1 июля 2017 года ужесточается законодательство о персональных данных. Разбор ситуации
Эксперт Илья Шагаев рассказывает об изменениях в законе о персональных данных: что изменится, какие будут последствия и как к этому подготовиться.
Илья Шагаев, генеральный директор CRM-агентства «ДМ Базис». Персональными данными занимается с 2006 года, входил в Консультативный совет при Роскомнадзоре, в рабочие группы различных ассоциаций по 152-ФЗ.
Приверженец подхода «закон о персональных данных — это не о безопасности баз данных, а о правильной работе с данными частного лица — потенциального клиента, покупателя, работника».
В законодательстве произошли большие изменения, но про них практически не говорят. Так что давно пора привлечь к этому внимание широкой общественности.
Законодательство нас часто пугает и порой кажется тайной даже для людей, знакомых с языком договоров, приложений и прочей формальной документации. Поэтому статья написана простым языком, в первую очередь — для представителей бизнес-аудитории, которые используют персональные данные (далее — ПДн) для рекламы и маркетинговых акций.
Как правило, юристы не любят законодательство о персональных данных — мутное, непонятное, примеры не проработаны. При появлении вопросов о ПДн им проще запретить, чем искать пути решения проблемы. Поэтому российскому бизнесу необходимо уметь ориентироваться в этих вопросах, хотя бы для правильной постановки задач юристам и правильного контроля.
В поисковиках мне удалось найти только три статьи на тему изменений в Законе N 152-ФЗ с 1 июля; во всех трёх грубейшие ошибки в трактовке законодательства и изменений. Правда же в том, что некоторые ужесточения не особо страшны, а вот на другие советуем обязательно обратить внимание.
Государство предприняло самый значимый шаг в законодательстве о ПДн со времени появления самого закона 152-ФЗ. С 1 июля 2017 года вступит в силу закон 13-ФЗ от 07.02.2017, вносящий поправки в КоАП. Ужесточается ответственность за нарушения, которые могут допустить операторы (читаем — бизнес) в работе с ПДн.
Если коротко, то штрафы выросли почти на порядок (до 75 тысяч рублей). Причём за нарушения, которые допустить очень легко и которые видны на каждом шагу. Проверяющим и надзорным органам в том числе.
А привлечь к ответственности стало существенно проще. Если раньше это можно было сделать через прокуратуру (которой этими вашими ПДн заниматься некогда), то сейчас возбудить дело об административном правонарушении может непосредственно регулятор — Роскомнадзор. Который, можете быть уверены, заниматься этим хочет и давно уже ждал изменений в КоАП.
Главное
-
«Кошмарить бизнес» за нарушения 152-ФЗ стало гораздо выгоднее. Штраф был до 10 000 рублей, стал до 75 000 рублей.
-
Привлекать к ответственности стало проще. Раньше была прокуратура, которой было не до того, чтобы этим заниматься, а стал Роскомнадзор — регулятор, в зоне ответственности которого и находится 152-ФЗ.
-
Бизнес, однако, расслаблен, и угрозы не заметил.
Давайте разберёмся, будут ли «кошмарить», за что конкретно и зачем это нужно. Где кошмар, а где нет?
Как было раньше и почему не волнуются сейчас
Небольшое сравнение законодательства и поведения операторов (бизнеса, компаний, юрлиц) «раньше и сейчас».
152-ФЗ «О персональных данных» появился в 2006 году. Всё прошло тихо, и люди всполошились не сразу. Довольно долгое время (год–два) к закону не было подзаконной нормативной базы на тему его применения.
Тем не менее, году в 2008–2009 благодаря появлению нормативки (от Роскомнадзора, ФСТЭК и ФСБ) и более активной работе СМИ некоторый мандраж наступил. Не знающих о законе почти не осталось, а отношение к нему было очень разным.
С операторами-клиентами в то время много общались мои сотрудники в рамках наших CRM-проектов (мы ведём крупные проекты, и клиенты были озадачены), я сам выступал и писал на эту тему, как раз в те годы я входил в Консультативный совет при РКН.
По степени реакции на происходящее в законодательстве выделим четыре категории компаний
1. «Не знаем» (очень малочисленная категория).
2. «Знаем, но не обращаем внимания и считаем это всё полной ерундой. Ещё один неработающий закон: как применять — непонятно, и чем грозит — непонятно».
3. «Знаем, смотрим в ту сторону. Как применять — непонятно, чем грозит — непонятно... Немножко что-то сделаем, типа подготовились».
4. «Знаем и подготовимся по полной программе, насколько это можно в непонятном законодательстве».
Последняя категория позволила хорошо заработать интеграторам и компаниям, специализирующимся на информационной безопасности. Стоимость услуги по подготовке документации «на соответствие 152-ФЗ» могла превышать 2 млн рублей, хотя сама услуга была достаточно типовая.
К 2012 году рынок понял, что «реальной опасности» законы о ПДн не представляют — штрафы мизерные, вчинить их довольно сложно, требования умозрительные, проверки редкие и так далее. Операторы из категорий 3 и 4 плавно перетекли в категорию 2; а категория 4 при этом почувствовала себя обманутой — сначала услуги по подготовке подешевели до 600–500 тысяч, потом до 300 тысяч, а после появились сайты, предлагающие типовой пакет документов за 20–30 тысяч рублей.
Что мы имеем сейчас? Пассивность и нежелание бизнеса обращать внимание на изменения. Несмотря на то, что с изменениями «поймать штраф» до 30 тысяч рублей теперь легко может каждый второй интернет-магазин, а в более запущенных случаях и до 75 тысяч рублей, а в инфопространстве тишина и покой! К моему большому удивлению, ничего не обсуждается, подготовка не ведётся — это отчётливо видно по тем же интернет-сайтам, где штрафы можно просто поставить на поток.
Очевидно, что первая волна 2009–2012 годов, всколыхнувшая операторское сообщество, качнула маятник в другую сторону — от волнений тогда до равнодушия сейчас. Прошедшее время показало, что «выиграли» те, кто не готовился — категория 2. Они и время, и деньги сэкономили, и ничего им за это не было. Не обращать внимания, переждать, а потом оно само уляжется — тактика сработала.
И сейчас уже опытный бизнес, как будто бы поднаторевший на ниве ПДн, не воспринимает серьёзно нынешние изменения, поскольку «всё уже знаем, не пугайте, ничего за это не будет».
Но когда изменения в КоАП уже внесены, риски стали значительно выше.
Изменения в 152-ФЗ. Как стало сейчас, и почему риски операторов увеличились
Как я уже упомянул в начале статьи, буду говорить о примерах, актуальных для наиболее многочисленной группы операторов — тех, кто использует персональные данные частных лиц в целях продвижения товаров, работ и услуг. Это — бизнес, использующий CRM-проекты, программы лояльности, интернет-магазины, финансовые сервисы, такси, мобильные приложения и так далее.
Несмотря на десятилетнюю историю законодательства в сфере ПДн, читают закон и нормативные акты к нему очень плохо и воспринимать их не хотят. Поэтому изменения заслуживают более глубокого анализа, сравнения с самим законом и нормативкой в целом.
Терминологию упрощу, а штрафы приведены в отношении юридических лиц. Хотя в изменениях в КоАП ещё есть штрафы в отношении граждан, должностных лиц.
Теперь протоколы об административных правонарушениях будет составлять Роскомнадзор. Это ключевой регулятор в сфере ПДн, и он давно ждал изменений в КоАП. Потому что возбуждать дела через прокуратуру и в итоге выставлять штраф в 5–10 тысяч рублей очень муторно. А ускорить процесс, проведя всё самостоятельно, и выставить в десять раз больше — гораздо интереснее.
Интерес ведомства значим ещё и потому, что РКН желал увеличения штрафов, определяемых КоАП, до 500 тысяч рублей. Хорошо, что этого не случилось (пока), иначе риски бизнеса взлетели бы до небес. Но и увеличение от 5–10 тысяч рублей до 50–75 тысяч рублей, согласитесь, тоже неплохо.
Итак, КоАП с 1 июля 2017 года, статья 13.11. Семь пунктов, нас касаются первые шесть. Седьмой — про операторов, являющихся государственным или муниципальным органом, и это не про нашу тему.
Шесть пунктов
1. Обработка ПДн в случаях, не предусмотренных законодательством РФ, или обработка ПДн, несовместимых с целями обработки. Штраф от 30 до 50 тысяч рублей
В зоне риска:
-
Операторы, не указавшие цели обработки или указавшие их неграмотно. Встречается сплошь и рядом.
-
Операторы, собирающие данные, связь которых с целью обработки очень натянута или вообще необъяснима. Самый частый пример — сбор в анкетах программ лояльности паспортных данных. Это частое требование юристов, плохо читавших закон, и которое теперь может привести к штрафам.
-
Сюда же может быть отнесена принудительная регистрация в личном кабинете интернет-магазина при покупке. Если цель — продажа товара (доставка по указанному адресу), то запрашиваемая для регистрации информация (и сама регистрация) — избыточна и несовместима с целями.
2. Обработка ПДн без письменного согласия в случаях, когда оно должно быть по закону. Штраф от 15 до 75 тысяч рублей
Может показаться странным, но тут риск невелик. Дело в том, что перечень случаев, когда нужно письменное согласие (в терминах 152-ФЗ), ограничен, и продвижение товаров и услуг к нему не относится. А то, что многие называют сбором письменных согласий (в виде анкет), — это неверное понимание и трактовка законодательства. Недавно мне попалась на глаза одна из немногих разъяснительных статей по изменениям с 1 июля — и даже в экспертной статье неверно объясняются принципы письменного согласия. И вообще прелестно выглядит в другой статье рекомендация «получать письменное согласие у каждого подписчика на сайте».
3. Невыполнение оператором обязанности по обеспечению доступа к политике обработки ПДн. Штраф от 15 до 30 тысяч рублей
Вот здесь как раз группа риска огромна.
Любой сбор данных, относящихся к категориям ПДн в формах на сайтах, должен сопровождаться указаниями на политику обработки этих данных. То есть, программа минимум — на любом сайте необходимо реализовать такой документ. И совсем хорошо, когда из формы сбора данных дана ссылка на него. Отсутствие этого документа — повод для штрафа.
Вот примеры того, как обычно бывает:
Ни ссылок из анкет, ни самой политики обработки персональных данных в открытом доступе на сайтах этих интернет-магазинах нет. Кстати, за примерами далеко ходить не надо — это первые два магазина, где я пытался совершить нужную мне покупку. Это обычная ситуация, но получить с магазина от 30 до 50 тысяч рублей штрафа с 1 июля будет просто.
А вот так должно быть:
Активная ссылка ведет на политику обработки данных — так должно быть в идеале.
Годится, если на сайте просто где-то в футере есть ссылка на политику обработки данных или политику конфиденциальности. Пользовательское соглашение, в котором прописаны пункты о соответствии 152-ФЗ, тоже подходит.
4. Невыполнение оператором обязанности по предоставлению частному лицу информации об обработке его ПДн. Штраф от 20 до 40 тысяч рублей
Зона риска:
-
С одной стороны, сам порядок запроса субъектом информации об обработке его ПДн довольно сложен (он прописан в 152-ФЗ). И редкий субъект его выполнит
-
С другой, обязанность о предоставлении информации об обработке ПДн возникает при получении данных через третье лицо. Например, в партнёрских программах, различных кросс-промо, сменах подрядчиков в маркетинговых кампаниях и так далее.
В самом 152-ФЗ прописано, когда и как необходимо уведомлять субъекта.
5. Невыполнение в установленные сроки требования (частного лица, его представителя, уполномоченного органа) о блокировании-уничтожении-изменении ПДн. Штраф от 25 до 45 тысяч рублей
Зона риска:
-
Как упомянул выше, порядок запроса со стороны субъекта довольно сложен, поэтому таких запросов ещё очень мало. В этом смысле пункт оператору особо не угрожает
-
Будут ли при трактовке этого пункта сюда относить, например, отказ от email-рассылки или SMS, это вопрос...
Это заслуживает отдельного изучения. Формально никакого «упрощённого» порядка отзыва субъектом своего согласия на обработку данных законодательство не предусматривает. Но не рекомендовал бы пренебрегать остановкой коммуникаций с покупателем, если он попросил не беспокоить его. Кстати, в этом случае можно поиметь ещё и претензии ФАС в соответствии с законом «О рекламе».
6. Невыполнение обязанностей по хранению материальных носителей ПДн. Штраф от 25 до 50 тысяч рублей
Зона риска:
-
Если вы храните свои бумажные архивы (анкеты, договоры с частными лицами, заявки-запросы) очень долго, убедитесь, что это хранение обеспечивает конфиденциальность. Простой склад по соседству вряд ли подходит, должно быть что-то более безопасное. Либо проработайте с юристами механику перевода архива в электронный вид.
На всякий случай подчеркну, что выше упрощены трактовки и термины и даны самые быстрые и очевидные рекомендации. Этого достаточно, чтобы в целом понять состав изменений и их трактовать.
Если углубляться, то интересных выводов будет ещё много. Как минимум три-четыре пункта из приведённых заслуживают отдельного рассмотрения.
Может, так нам и надо?
Напоследок выскажу такую крамольную мысль. Может, она и странно прозвучит из уст представителя операторов, но скажу. Тем более, она впрямую следует из хронологии событий и моих тезисов «почему сообщество расслаблено».
Давайте честно признаемся — бизнес относится к персональным данным частных лиц довольно халатно. Большие компании стараются выстроить правильную политику работы с ними, но даже крупный бизнес ещё далеко не весь обратил внимание на качественные принципы работы с ПДн. А уж средний и малый — тем более. Многие даже не понимают, что данные покупателей — это ценность, и что нужно уважать права частного лица при работе с его данными. И что сам закон не про информационную безопасность, а про соблюдение прав.
По-прежнему имеют место сливы баз данных «налево», неправомерное использование данных (то самое «не соответствующее целям»). Покупателей раздражает чрезмерная коммуникативная активность бизнеса, тем более когда от неё не удаётся отказаться с первого раза.
Всё это — неверные принципы и неверные бизнес-процессы работы с данными. Непонимание и неверные коммуникационные стратегии как основа, и огульное использование данных как следствие.
Как знать, может быть, огромной массе операторского сообщества и нужна увесистая дубина в виде повышенного внимания надзорного органа и применения штрафов?
Грамотный маркетинговый подход к CRM и лояльности — это то, что называется permission-marketing (разрешительный маркетинг). Правильно выстроенные CRM-процессы и процессы обработки данных могут и должны дружить с законодательными требованиями (в случаях, когда эти требования ясны, конечно).
И необходимо обратить внимание ещё на один важный момент. При увеличении штрафов и ускорении возможного наказания можно найти позитивный момент в изменениях — конкретизацию состава нарушений. В предыдущей редакции была очень общая формулировка «Нарушение установленного законом порядка...» и она могла трактоваться весьма широко. Сейчас же семь (шесть, касающихся бизнеса) пунктов достаточно конкретизированы и понятны. Это, на мой взгляд, хороший шаг государства навстречу прозрачности законодательства в этой сфере.
Помните известное «не умеешь — научим, не хочешь — заставим».
Читать по теме: Что нужно знать о персональных данных, чтобы не заплатить 300 000 рублей штрафа
Мнение редакции может не совпадать с мнением автора. Ваши статьи присылайте нам на 42@cossa.ru. А наши требования к ним — вот тут.
Здравствуйте!
Спасибо Вам за анализ проблемы. Если позволите два вопроса: 1. Есть персональные данные и контактные данные, это одно и тоже или требования законодательства тут различны? 2. Есть сайт где для регистрации указываются сотовый телефон, электронная почта. Для приёма платежей указываются данные карты, но это уже на странице процессингового сервиса. Нужно ли в данном случае предусмотреть политику конфиденциальности?
Спасибо Вам за анализ проблемы. Если позволите два вопроса: 1. Есть персональные данные и контактные данные, это одно и тоже или требования законодательства тут различны? 2. Есть сайт где для регистрации указываются сотовый телефон, электронная почта. Для приёма платежей указываются данные карты, но это уже на странице процессингового сервиса. Нужно ли в данном случае предусмотреть политику конфиденциальности?
Добрый день!
Странно, ответил быстро, а ответа на сайте нет. Инет сбойнул, видимо.
Дублирую.
1. Персональными данными являются те, по которым можно определить частное лицо. Т.е. просто номер телефона или мейл - не персональные данные, поскольку вы не знаете, кому это принадлежит.
2. А вот тут интересно. Если именно вы запрашиваете только контактную информацию, без имени - то вы не получаете персональных данных. А потом переадресуете пользователя на процессинг, и то имя (владельца карты), которое он там вводит, вы не связываете с полученным ранее номером телефона.
То есть, строго говоря, ваш сайт персональные данные не получает. Но пользователю-то это не ведомо. Только из политики обработки ПДн он может это понять.
Обращу внимание, что "политика конфиденциальности" и "политика обработки" - понятия разные. В вашем случае имеет смысл написать политику обработки, в которой как раз и указать, что а) вы не собираете, б) то, что в процессинге - это их данные, и никак не связаны с контактами, в) зачем контакты тогда...
Другими словами - можете и без политики, но тогда есть шанс, что придется доказывать регулятору очевидное. Куда проще это прописать заранее.
Странно, ответил быстро, а ответа на сайте нет. Инет сбойнул, видимо.
Дублирую.
1. Персональными данными являются те, по которым можно определить частное лицо. Т.е. просто номер телефона или мейл - не персональные данные, поскольку вы не знаете, кому это принадлежит.
2. А вот тут интересно. Если именно вы запрашиваете только контактную информацию, без имени - то вы не получаете персональных данных. А потом переадресуете пользователя на процессинг, и то имя (владельца карты), которое он там вводит, вы не связываете с полученным ранее номером телефона.
То есть, строго говоря, ваш сайт персональные данные не получает. Но пользователю-то это не ведомо. Только из политики обработки ПДн он может это понять.
Обращу внимание, что "политика конфиденциальности" и "политика обработки" - понятия разные. В вашем случае имеет смысл написать политику обработки, в которой как раз и указать, что а) вы не собираете, б) то, что в процессинге - это их данные, и никак не связаны с контактами, в) зачем контакты тогда...
Другими словами - можете и без политики, но тогда есть шанс, что придется доказывать регулятору очевидное. Куда проще это прописать заранее.
Здравствуйте, вы пишете, что номер телефона и e-mail не относятся сами по себе к персональным данным. Но как тогда соотнести с этим информацию из статьи http://www.cossa.ru/trends/158773/: 1. Суды стали относить данные о поведении пользователя на сайте, cookie, сведения о его геопозиции и IP-адрес к персональным данным. Из-за этого уже попали LinkedIn и МГТС. Роскомнадзор того же мнения и в списке запрашиваемой информации у проверяемых организаций добавил трактовку того, что он относит к пользовательским (персональным) данным.
И далее в трактовке говорится про "данные пользователей", а именно: псевдоним, ip-адрес и т. п. Что это за "данные пользователей" и чем о они отличаются от персональных данных пользователей?
Немного странная ситуация складывается с трактовкой нового закона - одни эксперты ударяются в паранойю и называют персональнымии данными все подряд, что касается пользователя, а в другом мнении - вашем, в частности, успокаивается, что почтовые ящики и псевдонимы без ФИО - это не ПДн, Где же истина?
И далее в трактовке говорится про "данные пользователей", а именно: псевдоним, ip-адрес и т. п. Что это за "данные пользователей" и чем о они отличаются от персональных данных пользователей?
Немного странная ситуация складывается с трактовкой нового закона - одни эксперты ударяются в паранойю и называют персональнымии данными все подряд, что касается пользователя, а в другом мнении - вашем, в частности, успокаивается, что почтовые ящики и псевдонимы без ФИО - это не ПДн, Где же истина?
Здравствуйте, Игорь. Хороший вопрос. 1. Понятия "персональные данные" и "контактные данные" не являются идентичными. Контактные данные - понятие более узкое и может рассматриваться как составная часть персональных данных, когда субъект персональных данных оставляет о себе не только сведения о себе как о физическом лице, но еще и "привязывает" к ним свои контакты. В отрыве же от каких-либо сведений о конкретном человеке контактные данные сами по себе не подпадают под действие ФЗ "О персональных данных". 2. Если кроме контактной информации - тел. и/или е-мейла - посетитель сайта не оставляет ничего (т.е. ФИ он НЕ оставляет), то размещать политику конфиденциальности на сайте не надо, т.к. оставленные данные не квалифицируются как персональные - по ним невозможно идентифицировать человека. Страница сервиса платёжной системы, относится к ответственности оператора платёжной системы и регулируется другим ФЗ.
Все так, только надо различать политики конфиденциальности и обработки.
Да и не такие сложные это документы, лучше прописать и разместить.
Да и не такие сложные это документы, лучше прописать и разместить.
А зачем их размещать, есди обработка не производится? Не будет ли размещение таких документов "признанием" того, что обработка производится, а значит нужно "поглубже" проверить компанию? По аналогии с внесением с Реестр операторов ПДн - раз подал заявку, значит оператор, хотя по факту может и нет. И еще - Роскомнадзор напрамую не говорит об ответственности компаний-нерезидентов, только об ответственности представительств. Но если представительства в РФ нет, а ПДн собираются и сразу на зарубежных серверах - что тогда? Блокировка, как у Linkedin с требованием перенести обработку ПДн на российские сервера и открыть представительство что ли?
Скажите пожалуйста, если сайт собирает только номер телефона без имени и прочих параметров, нужна ли ссылка на политику конфиденциальности? пример формы для сбора информации https://siptaxi.ru/#order
Добрый день!
См. выше, там на это ответили полностью )
Да и, повторюсь, документ-то простой, сделайте и все тут.
См. выше, там на это ответили полностью )
Да и, повторюсь, документ-то простой, сделайте и все тут.
Илья!Вопрос такой - сайт нужно как-то регистрировать(оповещать) в роскомнадзоре или просто нужно разместить нужные атрибуты на сайте и всё?
В разрезе - для юрика и для физика( у физика ведь тоже может быть сайт...куки,формы подписки и др.).
В разрезе - для юрика и для физика( у физика ведь тоже может быть сайт...куки,формы подписки и др.).
Согласно закону, оператор, осуществляющий обработку, должен быть зарегистрирован.
Физическое лицо тоже может быть оператором, по закону. И зарегистрироваться в реестре на сайте РКН физлицо тоже может.
Поэтому, строго говоря, и физ.лицу тоже надо регистрироваться в реестре. Хотя понятно, что до проверки их руки еще долго не дойдут. Да и сайт физлица вряд ли будет слишком массовым, по сравнению с операторами-юрлицами.
Физическое лицо тоже может быть оператором, по закону. И зарегистрироваться в реестре на сайте РКН физлицо тоже может.
Поэтому, строго говоря, и физ.лицу тоже надо регистрироваться в реестре. Хотя понятно, что до проверки их руки еще долго не дойдут. Да и сайт физлица вряд ли будет слишком массовым, по сравнению с операторами-юрлицами.
Здравствуйте! Если я не гражданка России, живу не в России, физлицо, веду сайты на русском, домены в зоне ru, не предлагаю на сайтах платные услуги, зарабатываю только на тизерах, баннерной и контексной рекламе, пользователи не регистрируются на сайтах, только емэйлы и имена либо ники оставляют при отправке комментариев и при подписке на рассылку, мне надо регистрировать свой сайт в Роскомнадзоре? Надо размещать политику конфиденциальности и пользовательское соглашение на сайте?
Если перевести сайты в другую зону, например, сом, все равно на них распространяется закон 152 о персональных данных? Или зона тут ни при чем, а речь идет о русскоязычном контенте?
Если перевести сайты в другую зону, например, сом, все равно на них распространяется закон 152 о персональных данных? Или зона тут ни при чем, а речь идет о русскоязычном контенте?
Добрый день.
Ни зона, ни контент ни при чем. Речь об обработке данных субъектов перс.данных, под которыми обычно понимают граждан РФ.
Т.е. если вы собираете ПДн граждан РФ, то должны обеспечить не только наличие политики обработки, но и хранить данные на территории РФ (тут отдельная, до сих пор не очень понятная история), и т.д.
Но, судя по описанию, вы ПДн не собираете, поэтому вас это не касается.
Хотя бы маленькую политику, в которой как раз будет написано, что вы не собираете ПДн, разместить имеет смысл.
Ни зона, ни контент ни при чем. Речь об обработке данных субъектов перс.данных, под которыми обычно понимают граждан РФ.
Т.е. если вы собираете ПДн граждан РФ, то должны обеспечить не только наличие политики обработки, но и хранить данные на территории РФ (тут отдельная, до сих пор не очень понятная история), и т.д.
Но, судя по описанию, вы ПДн не собираете, поэтому вас это не касается.
Хотя бы маленькую политику, в которой как раз будет написано, что вы не собираете ПДн, разместить имеет смысл.
Добрый день!
Многие пробелы в законодательстве начинаются с определения, которое обозначает термин "персональные данные". При желании трактовать можно довольно широко.
Сейчас самой распространенной (и адекватной) является формулировка "данные, по которым можно установить конкретного субъекта, т.е. частное лицо". Если по мейлу и имени вы можете идентицифировать его (например, написать "Здравствуйте, Илья") - значит, это ПДн. Хотя тут можно спорить и ломать копья... ilya_sdfkjhb@sdfkjh.ru - можно ли по этому мейлу однозначно идентифицировать частное лицо? Нет.
По-хорошему, с такими аморфными определениями в законодательстве, много зависит от вашего юриста - какую позицию он выберет и насколько будет готов ее отстаивать. А юристы, в свою очередь, не любят эту область законодательства и, как вы пишете "мало что могут ответить", как раз потому что много белых пятен. Им проще обозначить более-менее твердую и обоснованную законами и нормативкой позицию, чем вырабатывать свою, и потом за нее бороться.
В вашем случае надо проработать бизнес-процессы сбора данных на сайте и описать политику обработки таким образом, чтобы подвести данные к категории "общедоступные", а вашу работу вывести из сущности "обработка ПДн".
В общем-то, вы об этом и написали. См. статьи 10 и 22.
Ну и тот же совет, что уже давал выше - в любом случае напишите политику обработки. Лучше в ней указать, что вы "по таким и таким причинам не собираете и не обрабатываете ПДн", чем считать себя "не обрабатывающим" молча.
И в ней же указать, что данные оставляются общедоступными, и вообще в рамках сайта они не ПДн, т.к. имя и дата рождения, например, не дают возможности однозначно идентифицировать субъекта. К примеру, Андрей, 22 марта 53 года рождения - да их десятки и сотни, если не тысячи.
А там, где не нужно имя, пусть не оставляют, а оставляют ник - это тоже в политике прописать.
В общем, в вашем случае все можно обозначить довольно четко, и сформулировать как отсутствие обработки ПДн.
Многие пробелы в законодательстве начинаются с определения, которое обозначает термин "персональные данные". При желании трактовать можно довольно широко.
Сейчас самой распространенной (и адекватной) является формулировка "данные, по которым можно установить конкретного субъекта, т.е. частное лицо". Если по мейлу и имени вы можете идентицифировать его (например, написать "Здравствуйте, Илья") - значит, это ПДн. Хотя тут можно спорить и ломать копья... ilya_sdfkjhb@sdfkjh.ru - можно ли по этому мейлу однозначно идентифицировать частное лицо? Нет.
По-хорошему, с такими аморфными определениями в законодательстве, много зависит от вашего юриста - какую позицию он выберет и насколько будет готов ее отстаивать. А юристы, в свою очередь, не любят эту область законодательства и, как вы пишете "мало что могут ответить", как раз потому что много белых пятен. Им проще обозначить более-менее твердую и обоснованную законами и нормативкой позицию, чем вырабатывать свою, и потом за нее бороться.
В вашем случае надо проработать бизнес-процессы сбора данных на сайте и описать политику обработки таким образом, чтобы подвести данные к категории "общедоступные", а вашу работу вывести из сущности "обработка ПДн".
В общем-то, вы об этом и написали. См. статьи 10 и 22.
Ну и тот же совет, что уже давал выше - в любом случае напишите политику обработки. Лучше в ней указать, что вы "по таким и таким причинам не собираете и не обрабатываете ПДн", чем считать себя "не обрабатывающим" молча.
И в ней же указать, что данные оставляются общедоступными, и вообще в рамках сайта они не ПДн, т.к. имя и дата рождения, например, не дают возможности однозначно идентифицировать субъекта. К примеру, Андрей, 22 марта 53 года рождения - да их десятки и сотни, если не тысячи.
А там, где не нужно имя, пусть не оставляют, а оставляют ник - это тоже в политике прописать.
В общем, в вашем случае все можно обозначить довольно четко, и сформулировать как отсутствие обработки ПДн.
Посмотрите дело МГТС, где суд расширяет понятие персональных данных.
http://kad.arbitr.ru/PdfDocument/898157da-8f67-4c18-8a6b-d74d68162eac/A40-14902-2016_20160311_Reshenija%20i%20postanovlenija.pdf
http://kad.arbitr.ru/PdfDocument/898157da-8f67-4c18-8a6b-d74d68162eac/A40-14902-2016_20160311_Reshenija%20i%20postanovlenija.pdf
Здравствуйте, уважаемый Илья!
Большое Вам спасибо за разъяснения! Теперь многое стало понятно.
Могли бы Вы уточнить что это за статьи? - "См. статьи 10 и 22".
И как насчет Big Data? По этому поводу тоже придется составлять политику конфиденциальности? По закону о Big Data емэйлы и айпи будут считаться данными, подлежащими отчетности перед Роскомнадзор?
Большое Вам спасибо за разъяснения! Теперь многое стало понятно.
Могли бы Вы уточнить что это за статьи? - "См. статьи 10 и 22".
И как насчет Big Data? По этому поводу тоже придется составлять политику конфиденциальности? По закону о Big Data емэйлы и айпи будут считаться данными, подлежащими отчетности перед Роскомнадзор?
Добрый вечер!
Статьи - из закона, 152-ФЗ. В них раскрываются вопросы общедоступных данных.
Законодательства "о бигдата" пока нет, поэтому тут невозможно дать ответ
Что будет - пока неведомо.
Если вы хотите охватить вопрос более полно, то имеет смысл обратить внимание на законы "О рекламе", "Об информации", "О связи". Там тоже затрагиваются вопросы использования данных для коммуникаций.
Но, повторюсь, в вашем случае это явно чрезмерно.
Статьи - из закона, 152-ФЗ. В них раскрываются вопросы общедоступных данных.
Законодательства "о бигдата" пока нет, поэтому тут невозможно дать ответ
Что будет - пока неведомо.Если вы хотите охватить вопрос более полно, то имеет смысл обратить внимание на законы "О рекламе", "Об информации", "О связи". Там тоже затрагиваются вопросы использования данных для коммуникаций.
Но, повторюсь, в вашем случае это явно чрезмерно.
Здравствуйте, уважаемый Илья!
Благодарю Вас за вразумительные ответы! Вы очень помогли мне.
Благодарю Вас за вразумительные ответы! Вы очень помогли мне.
Здравствуйте. Спасибо за подробное описание.
Есть еще несколько вопросов:
Имеется интернет магазин, политика обработки данных размещена на сайте.
При оформлении заказа запрашиваются контактные данные ФИО, телефон, емайл, адрес (если адресная доставка).
Происходи регистрация клиента на сайте. на электронную почту периодически присылаются рассылки. Данные третьим лицам не передаются (кроме агентов для осуществления договора с согласия клиента)
1. Я так понимаю регистрация как оператора в данном случае обязательна?
2. Если регистрация на сайте не будет происходить, а только для осуществления договора, то можно будет обойтись без уведомления роскомнадзора?
3. Если клиент все же регистрируется самостоятельно, то в данном случае нужно ли будет уведомлять роскомнадзор (если регистрация только имя и емайл или логин и емайл)?
4. Если все же сейчас подать уведомление, то каким штрафом это грозит?
Есть еще несколько вопросов:
Имеется интернет магазин, политика обработки данных размещена на сайте.
При оформлении заказа запрашиваются контактные данные ФИО, телефон, емайл, адрес (если адресная доставка).
Происходи регистрация клиента на сайте. на электронную почту периодически присылаются рассылки. Данные третьим лицам не передаются (кроме агентов для осуществления договора с согласия клиента)
1. Я так понимаю регистрация как оператора в данном случае обязательна?
2. Если регистрация на сайте не будет происходить, а только для осуществления договора, то можно будет обойтись без уведомления роскомнадзора?
3. Если клиент все же регистрируется самостоятельно, то в данном случае нужно ли будет уведомлять роскомнадзор (если регистрация только имя и емайл или логин и емайл)?
4. Если все же сейчас подать уведомление, то каким штрафом это грозит?
Добрый день!
Не сразу добрался до ответа )
1. Обязательна
2. Обработка ПДн с целями осуществления договора, одной из сторон которого является субъект ПДн, в законодательстве имеет существенные преференции. Это верно.
Но дальнейшие мейл-рассылки под эту категорию уже не подходят
3. Про регистрацию с именем/ником и мейлом я выше писал в комментариях
4. На сайте ПДн Роскомнадзора можно подать уведомление о включении в реестр в электронном виде, нет проблем. Это совсем нестрашная процедура.
Не сразу добрался до ответа )
1. Обязательна
2. Обработка ПДн с целями осуществления договора, одной из сторон которого является субъект ПДн, в законодательстве имеет существенные преференции. Это верно.
Но дальнейшие мейл-рассылки под эту категорию уже не подходят
3. Про регистрацию с именем/ником и мейлом я выше писал в комментариях
4. На сайте ПДн Роскомнадзора можно подать уведомление о включении в реестр в электронном виде, нет проблем. Это совсем нестрашная процедура.
Здравствуйте!
Скажите обязательно ли интернет-магазину подавать уведомление для внесения в реестр операторов персональных данных в РКН ? Есть ли штраф, если не подавать ?
Скажите обязательно ли интернет-магазину подавать уведомление для внесения в реестр операторов персональных данных в РКН ? Есть ли штраф, если не подавать ?
Добрый день!
Выше в комментариях не раз обсуждалось. Вот буквально перед этим вопрос Вашего коллеги по цеху.
Почему все так опасаются реестра операторов?
Выше в комментариях не раз обсуждалось. Вот буквально перед этим вопрос Вашего коллеги по цеху.
Почему все так опасаются реестра операторов?
Здравствуйте.
Благодарю за статью и комментарии, кое что прояснилось. Однако осталось два вопроса.
1. Если в моём интернет-магазине могут регистрироваться только юридические лица, и я запрашиваю Ф.И.О., должность, и телефон контактного лица ( т.е. могут оставить рабочий ) - нужен ли мне какой-либо дисклаймер ( защищающий то как я буду использовать ПДн контактных лиц предприятий ) ?
2. Я храню комбинацию вида Ф.И.О. физ. лица и адрес ( причём это характеристики объектов недвижимости ), данные были собраны не мной а моими клиентами ( не знаю в соответствии с законом или нет, но определённо с письменного согласия физ.лица-клиента ); несу ли я перед этими физ. лицами какую-либо ответственность ? ( эти данные используются строго в интересах юр. лиц их собравших, между клиентами не распространяются, т.е. они у каждого клиента изолированные ) - нужен ли мне статус оператора ПДН в таком случае ?
Благодарю за статью и комментарии, кое что прояснилось. Однако осталось два вопроса.
1. Если в моём интернет-магазине могут регистрироваться только юридические лица, и я запрашиваю Ф.И.О., должность, и телефон контактного лица ( т.е. могут оставить рабочий ) - нужен ли мне какой-либо дисклаймер ( защищающий то как я буду использовать ПДн контактных лиц предприятий ) ?
2. Я храню комбинацию вида Ф.И.О. физ. лица и адрес ( причём это характеристики объектов недвижимости ), данные были собраны не мной а моими клиентами ( не знаю в соответствии с законом или нет, но определённо с письменного согласия физ.лица-клиента ); несу ли я перед этими физ. лицами какую-либо ответственность ? ( эти данные используются строго в интересах юр. лиц их собравших, между клиентами не распространяются, т.е. они у каждого клиента изолированные ) - нужен ли мне статус оператора ПДН в таком случае ?
Добрый день.
1. В законодательстве не проводится граница между ПДн "физлиц" и ПДн "физлиц, которые на работе". И то и другое имеет одинаковый статус.
Поэтому дисклеймер не повредит.
2. Если вы получили ПДн не напрямую от субъектов, а от третьих лиц, то в законе прямо прописана ваша ответственность. Вам их необходимо уведомить, как минимум. Неважно, в чьих интересах используются.
Чтобы избежать лишних процедур, те, кто данные собирают, должны при сборе сообщить о передаче третьим лицам (вам).
Про статус оператора выше отвечал не раз
Нужен.
1. В законодательстве не проводится граница между ПДн "физлиц" и ПДн "физлиц, которые на работе". И то и другое имеет одинаковый статус.
Поэтому дисклеймер не повредит.
2. Если вы получили ПДн не напрямую от субъектов, а от третьих лиц, то в законе прямо прописана ваша ответственность. Вам их необходимо уведомить, как минимум. Неважно, в чьих интересах используются.
Чтобы избежать лишних процедур, те, кто данные собирают, должны при сборе сообщить о передаче третьим лицам (вам).
Про статус оператора выше отвечал не раз
Нужен.
Рекомендуем!
Популярные новости
29 ноября 2023, 12:58
29 ноября 2023, 10:51
28 ноября 2023, 11:44
28 ноября 2023, 10:16
27 ноября 2023, 13:42
