10 июля, 2019
КАК И ЗАЧЕМ ОБРАБАТЫВАТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ?
Закон об обработке персональных данных принят давно, однако, даже после введения дополнительных штрафов в 2017 году, не все компании правильно подходят к обработке персональных данных клиентов.
Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:
1. Нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:
- Физическое лицо: предупреждение или штраф в размере 1 000 - 3 000 рублей;
- Должностное лицо: штраф в размере от 5 000 - 10 000 рублей;
- Юридическое лицо: штраф в размере 30 000 - 50 000 рублей;
2. Обработка персональных данных без согласия гражданина приведет:
- Физическое лицо: штраф в размере 3 000 - 5 000 рублей;
- Должностное лицо: штраф в размере от 10 000 - 20 000 рублей;
- Юридическое лицо: штраф в размере 15 000 - 75 000 рублей;
3. В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:
- Физическое лицо: штраф в размере 700 - 1 500 рублей;
- Должностное лицо: штраф в размере от 3 000 - 6 000 рублей;
- Индивидуальный предприниматель: штраф в размере от 5 000 - 10 000 рублей
- Юридическое лицо: штраф в размере 15 000 - 30 000 рублей;
Отдельно необходимо отметить три пункта:
1. Персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Таким образом почта katya334566@bk.ru не является персональными данными, а почта petr.ivanov@livetex.ru , с указанием должности в подписи, является, так как можно определить, что эта почта принадлежит Петру Иванову, работающему в LiveTex.
2. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
3. Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Эти случаи опираются на законодательство РФ:
Необходимо подготовить текст политики обработки и защиты персональных данных. Также необходимо утвердить данный текст приказом. После, обязательно, надо разместить данную политику в общем доступе. Если на вашем сайте есть какие-либо формы обратной связи – вам необходимо под каждой такой формой написать что-то вроде «я согласен на обработку персональных данных» и оставить чекбокс.
Так же необходимо сделать при первом входе в ваше мобильное приложение, если данное приложение имеет доступ к персональным данным. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним. Так же необходимо, чтобы пользователь мог ознакомиться с политикой обработки и с пользовательским соглашением, соответственно надо оставить ссылку на них.
Юридическое обоснование чекбоксов звучит так:
Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” устанавливает обязательство собирать персональные данные:
“В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью...”.
Понятное дело, что сделать это сложно и долго. Поэтому Роскомнадзор пошёл навстречу людям и дал разъяснения:
“Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.
Последним шагом является уведомление Роскомнадзора о том, что вы обрабатываете персональные данные. В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.
Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).
Зачем вообще необходимо задумываться о политике обработки персональных данных? Первой причиной, конечно же, назову штрафы и возможная блокировка вашего сайта. Это административная ответственность. Да и в целом это все может привести к большим проблемам с вашим бизнесом.
Для пользователей LiveTex есть отличная новость – «пользовательское соглашение» уже загружено в ваши виджеты. Вам только необходимо загрузить юридические данные о вашей компании и посетители перед началом чата смогут прочитать «пользовательское соглашение».
Политика обработки персональных данных
Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:
1. Нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:
- Физическое лицо: предупреждение или штраф в размере 1 000 - 3 000 рублей;
- Должностное лицо: штраф в размере от 5 000 - 10 000 рублей;
- Юридическое лицо: штраф в размере 30 000 - 50 000 рублей;
2. Обработка персональных данных без согласия гражданина приведет:
- Физическое лицо: штраф в размере 3 000 - 5 000 рублей;
- Должностное лицо: штраф в размере от 10 000 - 20 000 рублей;
- Юридическое лицо: штраф в размере 15 000 - 75 000 рублей;
3. В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:
- Физическое лицо: штраф в размере 700 - 1 500 рублей;
- Должностное лицо: штраф в размере от 3 000 - 6 000 рублей;
- Индивидуальный предприниматель: штраф в размере от 5 000 - 10 000 рублей
- Юридическое лицо: штраф в размере 15 000 - 30 000 рублей;
Отдельно необходимо отметить три пункта:
1. Персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Таким образом почта katya334566@bk.ru не является персональными данными, а почта petr.ivanov@livetex.ru , с указанием должности в подписи, является, так как можно определить, что эта почта принадлежит Петру Иванову, работающему в LiveTex.
2. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
3. Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Несколько ситуаций, когда персональные данные можно обрабатывать без согласия
Эти случаи опираются на законодательство РФ:
- Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.
- Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
- Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.
- Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
- Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.
- Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
- Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Во всех ситуациях, которые не подходят под эти пункты, необходимо согласие на обработку.
Что сделать для того, чтобы правильно работать с персональными данными?
Необходимо подготовить текст политики обработки и защиты персональных данных. Также необходимо утвердить данный текст приказом. После, обязательно, надо разместить данную политику в общем доступе. Если на вашем сайте есть какие-либо формы обратной связи – вам необходимо под каждой такой формой написать что-то вроде «я согласен на обработку персональных данных» и оставить чекбокс.
Так же необходимо сделать при первом входе в ваше мобильное приложение, если данное приложение имеет доступ к персональным данным. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним. Так же необходимо, чтобы пользователь мог ознакомиться с политикой обработки и с пользовательским соглашением, соответственно надо оставить ссылку на них.
Юридическое обоснование чекбоксов звучит так:
Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” устанавливает обязательство собирать персональные данные:
“В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью...”.
Понятное дело, что сделать это сложно и долго. Поэтому Роскомнадзор пошёл навстречу людям и дал разъяснения:
“Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.
Последним шагом является уведомление Роскомнадзора о том, что вы обрабатываете персональные данные. В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.
Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).
Зачем нужна политика обработки персональных данных?
Зачем вообще необходимо задумываться о политике обработки персональных данных? Первой причиной, конечно же, назову штрафы и возможная блокировка вашего сайта. Это административная ответственность. Да и в целом это все может привести к большим проблемам с вашим бизнесом.
Для пользователей LiveTex есть отличная новость – «пользовательское соглашение» уже загружено в ваши виджеты. Вам только необходимо загрузить юридические данные о вашей компании и посетители перед началом чата смогут прочитать «пользовательское соглашение».
Интересные новости
23 июля, 2024
14 марта, 2024
12 февраля, 2024