Штраф за обработку персональных данных без согласия

Содержание

Письмо-предупреждение Роскомнадзора о нарушении положений Федерального закона от 27.07.2006 № 152-ФЗ к вам не придет, если вы берете согласие на обработку персональных данных, правильно составили Политику обработки персональных данных и предусмотрели другие важные детали.

Что изменилось с 1 июля 2017 года

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы

Основание Размер штрафа
Физлица Должностные лица Юрлица ИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн предупреждение или штраф — от 1000 до 3000 руб. предупреждение или штраф — от 5000 до
10 000 руб.
предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб. от 10 000 до 20 000 руб. от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДн от 700 до 1500 руб. от 3000 до 6000 руб. от 15 000 до 30 000 руб. от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработке предупреждение или штраф — от 1000 до 2000 руб. предупреждение или штраф — от 4000 до 6000 руб. предупреждение или штраф — от 20 000 до 40 000 руб. предупреждение или штраф — от 10 000 до 15 000 руб.
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки) предупреждение или наложение штрафа в размере от 1000 до 2000 руб. предупреждение или штраф — от 4000 до
10 000 руб.
предупреждение или штраф — от 25 000 до 45 000 руб. предупреждение или штраф — от 10 000 до 20 000 руб.
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования от 700 до 2000 руб. от 4000 до
10 000 руб.
от 25 000 до 50 000 руб. от 10 000 до 20 000 руб.
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн предупреждение или наложение административного штрафа — от 3000 до 6000 руб.

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данныелюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данныхлюбое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан.

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально. На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Читать еще:  Образец заявления на установление отцовства и алименты

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft. Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн.

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн . Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

С 01 июля 2017 года вступает в силу новая редакция ст.13.11 КоАП РФ, устанавливающая новые, более высокие штрафы за нарушение закона «О персональных данных».

Новая редакция статьи 13.11 содержит семь составов правонарушений, устанавливает случаи, за которые оператор ПДн может понести наказание, самый высокий штраф – 75 000 руб. (для юридических лиц).

Протоколы об административных правонарушениях по новой редакции статьи 13.11, будут составлять должностные лица Роскомнадзора, а не прокуроры. Срок привлечения к ответственности останется прежний– 3 месяца со дня совершения административного правонарушения.

По 5 составам из 7 в качестве меры ответственности предусмотрено предупреждение. Что это значит? Это значит, что если правонарушение в сфере персональных данных лицом совершено впервые (в течение года, не календарного, а, например, с 1 мая 2016 по 30 апреля 2017 года), то судья вправе (не обязан !) освободить от штрафа и вынести официальное порицание (=предупреждение, см. ст. 3.4 КоАП РФ).

Что такое персональные данные?

— любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Кто является оператором персональных данных?

— государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Иными словами, это любой из нас, независимо от правового статуса (владелец сайта, редакция, блогер, юридическое лицо, индивидуальный предприниматель), кто принимает и обрабатывает ПД граждан.

Что понимается под действием «обработка персональных данных»?

— любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Составы административных нарушений по ст.13.11 КоАП РФ с 01 июля 2017 года:

  1. Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо обработка персональных данных, несовместимая с целями сбора персональных данных (за исключением случаев, предусмотренных частью 2 настоящей статьи) – нарушение ст.6 ФЗ № 152 «О персональных данных»

— предупреждение или наложение административного штрафа на граждан в размере от 1 тысячи до 3 тысяч рублей; на должностных лиц — от 5 тысяч до 10 тысяч рублей; на юридических лиц — от 30 тысяч до 50 тысяч рублей.

Примеры: когда через сайт собираются сканы паспортов, свидетельства о рождении и т.д., Роскомнадзор считает сканы документов избыточной информацией.

Обработка не в тех целях, когда это требуется (например, запросили данные для исполнения договора, но параллельно организована email-реклама).

  1. Обработка персональных данных без согласия в письменной форме субъекта персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных – нарушение ст.9 ФЗ № 152 «О персональных данных»

— наложение административного штрафа на граждан в размере от 3 тысяч до 5 тысяч рублей; на должностных лиц — от 10 тысяч до 20 тысяч рублей; на юридических лиц — от 15 тысяч до 75 тысяч рублей.

Читать еще:  Почему нет выплат ветеранам труда федерального значения

Пример: сбор, хранение и обработка специальных персональных данных (сведения о здоровье, о вероисповедании, политических взглядах и тд) на сайте без явного согласия на обработку таких данных.

  1. Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, и сведениям о реализуемых требованиях к защите персональных данных –нарушение ст.18.1 ФЗ № 152 «О персональных данных»

— предупреждение или наложение административного штрафа на граждан в размере от 700 до 1 тысячи пятисот рублей; на должностных лиц — от 3 тысяч до 6 тысяч рублей; на индивидуальных предпринимателей — от 5 тысяч до 10 тысяч рублей; на юридических лиц — от 15 тысяч до 30 тысяч рублей.

Пример: отсутствие на сайте или странице мобильного приложения общедоступной ссылки на Политику организации в отношении обработки персональных данных.

  1. Невыполнение оператором предусмотренной законодательством РФ обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных — нарушение ст.14 и ст.20 ФЗ № 152 «О персональных данных»

— предупреждение или наложение административного штрафа на граждан в размере от 1 тысячи до 2 тысяч рублей; на должностных лиц — от 4 тысяч до 6 тысяч рублей; на индивидуальных предпринимателей — от 10 тысяч до 15 тысяч рублей; на юридических лиц — от 20 тысяч до 40 тысяч рублей.

Примеры: Игнорирование запросов физических лиц по поводу обработки и защиты их персональных данных, ответ на запрос в сроки, превышающие установленные законом, предоставление ложной информации.

  1. Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки — нарушение ст.21 ФЗ № 152 «О персональных данных»

— предупреждение или наложение административного штрафа на граждан в размере от 1 тысячи до 2 тысяч рублей; на должностных лиц — от 4 тысяч до 10 тысяч рублей; на индивидуальных предпринимателей — от 10 тысяч до 20 тысяч рублей; на юридических лиц — от 25 тысяч до 45 тысяч рублей.

Примеры: игнорирование запросов физических лиц и Роскомнадзора по поводу прекращения обработки персональных данных и их уничтожении, нарушение сроков предоставления ответов на поступившие запросы.

  1. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния –нарушение Постановления Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

наложение административного штрафа на граждан в размере от 700 до 2 тысяч рублей; на должностных лиц — от 4 тысяч до 10 тысяч рублей; на индивидуальных предпринимателей — от 10 тысяч до 20 тысяч рублей; на юридических лиц — от 25 тысяч до 50 тысяч рублей.

Примеры: отсутствие списка лиц, допущенных к такой обработке, отсутствие раздельного хранения данных.

  1. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ обязанности по обезличиванию персональных данных, либо несоблюдение установленных требований или методов по обезличиванию персональных данных –нарушение Постановления Правительства Российской Федерации от 21 марта 2012 г. № 211

— предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тысяч до 6 тысяч рублей.

А вот ряд советов от Максима Лагутина, основателя и ведущего эксперта сервиса Б-152 (сервис по выполнению требований о персональных данных), которые помогут выполнить требования ФЗ № 152 «О персональных данных»:

1.Под каждой формой ввода данных на сайтах и в мобильных приложениях (форма регистрации, заявки, обратной связи и т.д.) разместить текст «Нажимая на кнопку НАЗВАНИЕ_КНОПКИ, я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на сам документ. В качестве примера согласия можно посмотреть наше согласие. Вместо согласия можно использовать единую публичную оферту, но в ней будет нужно прописать, в каких целях, какие данные обрабатываются, то есть указать всё, согласно ч.4 ст.9 152-ФЗ. В этом случае обязательно хранить логи, чтобы в случае чего доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и оставлял там свои персональные данные.

2.Владельцу сайта необходимо утвердить приказом Политику в отношении обработки персональных данных и разместить её в своём офисе, на сайте и в мобильном приложении в общем доступе. Проще всего это реализовать, вставив ссылку на документ в футер. При этом с данным документом регистрирующийся не должен соглашаться при заполнении формы.

3.Перенести сайт на территорию РФ и узнать у технической поддержки хостинг-провайдера или ЦОДа адрес месторасположения вашего сервера (узнать вплоть до здания). Эту информацию Роскомнадзор умеет проверять, так как также контролирует операторов связи, обмануть его не получится.

4.Указать email, куда физическое лицо может обратиться за тем, чтобы его персональные данные были удалены, заблокированы и вообще куда он может задать вопрос по персональным данным. Можно всё отправлять и на общую почту, но вы тогда должны проконтролировать, что письмо, касающееся персональных данных, будет отфильтровано и не проигнорировано.

5.Агентству и владельцу сайтов необходимо подать уведомление об обработке персональных данных (форма тут) и помимо всего прочего указать там адреса местонахождения баз персональных данных и перечень персональных данных, которые в ней содержатся.

6.Агентству/студии и владельцу сайта, в случае если агентство имеет доступ к персональным данным из заявок, БД или просто привлекает клиентов, необходимо заключить соглашение об обеспечении безопасности персональных данных, в котором будет указано, какие персональные данные агентство/студия может обрабатывать, в каких целях и какие действия с ними выполнять. Также там должны быть требования по защите персональных данных, но защиту у частных компаний не проверяют.

7.До 1 июля 2017 года поставить на сайте дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и если он не согласен, то должен покинуть сайт. В противном случае это будет являться согласием на обработку его персональных данных.

Персональные данные — это любая информация, которая позволяет идентифицировать конкретного человека. В законе нет точного перечня данных, которые относятся к персональным, поэтому универсального списка персональных данных не существует. Например, ник пользователя не относится к персональным данным, а вот телефонный номер часто относят к таковым.

За нарушения при обработке персональных данных компанию могут привлечь к ответственности по статье 13.11 КоАП РФ, при этом максимальный штраф составит 10 тысяч рублей. Но с 1 июля 2017 г. вступают в силу поправки в КоАП РФ, которые увеличивают штрафы для компаний за нарушения при обработке персональных данных и вводят семь новых составов правонарушений (Федеральный закон от 07.02.17 № 13-ФЗ).

Так, с 1 июля 2017 г. за обработку персональных данных без письменного согласия пользователя штраф может составить от 15 до 75 тысяч рублей, за неопубликование политики обработки персональных данных предусматривается штраф от 15 до 30 тысяч рублей. Если компания допускает сразу несколько нарушений, то штрафов также будет несколько.

В связи с этим соблюдение законодательства о персональных данных становится всё более актуальным. Ниже вы найдёте чек-лист, который поможет быстро проверить, соблюдает ли ваша компания основные требования законодательства о персональных данных.

Формы сбора данных

1. Наличие Политики конфиденциальности

У каждого сайта, собирающего персональные данные, должна быть Политика конфиденциальности (или другой документ, который определяет все требуемые по закону условия обработки персональных данных). Политика конфиденциальности должна быть доступна для ознакомления. Обычно компании размещают Политику конфиденциальности в футере сайта.

Читать еще:  Розничная торговля текстильными изделиями оквэд 2018

Вот основные положения, которые должны содержаться в Политике конфиденциальности:

  • перечень обрабатываемых персональных данных;
  • согласие пользователя на обработку;
  • цели обработки данных;
  • действия, которые могут быть совершены с персональными данными (должны совпадать с целями обработки);
  • согласие пользователя на передачу данных третьим лицам (включая список третьих лиц, кому могут передаваться данные). Если данные передаются за границу, то перечень стран, куда передаются данные, согласие пользователя на трансграничную передачу;
  • срок обработки данных;
  • порядок получения пользователем информации об обработке его персональных данных, уточнения пользователем своих персональных данных;
  • порядок отзыва согласия пользователем на обработку персональных данных.

Для примера можно ознакомиться с политикой конфиденциальности EMAILMATRIX. Однако все ресурсы уникальны и полное копирование чужого документа без учёта специфики того или иного сайта может привести к нарушению закона.

Чек-бокс согласия

Все формы сбора персональных данных на сайте нужно снабдить чек-боксом о согласии пользователя на обработку персональных данных. Например, чек-бокс может быть следующего содержания: «Я соглашаюсь на обработку моих персональных данных в соответствии с Политикой конфиденциальности» с добавлением ссылки на Политику конфиденциальности.

Доказательства получения согласия

Обязательно необходимо сохранять историю действий подписчиков (в том числе емейл, IP-адрес, с которого совершена подписка, дату подписки) и переписку с ними. Всё это понадобится, чтобы в спорной ситуации доказать, что согласие на обработку персональных данных было получено.

Письма

Наличие опции Double opt-in

Эта опция предполагает направление пользователю письма с запросом на коммуникацию и последующее получение ответа от пользователя. В письме должны содержаться условия осуществления коммуникации, в том числе ссылка на Политику конфиденциальности. Ответ пользователя будет означать согласие с данными условиями. Эта опция будет дополнительным сильным доказательством того, что вами получено согласие пользователя на обработку его персональных данных. Особенно она актуальна, когда по тем или иным причинам проблематично получить или хранить другие доказательства согласия пользователя.

Наличие ссылки отписки (opt-out) в емейлах

Это существенно снижает риски предъявления к вам претензий, так как пользователь всегда имеет возможность отписаться от рассылки, которую он по какой-либо причине не желает получать. В этом случае данные пользователя должны быть удалены из вашей базы в течение периода времени, определённого в Политике конфиденциальности.

Использование стоп-листа пользователей, отказавшихся от коммуникации

Таким пользователям вы больше не имеете права отправлять сообщения до тех пор, пока они не дали нового согласия на обработку своих персональных данных.

Хранение данных и иные вопросы

Локализация

Персональные данные пользователей, являющихся гражданами РФ, должны в обязательном порядке храниться на серверах, расположенных на территории РФ. Это могут быть серверы вашей компании или хостинг-провайдеров, услугами которых вы пользуетесь по договору. Дополнительно к этому данные также могут храниться на серверах за пределами РФ (но в объёме не большем, чем хранится в РФ). Хранить персональные данные граждан РФ только на серверах, расположенных за пределами РФ, запрещено.

Включение в реестр операторов

Все компании, работающие с персональными данными, должны быть включены в реестр операторов персональных данных Роскомнадзора. Сделать это можно, отправив уведомление в Роскомнадзор или бумажном носителе, или в форме электронного документа — через портал «Госуслуги» или официальный сайт Роскомнадзора. Роскомнадзор внесёт сведения о компании в реестр операторов в течение 30 дней с даты поступления уведомления.

Техническая защита персональных данных

Персональные данные — это конфиденциальные сведения. Поэтому любая компания, получающая персональные данные пользователя, обязана обеспечить их безопасность. Меры безопасности зависят от способа обработки данных. Если компания ведёт автоматизированную обработку (любые действия с персональными данными, которые совершаются не на бумаге), на неё распространяются специальные требования Правительства и ФСТЭК по технической защите конфиденциальной информации. Чтобы выполнить эти требования, нужно привлекать IT-специалистов.

О наболевшем

В процессе соблюдения перечисленных выше требований возникает много вопросов. Ответы на них могут отличаться в зависимости от сферы и специфики деятельности компании. Ниже мы собрали некоторые часто встречающиеся вопросы и дали ответы и советы, как действовать в определённых ситуациях.

Вопрос: Очень часто слышу, что емейл это не персональные данные, докажите.

Ответ: По определению персональные данные — это некий набор информации, которая позволяет идентифицировать конкретного человека. По одному емейлу сделать это практически невозможно. Даже если емейл содержит фамилию и имя человека, установить по ним конкретного пользователя невозможно. Поэтому сам по себе емейл персональными данными не является.

Вопрос: Обязательно ли ставить чек-бокс рядом с формой подписки, где спрашивают только емейл?

Ответ: Поскольку один емейл сам по себе не является персональными данными, то это не обязательно. Однако такой чек-бокс может повысить доверие со стороны пользователя. Пользователь с большей охотой оставит свой емейл, если будет понимать, что компания заботится о защите его данных и его емейл не попадёт в базу злоумышленников.

Вопрос: Можно ли отмечать чек-боксы с согласием на обработку персональных данных по умолчанию пречеком?

Ответ: Чек-бокс не должен быть предустановленным, пользователь должен совершить активное действие — заполнить чек-бокс — самостоятельно. Это будет являться дополнительным доказательством того, что вы получили согласие пользователя на обработку его персональных данных.

Вопрос: Необходимо ли получать согласие на обработку персональных данных каждый раз во всех формах сайта или достаточно получить его однажды?

Ответ: Повторное получение согласия на обработку одних и тех же персональных данных пользователя не требуется. Например, если вы уже получали от пользователя согласие на обработку его емейла и телефона, то повторно согласие на их обработку получать не нужно (если данные не изменились). Но зачастую с технической точки зрения сложно настроить показ чек-бокса только тем пользователям, которые с ним не соглашались. При сборе новых (дополнительных) данных о пользователе (например, добавляется информация о дне рождения) нужно получать отдельное согласие.

Вопрос: Возможно ли получить пользовательское согласие на обработку данных при нажатии на CTA, если в форме прописано, что нажатием на кнопку «Отправить» пользователь даёт согласие на обработку?

Ответ: Если до нажатия на СТА пользователь имеет возможность ознакомиться с условиями, на которых будет осуществляться обработка его персональных данных (перейти на сайт и познакомиться с Политикой конфиденциальности), то да, это приемлемый вариант. И обязательно нужно фиксировать доказательства получения согласия на обработку данных (IP-адрес пользователя, другие параметры, которые помогут идентифицировать пользователя, дата).

Вопрос: Когда для емейл-рассылки требуется письменное согласие на обработку персональных данных?

Ответ: Для обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, недостаточно согласия пользователя в электронной форме. В этих случаях потребуется получить согласие пользователя в письменном виде (на бумаге).

Вопрос: Нужно ли добавить текст о согласии на обработку персональных данных в письмо — подтверждение подписки?

Ответ: Если при подписке на сайте пользователь проставляет чек-бокс о согласии на обработку персональных данных и принимает условия Политики конфиденциальности, то добавление текста с согласием в письмо — подтверждение подписки не является обязательным и остаётся на ваше усмотрение.

Вопрос: Сколько «догонялок» double opt-in можно использовать в случае, если с первого раза подписчик не подтвердил своё желание получать рассылку?

Ответ: В случае направления большого количества «догонялок» к вам скорее будут претензии за спам, чем за нарушение законодательства о персональных данных. В этом случае вы будете коммуницировать с пользователем, не получив его предварительного согласия на это, как того требует рекламное законодательство. С этим нужно быть осторожным, так как штраф за подобное нарушение может составить от 100 тысяч до 500 тысяч рублей.

Вопрос: Во всех ли письмах обязательно нужна ссылка отписки?

Ответ: Пользователь должен иметь возможность отписаться от рассылки. Порядок отписки должен быть урегулирован Политикой конфиденциальности или Пользовательским соглашением вашего сайта. Отписка может быть осуществлена по ссылке в письме или, например, путём направления письменного уведомления почтой по юридическому адресу вашей компании. Способ вы выбираете самостоятельно. Однако следует учитывать, что если в ваших письмах отсутствует ссылка отписки, это может являться нарушением политик почтовых сервисов, которые вы используете.

Найти нужное отделение Бинбанка на карте:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *