Наименование ИП является персональными данными

Закон «О персональных данных» принят несколько лет назад. Если на сайте нет политики конфиденциальности, не получено согласие на обработку персональных данных, предусмотрены штрафы, причем они могут суммироваться.

Персональные данные — это любая информация, прямо или косвенно относящаяся к определенному физ. лицу.

Что подпадает по ФЗ?

Что конкретно на сайте подпадает под персональные данные:

• Форма подписки, когда пользователь вводит свой ник и email.
• В форме обратной связи пользователь также указывает имя (часто выдуманное) и почту. В судебной практике есть случай, когда к персональным данным отнесли форму обратной связи, в которой было только имя и сообщение.
• Комментарии и сообщения на сайте, когда требуется сообщить имя и почту.
• Регистрация на сайте, данные в личном кабинете (адрес, город проживания, ФИО, почта, год рождения).
• Заказ товаров через сайт, покупка в интернет-магазине без регистрации пользователь указывает имя и телефон, иногда почту.
• Форма обратного звонка, когда требуется указать свое имя и номер телефона.
• Moneyback, т.е. возврат денег за купленный товар. Пользователь указывает ФИО и банковские реквизиты.
• Анкеты, тесты и опросники по результатам тренингов, сделанных покупок — ФИО и почта.
• Заявки на оффлайн мероприятия: проведение праздников, вечеринок, свадеб и т.п. Здесь пользователь указывает свои контактные данные.
• Отзывы на сайте. Фото пользователя, email — сбор персональных данных.
• Персональные данные в статье о человеке, например, во время интервью, когда спрашивают о деталях личной жизни.
• Заявка на публикацию объявления — на сайте объявлений, СМИ.

Что такое персональные данные (ПДн)? Защита по 152-ФЗ и требования Роскомнадзора в 2022

На своем интернет ресурсе вам нужно определить, где у вас точки сборки персональных данных. Даже если вы физ. лицо и владеете сайтом, то все равно являетесь оператором персональных данных, а значит подпадаете под ФЗ «О персональных данных» и несете ответственность. Единственный плюс — штрафы для физ. лиц маленькие, в отличие от ИП и юр. лиц.

Роскомнадзор следит за соблюдением соотвестствующего закона на всех сайтах. Хозяин сайта отправляет туда уведомление об обработке персональных данных. На основании уведомлений ведется реестр операторов. Контора также рассматривает все жалобы пользователей об использовании нелегально их персональной информации. Некоторые пользователи даже подают иски в суд.

Как обрабатывать персональные данные?

Форма согласия на сайте:

• устная, труднодоказуемая перед Роскомнадзором или судом;
• письменная — не подходит для интернета. Используется для обработки данных религиозного характера, расовой и интимной принадлежности, биометрических данных, политических и философских взглядов, о состоянии здоровья;

Лучше сделать согласие отдельным документом. Если на сайте у вас несколько мест для ввода персональных данных (регистрация, комментарии, отзывы, подписка), то должно быть несколько вариантов согласий — под каждый случай.

ПЕРСОНАЛЬНЫЕ ДАННЫЕ

В согласии нужно указать конкретный объем обрабатываемых персональных данных, в какой форме и для каких целей они будут обрабатываться. Цели могут быть разные: таргетированная реклама, рассылка, обратная связь с клиентом, маркетинговые исследования, возврат денег за товар, если это интернет-магазин.

В идеале разместить в подвале сайта ссылку на политику конфиденциальности, с любой страницы ресурса гиперсылка будет видна.

Текст согласия на сайте

Я даю согласие Администрации сайта на _______ (способы обработки) следующих персональных данных: _______ (имя и email), для целей _______ (например, рассылки информации о новостях сайта, о новых услугах, спецпредложениях, другой полезной информации от Администрации ресурса или ее партнеров).

Согласие на обработку персональных данных не является бессрочным, его можно в любое время отозвать.

Уведомление Роскомнадзора. Уведомление можно отправить по электронной почте, простым заказным письмом, и вас включают в единый реестр, как оператора персональных данных.

Отправлять уведомление не нужно, если вы используете только ФИО пользователя, если его данные общедоступны, если действуете в рамках ранее заключенного договора (на сайте) и не распространяете информацию третьим лицам.

Хранить персональные данные граждан РФ можно только на территории РФ. По закону можно использовать только хостинг внутри страны.

Удалять или изменять персональные данные вы должны по заявлению их владельца. Лучше делать это по первому же запросу, иначе человек может пожаловаться в Роскомнадзор на сайт или пойти в суд. Или по завершению договора с пользователем.

Политика конфиденциальности. Лучше сделать отдельным документом и расположить ссылку в подвале сайте, чтобы был доступ со всех страниц ресурса.

Политика конфиденциальности

Основные положение документа:

• в каких случаях пользователь дает свои персональные данные Администрации сайта;
• собирается 2 типа информации: информация, которую пользователь дал сам и техническая информация (ip-адрес, браузер, ПО, разрешение экрана, пол, возраст, местонахождение и другое);
• какие данные мы получаем от пользователя и в каком месте сайта (форма подписки, регистрации, комментирование);
• указание персональных данных при пользовании какими-то услугами на сайте; при заполнении формы на конкретной странице, при написании претензии;
• реквизиты карты при оплате товара администрации сайте недоступны и обрабатываются платежным интегратором (Интеркасса, например);
• положение о регистрации на сайте через соц.сети;
• если на сайте используется система идентификации пользователей через Cookies , надо рассказать про это;
• гарантия безопасности персональных данных пользователей и непередача данных третьим лицам без согласия пользователей; предусмотреть те случаи передачи личных данных, когда это возможно;
• для каких целей собираются личные данные;
• срок обработки данных: от регистрации пользователя до удаления его учетной записи с сайта;
• куда обратиться, если пользователь хочет удалить свои персональные данные, указать email администрации;
• пользователь может изменить, дополнить или удалить частично свои данные — как это сделать;
• информация о рассылку пользователям, возможность отказаться от рассылки.

Регистрация через соцсети

Регистрация пользователя на сайте _______ может осуществляться через социальную сеть ______. Данный способ регистрации избирает сам пользователь путем совершения на сайте действий в момент регистрации.

При регистрации через социальную сеть _____ сайт в целях автоматического заполнения аналогичных данных о пользователе, а также для оптимизации работы фильтра сайта по соответствующему критерию собирает следующие сведения о пользователе из социальной сети: ФИО, никнейм, пол, место пребывания (город, населенный пункт).

Штрафы

Штрафы, действующие с 1 января 2017г. за нарушение законодательства в области персональных данных.

Как видим из таблицы, штрафы на физ. лиц небольшие, поэтому многие вебмастера не заморачиваются с выполнением закона о сборе и хранении персональных данных.

Уведомление в Роскомнадзор

Уведомление подается до начала обработки персональных данных. Оно подается одновременно и через интернет (email), и отправляется по почте заказным письмом с описью вложения и уведомлением о вручении в территориальный орган Роскомнадзора (адреса на официальном сайте).

Уведомление направляется 1 раз, но если какие-то сведения изменились, необходимо направить информационное письмо о внесении изменений в сведения в реестре оператором персональных данных.

После заполнения на сайте вы получите номер уведомления и секретный ключ. По нему вы узнаете, когда вас включат в реестр операторов персональных данных.

Если вы состоите с кем-то в договорных отношениях или оказываете услуги на сайте, уведомлять Роскомнадзор не нужно.

Содержание уведомления:

• Куда вы отправляете это уведомление.
• Тип оператора:

• физ. лицо (указываете ФИО);
• юр. лицо (полное наименование, сокращенное название, филиалы).

Как альтернативу, можно рассмотреть другой подход. Что ваш сайт оказывает безвозмездные услуги информационного характера. Это прописать в политике конфиденциальности. В этом случае не нужно вообще заботиться о хранении персональных данных и уведомлять Роскомнадзор.

Например, вы предоставляете площадь на своем сайте в аренду: человек написал отзыв — вы его опубликовали на сайте, разместил фото и указал ФИО с почтой — вы это опубликовали на сайте, пользователь подписался на рассылку — получил бесплатные материалы (услуга).

Заполнить форму на официальном сайте Роскомнадзора.

Обработка персональных данных юр. лицами и ИП

Персональные данные сотрудников:

• могут обрабатываться в строго ограниченных целях: содействие в трудоустройстве, продвижение по службе, обеспечение личной безопасности, контроль выполняемой работы, обеспечение сохранности имущества фирмы;
• все данные можно получать непосредственно от самого работника;
• запрещено обрабатывать данные о нац. принадлежности, религиозных и философских взглядов, интимной жизни, состоянии здоровья, членстве в организациях;
• нельзя передавать персональные данные без письменного согласия, если только это необходимо в целях предупреждения его жизни и здоровья или в рамках закона.

Руководитель компании должен утвердить положение о персональных данных работников, ознакомить с ним всех сотрудников под расписку. Необходимо подготовить перечень лиц, которые имеют доступ к данной информации. Обычно это директор, бухгалтер, юрист и менеджер по кадрам. Но здесь важно разграничить, к каким персональным данным тот или иной сотрудник имеет доступ, какие необходимы ему в работе. Далее эти данные могут быть предоставлены самому сотруднику по запросу.

Работник имеет право получить информацию о том, кто еще имеет доступ к его данным, где и сколько по времени хранятся эти данные, как обрабатываются.

Сотрудники, допущенные к обработке данных, должны подписать обязательство о неразглашении информации, содержащей персональные данные. Его можно делать отдельным документом или сделать отдельной главой в трудовом договоре или должностной инструкции.

Ответственные сотрудники:

• Ответственный за обработку персональных данных (назначается приказом) контролирует соблюдение всеми сотрудниками порядка обработки персональных данных.
• Администратор безопасности информационных систем персональных данных (назначается приказом) обеспечивает защищенность персональных данных в организации, ведет журналы. Это может быть 1 или несколько человек. Эти инструкции лучше прописать дополнением к трудовому договору.
• Сотрудники должны принимать меры по пресечению доступа к персональным данным посторонних лиц, должны фиксировать все факты нарушений.

В компании необходимо принять положение об обработке персональных данных: какие данные обрабатываются, с какой целью, порядок обработки.

Документы для юридических лиц и ИП

Все необходимые шаблоны документов по обработке персональных данных для юр. лиц вы можете скачать ниже.

• Согласие на обработку персональных данных.
• Приказ о назначении ответственного за обработку персональных данных.
• Приказ о проведении работ по защите персональных данных.
• Положение по защите персональных данных.
• Приказ о назначении администратора безопасности инф. систем персональных данных.
• Положение по обработке персональных данных работников.
• Перечень персональных данных.
• Политика информационной безопасности.
• Перечень информационных систем персональных данных.
• План мероприятий по обеспечению безопасности персональных данных.
• Приказ о создании комиссии.
• Акт определения уровня защищенности информационной системы персональных данных клиентов.
• Инструкция по обработке персональных данных без использования средств автоматизации.
• Положение о разграничении прав доступа к персональным данным.
• Акт определения уровня защищенности информационной системы персональных данных сотрудников.
• Инструкция администратора безопасности информационной системы персональных данных.
• Инструкция пользователя информационной системы персональных данных.
• Порядок резервирования и восстановления работоспособности.
• Инструкция по работе с обращениями субъектов персональных данных.
• Инструкция по охране помещений.
• Описание техпроцесса обработки персональных данных.
• Инструкция по обеспечению безопасности рабочих мест обработки персональных данных.
• Журнал учета антивирусных проверок.
• Инструкция о порядке проведения разбирательств.
• Журнал учета логинов.
• Инструкция по работе со съемными носителями.
• Журнал учета средств защиты информации.
• Журнал учета съемных носителей.
• Перечень помещений для обработки персональных данных.
• Журнал учета обращений субъектов персональных данных.
• Приказ о сотрудниках допущенных к персональным данным.
• Приказ о контролируемой зоне.
• Дополнения к договору с работниками.
• Обязательство о неразглашении.
• Инструкция по работе с обезличенными персональными данными.
• Порядок уничтожения носителей персональных данных.
• Отзыв согласия.
• Инструкция о внутреннем контроле.

Все документы вы можете применить для своей организации, чтобы обеспечить необходимый уровень защиты персональных данных.

Вопросы — ответы

1. У меня стоит виджет обратного звонка или сообщения — он собирает номера телефонов на свой сайт, т.е. у меня они скапливаются в личном кабинете в виде статистики или заявки на звонок — это считать сбором, обработкой или хранением персональных данных? Нужно ли об этом сообщать в Роскомнадзор?
   Если вы видите телефон и сообщение пользователя — это сбор персональных данных. Если вы имеете доступ к этим данным, то это хранение данных (данные хранить можно даже на стороннем сервисе). Сообщать в Роскомнадзор нужно.
2. Сообщения от пользователей, когда они авторизуются через виджет вконтакте, фейсбук — это считается сбором персональных данных?
   Если вы храните сообщения от пользователей и видите, кто что написал — это сбор персональных данных.
3. В чем разница между сбором, записью и накоплением данных пользователей?
   Сбор — это первичное целенаправленное ваше действие, в результате которого вы получаете персональные данные.
   Запись — это последующее после сбора действие, запись данных пользователей на материальный носитель (бумажный или электронный).
   Накопление — создание банных по многим пользователям: их ФИО, адреса, телефоны и т.п.
4. Push-уведомления — это обработка персональных данных?
   Нет, вы не получаете личные данные пользователей.
5. Размещение отзывов из соцсетей можно скопировать на сайт со ссылкой на автора?
   Данные авторов отзывов и и х фотографии из соцсетей общедоступны, поэтому их можно копировать на сайт с фото пользователя. Другой момент, когда вы собираете отзывы через свой сайт через форму комментирования. Здесь необходимо согласие пользователей на сбор персональных данных.
6. Можно ли публиковать фотографии детей на сайте? например, в рамках какого-то конкурса?
   Для публикации любых персональных данных детей до 18 лет необходимо согласие их родителей или законных представителей.

Источник: bigkitty.ru

Требуется ли согласие физического лица (в том числе ИП) на обработку персональных данных при заключении договора с организацией?

Физические лица (в том числе ИП), заключая договор на поставку и оказание услуг с различными организациями, предоставляют свои персональные данные. Необходимо ли организации брать письменное согласие на обработку персональных данных с физических лиц?

Если у организации с физическим лицом, заключен договор, то обработка персональных данных может осуществляться без согласия на обработку персональных данных при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях исполнения заключенных с ними договоров поставки (оказания услуг).

Согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу.

Оператором персональных данных , как следует из п. 2 ст. 3 Закона N 152-ФЗ, является лицо, в том числе юридическое, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Согласно ст. 6 Закона № 152-ФЗ обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2. обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3. обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
4. обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
5. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7. обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8. обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9. обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
10. осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);
11. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Например, допускается обработка персональных данных, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ).

Итак, обработка персональных данных физических лиц (в том числе ИП) может осуществляться без согласия субъекта на обработку персональных данных в следующем случае:

• если у организации заключены договоры поставки ( оказания услуг) при условии, что персональные данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях заключения с ними соответствующих договоров.

Источник: xn--80akhviedcdkd0l.xn--p1ai

Персональные данные: что именно изменилось

1 марта вступила в силу заключительная часть поправок, которую еще в июле прошлого года внесли в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (Федеральный закон от 14 июля 2022 г. № 266-ФЗ). Рассказываем, как именно эти новые правила и требования скажутся на деятельности бизнеса и жизни физических лиц.

Разбираемся в понятиях

Персональные данные (далее – ПД) – это любая личная информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. Обработка ПД – это действия с персональными данными человека: получение и запись информации о соискателе для заполнения трудовой договор; сбор данных посетителей сайта через форму и пр. А теперь о том, что, собственно, изменилось в законе о персданных.

Уведомление об изменении

Уничтожение

• Наименование учреждения – оператора ПД
• Адрес оператора ПД
• ФИО и должность лиц, уничтоживших ПД
• Перечень категорий уничтожаемых ПД
• Дата уничтожения ПД
• Способ уничтожения ПД
• Причина уничтожения ПД
• Наименования уничтоженного материального носителя
• Количество уничтоженных листов
• ФИО субъектов ПД или иная информация, относящаяся к определенным физлицам, чьи ПД были уничтожены
• Подписи лиц, уничтоживших ПД.

1. Выгрузкой из журнала регистрации событий в информационной системе ПД. Ее обязательные реквизиты – это:

ФИО субъектов ПД или иная информация, относящаяся к определенным физлицам, чьи ПД были уничтожены

• Перечень категорий уничтожаемых ПД
• Наименование информационной системы ПД, из которой они были уничтожены
• Причина уничтожения ПД
• Дата уничтожения ПД

Если в компании данные обрабатываются вручную, будет достаточно акта.

Оценка степени вреда

Роскомндаздор обязал работодателей оценивать степень вреда, который может быть нанесен физическому лицу при нарушении правил обработки его ПД (приказ Роскомнадзора от 27.10.2022 № 178). Всего называется три степени вреда:

Степень вреда

Обрабатываемые персональные данные

• Биометрические
• Специальные (состояние здоровья и судимость)
• О несовершеннолетнем лице
• Передаваемые за границу
• Собираемые с использованием иностранных баз данных

• Распространяемые (например, публикуемые в интернете, то есть выставляемые на обозрение неограниченного круга лиц)
• Обрабатываемые в иных целях, отличных от первоначальной цели получения данных

• Накапливаемые в общедоступных источниках
• Обрабатываемые с привлечением лиц, с которыми вы на заключили трудовой договор

Анализ потенциального вреда оформляется в виде акта, в котором должны быть указаны следующие сведения:

• Наименование и адрес оператора
• Дата составления акта
• Дата проведения оценки
• Данные лица или членов комиссии, ответственных за проведение оценки
• Степень вреда, определяемая по результатам анализа.

Передача персональных данных за границу

С 1 марта 2023 года компании обязаны сообщать в РКН о зарубежных поставщиках, которые получают доступ к ПД россиян (ст. 12 Закона № 152-ФЗ). Ведомство, в свою очередь, определит, можно ли передавать информацию этим контрагентам или нет – компания получит уведомление об этом в течение 10 рабочих дней.

Это новшество крайне важно для работы онлайн-продавцов. Так, если зарубежный контрагент работает в стране, которая с точки зрения РКН не обеспечивает защиту данных, разрешение не выдадут. Но если поставщик дислоцируется в стране, ратифицировавшей Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, трансграничную передачу, скорее всего, разрешат. Среди стран, ратифицировавших конвенцию, например, — Армения, Азербайджан, Сербия и Турция (полный перечень).

Уведомление о намерении осуществлять передачу данных за границу можно оформить как на бумажном носителе, так и в электронном виде. Подаваться оно должно отдельным документом: для этого на сайте РКН создан раздел.

Если вы уже подали уведомление о трансграничной передаче до 1 марта, повторно делать этого не нужно – до тех пор пока в вашей деятельности не произойдут изменения, подразумевающие формирование новых трансграничных потоков данных (в другие страны или для иных целей). Это проговорено в сообщении РКН.

Проверки РКН

В этом году Роскомнадзор будет чаще привлекать к ответственности за нарушение работы с ПД, а в некоторых случаях сможет делать это «бесконтактно».

Расширен список оснований для внеплановых проверок по ПД (постановление от 04.02.2023 № 161). Например, в компанию могут прийти ревизоры от РКН, если будет выявлен факт распространения баз с персональными данными в интернете.

В ряде случаев привлечь к ответственности РКН сможет даже без выезда на место и без взаимодействия с нарушителем. Речь о нарушениях, оговоренных в частях 1–2.1 и 4 статьи 13.11 КоАП (обработка ПД без письменного согласия, обработка, несовместимая с целями сбора данных и пр.). «Бесконтактная» проверка может произойти, если, к примеру, нарушение выявил сам сотрудник РКН, обладающий полномочиями составлять протоколы, либо поступило указание из прокуратуры. В целом, возбудить дело могут по жалобе, сообщению в СМИ и пр.

Документы, которые нельзя игнорировать

Вот список документов по ПД, которые наверняка потребуются вам в 2023 году:

• Положение о работе с персональными данными работников
• Положение о порядке уничтожения персональных данных
• Приказ о создании комиссии по уничтожению документов с персональными данными
• Общая форма согласия на передачу и обработку персональных данных
• Согласие на обработку персональных данных на сайте
• Обязательство о неразглашении персональных данных

Важный совет

Чтобы соблюсти все требования законов и пройти возможные проверки, необходим полный порядок в документации. Обеспечить его проще всего в формате электронного документооборота: в этом случае автоматически снижается до нуля вероятность утери документов и ошибок ручного ввода, а сам процесс документооборота между контрагентами ускоряется в несколько раз. Сервис «СФЕРА.Курьер» от СберКорус позволяет не только ускорить рабочие процессы, но и сократить материальные издержки на бумажный документооборот.

Источник: www.esphere.ru