Персональні дані: все, що потрібно знати

1. Консультуйтеся з юристом
2. Поясніть коротко для тих, хто не в курсі
3. Навіщо придумали цей закон? Це черговий спосіб поповнити годівницю. Тепер і сайт немає сенсу робити,...
4. У мене є сайт. Я не ІП і не юрособа - просто людина. Чи потрібно дотримуватися закону про персональні...
5. У мене є електронні пошти друзів, список контактів в телефоні, акаунти різних людей в соцмережах. ...
6. Форма зворотнього зв'язку теж потрапляє під дію закону?
7. А якщо отримуєш тільки ім'я без прізвища і номер телефону, це теж потрапляє під персональні дані? ...
8. Я роблю сайт для клієнта, обробляю і зберігаю дані на своєму боці. При цьому власник сайту не зобов'язаний...
9. А як вони зрозуміють, що я зберігаю і обробляю дані, щоб виписати штраф? Це в російському дата-центрі...
10. А якщо у нас сайт англійською?
11. Чи можу я не реєструватися в Роскомнадзоре, якщо поміняю поле в формі зворотного зв'язку з «Ваше ім'я»...
12. Ось публікую я пост в фейсбуці і згадую свого друга - значить, я дані обробляю? Кеш поста зберігається...
13. Якщо на стовпі оголошення «Куплю роги оленя, 8 800 ..., Геннадій», то цей стовп можна оштрафувати?
14. Тобто якщо людина спеціально опублікувався для якихось рекламних цілей, то це не вважається персональними...
15. Як правильно отримати згоду на обробку персональних даних на сайті? Можна взяти шаблон з сайту якоїсь...
16. Ясно. Судячи з усього, я оператор персданних. Що мені конкретно робити?
17. Закон про персональні дані - це не страшно

Стаття про закон про персональні дані несподівано для нас викликала багато питань у читачів. Несподівано, бо закону вже більше десяти років. За порушення цього закону і зараз можуть штрафувати: його потрібно було дотримуватися і рік тому, і сьогодні. Просто з 1 липня 2017 рік все стане серйозніше.

Катерина Мирошкина

розібралася з персональними даними

Ось що ви питали про персональні дані.

Консультуйтеся з юристом

Стаття в Тінькофф-журналі не замінює допомогу кваліфікованого юриста. Якщо ви не знаєте, що робити з персональними даними та як все оформити, зверніться за професійною допомогою.

Поясніть коротко для тих, хто не в курсі

У Росії є закон про персональні дані. Щоб збирати, обробляти і зберігати дані про співробітників, передплатників на розсилку і відвідувачів сайту, потрібно майже завжди отримувати їх згоду, а самі дані зберігати в Росії.

За порушення закону штрафують. З 1 липня штрафи збільшаться до 75 тисяч рублів, а у Роскомнадзора буде побільше повноважень.

Навіщо придумали цей закон? Це черговий спосіб поповнити годівницю. Тепер і сайт немає сенсу робити, будуть ще штрафувати кожного місяця.

Закон про персональні дані потрібен тим, чиї дані збирають, обробляють і зберігають. Мета закону - захистити інтереси і права цих людей.

Норми захисту персданних придумали не в Росії. Правила їх обробки ООН описала ще в 1948 році у Загальній декларації прав людини. У 1981 році Рада Європи прийняла Конвенцію по обробці персональних даних. А Росія її ратифікувала і в 2006 році розробила свій закон.

Конституція гарантує кожній людині недоторканність приватного життя, таємницю листування і телефонних переговорів. Навіть без закону про персональні дані не можна обробляти, зберігати і поширювати інформацію про особу без її згоди.

Окрема глава про персональні дані є в трудовому кодексі: роботодавці не можуть вільно розпоряджатися інформацією про співробітників.

Однак персональні дані залишають постійно: щоб оформити замовлення в інтернет-магазині, взяти кредит у банку, влаштувати дитину в дитячий сад, зареєструватися в соцмережі або підписатися на розсилку. Коли людина залишає свої дані, він повинен бути впевнений, що його адреса не розмістять у відкритому доступі, а телефон не передадуть комусь без дозволу. А той, хто обробляє персональні дані, хоче гарантій, що на нього не подадуть в суд за рекламну розсилку.

Нещодавно ми розповідали, як шахраї змогли отримати чужий ПДФО . Це сталося в тому числі з-за того, що хтось порушив правила обробки персональних даних.

Закон про персональні дані прописує для всіх правила гри. Він змушує всіх приймати додаткові заходи, а й захищає він теж всіх.

У мене є сайт. Я не ІП і не юрособа - просто людина. Чи потрібно дотримуватися закону про персональні дані в такому випадку?

Так, закон потрібно дотримуватися всім, хто обробляє чиїсь персональні дані. Оператором може бути юридична особа, IP, державний орган або звичайна людина, яка створила і адмініструє форум за інтересами. Точне визначення, хто є оператором і що таке обробка персональних даних, є в 3 статті закону .

Наприклад, дівчина створила форум для вагітних, щоб потім розміщувати там рекламу. При реєстрації учасники вказують інформацію про себе. Ця дівчина - оператор персональних даних. Вона отримує відомості про інших людей і щось з цими даними робить: систематизує за віком та інтересами, перевіряє активність користувачів, використовує для розсилки, запрошень чи просто зберігає.

Будь-яке з цих дій - це обробка персональних даних. Той, хто це дію виробляє, - оператор.

У мене є електронні пошти друзів, список контактів в телефоні, акаунти різних людей в соцмережах. Виходить, я теж оператор і повинен отримувати згоду цих людей на те, щоб зберігати і видаляти їх дані?

Ні, в таких випадках згода не потрібно. Під дію закону не потрапляють персональні дані, які обробляють для особистих і сімейних потреб. Це можуть бути контакти потрібних людей в телефонному довіднику, візитки колег і партнерів, профілі друзів на фейсбуці.

Це виняток діє, тільки якщо не порушуються права цих людей. Наприклад, їх дані не залишають в банку як контакти для зв'язку при оформленні кредиту, не публікують в загальному доступі без дозволу або залишають поза передачею рекламодавцям.

Форма зворотнього зв'язку теж потрапляє під дію закону?

Якщо в ній людина може ввести свої персональні дані - то так, потрапляє.

У законі немає винятків щодо форми і способу збору персональних даних. І уточнення, що саме є збором, теж немає. Мінкомзв'язку вважає, що збір - це якась документально оформлена процедура отримання даних про людину. Форма зворотнього зв'язку підходить під це визначення.

Сама по собі форма зворотного зв'язку не підпадає під дію закону тільки тому, що вона є. Важливо, які дані передає відвідувач через цю форму, чи можна по ним прямо або побічно ідентифікувати людину і завдати йому шкоди в разі витоку і поширення.

Якщо відвідувач сайту вказує в формі своє ім'я, прізвище, телефон та електронну пошту - це персональні дані. Той, хто ці дані отримує, обробляє і зберігає, вважається оператором персональних даних і повинен дотримуватися закону.

А якщо отримуєш тільки ім'я без прізвища і номер телефону, це теж потрапляє під персональні дані? А якщо тільки номер телефону?

Згідно із законом персональні дані - це будь-яка інформація, що стосується прямо або побічно певного або визначається фізичній особі. Це визначення нічого не дає і не прояснює.

Якщо розуміти буквально, то персональними даними можна вважати що завгодно. Юристи сперечаються з цього приводу вже багато років.

Мінкомзв'язку конкретики не дає і каже так: більш точно визначити склад персональних даних, в тому числі привести їх перелік, представляється нереальним. Ніяких чітких пояснень від інших відомств з цього приводу теж немає.

Якщо буде суперечка з приводу приналежності пошти або логіна до персональних даних, все вирішить суд. Кілька рішень з приводу персональних даних суди вже винесли. З них слід очевидне: персональними даними вважаються ПІБ, паспортні дані, адреса, номери телефонів, інформація про членів сім'ї, з пенсійної справи і трудового договору. Ще з них слід неочевидне: ІПН сам по собі не є персональними даними, а дані про факт перетину кордону - є.

Сам по собі логін - це начебто не персональні дані. По набору символів можна зрозуміти, що це за людина і навіть якої він статі.

Але якщо на аватарку людина поставить свою справжню фотографію або при реєстрації вкаже пошту, де в назві буде його прізвище з ініціалами, а в доменному імені - назва компанії, то в сукупності це вже персональні дані.

У законі немає жодних винятків по темі сайту, організаційно-правову форму та набору даних.

Щоб не ризикувати, краще зробити так.

Якщо ви де-небудь з будь-якою метою збираєте будь-яку інформацію про якісь фізичних осіб, потрібно зафіксувати їх згоду і підготувати документи. Якщо це зробити для страховки, навіть коли не треба, нічого страшного не буде. А якщо цього не зробити, можуть бути претензії від користувачів і Роскомнадзора.

Я роблю сайт для клієнта, обробляю і зберігаю дані на своєму боці. При цьому власник сайту не зобов'язаний бути оператором персональних даних?

Власник сайту зобов'язаний бути оператором персональних даних і дотримуватися закону. Згідно із законом можна збирати персональні дані і передавати їх кому-то на обробку. Власник сайту може передати дані клієнтів веб-майстру, інтернет-магазин - сервісу розсилки.

Щоб так робити, власник сайту повинен отримати у відвідувачів дозвіл і пояснити їм, кому і навіщо він передасть їх дані.

Той, кому він передасть дані на обробку, окремий дозвіл отримувати не повинен, а дотримуватися закону - повинен.

Відповідати за дотримання закону перед відвідувачами сайту буде його власник.

Власника сайту Роскомнадзор і суд будуть визначати за сукупністю даних. Якщо на сайті розміщена інформація про конкретний юридичну особу або ІП, запитають з нього. Якщо таких даних немає, запитають з адміністратора домену.

А як вони зрозуміють, що я зберігаю і обробляю дані, щоб виписати штраф? Це в російському дата-центрі можна маски-шоу влаштувати і винести сервер, а за кордоном такі номери не проходять.

Роскомнадзор дізнається про порушення двома способами:

• сам проведе перевірку;
• відреагує на чиюсь скаргу.

Наприклад, ви отримали розсилку, на яку не підписувалися, або вам телефонують менеджери з інтернет-магазину, хоча ви не погоджувалися на рекламний дзвінки. Або автосалон без дозволу передав ваш телефон страховому агенту, і тепер вам намагаються впарити каско. Можна вимагати видалити дані з бази, поскаржитися в Роскомнадзор і відшкодувати збиток через суд. Для цього потрібно бути впевненим, що згоди не було, а дані передали незаконно. Іноді згоду отримують через договір приєднання або законно передають дані, щоб виконати умови договору.

Якщо Роскомнадзор виявить порушення, сайт можуть заблокувати, а компанію оштрафують.

Згідно із законом оператори зобов'язані зберігати персональні дані на російських серверах. Є кілька винятків, але це деталі. Будь-який інтернет-магазин або сервіс по підписці повинен зберігати базу з персональними даними громадян в Росії.

Потім можна передавати ці дані за кордон. Це законно, але за певних умов . Інакше не можна було б бронювати готелі та купувати квитки на літак за кордоном.

Роскомнадзор може зажадати надати підтвердження щодо місця зберігання баз даних. Наприклад, договір з дата-центром, хостингом або документи на власний сервер. Якщо з'ясується, що персональні дані зберігаються з порушеннями і не в Росії, будуть проблеми.

Крім закону про персональні дані є вимоги Федеральної служби з технічного та експортного контролю і ФСБ. Ще до перевірки може підключитися прокуратура. Їм вистачить повноважень, щоб дізнатися, де насправді зберігаються дані, і розібратися з порушеннями.

А якщо у нас сайт англійською?

Закон про персональні дані потрібно дотримуватися, якщо сайт використовується для роботи на території РФ. Теоретично Роскомнадзор має право і може його заблокувати.

Ось які ознаки використовують, щоб це зрозуміти:

• доменне ім'я пов'язане з РФ або суб'єктом;
• є російськомовна версія сайту;
• розрахунок за товари або послуги відбувається в рублях, доставка можлива на територію РФ;
• споживачі вмісту сайту - росіяни;
• є реклама на російській, яка веде на цей сайт.

Якщо є якесь поєднання цих факторів, оператор персональних даних повинен дотримуватися закону, навіть якщо це іноземна компанія. А це означає, що документи повинні бути доступні і зрозумілі в РФ. Досить мати їх російською мовою, щоб їх розумів Роскомнадзор і громадяни Росії. На нерезидентів за межами країни наш закон про персональні дані не поширюється.

Як визначати громадянство відвідувача, закон не пояснив. Операторам запропонували вирішувати цю проблему самостійно. А якщо чіткої позиції і інструментів немає, варто дотримуватися закону щодо всіх персональних даних, які зібрали на території Росії.

Дублювати ті ж документи на іноземних мовах для росіян немає сенсу. Але ці правила придумали не в Росії. є конвенція Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних. Так що, якщо збираєте дані іноземців, подумайте, як дотримуєтеся закон тієї країни, резидентами якої вони є.

В Європі за одноразове порушення правил обробки персональних даних штрафують на сотні тисяч євро. У Росії максимальний штраф з 1 липня 2017 року - 75 тисяч рублів.

Чи можу я не реєструватися в Роскомнадзоре, якщо поміняю поле в формі зворотного зв'язку з «Ваше ім'я» на «Ваша компанія»?

Закон про персональні дані захищає дані тільки фізичних осіб. Він не поширюється на дані про компанії. Але те, що вказано в формі зворотного зв'язку, - це формальність. Важливо, які саме дані і з якою метою збирає власник сайту.

Якщо це насправді назва компанії і телефон офісу, така інформація не потрапляє під дію закону. Але якщо сайт збирає поштові адреси та телефони співробітників компаній, щоб потім робити з ним розсилку або передавати їх третім особам, можуть бути проблеми як з боку цих співробітників, так і від Роскомнадзора.

У Роскомнадзоре повинні зареєструватися всі оператори персональних даних. Винятки лише для випадків, перерахованих в п. 2 ст. 22 закону про персональні дані .

Ось публікую я пост в фейсбуці і згадую свого друга - значить, я дані обробляю? Кеш поста зберігається на телефоні, значить, я дані зберігаю? А коли я зроблю репост в твіттер, то я їх ще й надаю третій стороні. І як з цим жити?

Це не порушення закону. В цьому випадку оператором персональних даних виступає соціальна мережа. Кожен, хто там зареєструвався, дав згоду на публікацію, обробку та використання його даних.

Всі користувачі Фейсбук погодилися на обробку даних про своє місцезнаходження, використовуваних пристроях, друзях, інтересах, платежах, відвідані сайти і зв'язках з іншими людьми. І навіть на те, що фейсбук може отримати доступ до адресної книги на будь-якому пристрої і потім використовувати ці дані.

Всі погодилися на те, що ці дані фейсбук передає своїм партнерам і рекламодавцям. І на те, що будь-який користувач може посилатися, згадувати і відзначати на фотографіях кого захоче в рамках їх налаштувань безпеки. Це законно і за це відповідає фейсбук, а не користувачі.

Так влаштована будь-яка соціальна мережа і загальнодоступні довідники.

Якщо на стовпі оголошення «Куплю роги оленя, 8 800 ..., Геннадій», то цей стовп можна оштрафувати?

Ні, стовп оштрафувати не можна. Юридичною особою він теж не є. А люди, які читають такі оголошення і записують номери телефонів, щоб продати роги, які не оператори персональних даних і не потрапляють під дію закону.

Геннадій сам зробив свої дані загальнодоступними, щоб купити роги оленя. А ті, хто зателефонує йому з приводу покупки рогів, використовують телефон в особистих цілях.

Якщо телефон Геннадія запише мікрофінансових організація і почне надсилати йому рекламу швидких позик, то її можна притягнути до відповідальності. Геннадій не давав їй згоди на обробку персональних даних для розсилки реклами.

Людини, який випадково побачив телефон Геннадія, записав його в телефонну книгу або навіть подзвонив Геннадію з пропозицією купити роги, притягнути до відповідальності не можна.

Тобто якщо людина спеціально опублікувався для якихось рекламних цілей, то це не вважається персональними даними? На «Авіто», наприклад.

Якщо людина передає свої персональні дані якогось ресурсу, навіть з рекламною метою, цей ресурс повинен дотримуватися закону. Він повинен попередити користувача, навіщо збирає персональні дані, що буде з ними робити, де публікувати, кому передавати.

Щоб подати оголошення на «Авіто», потрібно зареєструватися та підтвердити номер телефону. Без реєстрації оголошення подати не можна.

«Авіто» пояснює, що використовує дані, щоб розміщувати їх на сайті, інформаційних ресурсах, передавати своїм партнерам, проводити конкурси і перевіряти особистість користувача. Ще «Авіто» може передавати дані користувачів за кордон і віддавати їх на обробку якимось третім особам і чесно про це пише . Це законно.

Немає такого правила, що якщо людина сама розмістив дані в загальному доступі на якомусь ресурсі, то з ними можна робити що завгодно: поширювати, обробляти і зберігати у себе без дозволу.

Єдиний виняток для загальнодоступних даних: оператор таких даних може не подавати повідомлення в Роскомнадзор. Але отримувати згоду, забезпечувати безпеку і видаляти дані на вимогу їх власника він зобов'язаний.

Як правильно отримати згоду на обробку персональних даних на сайті? Можна взяти шаблон з сайту якоїсь великої компанії?

Не можна брати будь-яка угода і використовувати його на своєму сайті, але можна подивитися, як зробили інші, і використовувати цей досвід.

Згода на обробку персональних даних має бути конкретним, поінформованим і свідомим. Мовчання чи відсутність заперечень на обробку персональних даних - це не згода.

Конкретної форми, в якій його потрібно отримувати від відвідувача і клієнта, немає. Це може бути посилання на угоду користувача в листі або галочка в формі реєстрації.

Головне, щоб можна було довести, що це згоди дійшли і відвідувач розумів, на що він погоджується.

У кожного оператора повинні бути цілі. Інтернет-магазин збирає дані про адреси, щоб доставити товар; сервіс по підписці просить вказати електронну пошту, щоб відправляти листи; медичний центр систематизує дані про стан здоров'я; школа - дані про сім'ю.

Збирати, обробляти і зберігати можна тільки ті персональні дані, які відповідають меті. У «Ламоди», «Главреда», «Бібліо-глобуса» та дошкільного навчального закладу цілі не можуть бути однаковими. А якщо збирати зайві дані, за це можуть оштрафувати.

Отримати згоду на обробку персональних даних недостатньо. Має бути дотримана сім принципів обробки і правильно оформляти внутрішні документи.

Краще зробити це один раз і за допомогою юриста, ніж платити штрафи державі і відшкодовувати моральну шкоду.

Ясно. Судячи з усього, я оператор персданних. Що мені конкретно робити?

Вивчіть Закон. Він складний, там багато незрозумілого, а якісь питання взагалі не пояснюються. Якщо не можете розібратися самі, попросіть юриста, якому довіряєте.

На деякі запитання відповідає Мінкомзв'язку - ці роз'яснення теж краще вивчити особисто. Можна там же задати питання по своїй ситуації або написати в Роскомнадзор.

Додайте на сайті угоду користувача, політику конфіденційності, оферту або ще якийсь документ, звідки відвідувач зрозуміє, які дані ви збираєте, що з ними робите, куди передаєте, як зберігаєте і коли видаляєте. Уважно ставтеся до формулювань: вони стануть в нагоді в суді.

Формуйте базу з персональними даними на російських серверах. Потім можете передавати дані за кордон, якщо це законно, обгрунтовано і безпечно.

Забезпечте технічну безпеку даних і захистіть їх від витоку.

Оформіть внутрішні документи. Їх багато. Це накази, розпорядження, інструкції та передплати. Це потрібно зробити один раз, але правильно. При перевірці Роскомнадзор має право їх вимагати, щоб переглянути.

Подайте повідомлення в Роскомнадзор, якщо не потрапляєте під виключення з ст. 22 закону про персональні дані . Якщо потрапляєте під виключення, оформите документи так, щоб це було зрозуміло при візуальної перевірки і до вас не причепилися.

Завірте сторінки сайту з документами з приводу персональних даних у нотаріуса, щоб вас не звинуватили в їх відсутності або зміні формулювань.

Якщо у вас немає сайту, ви теж можете бути оператором персональних даних. Необов'язково збирати їх автоматизованим способом і через інтернет. Коли ви берете на роботу співробітника, ви теж обробляєте персональні дані. Правильно оформляйте документи.

Закон про персональні дані - це не страшно

Це нормальна світова практика. Щоб його дотримуватися, не потрібно витрачати багато грошей. І боятися штрафів теж не потрібно. Якщо один раз все правильно оформити і акуратно ставитися до інформації про інших людей, вам нічого не загрожує.

Кожен з нас - суб'єкт персональних даних. Цей закон захищає і наші дані теж. І якщо хтось його порушить, можна подати в суд, заблокувати сайт-порушник, вимагати видалити інформацію про себе і навіть отримати компенсацію.