы собираете;
• зачем они нужны;
• просьбу покинуть сайт, если эти условия не устраивают посетителя.

Всё честно: можно остаться или уйти

Хранить данные — только на территории РФ

Хранить базы персональных данных можно только на серверах, расположенных на территории РФ. Выбирайте российский хостинг. Если пользуетесь CRM-системой — убедитесь, что её серверы находятся в России.

Передавать данные за границу можно. Но только в случае, если сначала они попали в «материнскую» базу, расположенную в России.

Поэтому будьте осторожнее с рассылками. Не стоит пользоваться теми иностранными сервисами рассылок, которые «подтягивают» данные о подписчиках сразу на свои серверы.

А вот если вы собираете с будущих подписчиков только email — закон о персональных данных вас не коснётся, и иностранными сервисами рассылок пользоваться можно.

В каких случаях всё это не нужно

Вам не нужно размещать политику конфиденциальности и общаться с Роскомнадзором, если вы собираете только обезличенные данные — те, по которым определить человека нельзя. Поэтому иногда проще исправить кое-что на сайте. Например, если у вас блог — измените форму комментирования так, чтобы человеку достаточно было оставить имя без других данных.

Для сообществ в социальных сетях писать политику (и брать согласие на обработку данных) тоже необязательно. У социальных сетей есть своя политика конфиденциальности. К тому же продажа товаров через «ВКонтакте» или Instagram считается публичной офертой.

Какие персональные данные лучше не собирать

Выше мы говорили об общих персональных данных. Но ещё закон выделяет специальные и биометрические ПД. Это те, что касаются:

• расовой и национальной принадлежности;
• политических взглядов, религиозных или философских убеждений;
• состояния здоровья, интимной жизни и других физиологических и биологических особенностей человека.

Сюда же относятся отпечатки пальцев и фотографии. Да, лучше не требовать от довольного клиента прикрепить к отзыву фото. Он может сделать это только по собственному желанию.

Все эти данные требуют при сборе согласия на обработку в письменной форме. Человек должен лично написать согласие и поставить свою подпись. Чекбокс с галочкой уже не подойдёт.

Если продвигаете сайт клиники или другого медучреждения — не делайте ничего без согласования со штатными юристами.

Какова вероятность, что Роскомнадзор придёт с проверкой?

В основном Роскомнадзор будет штрафовать компании. Максимальный совокупный штраф для юридических лиц — 290 000 рублей, а для физических — «всего» 15 500. Понятно, с кого начинать выгоднее. Список плановых проверок уже утверждён. Будут и внеплановые.

Небольшим интернет-магазинам с ИП будет легче. Их много, а сотрудников Роскомнадзора не очень. Но риск всё равно есть — Роскомнадзор обязан провести проверку, если поступит жалоба от субъекта персональных данных. Например, человек заходит на сайт и видит: форма подписки на рассылку есть, а политики конфиденциальности — нет. Если он отправит жалобу в Роскомнадзор — тот придёт с проверкой.

Поэтому требования 152 ФЗ нужно исполнять.

Запомнить

• персональные данные — это любая информация, по которой можно прямо или косвенно определить человека;
• если вы собираете персональные данные — нужно разместить на сайте политику конфиденциальности и уведомить Роскомнадзор;
• у людей надо брать согласие на обработку персональных данных — разместите под формой ввода данных соответствующую строку с чекбоксом и ссылкой на политику;
• все персональные данные надо хранить только на российских серверах;
• специальные и биометрические персональные данные можно собирать только по письменному согласию;
• Роскомнадзор может прийти за каждым.

Если у Вас появились вопросы, можете
задавать их в комментариях ниже.

Источник: lead-academy.ru

Роскомнадзор душит с защитой персональных данных. Как с этим на Западе?

Российские компании жалуются на закон о персональных данных: он непонятный, мешает работать и угрожает штрафами. Мы подумали: «А вдруг в России еще легко отделались», — и сравнили наш закон с европейским и американским. Рассказываем, что получилось.

Не расценивайте эту статью как серьезное исследование. Мы не профессиональные юристы и разбирали законы из интереса, как обыватели. При этом наверняка что-то поняли не так. Главное, что хотелось показать: во всех законах много непонятного. А одни и те же формулировки по-разному толкуют в аналогичных ситуациях.

В других странах тоже следят за персональными данными?

Да, страны с развитым интернетом постепенно принимают законы о защите персональных данных. Или ужесточают существующие.

В России действует 152-ФЗ «О персональных данных».

В Европе — Генеральный регламент о защите персональных данных или GDPR.

В США пока нет единого закона, но в некоторых штатах уже приняли собственные. Наиболее полный — Калифорнийский закон о защите прав потребителей или CCPA.

Законы похожи друг на друга, ведь у них одна цель — защитить права людей и дать компаниям гарантии, что на них не попадут в суд. Европейский и российский законы работают по одному принципу: запрещают обрабатывать данные, пока пользователь не разрешит. В Калифорнии — наоборот: закон разрешает обрабатывать данные, пока человек не запретит.

Российскому закону 14 лет, а до сих пор непонятно, что считают персональными данными. В других странах с этим наверняка четко

В российском законе размытое определение персональных данных — «Информация, по которой получится прямо или косвенно идентифицировать человека». Четкого списка таких данных нет, поэтому на практике часто пользуются правилом: если по информации, которую вы собираете, можно найти пользователя, сотрудника или клиента, это персональные данные.

Например, вы знаете только имя и фамилию человека — Иван Иванов. По ним не найти конкретного Ивана Иванова — таких в России тысячи. Значит, имя и фамилия — это не персональные данные.

Зато если вы знаете еще и телефон Ивана, то без труда найдете нужного человека. Вместе эти данные будут считаться персональными.

Суды обычно относят к персданным комбинации разных категорий данных:

• фамилий, имен, отчеств;
• физических адресов;
• электронных почт;
• телефонов;
• дат или мест рождения;
• фотографий;
• ссылок на персональные сайты или соцсети;
• профессий, образований;
• уровней доходов;
• семейных положений;
• айпи-адресов и геоданных.

Но на самом деле никогда нельзя быть уверенным, что информацию посчитают или не посчитают персональными данными.

Например, в Белгороде человек подал в суд на «Яндекс.Справочник»: там указали его номер телефона. Роскомнадзор и суд не увидели нарушения: номер опубликовали без данных владельца, а сам по себе он не считается персональными данными. При этом в Москве коллекторской компании передали телефон без других данных о человеке. Тот подал в суд и выиграл.

Или во время голосования о поправках в Конституцию утекли данные избирателей: серии и номера паспортов. Роскомнадзор в комментарии к закону считает их персональными данными: «В частности, к числу идентификаторов, которые сами по себе однозначно определяют физическое лицо, могут быть отнесены: номер и серия паспорта; страховой номер индивидуального лицевого счета; идентификационный номер налогоплательщика…». Но в мэрии Москвы объяснили, что номер и серия паспорта без ФИО и даты рождения — не персональные данные. Роскомнадзор не начал расследование.

Безопаснее считать персональными данными любую информацию о пользователях.

Европейский закон тоже не дает четкого списка персональных данных, а определяет их даже шире. К персональным данным относят еще и информацию, по которой человека могут оценить, сформировать к нему отношение и повлиять на его поведение.

Руководитель посмотрит и заблокирует список веб-страниц, которые посещали сотрудники. Это повлияет на поведение людей: они перестанут заходить на страницы из списка. Значит, список страниц — персональные данные.

Или информация о том, что дедушка человека работал в НКВД, вызовет травлю в интернете. Раз эти сведения влияют на отношение к человеку, их считают персональными данными.

Калифорнийский закон также не помогает разобраться. Персональными данными там считают информацию, которая «идентифицирует, относится или позволяет сделать выводы о человеке: предпочтения, характеристики». То есть любую информацию о людях.

В России, Европе и Калифорнии законы определяют персональные данные широко и не дают четкого списка признаков

У меня маленькая компания, а за ней следят и требуют, как от «Гугла». В других странах тоже так?

В России закон касается юридических лиц, ИП, государственных органов и даже обычных людей. Главное, чтобы они собирали, систематизировали, хранили или изменяли персональные данные. Тогда компанию, ИП или госорган называют оператором персональных данных.

Интернет-магазин просит ввести имя, фамилию, номер телефона и адрес, чтобы доставить заказ. Он собирает, хранит и систематизирует данные, поэтому его считают оператором.

Или человек открыл юридический форум и предлагает на нем зарегистрироваться: ввести ФИО и электронную почту. Как и интернет-магазин, он собирает, хранит и систематизирует персональные данные. Поэтому тоже считается оператором.

Оператором может быть компания из любой страны. Главное, чтобы она целенаправленно обрабатывала персональные данные россиян. На этот факт укажут сайт и реклама на русском языке или доставка в РФ.

Spotify продает сервис по подписке россиянам. Страница сервиса в России открывается на русском языке, а российские СМИ его рекламируют. Поэтому компания подпадает под российский закон.

Пока Spotify не начал работать в России, на него тоже заходили россияне и оставляли данные. Рекламы и сайта на русском не было, а подписаться можно было только через VPN. Поэтому соблюдать российский закон не было нужды. Если бы люди пожаловались на Spotify в Роскомнадзор, компании ничего бы не сделали.

Оператор защищает права иностранцев на территории РФ по российскому закону.

В офисе московской туристической компании зимбабвиец покупает тур. При покупке он передает компании персональные данные. Раз человек территориально в России, компания будет защищать его данные по российскому закону.

Если бы зимбабвиец, находясь в Зимбабве, покупал тур с сайта российской компании, она бы не обращала внимания на российский закон. А вот зимбабвийскому пришлось бы следовать.

В общем случае закон под угрозой блокировки и штрафа обязывает операторов зарегистрироваться в Роскомнадзоре и хранить данные о россиянах на российских серверах. Наказывают пока бессистемно.

В 2016 году в России за хранение данных на зарубежных серверах заблокировали LinkedIn. При этом Google, Facebook и Twitter не хранят данные в России. Компаниям дали отсрочку до начала 2020 года, они не выполнили требования, получили штрафы по 4 млн рублей, а потом снова получили отсрочку уже до 2022-го. Штраф выплатил только Facebook.

Поговаривают, что важно хранить на российских серверах только большую часть данных, а если у компании нет представительств в РФ — и вовсе необязательно. Однозначного ответа Роскомнадзор не дает.

В Европе операторами также считают юридических лиц, ИП, государственные органы и людей, которые собирают, систематизируют, хранят, изменяют персональные данные. Регистрироваться в надзорных органах не требуют.

Под угрозой штрафа запрещают хранить данные европейцев на серверах в США и работать с компаниями, которые обрабатывают персональные данные не по закону.

Если испанская компания продает мебель, а российская лесопилка в цепочке поставок не соответствует закону, работать с ней запрещено. Лесопилку попросят соответствовать или разорвут контракт.

В отличие от России, компании-резиденты Евросоюза защищают данные иностранцев по европейскому закону. Территориальное положение иностранца не имеет значения.

Немецкая туристическая компания будет защищать по европейскому закону данные зимбабвийцев, которые пришли на сайт немецкой туристической компании, находясь в Зимбабве. Не важно, что клиенты территориально не в Европе. Российский закон в аналогичной ситуации не защитит.

В остальном европейский закон работает так же, как и российский.

В Калифорнии под действия закона подпадают компании:

• с выручкой более 25 млн. долларов в месяц;
• которые получают более 50% выручки от продажи персональных данных калифорнийцев;
• или которые обрабатывают данные более чем 50К пользователей.

Закон не распространяется на государственные органы и внебюджетные организации, а защищает только жителей Калифорнии.

В России и Европе следят за всеми, кто обрабатывает данные. В Калифорнии — за крупными компаниями, малому бизнесу благодать

Спрашивать согласие на обработку данных — это бюрократия. Как на Западе?

В России, чтобы получить согласие на обработку данных, достаточно к электронной форме добавить строчку: «Когда вы нажимаете на кнопку, вы даете согласие на обработку персональных данных». А рядом дать ссылку на политику обработки. Политика — это страница на сайте, где компания рассказывает, какие данные собирает, как использует и кому будет передавать. Эту страницу держат в открытом доступе.

Иногда компании предлагают кликнуть в чекбокс «Я согласен с политикой обработки данных». Так тоже можно, но не обязательно. Причем из закона непонятно, можно ли проставить галку в чекбоксе по умолчанию: Роскомнадзор может истолковать это как «несознательное согласие» и выписать штраф. Правда, примеров в судебной практике мы не нашли.

В Европе подпись под формой не пройдет: нужен отдельный чекбокс о согласии с каждой целью обработки.

У интернет-магазина две цели: доставить заказ и отправить проморассылку. Поэтому магазин ставит два отдельных чекбокса «Я согласен с политикой обработки данных» и «Я согласен получать рассылку».

Галка в чекбоксе по умолчанию — нарушение: согласие должно быть явным и добровольным. Еще тут запрещают использовать формулировки с «не» возле чекбоксов. Например: «Я не хочу, чтобы вы отправляли мне акции на почту». Считается, что так пользователей вводят в заблуждение.

В Калифорнии пользователи по умолчанию согласны на обработку данных . Позже люди смогут отозвать согласие, отправив запрос.

Без согласия запрещают продавать данные подростков до 16 лет. Чтобы получить согласие, используют чекбокс: «Подтверждаю, что я старше 16 лет». Если человек не кликнет по чекбоксу, компания может обрабатывать данные, но не продавать. Если кликнет, можно и продавать, и обрабатывать.

В Европе получить согласие на обработку данных сложней, чем в России. В Калифорнии считают, что люди согласны по умолчанию. Главное, чтобы можно было отозвать согласие

Бизнес получает дополнительную информацию о клиентах с помощью сервиса «Дадата». Как не получить штраф?

DaData.ru находит для компаний дополнительную информацию о клиентах. Для этого компания отправляет «Дадате» данные пользователей, собранные заранее. Например, телефон или IP. А сервис находит по ним город, страну и часовой пояс клиента.

Раз компания отправляет персданные «Дадате», нужно прописать в политике обработки, что данные будут обрабатываться третьими лицами. При этом «Дадата» не будет сохранять переданную информацию.

Сведения, которые возвращает «Дадата», вряд ли посчитают персональными данными. Но могут притянуть под размытую в законе формулировку. Например, посчитают город персданными в совокупности с ФИО и телефоном. Поэтому для страховки рекомендуем в политике по обработке данных перечислить данные о клиентах, которые вы узнаёте с помощью «Дадаты». А также цели обработки этих данных.

Лебедев говорит, что без кук интернет работал бы плохо. В других странах это понимают?

Понимают, но ограничивают сбор.

В России непонятно, считаются ли куки сами по себе персональными данными. По идее — только в комбинации с другой информацией: например, ФИО и телефоном. Судебная практика не помогает разобраться: куки признали персональными данными в деле LinkedIn, но соцсеть также собирала фамилии, имена и емейлы. Отдельно за куки пока не штрафовали.

Если сайт собирает куки, достаточно предупредить о сборе, чтобы подстраховаться. Так делают даже те, кто не собирает другие данные. Если на компанию подадут в суд, будет доказательство, что она не обрабатывает персональные данные без спроса.

В Европе уведомление не пройдет: куки приравнивают к персональным данным. Компании в политике по обработке кук объясняют, какие куки и зачем собирают, а человек решает, соглашается или нет.

Есть лайфхак: закон разрешает просить согласие не на все куки сразу, а на отдельные группы.

Человек не хочет, чтобы вы собирали маркетинговые куки и показывали ему рекламу в интернете; а вот аналитические, которые вы используете только для сбора статистики, — пожалуйста. Так компания будет собирать хоть какие-то куки.

В Калифорнии, как и в России, для кук хватит уведомления.

В России и Калифорнии достаточно предупредить о сборе кук. В Европе требуют получить согласие, как и на другие персональные данные

Мы получаем согласие, а потом люди требуют ознакомиться с данными, которые мы обрабатываем. Это потребительский терроризм! На Западе его тоже поощряют?

В России по запросу оператор обязан рассказать, какие данные о человеке обрабатывает, сколько времени хранит, кому передает и для каких целей использует. Люди оставляют запросы любыми способами: например, письмом на электронную почту или по телефону. Компания отвечает в течение 30 дней.

Еще по запросу люди отзывают согласия на обработку, исправляют устаревшую или неточную информацию и удаляют данные, которые используются для рассылки скидок и акций. Компания обязана удалить их по первому требованию.

Частить с запросами в одно юридическое лицо нельзя: отправить разрешают раз в 30 дней.

В Европе, вдобавок к российским правилам, люди могут попросить зашифровать данные и скачать в формате XML, JSON или CSV. Компании отвечают на запросы в течение месяца.

Закон требует, чтобы отозвать согласие на обработку данных можно было так же просто, как и дать его. Например, если человек соглашался галочкой в чекбоксе, то и отозвать согласие он должен галочкой или таким же простым способом. Телефонный звонок или письмо на почту не подойдут — сложно, могут оштрафовать.

Если человек отправляет запросы слишком часто, компаниям разрешают потребовать плату или не отвечать. Правда частоту в законе не уточняют.

В Калифорнии, в отличии от России и Европы, люди могут попросить не продавать данные. Закон требует, чтобы у человека было как минимум два способа оставить такой запрос: например, письмом на электронную почту и в специальной форме. Отвечают на запросы в течение 45 дней.

Как и в Европе, на частые запросы разрешают не отвечать или требовать плату.

В Европе и Калифорнии законы о персданных дают людям больше прав, чем в России

Слышал, что на Западе за персональные данные огромные штрафы. Наверняка это госпропаганда

В России размеры штрафов для юридических лиц колеблются от 15 до 75 тыс. рублей. Точная сумма зависит от нарушения.

Если не получить согласие на обработку данных — от 30 до 50 тыс. рублей. А если не удовлетворить запрос пользователя — от 25 до 40 тыс. рублей.

Штрафуют и за хранение данных на серверах вне России — от 1 до 6 млн за первое нарушение и от 6 до 18 млн за повторное.

За соответствием закону следит Роскомнадзор. Он проверяет операторов по плану — обычно раз в 3 года — и реагирует на жалобы пользователей.

В Европе за несерьезные нарушения дают штраф до 10 млн евро или 2% выручки за предыдущий год: например, если компания обрабатывает данные дольше, чем обещала в политике. За серьезные — до 20 млн или 4% выручки за предыдущий год: например, если компания обрабатывает данные без согласия человека.

Когда будут определять размер штрафа, учтут тип данных, нарушала ли компания закон раньше, содействовала ли расследованию, нарушила ли умышленно и как защищала данные.

Английский Marriott получил штраф 20 млн евро: в 2020 году проверяющий заметил, что после утечки в 2014 компания не закрыла дыру в защите базы данных.

Испанское кафе оштрафовали на 900 евро за то, что камера захватывала часть тротуара и лица людей.

Кипрскую полицию — на 6К евро, потому что один из полицейских использовал информацию о владельцах автомобилей в личных целях.

Российскую компанию, которая неправильно обрабатывает данные европейцев, тоже оштрафуют. Правда, взыскать штраф не смогут. Зато могут оштрафовать владельца компании на таможне.

За соответствием закону следят надзорные органы каждой страны Евросоюза. При утечке данных компании уведомляют пользователей и надзорный орган в течение 72 часов.

В Калифорнии размеры штрафов колеблются от 2500 долларов за непреднамеренное нарушение до 7500 долларов за умышленное. В случае утечки компанию оштрафуют на 750 долларов за каждого пострадавшего. Например, если утекли данные 1000 человек, то штраф — 750К долларов.

За соответствием закону следит прокурор штата. При утечке компании уведомляют пользователей, а если утекли данные более 500 человек — еще и прокурора.

В России самые низкие штрафы, если не хранить данные на зарубежных серверах. Самые высокие — в Европе

В России закон как закон, в Калифорнии такой же, в Европе жестче

Российский закон о персональных данных молод. В нем много спорных моментов и широких формулировок, но мало судебной практики. Это нормально, так пока везде. Зато от российских операторов меньше требуют, а штрафы не такие суровые.

В спорных моментах с персональными данными обратитесь за помощью к юристу. Он поможет правильно составить документы, изменить формулировки на сайте и подскажет, где стоит перестраховаться. Так вы не нарветесь на штраф.

Главное за месяц
у вас на почте

Раз в месяц пришлем на почту лучшие статьи блога и главные обновления «Дадаты». Так вы не пропустите ничего важного. Без спама.

Источник: dadata.ru