Для чего собирают персональные данные
Законно ли собирать фотографии у сотрудников для системы распознавания лиц?
Собираемся переезжать в новый офис. Недавно работодатель сообщил, что сотрудники смогут попадать туда исключительно через систему распознавания лиц. Для этого каждый должен предоставить свою фотографию.
Законно ли это требование? Нужно ли в таком случае отдельное согласие на обработку персональных данных?
Есть ли с юридической точки зрения возможность отказаться от участия в подобной оруэлловщине?
Если коротко, то требования работодателя закон не нарушают. Главное, чтобы он оформил все правильно: внес изменения в локальный нормативный акт о пропускном режиме и четко прописал, как будет использовать фотографии сотрудников и кому он имеет право их передавать, а кому нет.
Вы, конечно, можете отказаться предоставлять свою фотографию. Но если работодатель правильно оформит все документы, то сможет на этом основании расторгнуть трудовой договор. Возможно, сейчас это уже не имеет никакого смысла: скорее всего, вы уже дали свое фото работодателю и подписали согласие на обработку персональных данных, причем в момент трудоустройства.
Что говорит закон
Насколько я понимаю, вы работаете по трудовому договору. Предположу, что в этом договоре нет пункта, как должны использоваться ваши фотографии.
Пропускной режим напрямую не касается трудовых обязанностей — значит, в любой момент можно издать приказ или инструкцию, в которой описать требования к проходу на территорию. Отказаться соблюдать эти правила у работника не получится.
По закону работодатель вправе собирать, хранить и обрабатывать персональные данные работника в строго оговоренных законом случаях. Ваш работодатель четко обосновывает, зачем ему нужна ваша фотография и биометрия, — чтобы обеспечить безопасность сотрудников и сохранность имущества. А в приказе или инструкции по организации пропускного режима он укажет, как все устроено, какие данные работники должны предоставить и как работодатель будет их защищать.
Какие варианты действий есть у вас
После того как работодатель уведомил вас, что хочет собирать, хранить и обрабатывать информацию, у вас есть два варианта.
Согласиться с нововведением. Тогда вам нужно поставить подпись об ознакомлении с локальным нормативным актом о порядке допуска на рабочее место. В разных организациях порядок ознакомления может отличаться. Где-то просят расписаться на самом приказе, где-то делают отдельную ведомость об ознакомлении. После этого нужно будет предоставить фотографию — и вы продолжите работать, как и раньше.
Работодатель обязан составить обновленное соглашение об обработке персональных данных. В нем он должен указать, как планирует использовать вашу фотографию и в каких случаях и кому имеет право ее передавать.
Отказаться. Вы ничего не подписываете и не предоставляете работодателю фотографию. Если не распишетесь в том, что ознакомлены с приказом, работодатель составит акт об отказе от подписи. Но этот отказ не означает, что распоряжение работодателя можно не исполнять, — делать это все равно придется. Если не будете его выполнять, работодатель может объявить вам дисциплинарное взыскание, например выговор. За повторный выговор работника можно уволить.
А вот если работодатель зайдет на вашу страничку в соцсетях и скачает фотографию оттуда без вашего письменного согласия, он нарушит закон. Все персональные данные работодатель должен получить от сотрудника или заранее запросить у него письменное согласие на получение таких данных у третьей стороны.
Откуда у работодателя уже может быть ваша фотография
Организации ведут личные карточки работников, для которых часто требуется фото. Формы личных карточек в разных компаниях могут отличаться друг от друга, поскольку единой формы по закону нет. Например, личная карточка по форме Т-2 может использоваться для сотрудников большинства ИП и ООО. А карточка по форме Т-2 ГС (МС) — для государственных и муниципальных служащих.
В личной карточке специального места для фотографии нет, как нет и обязанности работодателя требовать фото у работника. Однако многие устанавливают такое правило в локальном нормативном акте и вклеивают фотографию в карточку на свободное место.
А еще фотографии собирают во всех организациях, где есть пропускной режим. В данном случае логика простая: охране нужно отличать своих сотрудников от посторонних. Проще всего сделать это по фотографии. Дальше фото вклеивают в пропуск и специальный альбом, по которому охранник будет сверять лица входящих с фотографиями тех, кто вправе проходить на территорию. Либо это дело поручают специальной автоматизированной системе распознавания, которая перед посторонними двери не откроет.
Плюсы и минусы систем распознавания лиц
У такого сбора данных есть и плюсы, и минусы.
О минусах пишут много, но пока ничего конкретного. Предполагается, что компания, которая будет использовать фотографии сотрудников, может вступить в сговор со злоумышленниками и использовать ваше изображение в противоправных целях. Каким образом это можно сделать, мне не совсем понятно. Помимо изображения в любой организации хранится полный набор сведений о сотруднике, включая его паспортные данные, номера банковских счетов и телефонные номера. Если работник откажется предоставлять такие сведения, он не сможет ни получить зарплату, ни оформить лист временной нетрудоспособности.
В любом случае, если с персональными данными что-то случится, работодателя привлекут к ответственности. Незаконный сбор или распространение сведений о частной жизни человека — уголовное преступление. Санкции за такое даже для обычного гражданина — от штрафа до лишения свободы на срок до двух лет. А тот, кто собирает и распространяет такие сведения с использованием служебного положения, рискует лишиться свободы на срок до четырех лет.
Плюсов у такой системы, на мой взгляд, намного больше, чем минусов. Работник лучше защищен от субъективного подхода руководства. Электронные системы фиксируют только факты. А значит, не получится обвинить человека в прогуле, если он на самом деле был на рабочем месте, или в опоздании на 2 минуты в ситуации, когда человек пришел вовремя.
Что в итоге
Если работодатель решил использовать биометрию, он не нарушает закон.
Работодателю придется оформить дополнительное соглашение к трудовому договору и получить от работника согласие на обработку персональных данных.
Фото должен предоставить сам работник. Скачать его в соцсетях или взять у третьих лиц нельзя.
Биометрические системы распознавания лиц защищают как работодателя, так и работника.
Что делать? Читатели спрашивают — эксперты Т—Ж отвечают
Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать
В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
Что такое персональные данные и что к ним относят
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).
К персональным данным, согласно данному закону, относят:
Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.
Также существует классификация персональных данных. Их подразделяют на:
Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.
Немного подробнее по каждой категории.
Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.
К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,
информация о принадлежности к определенной социальной группе,
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Что делать, чтобы не попасть под штрафы
Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!
Как начинающему бизнесу работать с персональными данными?
Я решил открыть небольшой интернет-магазин, но узнал, что бизнес должен строго соблюдать закон о персональных данных, в том числе разработать документацию по их защите.
Законодательство в сфере персональных данных действительно строгое, за его нарушение могут оштрафовать на несколько десятков и даже сотен тысяч рублей. Если компании и предприниматели собирают информацию о клиентах, они считаются операторами персональных данных и должны работать с этими данными по определенным правилам.
Одно из правил — разработать и утвердить как минимум четыре документа, которые должны соответствовать закону и зачастую содержать технические сведения. Разработка каждого документа — кропотливая работа, и, скорее всего, обойтись без помощи юристов или специалистов в сфере информационной безопасности не получится.
Расскажу основные правила, о которых нужно знать.
Что такое персональные данные
Персональные данные — это любая информация, которая прямо или косвенно относится к определенному человеку и позволяет его идентифицировать.
Проблема в том, что в законе нет точного списка, что считать персональными данными. Некоторые суды полагают, что ими могут быть ФИО человека, его паспортные данные, адрес, номера телефонов. При этом сами по себе ФИО, адрес и номер телефона могут не быть персональными данными: ФИО могут повторяться, по адресу могут регистрироваться разные люди, номер телефона может перейти к другому абоненту, если расторгнут договор на оказание абонентских услуг.
Персональные данные человека собирают, например, когда проводят опросы, оформляют договоры или открывают доступ к сервисам на сайте.
Те, кто собирает данные, считаются операторами персональных данных, а люди, чьи данные собрали, — субъектами персданных. Оператором может быть кто угодно: физлицо, ИП, организация, государственный орган.
Просто так собирать, хранить или передавать данные третьим лицам нельзя. Сначала нужно подготовить условия, чтобы информация накапливалась в безопасном месте и никуда не утекала. А еще получить у субъекта персональных данных разрешение на сбор и обработку информации о нем. Без его согласия никакую персональную информацию хранить нельзя, иначе оператора привлекут к ответственности.
Все свои действия — что будут собирать и как будут работать с данными — операторы описывают в документах.
Как победить выгорание
Какие документы нужны для сбора персданных
Чтобы собирать и работать с персональными данными, оператор должен разработать и ввести в действие довольно большой пакет документов. Вот только базовые:
В разработке документов участвует тот, кто отвечает за обработку персональных данных. Это необязательно должен быть сотрудник компании — к обработке данных можно привлекать и приглашенных специалистов.
После того как вы разработаете и утвердите все документы, нужно уведомить контролирующий орган о том, что вы будете собирать и обрабатывать персональные данные. За тем, как бизнес исполняет закон об обработке персональных данных, следит Роскомнадзор. Операторы отправляют ему уведомления, а ведомство заносит их в реестр операторов.
Можно ли работать с персональными данными и не уведомлять об этом Роскомнадзор
Есть ситуации, когда компания или физлицо работает с персональными данными, но уведомлять об этом Роскомнадзор не нужно. Вот несколько примеров:
Просто собирать информацию о клиентах в системе — даже сертифицированной и защищенной — не получится. Вам придется зарегистрироваться в качестве оператора персональных данных, а для этого нужно разработать документацию и отправить уведомление в Роскомнадзор.
Как подать уведомление в Роскомнадзор
Уведомление подает тот, кто отвечает за обработку персональных данных. Его можно отправить обычной почтой или через сайт Роскомнадзора, если есть усиленная квалифицированная электронная подпись или регистрация на госуслугах.
В уведомлении нужно подробно описать:
Необходимых мер по закону больше — все не перечислить. Чтобы их соблюсти и ничего не нарушить, как раз и понадобятся юристы или специалисты в сфере ИТ и информационной безопасности.
В уведомлении нужно указать полный адрес с почтовым индексом места, где расположены серверы компаний, на которых хранятся базы персональных данных. Роскомнадзор зарегистрирует уведомление и внесет оператора в реестр в течение 15 дней. Платить за это не нужно.
Что нужно сделать перед отправкой уведомления в Роскомнадзор
После того как вы разработаете документацию, я рекомендую перепроверить несколько вещей перед тем, как уведомлять Роскомнадзор. Ведомство требует максимально актуальную информацию, поэтому лучше перестраховаться.
Просмотрите и обновите списки. Вот они:
Проверьте информационные системы по обработке данных. Сервисы, которые собирают и хранят данные ваших клиентов, должны быть оснащены средствами защиты информации — СЗИ. Это может быть антивирусная программа или электронный замок.
СЗИ должны быть сертифицированы Федеральной службой по техническому и экспортному контролю России. Если Роскомнадзор придет с проверкой, он будет запрашивать сертификат на СЗИ.
Что будет, если не отправить уведомление в Роскомнадзор
Если оператора нет в реестре, Роскомнадзор рано или поздно сам его найдет. Ведомство регулярно просматривает сайты, где собирают персональные данные, выясняет, кому они принадлежат, и отправляет владельцам письма-запросы.
На такое письмо нужно ответить в течение 10 дней: отправить в ведомство уведомление о включении в реестр или обоснованный отказ.
Если владелец сайта не ответит на запрос Роскомнадзора, его могут оштрафовать:
Что делать? Читатели спрашивают — эксперты Т—Ж отвечают
Всё, что нужно знать о персональных данных
Формы обратной связи, соцсети, иностранные сервера и рога оленя
Статья про закон о персональных данных неожиданно для нас вызвала много вопросов у читателей. Неожиданно, потому что закону уже больше десяти лет. За нарушение этого закона и сейчас могут штрафовать: его нужно было соблюдать и год назад, и сегодня. Просто с 1 июля 2017 года всё станет серьезнее.
Вот что вы спрашивали о персональных данных.
Консультируйтесь с юристом
Статья в Тинькофф-журнале не заменяет помощь квалифицированного юриста. Если вы не знаете, что делать с персональными данными и как всё оформить, обратитесь за профессиональной помощью.
Объясните вкратце для тех, кто не в курсе
В России есть закон о персональных данных. Чтобы собирать, обрабатывать и хранить данные о сотрудниках, подписчиках на рассылку и посетителях сайта, нужно почти всегда получать их согласие, а сами данные хранить в России.
За нарушение закона штрафуют. С 1 июля штрафы увеличатся до 75 тысяч рублей, а у Роскомнадзора будет побольше полномочий.
Зачем придумали этот закон? Это очередной способ пополнить кормушку. Теперь и сайт нет смысла делать, будут еще штрафовать каждый месяц
Закон о персональных данных нужен тем, чьи данные собирают, обрабатывают и хранят. Цель закона — защитить интересы и права этих людей.
Нормы защиты персданных придумали не в России. Правила их обработки ООН описала еще в 1948 году во Всеобщей декларации прав человека. В 1981 году Совет Европы принял конвенцию по обработке персональных данных. А Россия ее ратифицировала и в 2006 году разработала свой закон.
В Европе паранойя по поводу персданных уже давно
Конституция гарантирует каждому человеку неприкосновенность частной жизни, тайну переписки и телефонных переговоров. Даже без закона о персональных данных нельзя обрабатывать, хранить и распространять информацию о человеке без его согласия.
Отдельная глава про персональные данные есть в трудовом кодексе: работодатели не могут свободно распоряжаться информацией о сотрудниках.
Однако персональные данные оставляют постоянно: чтобы оформить заказ в интернет-магазине, взять кредит в банке, устроить ребенка в детский сад, зарегистрироваться в соцсети или подписаться на рассылку. Когда человек оставляет свои данные, он должен быть уверен, что его адрес не разместят в открытом доступе, а телефон не передадут кому-то без разрешения. А тот, кто обрабатывает персональные данные, хочет гарантий, что на него не подадут в суд за рекламную рассылку.
Недавно мы рассказывали, как мошенники смогли получить чужой НДФЛ. Это произошло в том числе из-за того, что кто-то нарушил правила обработки персональных данных.
Закон о персональных данных прописывает для всех правила игры. Он заставляет всех принимать дополнительные предосторожности, но и защищает он тоже всех.
У меня есть сайт. Я не ИП и не юрлицо — просто человек. Нужно ли соблюдать закон о персональных данных в таком случае?
Например, девушка создала форум для беременных, чтобы потом размещать там рекламу. При регистрации участники указывают информацию о себе. Эта девушка — оператор персональных данных. Она получает сведения о других людях и что-то с этими данными делает: систематизирует по возрасту и интересам, проверяет активность пользователей, использует для рассылки, приглашений или просто хранит.
Любое из этих действий — это обработка персональных данных. Любой, кто это действие производит, — оператор.
У меня есть электронные почты друзей, список контактов в телефоне, аккаунты разных людей в соцсетях. Получается, я тоже оператор и должен получать согласие этих людей на то, чтобы хранить и удалять их данные?
Это исключение действует, только если не нарушаются права этих людей. Например, их данные не оставляют в банке как контакты для связи при оформлении кредита, не публикуют в общем доступе без разрешения или не передают рекламодателям.
Форма обратной связи тоже попадает под действие закона?
Если в ней человек может ввести свои персональные данные — то да, попадает.
Если посетитель сайта указывает в форме свое имя, фамилию, телефон и электронную почту — это персональные данные. Тот, кто эти данные получает, обрабатывает и хранит, считается оператором персональных данных и должен соблюдать закон.
А если получаешь только имя без фамилии и номер телефона, это тоже попадает под персональные данные? А если только номер телефона?
По закону персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Это определение ничего не дает и не проясняет.
Если понимать буквально, то персональными данными можно считать что угодно. Юристы спорят по этому поводу уже много лет.
Сам по себе логин — это вроде бы не персональные данные. По набору символов нельзя понять, что это за человек и даже какого он пола.
Но если на аватарку человек поставит свою настоящую фотографию или при регистрации укажет почту, где в названии будет его фамилия с инициалами, а в доменном имени — название компании, то в совокупности это уже персональные данные.
Никто толком не знает, какие данные персональные
В законе нет никаких исключений по теме сайта, организационно-правовой форме и набору данных.
Чтобы не рисковать, лучше сделать так.
Я делаю сайт для клиента, обрабатываю и храню данные на своей стороне. При этом владелец сайта не обязан быть оператором персональных данных?
Владелец сайта обязан быть оператором персональных данных и соблюдать закон. По закону можно собирать персональные данные и передавать их кому-то на обработку. Владелец сайта может передать данные клиентов вебмастеру, интернет-магазин — сервису рассылки.
Чтобы так делать, владелец сайта должен получить у посетителей разрешение и объяснить им, кому и зачем он передаст их данные.
Тот, кому он передаст данные на обработку, отдельное разрешение получать не должен, а соблюдать закон — должен.
Отвечать за соблюдение закона перед посетителями сайта будет его владелец.
А как они поймут, что я храню и обрабатываю данные, чтобы выписать штраф? Это в российском дата-центре можно маски-шоу устроить и вынести сервер, а за границей такие номера не проходят
Роскомнадзор узнает о нарушениях двумя способами:
Например, вы получили рассылку, на которую не подписывались, или вам звонят менеджеры из интернет-магазина, хотя вы не соглашались на рекламный обзвон. Или автосалон без разрешения передал ваш телефон страховому агенту, и теперь вам пытаются впарить каско. Можно потребовать удалить данные из базы, пожаловаться в Роскомнадзор и возместить ущерб через суд. Для этого нужно быть уверенным, что согласия не было, а данные передали незаконно. Иногда согласие получают через договор присоединения или законно передают данные, чтобы выполнить условия договора.
Сначала читать, потом подписывать
Если Роскомнадзор обнаружит нарушения, сайт могут заблокировать, а компанию оштрафуют.
По закону операторы обязаны хранить персональные данные на российских серверах. Есть несколько исключений, но это частности. Любой интернет-магазин или сервис по подписке должен хранить базу с персональными данными граждан в России.
Потом можно передавать эти данные за границу. Это законно, но при определенных условиях. Иначе нельзя было бы бронировать гостиницы и покупать билеты на самолет за границей.
Роскомнадзор может потребовать предоставить подтверждение по поводу места хранения баз данных. Например, договор с дата-центром, хостингом или документы на собственный сервер. Если выяснится, что персональные данные хранятся с нарушениями и не в России, будут проблемы.
А если у нас сайт на английском?
Вот какие признаки используют, чтобы это понять:
Как определять гражданство посетителя, закон не объяснил. Операторам предложили решать эту проблему самостоятельно. А если четкой позиции и инструментов нет, стоит соблюдать закон в отношении всех персональных данных, которые собрали на территории России.
Дублировать те же документы на иностранных языках для россиян нет смысла. Но эти правила придумали не в России. Есть конвенция Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера. Так что, если собираете данные иностранцев, подумайте, как соблюдаете закон той страны, резидентами которой они являются.
В Европе за однократное нарушение правил обработки персональных данных штрафуют на сотни тысяч евро. В России максимальный штраф с 1 июля 2017 года — 75 тысяч рублей.
Могу ли я не регистрироваться в Роскомнадзоре, если поменяю поле в форме обратной связи с «Ваше имя» на «Ваша компания»?
Если это на самом деле название компании и телефон офиса, такая информация не попадает под действие закона. Но если сайт собирает почтовые адреса и телефоны сотрудников компаний, чтобы потом делать по ним рассылку или передавать их третьим лицам, могут быть проблемы как со стороны этих сотрудников, так и от Роскомнадзора.
В Роскомнадзоре должны зарегистрироваться все операторы персональных данных. Исключения только для случаев, перечисленных в п. 2 ст. 22 закона о персональных данных.
Вот публикую я пост в Фейсбуке и упоминаю своего друга — значит, я данные обрабатываю? Кэш поста хранится на телефоне, значит, я данные храню? А если сделаю репост в Твиттер, то я их еще и предоставляю третьей стороне. И как с этим жить?
Это не нарушение закона. В этом случае оператором персональных данных выступает социальная сеть. Каждый, кто там зарегистрировался, дал согласие на публикацию, обработку и использование его данных.
Все пользователи Фейсбука согласились на обработку данных о своем местоположении, используемых устройствах, друзьях, интересах, платежах, посещенных сайтах и связях с другими людьми. И даже на то, что Фейсбук может получить доступ к адресной книге на любом устройстве и потом использовать эти данные.
Вы уже разрешили Фейсбуку делать с вашими персданными что угодно
Все согласились на то, что эти данные Фейсбук передает своим партнерам и рекламодателям. И на то, что любой пользователь может ссылаться, упоминать и отмечать на фотографиях кого захочет в рамках их настроек безопасности. Это законно и за это отвечает Фейсбук, а не пользователи.
Так устроена любая соцсеть и общедоступные справочники.
Если на столбе объявление «Куплю рога оленя, 8 800…, Геннадий», то этот столб можно оштрафовать?
Нет, столб оштрафовать нельзя. Юридическим лицом он тоже не является. А люди, которые читают такие объявления и записывают номера телефонов, чтобы продать рога, не операторы персональных данных и не попадают под действие закона.
Если телефон Геннадия запишет микрофинансовая организация и начнет присылать ему рекламу быстрых займов, то ее можно привлечь к ответственности. Геннадий не давал ей согласия на обработку персональных данных для рассылки рекламы.
Человека, который случайно увидел телефон Геннадия, записал его в телефонную книгу или даже позвонил Геннадию с предложением купить рога, привлечь к ответственности нельзя.
То есть если человек специально опубликовался для каких-то рекламных целей, то это не считается персональными данными? На «Авито», например
Если человек передает свои персональные данные какому-то ресурсу, даже с рекламной целью, этот ресурс должен соблюдать закон. Он должен предупредить пользователя, зачем собирает персональные данные, что будет с ними делать, где публиковать, кому передавать.
Чтобы подать объявление на «Авито», нужно зарегистрироваться и подтвердить номер телефона. Без регистрации объявление подать нельзя.
«Авито» объясняет, что использует данные, чтобы размещать их на сайте, информационных ресурсах, передавать своим партнерам, проводить конкурсы и проверять личность пользователя. Еще «Авито» может передавать данные пользователей за границу и отдавать их на обработку каким-то третьим лицам и честно об этом пишет. Это законно.
Нет такого правила, что если человек сам разместил данные в общем доступе на каком-то ресурсе, то с ними можно делать что угодно: распространять, обрабатывать и хранить у себя без разрешения.
Единственное исключение для общедоступных данных: оператор таких данных может не подавать уведомление в Роскомнадзор. Но получать согласие, обеспечивать безопасность и удалять данные по требованию их владельца он обязан.
Как правильно получить согласие на обработку персональных данных на сайте? Можно взять шаблон с сайта какой-то крупной компании?
Нельзя брать любое соглашение и использовать его на своем сайте, но можно посмотреть, как сделали другие, и использовать этот опыт.
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Молчание или отсутствие возражений на обработку персональных данных — это не согласие.
Конкретной формы, в которой его нужно получать от посетителя и клиента, нет. Это может быть ссылка на пользовательское соглашение в ответном письме или галочка в форме регистрации.
Согласие должно быть осознанным и информированным
Главное, чтобы можно было доказать, что это согласие получено и посетитель понимал, на что он соглашается.
У каждого оператора должны быть цели. Интернет-магазин собирает данные об адресах, чтобы доставить товар; сервис по подписке просит указать электронную почту, чтобы отправлять письма; медицинский центр систематизирует данные о состоянии здоровья; школа — данные о семье.
Собирать, обрабатывать и хранить можно только те персональные данные, которые соответствуют цели. У «Ламоды», «Главреда», «Библио-глобуса» и детского сада цели не могут быть одинаковыми. А если собирать лишние данные, за это могут оштрафовать.
Получить согласие на обработку персональных данных недостаточно. Нужно соблюдать семь принципов обработки и правильно оформлять внутренние документы.
Лучше сделать это один раз и с помощью юриста, чем платить штрафы государству и возмещать моральный вред.
Ясно. Судя по всему, я оператор персданных. Что мне конкретно делать?
Изучите закон. Он сложный, там много непонятного, а какие-то вопросы вообще не объясняются. Если не можете разобраться сами, попросите юриста, которому доверяете.
На некоторые вопросы отвечает Минкомсвязи — эти разъяснения тоже лучше изучить лично. Можно там же задать вопрос по своей ситуации или написать в Роскомнадзор.
Разместите на сайте пользовательское соглашение, политику конфиденциальности, оферту или еще какой-то документ, откуда посетитель поймет, какие данные вы собираете, что с ними делаете, куда передаете, как храните и когда удаляете. Внимательно относитесь к формулировкам: они пригодятся в суде.
Формируйте базу с персональными данными на российских серверах. Потом можете передавать данные за границу, если это законно, обоснованно и безопасно.
Обеспечьте техническую безопасность данных и защитите их от утечки.
Оформите внутренние документы. Их много. Это приказы, распоряжения, инструкции и подписки. Это нужно сделать один раз, но правильно. При проверке Роскомнадзор имеет право их потребовать и проверить.
Подайте уведомление в Роскомнадзор, если не попадаете под исключения из ст. 22 закона о персональных данных. Если попадаете под исключения, оформите документы так, чтобы это было понятно при визуальной проверке и к вам не придрались.
Заверьте страницы сайта с документами по поводу персональных данных у нотариуса, чтобы вас не обвинили в их отсутствии или изменении формулировок.
Если у вас нет сайта, вы тоже можете быть оператором персональных данных. Необязательно собирать их автоматизированным способом и через интернет. Когда вы берете на работу сотрудника, вы тоже обрабатываете персональные данные. Правильно оформляйте документы.
Закон о персональных данных — это не страшно
Это нормальная мировая практика. Чтобы его соблюдать, не нужно тратить много денег. И бояться штрафов тоже не нужно. Если один раз всё правильно оформить и аккуратно относиться к информации о других людях, вам ничего не грозит.
Каждый из нас — субъект персональных данных. Этот закон защищает и наши данные тоже. И если кто-то его нарушит, можно подать в суд, заблокировать сайт-нарушитель, потребовать удалить информацию о себе и даже получить компенсацию.