Работа с персональными данными

Содержание

Что входит в сбор, хранение и обработку персональных данных

Имеется в виду данные, позволяющие идентифицировать личность. К ним не относятся сведения, подлежащие распространению в СМИ в случаях предусмотренных законодательством.

К личной информации причисляют:

  • имя, фамилию и отчество;
  • место проживания;
  • социальное и семейное положение;
  • род деятельности, служебное положение, уровень доходов;
  • дату и место рождения;
  • биометрические данные человека и т. д.

Это далеко не полный перечень сведений, которые причисляются к персональным. Данные, которые раскрывают частную жизнь человека попадают в рассматриваемую категорию. Тенденция четко свидетельствует о том, что перечень сведений, которые относят к персональным постоянно расширяется.

Есть прецеденты, когда личной информацией признавали IP-адрес, свидетельство о смерти, и фотографии человека. Поэтому к категории рассматриваемых сведений относится что угодно.

К обработке персональных данных относятся любые действия с ними. Речь идет о:

  • сборе;
  • записи;
  • систематизации;
  • хранении;
  • уточнении;
  • передаче;
  • уничтожении и т. д.

Зарегистрируйтесь сейчас и получите бесплатную консультацию Специалистов

Кто имеет право собирать и хранить персональные данные

Любой человек или организация обрабатывает личную информацию. Собирать и хранить персональные данные имеет право организация или физическое лицо. Главное, чтобы перед сбором информации люди дали согласие, и были предупреждены о том, что сведения о них будут храниться и обрабатываться.

Сбор персональных данных бывает связан с чем угодно. Это может быть регистрация на сайте, заполнение какой-либо анкеты, трудоустройство в компанию, сотрудничество с различными организациями и тому подобное. Важно, чтобы сбор информации был целевым. То есть компания не может просто так собирать сведения, не имеющие никакого отношения к взаимоотношениям с клиентами.

Физическое или юридическое лицо обязано обеспечивать сохранность и ограниченный доступ к личной информации. Ни в коем случае нельзя передавать эти сведения третьим лицам. Предусмотрена ответственность за нарушение персональных данных. Если обратиться в правоохранительные органы нарушитель понесет наказание. За совершение данного преступления предусмотрена, в том числе, уголовная ответственность.

Нарушение конфиденциальности персональных данных

Обработкой личной информации занимается любая организация. Действия выполняются даже в рамках одного подразделения предприятия. Главное, чтобы соблюдалось российское законодательство.

Вариантов нарушений хранения персональных данных бывает много. Прежде всего идет о незаконной передаче личной информации в коммерческих целях.

Некоторые мошенники изначально собирают данные с целью их последующей продаже заинтересованным лицам. Чаще всего это выражается в спаме, который приходит на вашу электронную почту.

Нарушение конфиденциальности персональных данных может повлечь и серьезные последствия. Например, на ваше имя могут оформить кредит, или совершить иные мошеннические действия, влекущие за собой какие-либо финансовые издержки.

Закон о защите личных сведений — это нормальная практика. Подобные правила существуют практически во всех развитых странах. Придерживаться правилам обработки и хранения рассматриваемой информации не так уж и сложно. Поэтому, если по вине вашего работодателя или любой другой организации ваша личная информация была разглашена, нарушителя нужно наказывать.

Зарегистрируйтесь сейчас и получите бесплатную консультацию Специалистов

Ответственность за нарушение персональной тайны

Правонарушения, связанные с нарушением обработки персональных данных, до первого июля 2017 карались в виде административной и гражданско-правовой ответственности. Наказания были минимальными. В случае правонарушения накладывали штрафы за нарушение персональных данных в размере 1000 рублей для физического лица, и 10 000 руб. — для предприятия.

Теперь последствия за нарушение персональных данных намного серьезней. Нынешний вариант закона предусматривает следующие нарушения со стороны организаций:

  1. Отсутствие публикации, связанной с политикой обработки личной информации. Правонарушение карается штрафом в размере от пятнадцати до тридцати тысячи рублей.
  2. Обработка информации без получения письменного разрешения. В этом случае нарушителю сулит штраф от пятнадцати до семидесяти тысяч рублей.
  3. Обработка личной информации в случаях, когда она не предусмотрена законодательно. Размер штрафа составляет от тридцати до пятидесяти тысяч рублей.

Наказания за нарушение персональных данных различные. Нарушителя можно привлечь к административной, дисциплинарной или уголовной ответственности. С него также есть возможность взыскать средства в качестве компенсации за нанесенный моральный ущерб.

Главное, действовать решительно. Если права гражданина нарушены, необходимо решать проблему на законных основаниях. Существует эффективный инструментарий, чтобы наказать злоумышленника, разгласившего личную информацию.

Зарегистрируйтесь сейчас и получите бесплатную консультацию Специалистов

Куда обращаться если ваши персональные данные были распространены без согласия

Чтобы наказать нарушителя, разгласившего личные сведения без вашего согласия, нужно написать жалобу о нарушении персональных данных в Роскомнадзор. Уполномоченный орган рассмотрит ее, и примет меры. Нарушитель будет наказан в соответствии с действующим законодательством Российской Федерации.

Дополнительно обратитесь в прокуратуру. Напишите заявление, в котором изложите обстоятельства случившегося. Желательно перед этим проконсультироваться с компетентным юристом, который поможет вам правильно написать заявление. Прокуратура рассмотрит обращение, и если в случившемся будет обнаружен состав преступления, виновные в разглашении ваших персональных сведений накажут.

Направить жалобу или заявление в соответствующие органы несложно. Это можно сделать либо по почте, либо через интернет, прямо на сайте органа надзора. Какой вариант выбрать решать вам. Мы рекомендуем направлять жалобы и заявления в письменном виде по почте в виде письма с уведомлением.

10 правил работы с персональными данными. Как избежать штрафа за контактную форму на сайте

Вниманию сайтовладельцев! С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей (за одно обнаруженное нарушение). У вас на сайте есть контактная форма? Значит, скорее всего это касается и вас. Прокуратуры уже штрафуют компании и суды их поддерживают. Помимо штрафов в пользу государства за нарушение правил обработки персональных данных может быть также взыскана компенсация морального вреда и определена иная ответственность.

Правила безопасности при работе с персональными данными

В феврале 2017 года внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных, которые вступят в силу 1 июля. Нововведения коснутся всех, кто получает, собирает, обрабатывает или хранит персональные данные.

Штрафы увеличены в десятки раз и разделены по видам нарушений. Так, если на сайте не размещена политика конфиденциальности, то штраф для ИП составит 10 тысяч рублей, а для компании — 30 тысяч. До 75 тысяч рублей составит штраф для юрлица, если посредством сайта обрабатываются персональные данные клиента интернет-магазина или подписчика на информационный ресурс без его согласия (директор компании или ИП должен будет заплатить до 20 тысяч). И т.д. Если будет зафиксировано несколько нарушений, штрафов будет тоже несколько.

Что делать? Срочно привести сайты в порядок! Проверки уже начались

Сейчас протоколы о нарушениях имеет право выписывать только прокуратура, и размер штрафа вне зависимости от вида нарушения составляет для юрлица 10 тысяч рублей, а для ИП или директора — 1000 рублей. С 1 июля уже в соответствии с более высокими ставками и, по всей видимости более рьяно, выписывать протоколы будет Роскомнадзор.

Как узнать, являетесь ли вы тем самым оператором персональных данных?

Персональные данные согласно Федеральному закону «О персональных данных» — это любые данные о человеке, по которым его можно идентифицировать. При этом в законе не содержится перечня типов таких данных, поэтому приходится исходить из общей логики закона и практики, и «дуть на воду». К примеру, по имени пользователя или логину нельзя понять, что это за человек, то по имени и телефону или ФИО и электронной почте уже можно некоторым образом идентифицировать человека, а значит получение подобного сочетания уже может определяться как сбор и хранение персональных данных.

Итак, скорее всего, вы уже являетесь оператором персональных данных, если каким-то образом получаете от людей, к примеру, следующую информацию (в любом сочетании): фамилию, имя, отчество, какой-либо физический адрес, электронную почту, номер телефона, дату или место рождения, фото, ссылку на персональный сайт или соцсети, профессию, образование, уровень доходов, семейное положение и т.д..

На практике это означает, что все владельцы сайтов, которые содержат личные кабинеты, формы обратной связи, подписки или регистрации, анкеты и т.д., одним словом заполняемые формы, где посетитель должен оставить свои данные — это операторы персональных данных. Даже если на сайте есть лишь популярные нынче кнопки заказа обратного звонка (пользователь оставляет имя и номер телефона) или отправки сообщения (имя и электронный адрес) — это тоже может быть квалифицировано как обработка персональных данных.

А записи в моей телефонной книжке тоже считаются сбором и хранением персональных данных?

Нет. На данные, которые вы храните для личных и семейных нужд, данный закон не распространяется. Но если вы передадите эти данные лицу или организации, которая согласно данному закону является оператором персональных данных или опубликуете сведения, это будет считаться нарушением.

Как работать с персональными данными, не нарушая закон?

Как минимум необходимо выполнить и соблюдать 10 нижеследующих правил.

10 правил по работе с персональными данными

  • публиковать в открытом доступе всю информацию о ваших принципах взаимодействия и работы с персональными данными клиентов и посетителей вашего предприятия или ресурса;
  • запрашивать только те данные, которые нужны для каждой конкретной цели. Например, нельзя запрашивать паспортные данные или домашний адрес для осуществления рассылки по электронной почте;
  • перед получением персональных данных, которые предполагается публиковать в общедоступных источниках, получать письменное согласие у каждого посетителя, клиента или подписчика на их обработку, хранение и распространение. В случае, если данные не публикуются, а используются исключительно для обработки внутри компании, необходимо явным образом ограничить возможность передачи вам персональных данных без согласия на их обработку*;
  • использовать данные только для тех целей, о которых вы предупредили человека и которые указаны в опубликованных вами документах, касающихся работы с персональными данными;
  • сообщать по запросу человека, какие у вас есть данные о нём, как и для чего они обрабатываются и кому вы их передавали;
  • удалять данные по первому требованию лица, персональные данные которого хранятся в вашей базе;
  • хранить базы данных в надёжном месте, защищать их от взлома и утечки;
  • назначить лицо, ответственное за обеспечение безопасности персональных данных и соблюдения определённых ФЗ N152 правил работы с персональными данными;
  • обучить сотрудников работе с персональными данными;
  • зарегистрироваться в Роскомнадзоре. Форма уведомления на сайте Роскомнадзора — //pd.rkn.gov.ru/operators-registry/notification/form/

*Согласно Закону обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Законе, возлагается на оператора.

Почему владелец сайта должен регистрироваться?

По закону операторы персональных данных должны уведомить Роскомнадзор. Причем сделать это нужно до начала обработки данных или вскоре после начала осуществления данной деятельности. Роскомнадзор внесёт информацию об операторе в Реестр операторов персональных данных.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и не будут распространяться и использоваться никак иначе;
  • у вас хранятся только ФИО клиента;
  • данные опубликованы в общем доступе самим человеком или кем либо по его поручению.

Что делать, если ваш сайт содержит формы и позволяет получать персональные данные?

Если ваш сайт даёт возможность получать персональные данные и вы до сих пор не выполнили перечисленные выше условия, то уже сейчас может быть зафиксировано нарушение и уже сейчас вас могут оштрафовать. Даже в том случае, если ваш сайт обслуживается другой компанией или специалистом на аутсорсинге, штраф будет выписан на компанию или ИП, которые указаны на сайте в качестве владельца и, следовательно, получателя персональных данных.

Как избежать возможных проблем (необходимая программа-минимум)

1) Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны с любой страницы вашего сайта. Это может быть уведомление, пользовательское соглашение, правила продажи или политика в отношении обработки персональных данных как, например, у «Озона» (//ozon.ru/context/detail/id/137942530/).
Как бы не назывался этот документ, он должен содержать правила и условия обработки персональных данных.

2) Не используйте документы других компаний без обработки. Их можно использовать в качестве шаблона, но список данных и цели использования персональных данных необходимо прописать свои. То, что требуется типографии для оформления заказа или интернет-магазину для доставки товара, не понадобится для e-mail рассылки. Запрос излишних данных может быть расценен как нарушение закона и стать поводом для штрафа.

3) Реализуйте программное решение, которое гарантирует однозначное установление того, что человек согласился на обработку персональных данных. Это может быть чек-бокс в форме регистрации, в котором необходимо поставить галочку, или кнопка согласия с условиями использования, без активации которых человек не сможет отправить сообщение или оформить заказ.
Для подстраховки можно заверить у нотариуса распечатанные скриншоты веб-страниц с формами, прокомментировав их сопроводительным текстом (к примеру, «на момент заверения указанные на данной распечатке кнопки работали согласно описанному в преамбуле функционалу и без их активации пересылка данных была технически невозможна»).

4) Подготовьте внутренние документы, регламентирующие правила хранения и обработки персональных данных, и ответственности сотрудников, которые имеют к ним доступ.

5) Отправьте, если сайт подпадает под требования Закона, уведомление в Роскомнадзор. Если стопроцентно уверены, что отправка уведомления не требуется, оформите всю документацию так, чтобы это было явно понятно и возможным проверяющим. Например, можно указать в политике работы с персональными данными, что они используются только для исполнения конкретных договоров, или зафиксировать в документации, что данные открыты для общего доступа по желанию пользователя (но помните, что доказывание этого факта Закон возлагает на оператора).

Для составления необходимой документации и соблюдения всех требований Закона рекомендуется воспользоваться услугами квалифицированного юриста.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *