Юридические тонкости для работы с персональными данными для сайтов и сервисов

Большое количество сайтов занимается сбором персональных данных посетителей, но не всегда это происходит в соответствии с Законом «О персональных данных». Принимая такой законопроект, государство руководствовалось сохранением безопасности своих граждан.
Федеральный Закон, в дальнейшем называемый ФЗ, дает следующее определение персональным данным. ПД - это сведения, позволяющие опознать конкретное физическое лицо.

Из чего состоят ПД?

  1. 1 Паспортные данные, включая точное место регистрации.
  2. 2 Образование, включая год поступления и окончания конкретного заведения.
  3. 3 Индивидуальный номер налогоплательщика.
  4. 4 Контактные данные. Сюда могут входить даже данные вашего мессенджера.
  5. 5 Информация о работе и размере доходов.

Список персональных данных может включать в себя и другую информацию, которая помогает определить конкретного пользователя. Например, динамический IP, cookies.

Правоприменительной практикой определено: телефон или имя не могут быть персональными данными, если другие сведения отсутствуют. Причиной тому является физическая невозможность опознать пользователя только по этим данным.

Правоприменительной практикой выделяются также специальные данные.
К ним относятся:

  • Раса и национальность.
  • Политическая ориентация
  • Мировоззренческие убеждения, в том числе, религиозные и философские взгляды.
  • Наличие заболеваний.
  • Половая жизнь и сексуальная ориентация.

Обработка персональных данных допускается только в том случае, если пользователь предоставил явное разрешение на нее. Поэтому под каждой формой обратной связи должна быть возможность поставить галочку на согласие с обработкой персональных данных. При этом, изначально галочка не должна быть проставлена.

Процедура обработки также регламентирована. В нее входит как сбор сведений, так и их хранение.

Помимо перечисленного выше, в обработку ПД входит передача другим лицам, обезличивание, блокировка, удаление или полное уничтожение данных. При этом, законом оговаривается, что сам процесс обработки персональных данных может проводиться как с помощью использования технических средств, так и на бумаге.

Зачем нужна обработка ПД

Не допускается использовать неконкретные или расплывчатые заявления относительно того, зачем собственно и производится сбор ПД. Они должны быть заранее оговорены и быть представлены пользователю. Разумеется, цели должны быть полностью законными. Поэтому под каждой формой обратной связи обязательно должна быть ссылка на Соглашение на обработку персональных данных.

Также цели обязательно пишутся в документе «Политика обработки ПД», который доступен для всех юзеров. Ссылка также должна быть на всех страницах сайта.

Формой обратной связи считается любая форма обратной связи, которая состоит из двух или более полей.

Наказание за нарушение действующего законодательства

Действия операторов персональных данных также регламентированы законом. К операторам могут относиться организации, индивидуальные предприятия или физическое лицо, которые занимаются обработкой ПД.

По каким признакам можно опознать оператора персональных данных?

  1. 1 Форма обратной связи. Она практически на любом сайте.
  2. 2 Личный кабинет.
  3. 3 Форма подписки. Как правило, в ней находится два поля.
  4. 4 Наличие сервиса статистики посещений.

Если сбор персональных данных происходит в соответствии с действующим законодательством, то никаких последствий для оператора не будет выявлено. В противном случае злоумышленнику грозит штраф:

  • Физические лица могут заплатить сумму от 1 000 до 3 000 рублей.
  • Юридические лица могут заплатить от 30 000 до 50 000 рублей.

Если обработка персональных данных выполняется без согласия пользователя, то оператор столкнется со следующими последствиями:

  • Штраф для физических лиц от 3 000 до 5 000 рублей.
  • Штраф для юридических лиц от 15 000 до 75 000 рублей.

Если с персональными данными были совершены противозаконные действия по неосторожности, наступают следующие последствия:

  • Граждане могут заплатить штраф от 700 до 2 000 рублей.
  • ИП могут заплатить штраф от 10 000 до 20 000 рублей.
  • Юридические лица могут заплатить штраф от 25 000 до 50 000 рублей.

Соответствует ли ваш сайт действующему законодательству

Правоприменительная практика считает, что закон соблюдается, если:

  1. 1 Хостинг и все базы данных находятся на территории Российской Федерации.
  2. 2 Посетитель сам дал согласие на обработку персональных данных, поставив в нужном месте галочку. После для галочки должно быть пустым, пока посетитель сайта самостоятельно не заполнит форму. Необходимо также разместить ссылку на Соглашение на обработку персональных данных и Политику Конфиденциальности.
  3. 3 Политика конфиденциальности должна содержать: название и оператора ПД. Если в качестве оператора выступает физическое лицо, должно быть указано его ФИО. Также следует указать все типы ПД, которое передает пользователь и цель обработки сведений. Если обработка ПД поручается отдельному лицу, необходимо также указать его наименование или ФИО. Также указывается время действия Соглашения и механизм отзыва данных пользователем.

Для того чтобы упростить процесс, можно использовать один из шаблонов, которые присутствуют в интернете. Дополнительно необходимо показать пользователю предупреждение о том, что будет произведен сбор метаданных. В частности, сведения о местоположении, сборе cookies, информации об IP.

Реестр операторов Роскомнадзора

Владелец интернет- ресурса самостоятельно подает уведомление о внесении компании в реестр операторов персональных данных Роскомнадзора.

По каким признакам можно опознать оператора персональных данных?

  • Лица, занимающиеся обработкой данных работников для обеспечения соответствия требованиям трудового законодательства. Такое может быть в случае оформления зарплатного проекта.
  • Лица, заключающие персональный договор с каждым отдельным человеком и не передающие сведения третьим лицам.
  • Лица, занимающиеся обработкой ПД исключительно на бумаге.

Юридическим лицам предъявляются дополнительные требования:

  1. 1 Наличие внутренних документов, которые провозглашают ответственных лиц по обработке персональных данных.
  2. 2 Регулировать отношения с государственными учреждениями, контрагентами и физическими лицами.
  3. 3 Заниматься кибербезопасностью и сохранять целостность ПД, предотвращая попытки несанкционированного доступа.

Рекомендуется ознакомиться со списками Роскомнадзора на официальном сайте.

Для регулирования отношений необходимо:

1) Для сотрудников. Требуется обязательно подписать Соглашение о неразглашении ПД, а также согласие на обработку. Работник должен поставить свою подпись и согласиться с тем, что был ознакомлен с внутренними документами относительно ПД.

2) Для физических лиц. Необходимо подписать согласие на обработку ПД. Допускается указать соответствующее согласие в рабочем договоре. Также необходимо реагировать на запросы физических лиц относительно обработки их данных.

3) Для клиентов. Если данные могут передаваться третьим лицам, необходимо заключить поручения на обработку ПД.

Итог

С годами законы, контролирующие сбор и обработку персональных данных, ужесточились. В то время как контроль усилился и штрафы значительно возросли.

Законодательство не может четко отделить ПД от других типов данных. Поэтому, все, что помогает определить человека - это и есть персональные данные.

  • Официально стать оператором ПД.
  • Составить и разместить на сайте документацию.
  • Указать пользователю о сборе метаданных.