Онлайн консультации юриста Вадима Колосова

Юридические услуги
©   ®   (P)   IT   Ad

(495) 9 8 9 2 2 4 6
e-mail

UK flag
En

»

152-ФЗ: Согласие на обработку персональных данных и пресловутая Политика конфиденциальности

Парень в очках смотрит в ноутбук и удивляется

СМИ пишут об изменениях в законе о персональных данных, согласно которым с июля 2017 года требуется получать согласие на обработку персональных данных во всех случаях, когда пользователь интернета предоставляет какие-либо свои данные. Мол, даже под любой формой обратной связи на сайте должно быть согласие на обработку персональных данных.

Пишут, что и Роскомнадзор надо уведомить о том, что компания по указанной выше причине является оператором персональных данных.

Предупреждают, что нарушение правил обработки персональных данных приведет к наложению штрафа в размере 300.000 руб. Такого размера штрафа в ст. 13.11 КоАП нет, это сумма максимальных штрафов по всем перечисленным в статье нарушениям правил обработки персональных данных.

Разберемся в этой надуманной проблеме получения согласия на обработку персональных данных!

Девушка изучает документ

Рассмотрим:

  1. В каком случае не требуется получать согласие на обработку персональных данных.
  2. В каких случаях нужно уведомлять Роскомнадзор об обработке персональных данных.
  3. Что считать персональными данными.
  4. Когда нужны Политика конфиденциальности на сайте и Положение о персональных данных.
  5. Когда согласие на обработку персональных данных должно содержать полные паспортные данных.

C июля 2017 года изменения были внесены не в закон №152-ФЗ о персональных данных, а в ст. 13.11 Кодекса об административных правонарушениях. Иными словами, требования к обработке персональных данных остались прежними, изменили наказание за нарушение закона.

1. Согласие на обработку персональных данных не требуется, если данные нужны для исполнения договора или сделаны общедоступными по желанию субъекта

Девушка у доски рассказывает

Вот оно то, что Роскомнадзор, многие юристы и следом предприниматели как будто в законе не замечают.

Ну правда, разве интернет-магазин заинтересован в персональных данных своих клиентов? Нет!

Вы можете собирать много данных, но все они нужны для совершения вами какого-то действия в отношении cyбъeктa персональных данных. То есть реально они вам нужны для исполнения договора с ним. Вот это и должно быть в вашем договоре.

Пункт 5.8 Правил ВКонтакте: "Поскольку Администрация Сайта осуществляет обработку персональных данных Пользователя в целях исполнения настоящих Правил, в силу положений законодательства о персональных данных согласие Пользователя на обработку его персональных данных не требуется".

Это так просто! Никакой паники. Никаких штрафов. Никаких согласий на обработку персональных данных.

Закон 152-ФЗ о персональных данных

Статья 6. Условия обработки персональных данных

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия cyбъeктa персональных данных на обработку его персональных данных;

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных)…

Помните, однако, что ряд действий требует согласия (например, передача данных службе доставки), поэтому имеет значение, как данные предоставляются и как это юридически оформлено. Надежнее получить консультацию и заказать документы юристам.

2. Уведомление Роскомнадзора об обработке персональных данных

Строгая девушка у доски

Штраф за неуведомление Роскомнадзора согласно ст. 19.7 КоАП составляет для юрлиц до 5.000 руб.

Большинству лиц не требуется уведомлять Роскомнадзор об обработке персональных данных!

Сейчас в реестре операторов, осуществляющих обработку персональных данных, около 388 тыс. лиц. В их числе нет, например, ВКонтакте.

Вы же не поверите в логику, что крупнейшей социальной сети не требуется "регистрироваться" в качестве оператора, а вашему интернет-магазину, интернет-сервису или вообще простому сайту-визитке с формой обратной связи вдруг необходимо?

Смотрим раздел 1 настоящей статьи – когда не требуется получать согласие на обработку персональных данных. В указанных же ситуациях не требуется уведомлять и Роскомнадзор об обработке персональных данных.

Не вносите вклад в дурную практику получения согласия на обработку персональных данных всегда и везде (как это рекомендуют делать юристы сомнительного уровня, например, Единого центра документов).

3. Что относится к персональным данным?

Парень с книгами думает

Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 федерального закона от 27.07.2006 №152-ФЗ "О персональных данных").

Ни закон, ни подзаконные акты не содержат четкого указания на то, что относится к персональным данным.

Серьезные проблемы связаны с "определяемым" физическим лицом. Определяемым кем и как? По интернету любым лицом с проведением собственного поиска (насколько глубокого, насколько профессионального?)? В результате общения со знакомыми? Детективом? Полицией? ФСБ? Судом?

В ряде случаев полные ФИО и регион относили к персональным данным, в ряде – нет.

Можно написать целую статью, но к однозначному выводу о том, что всегда будет относиться к персональным данным, а что никогда не будет, на текущий момент невозможно.

Например, можно ли номер паспорта сам по себе считать персональными данными? Едва ли. А номер телефона? Тоже. Но при появлении других сведений, например: имени и фамилии (прямо относятся к субъекту персональных данных) или идентификация человека через обстоятельства, известные события и т.п. (косвенно относятся), - то в связке с другими сведениями они могут стать персональными данными.

Именные ящики в собственных доменных именах, вероятно, могут быть сами по себе отнесены к персональным данным, а с помощью имейла типа fantasticcreature@ya.ru напрямую лицо не установить, разве что косвенно – через поиск по соответствующему адресу в интернете.

4. Политика конфиденциальности, Положение о персональных данных

Вот на это действительно надо обратить внимание.

Закон называет оператором персональных данных любое лицо, которое осуществляет любые действия с персональными данными. Хочется верить, цель законодателя едва ли была настолько глупой, чтобы фактически любое лицо провозгласить оператором персональных данных.

Мужчина смотрит серьезно, спустив очки

Однако согласно федеральному закону от 27.07.2006 №152-ФЗ "О персональных данных" любой владелец сайта, через который собираются персональные данные (даже в целях исполнения заказов), должен иметь на сайте Политику конфиденциальности (штраф – до 30.000 руб.), а каждому работодателю или даже индивидуальному предпринимателю без работников, но заключающему договоры с физлицами, желательно иметь Положение об обработке персональных данных, которое по запросу Роскомнадзора он сможет предоставить в качестве доказательства принятия мер по защите обрабатываемых персональных данных (один из самых простых способов).

К слову, Роскомнадзор нередко трактует положения закона так, что Положение об обработке персональных данных как локальный документ (для внутреннего использования) должен быть у любого оператора персональных данных.

Подробнее в статье Политика конфиденциальности для сайта и Положение о персональных данных.

Наши юристы помогут вам разобраться в том, относится ли получаемая вами информация к персональным данным, и помогут правильно составить юридические документы, избавив от необходимости получать согласие на обработку персональных данных, т.к. в большинстве случаев персональные данные обрабатываются для исполнения договора с субъектом персональных данных.

Написать юристу на имейл
в Telegram @vadim4it
(495) 9 8 9 2 2 4 6

5. Когда согласие на обработку персональных данных должно содержать полные паспортные данные

Парень в очках всматривается удивленно

Не правда ли, очаровательно: хотите получить согласие на обработку достаточно ограниченного объема персональных данных, но обязаны потребовать целиком ФИО, адрес, паспортные данные. В противном случае – платим штраф до 75.000 руб.

Но закон!

Статья 9 ФЗ №152 от 27.07.2006 "О персональных данных". Согласие субъекта персональных данных на обработку его персональных данных

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Статья 13.11 КоАП. Нарушение законодательства Российской Федерации в области персональных данных

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, -

влечет наложение административного штрафа на граждан в размере от 3.000 до 5.000 рублей; на должностных лиц - от 10.000 до 20.000 рублей; на юридических лиц - от 15.000 до 75.000 тысяч рублей.

Случаи, в которых согласие на обработку персональных данных должно быть обязательно в письменной форме (а соответственно, должно включать в себя полные паспортные данные лица):