Закон персональных данных

Как не нарушить закон о персональных данных если вы владелец сайта или веб-сервиса

Cегодня практически каждый сайт или веб сервис, оказывающий какие-либо услуги в Рунете, будь то новостной сервис или социальная сеть, имеет дело с персональными данными (или ПДн) своих пользователей, посетителей, подписчиков. C 1 июля 2017 года ответственность за нарушение законов в области персональных данных существенно . Обновленная статья 13.11 КоАП расширилась и теперь в ней семь видов правонарушений, самый высокий штраф для юридических лиц – 75 000 рублей, который в совокупности нарушений может достигать 295 000 рублей. В России помимо административной ответственности несоблюдение законов о защите данных может повлечь также гражданскую (возмещение морального вреда) и уголовную ответственность (например, тюремное заключение).

Роскомнадзор вправе возбуждать административные дела в области персональных данных, ранее подобные дела инициировали только прокуроры. Кроме того, есть риск ресурса Роскомнадзором в случае неустранения нарушений закона о персональных данных, но только по решению суда.

Роскомнадзора показывает, что с момента начала реализации закона о локализации персональных данных (242-ФЗ) было проведено 2256 плановых проверок, 192 внеплановые проверки (по жалобе субъекта персональных данных) и более 3000 мероприятий систематического наблюдения, по итогам которых выявлено 56 нарушений требований, связанных с локализацией персональных данных, что составляет около 1 % от общего числа выявленных нарушений. План проверок управления Роскомнадзора публикуют на своих сайтах.

Другие надзорные органы: Федеральная служба по техническому и экспортному контролю России (регулирует вопросы технической защиты информации в нашей стране) и ФСБ России (регулирует вопросы криптографии (шифрования). Стоит здесь отметить громкое о требовании ФСБ расшифровать переписку мессенджера Телеграм (Telegram), где пересекаются, с одной стороны, интересы частных лиц и их право на неприкосновенность частной жизни, и, с другой стороны, интересы общества, госбезопасности.

Настоящая статья поможет разобраться, как сайту или веб сервису соответствовать законодательству о персональных данных и избежать штрафов.

Какие законы?

Основные действующие в России законы, касающиеся персональных данных:

  • Страсбургская «Конвенция о защите физических лиц при автоматизированной обработке персональных данных» 1985 года, была ратифицирована в России в 2005 году.
  • Конституция РФ. Статьи 23 и 24.
  • Федеральный закон «О персональных данных» от 27.07.2006 (далее «закон о персональных данных»)
  • Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006

Также существуют специальные нормы по отраслям права: КоАП РФ (статья 13.11), как упоминалось выше, Трудовой кодекс РФ (глава 14), Воздушный кодекс РФ (ст. 85.1), ФЗ Об основах охраны здоровья граждан в РФ и другие. Кроме того, разными ведомствами, например, Роскомнадзором или Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Федеральной службой безопасности издаются подзаконные акты, устанавливающие порядок сбора, обработки, хранения, защиты персональных данных.

Давайте разберемся с понятиями.

Персональные данные

Законодатель отнес любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 ФЗ о персональных данных). В силу такого широкого определения ПДн в законе, определить какие данные подпадают под охрану закона, а какие нет — дело не простое. Поэтому следует руководствоваться позицией регулятора — Роскомнадзора.

Пункт 2.5 Методических Роскомнадзора по уведомлению о начале обработки персональных данных раскрывает в скобках, какая это может быть информация: фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных.

В любом случае, согласно закону, который имеет превалирующую силу над подзаконным актом (методические рекомендации), конкретный перечень видов персональных данных не определен, что дает правоприменительным органам волю интерпретации.

Оператор персональных данных

Любая организация, ИП и физическое лицо является оператором и, таким образом, попадает под действие закона о персональных данных, если

  • самостоятельно или с другими лицами (юридическими или физическими) организует и(или) осуществляет обработку персональных данных,
  • а также определяет цель такой обработки, состав персональных данных, действия (операции).

Проще говоря, если вы обрабатываете и контролируете персональные данные, то вы оператор.

Обработка персональных данных

Если вы совершаете хотя бы одно из нижеперечисленных действий, то вы обрабатываете персональные данные и обязаны подчиняться закону о персональных данных:

  • Сбор
  • Запись
  • Систематизация
  • Накопление
  • Хранение
  • Уточнение (обновление, изменение)
  • Извлечение
  • Использование
  • Передача (распространение, предоставление, доступ)
  • Обезличивание
  • Блокирование
  • Удаление
  • Уничтожение персональных данных.

ЧТО НУЖНО СДЕЛАТЬ ДЛЯ СОБЛЮДЕНИЯ ЗАКОНА?

1. УВЕДОМИТЕ РОСКОМНАДЗОР

Если вы обрабатываете персональные данные, как описано выше, то вы обязаны уведомить об этом Рoскомнадзор (управление Роскомнадзора по субъекту по месту регистрации в налоговом органе) до начала обработки (ст. 22 закона о персональных данных). Вы можете это сделать в письменном виде путем направления письма или на сайте Роскомнадзора (бумажную версию также необходимо выслать. После чего в течение 30 дней со дня получения уведомления Роскомнадзором вносится запись в операторов персональных данных, вы получаете выписку о внесении. По состоянию на 27 октября 2017 года 400 098 операторов зарегистрировано. Сведения об операторах и находятся в общем доступе (за исключением способов обеспечения безопасности персональных данных, более подробно об этом ниже).

Важно отметить, что вы обязаны не просто заполнить уведомление и направить его, но также выполнить то, что вы в нем написали.

Как и везде, существуют исключения. Поэтому сначала проверьте основания обработки персональных данных БЕЗ уведомления уполномоченного органа (ст. 22 закона о персональных данных). В частности, например, следующие основания для неуведомления:

  • данные, обрабатываемые в соответствии с трудовым законодательством (это не освобождает от защиты персональных данных ваших сотрудников и соблюдения трудового законодательства)
  • персональные данные были получены в связи с договором с субъектом персональных данных при условии, что (1) данные не передаются третьим лицам без согласия субъекта, (2) используются только для целей исполнения договора с субъектом
  • если данные общедоступны
  • у вас есть только ФИО клиента и др.

Если вы все-таки не попадаете под основания для исключения, то форма уведомления есть в Роскомнадзора (приложение 1). Подробнее поговорим о некоторых сведениях, которые требуется указать в Уведомлении.

Какие действия вы совершаете с персональными данными и какие способы обработки используете. В большинстве случаев обработка данных владельцами сайтов/веб сервисов является автоматизированной (есть также неавтоматизированная и смешанная). Здесь следует указать, куда передается информация: по внутренней сети оператора (то есть доступна только определенным сотрудникам), с использованием интернета или не передается вообще.

Другой важный момент касается мер для обеспечения выполнения обязанностей по закону о персональных данных.

Например:

  • Издание документов и локальных актов о порядке обработки, изменения, копирования, распространения персональных данных, о правилах доступа, о мерах предотвращения неправомерного доступа к персональным данным и прочее. См. также Роскомнадзора по составлению подобных документов.
  • Технические меры, например, защита паролем, антивирусные средства Если вы используете криптографические (шифровальные) средства, то нужно указать наименование таких средств и их класс (см. ФСБ России).

Трансграничная передача

Если вы передаете персональные данные на территорию иностранного государства его органу власти, иностранному физическому или юридическому лицу (п. 11 ст. 3 закона о персональных данных), то нужно указать какие именно стране. Допускается трансграничная передача на территорию стран — членов , а также иных государств, где персональные данные адекватно защищаются и есть комплексный закон, регулирующий данную область.

Неуведомление Роскомнадзора грозит штрафом для юридических лиц от 3000 до 5000 р. (см. ст. 19.7 КоАП РФ). Такие дела рассматриваются судом (ст. 23.1 КоАП). Роскомнадзор вправе потребовать уточнения данных путем направления вам письма с перечнем недостающих сведений (ст.22 закона о персональных данных и п.3.3. Рекомендаций Роскомнадзора). В случае каких-либо изменений информации, которую вы указали в уведомлении, то требуется в течение 10 дней с момента возникновения изменений сообщить об этом управление Роскомнадзора (форма есть в приложении 2 к Рекомендациям Роскомнадзора).

2) ХРАНИТЕ БАЗУ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ В РОССИИ

С 1 сентября 2015 года хостинг, база, центр обработки персональных данных должны располагаться на территории России (ст.16 закона об информации). И несмотря на то, что закон о “локализации персональных данных” назвали законом ручного применения и под его раздачу недавно попала лишь сеть профессиональных контактов , не исключено, что похожее может произойти и с и рядом других крупных сервисов, после чего правоприменение по подобного рода делам может развернуться куда шире. Закон одинаково распространяется и на иностранные организации, которые обрабатывают персональные данные россиян и чьи услуги, сервисы направлены на пользователей в России. Если сбор данных осуществляется не в ходе функционирования крайне чувствительных веб-сервисов (тематических форумов, сайтов знакомств, UGC-ориентированных ресурсов), на которых организатору сервиса надлежит обеспечить максимальную безопасность данных своих пользователей, то размещение баз данных на серверах внутри страны способно минимизировать риски претензий Роскомнадзора в связи с несоблюдением закона. Однако решение об этом следует принимать в индивидуальном порядке, оценивая тематику, функционал и аудиторию ресурса. Пока же мы видим, что мелкие и средние веб-сайты, сервисы и приложения россиян в части соблюдения “закона о локализации” ведомство интересуют не сильно.

Адрес местонахождения баз данных необходимо сообщить Роскомнадзору. Если Вы все таки решили локализовать данные, то обратитесь к вашему хостинг провайдеру для получения адреса расположения вашего сервера. можно ознакомиться более подробно с темой локализации данных в России.

3) СОЗДАЙТЕ ПОЛИТИКУ КОНФИДЕНЦИАЛЬНОСТИ И ПОЛУЧИТЕ СОГЛАСИЕ НА ОБРАБОТКУ

Согласно позиции РКН, в отношении использования веб-ресурсов не требуется рукописного согласия на обработку персональных данных, однако критически важным является наличие на сайте Политики обработки персональных данных либо Политики конфиденциальности с положениями о порядке сбора, хранения и обработки ПДн. Наиболее известен из практики о привлечении к адм. ответственности юридической компании за отсутствие на сайте политики обработки персональных данных. Поэтому наличие подобной политики на сайте во многих случаях считается уже достаточным, чтобы соответствовать закону.

Утвердите приказом политику конфиденциальности, разместив ее на сайте, (мобильном приложении, если имеется) так, чтобы пользователю было не трудно найти ее, например, в футер. В политике нужно отразить категории персональных данных, виды обработки, цели обработки, меры защиты, какие действия вы выполняете с данными. Уведомляйте посетителей сайта, что их персональные данные обрабатываются в целях функционирования сайта и получайте их согласие на обработку. Можно посмотреть, как это делают другие сайты. Например, в своей политике конфиденциальности указал, что использование сервисов является согласием на обработку: “Использование Сервисов Яндекса означает безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями Пользователь должен воздержаться от использования Сервисов”.

Похожее положение в политике конфиденциальности : “При регистрации на Интернет-ресурсе заполняя размещенную на Интернет-ресурсе Рамблера регистрационную форму и предоставляя свои персональные данные Рамблеру, Пользователь подтверждает, что он достиг возраста 14 лет и что он принимает настоящий Регламент и дает согласие на обработку своих персональных данных Рамблеру в соответствии с Политикой в отношении обработки персональных данных в Рамблере и сведениями о реализуемых требованиях к защите персональных данных, а также изложенными в ней правилами обработки персональных данных”.

Таким образом, в регистрационные и иные формы заполнения на вашем сайте, можно под кнопкой добавить следующую фразу со ссылкой на правила пользования сервисом, куда вы также включаете политику конфиденциальности. Такой подход также и позицией Роскомнадзора.

В июле 2017 Роскомнадзор опубликовал Методические по составлению документа, определяющего политику оператора в отношении обработки персональных данных. При написании Политики на сайте, необходимо руководствоваться этими рекомендациями.

Несмотря на то, что политика конфиденциальности является юридическим документом, вы должны обеспечить, чтобы текст был легко понятен и точен. Нежелательно использовать скрытые предложения в тексте или делать его слишком расплывчатым, поскольку это может повлиять в общем на авторитетность и репутацию вашего сервиса.

4) ДОБАВЬТЕ В ПОЛИТИКУ КОНФИДЕНЦИАЛЬНОСТИ ПУНКТ О COOKIES

Cookie-файлы — небольшие информационные маркеры (копии веб-страниц, картинок, видеороликов и другого контента, просмотренного с помощью браузера), которые ваш сайт может записывать на жесткий диск компьютера посетителя. Благодаря cookies ваш сайт может:

  • узнавать пользователей и их предпочтения
  • подстраивать веб-контент, отображаемый на вашем сайте, под отдельных пользователей
  • собирать информацию о том, как посетители используют ваш сайт
  • помогать Вам совершенствовать ваши продукты и сайты

О кукис на английском: www.allaboutcookies.org

В российском законе нет понятия cookies, каких-либо определенных специальных требований в их отношении, они формально не признаются персональными данными. Нет необходимости российскому сайту брать отдельное согласие посетителя путем нажатия кнопки при входе на его сайт, как некоторые сайты это делают. Дело в том, что иностранные компании, которые подчиняются юрисдикциям других государств, обязаны независимо от местонахождения пользователей, получать согласие на использование файлов cookies. Например, в Евросоюзе веб-сайт должен получить разрешение от посетителей прежде, чем записывать свои cookies на их компьютеры.

Однако, лучше себя обезопасить, ведь определение персональных данных расплывчато, а Роскомнадзор не дремлет с проверками. Без каких-либо всплывающих окон и кнопок можно просто написать в политике конфиденциальности, что под персональной информацией пользователя также понимаются: “IP-адрес хоста, данные файлов cookie, информация о браузере пользователя, местоположение”. Как компании формулируют пункты о cookies, вы также можете посмотреть в их политиках, размещенных на официальных веб-ресурсах.

5) ДОБАВЬТЕ В ПОЛИТИКУ КОНФИДЕНЦИАЛЬНОСТИ EMAIL И АДРЕС, КУДА ПОЛЬЗОВАТЕЛЮ МОЖНО ОБРАТИТЬСЯ С ЗАПРОСОМ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Например, об их удалении. Не игнорируйте письма с подобными запросами и удаляйте персональные данные по первому требованию, если это возможно сделать без болезненного изменения структуры и контента сайта. Ведь чья-то жалоба может стать поводом для внеплановой проверки Роскомнадзором и(или) судебной тяжбы.

6) НАЗНАЧЬТЕ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обязательным требованием является назначение соответствующим приказом ответственного за организацию обработки данных (ст.22.1 закона о персональных данных). Это может быть как физическое, так и юридическое лицо (по договору). Такой человек (или компания) должен следить за изменениями в законодательстве о персональных данных, информировать, обучать, обновлять политику конфиденциальности и иные акты о персональных данных.

7) ПРИМИТЕ ТЕХНИЧЕСКИЕ МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Меры по обеспечению безопасности персональных данных при их обработке установлены в ст.19 закона о персональных данных. Их вы также указываете в уведомлении Роскомнадзора.

Правительство РФ устанавливает уровни защищенности персональных данных при их обработке в информационных системах персональных данных и требования по обеспечению безопасности. Эти требования содержатся в Правительства №1119 от 01.11.2012. Во исполнений указанных положений появился следующий приказ: Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Вы можете принять меры как самостоятельно, так и с привлечением юридического лица (или ИП), имеющего лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации. Существует множество организаций, предлагающих программные комплексы, IT решения, средства защиты персональных данных. Если вы нанимаете организацию и используете разработанные ею средства защиты, то удостоверьтесь, что они прошли в установленном порядке процедуру оценки соответствия (сертификация проводимая ФСТЭК).

Вы также можете сами получить лицензию ФСТЭК. Это открывает возможности самим оказывать услуги в области защиты данных, в том числе для государственных организаций.

Применение сертифицированных средств защиты или получение лицензии ФСТЭК — это дорогостоящий процесс и времязатратный, который чаще всего позволяют себе большие компании. Но можно рассматривать это как инвестицию, ведь подтверждается надежность и безопасность персональных данных клиентов и, таким образом, возрастает привлекательность вашего бизнеса.

Все же нет обязательного требования привлекать специалистов — подрядчиков, можно это сделать самостоятельно. Все зависит от модели вашего бизнеса, сложности баз данных, процессов и финансовых возможностей.

Несколько советов по принятию мер безопасности персональных данных самостоятельно:

  • Обследуйте свои информационные системы персональных данных, поймите, где именно и какие данные располагаются, как они двигаются и циркулируют, кто имеет к ним доступ
  • Классифицируйте свои информационные системы персональных данных (есть разные факторы классификации, например, расовая и национальная принадлежность, численность субъектов). Чем выше класс, тем серьезнее должна быть защита
  • Постройте модель угроз
  • Составьте список мер защиты и выполняйте их на основе классов информационных систем (включить в уведомление Роскомнадзора перечень таких мер)
  • Можете также привлечь сторонние организации частично по каким-то отдельным задачам. Определите степень привлечения.
  • Обучайте своих технических сотрудников
  • Проводите проверку эффективности мер самостоятельно или с привлечением подрядной организации не реже 1 раза в 3 года (п.6 Приказа ФСТЭК)

Поделитесь материалом с друзьями

Краткий обзор

Информация о гражданах РФ относится к персональным данным лиц и защищается одноименным законом. Кроме того, закон о персональных данных защищает все права и свободы человека, его интересы, связанные с личной информацией о нем в причинно-следственном отношении. Как информацию о вас защитить, чтобы сохранить и не нарушить ваши интересы, права и свободы.

Закон устанавливает и контролирует правила сбора личных данных, их обработки, хранения и возможной передачи. В нем можно найти информацию о случаях, в которых личная информация может передаваться, или когда личная информация не может быть получена, т.е. за лицом сохраняется право ее не разглашать.

ФЗ 152 полноправно действует с 23.01.2007 года. До этой даты персональные данные лиц были фактически не защищены, поскольку отсутствовал соответствующий закон, который бы устанавливал правила и контролировал их исполнение, связанных с получением, хранением и передачей личных данных.

В законе описываются права и обязанности операторов, которые принимают информацию о лицах и при необходимости передают в уполномоченные органы.

Существуют определенные требования к обработке персональных данных, их также можно найти в законе.

Любая информация, которая относится к персональным данным лица, может быть принятой и обработанной оператором только с согласия самого лица. Однако существуют случаи, когда разрешение субъекта не требуется. Данные исключения описываются в законе.

Ответственность за нарушение

Сохранность личных данных, правильный сбор информации, передача ее третьим лицам, а также уведомление самого лица о том, что сотрудник сохраняет ваши персональные данные, ведет ответственный в организации человек, это может быть сотрудник отдела кадров или же любой другой назначенный человек, в том числе оператор.

Если оператор (бухгалтер, сотрудник отдела кадров, банковский служащий или другое назначенное лицо) допустил утечку информацию, или же информация была случайно разглашена, ответственность за нее несет он, а не субъект данной информации.

Наказание за нарушение закона о персональных данных может быть в виде штрафа, наложенного на самого сотрудника, принимающего персональные данные, и (или) на организацию, в которой случилась утечка данных.

Штраф за разглашение информации возлагается на каждый случай утечки, а не единожды на лицо, допустившее данную оплошность. В среднем штраф составляет от 500 до 1000 руб. с оператора, или же от 5000 до 10 000 руб. с организации.

Одна годовая проверка документации может выявить огромное количество нарушений, каждое из которых будет оштрафовано и обойдется юридическому лицу немалой суммой из бюджета организации.

В соответствии с Кодексом об административных нарушениях, если у юридического лица отсутствует Положение о личных данных персонала или клиентов, то при нарушении трудового кодекса организация может быть привлечена к административной ответственности. В таком случае сумма единовременных штрафов будет намного больше.

Кроме того, работу фирмы могут приостановить до выяснения всех необходимых обстоятельств до 3 календарных месяцев.

Уполномоченным органом, контролирующим выполнение закона о персональных данных, является Роскомнадзор. Если предписания этого госоргана не выполняются, на предприятие может быть наложен штраф в размере 20000 руб. Игнорирование запроса Роскомнадзора о персональных данных обойдется организации в 5 000 руб.

Оператора, который был назначен ответственным за работу над личными данными, могут привлечь к административной ответственности, дисциплинарной, материальной, гражданско-правовой или даже к уголовной.

Смотрите, образец доверенности на представление интересов физического и юридического лица.

Что значит федеральный закон о страховых пенсиях 400? Ответ .

Основные положения закона о персональных данных с 1 января 2019 года с комментариями

ФЗ №152 в его новой редакции обязывает хранить все персональные данные, касающиеся граждан РФ, на серверах, которые находятся на территории России.

Операторы, работающие с личными данными граждан, должны вести соответствующие записи, собирать информацию и дополнять ее при необходимости только информацией, собранной на территории РФ и хранить ее тоже только на территории РФ.

Категорически нельзя использовать ту информацию, которая практически может находиться за пределами России, т.е. берется с источников, находящихся за пределами России. Даже используя сеть интернет, нельзя дополнять личные данные человека информацией с зарубежных сайтов, если эти сайты ведутся не на территории России.

При нарушении закона, Роскомнадзор может заблокировать ваш сайти или добавить его в свой черный список. Каждая ситуация нарушения рассматривается в индивидуальном порядке по решению суда. Удалить свои персональные данные, в случае обращения лицом и получения отказа от оператора, можно также при помощи судебного разбирательства.

В соответствии с данным законом, к персональным данным лица относится или может относиться абсолютно любая информация о лице как-либо с ним связанная. Последняя редакция закона пояснила этот момент гражданам, что к персональным данным относятся не только их полное имя, дата рождения и адрес по регистрации.

Персональные данные граждан относятся к типу информации конфиденциального характера. Любая организация, которая прямо или косвенно использует имена клиентов, реквизиты компаний, с которыми она работает, почтовый индекс кого-либо в своей переписке и т.д., должна позаботиться о полной сохранности этих данных, т.е. обеспечить систему защиты при помощи шифрования или других средств.

При отсутствии таковых компания рискует быть оштрафованной или закрытой до выяснения обстоятельств.

Кроме того, ФЗ №152 обязует операторов при использовании личных данных получить согласие лица на данную процедуру.

Способы обеспечения защиты личных данных компаниями, которых нет в законе 152:

  • построение дата-центров (мелкие организации не могут позволить себе данную процедуру в виду ее высокой стоимости реализации);
  • обезличивание личной информации (отделить данные от субъекта, при необходимости данные возвращаются на территорию РФ и объединяются с их владельцами);
  • скрывать месторасположение иностранного сервера, дублировать информацию о клиентах и отправлять на зарубежные серверы;

>Видео: Зачем нужен

Какие отношения регулирует

Закон устанавливает правила работы между физическими лицами и юридическими, которые используют персональные данные граждан в своей работе. Задача закона предотвратить разглашение персональных данных лица, поскольку это может привести к нарушению прав, свобод и интересов граждан.

Практически, если вы даете свое согласие на обработку и хранение персональных данных какой-либо организации, например, банку, вы позволяете ему использовать эти данные только в работе, касающейся банковского дела конкретного банка, поскольку вы состоите с этой организацией только в отношениях займа или, например, кредита.

Имеет ли право банк передавать ваши персональные данные другим банкам – нет, подобное нарушение банком недопустимо в соответствии с ФЗ 152, и грозит уголовной ответственностью операторам и самому юридическому лицу.

Передача информации третьим лицам может осуществляться только при наличии письменного согласия лица.

В первую очередь, закон регулирует сам процесс обработки полученной информации. Она может быть получена государственными органами власти, муниципальными органами, а также частными предпринимателями, организациями или физическими лицами.

ФЗ 152 строго ограничивает права всех организаций, которые работают с персональными данными клиентов. Закон обязывает их устанавливать и использовать сложнейшие программы защиты их баз данных. Мелкие организации и фирмы не могут себе позволить подобную роскошь в виду ее высокой стоимостью.

Узнайте, как получить сертификат ЭЦП для налоговой.

Какие часы тишины в московской области по закону? Подробности в статье.

Нужен страховой медицинский полис нового образца? Как его получить читайте .

Подписывая соглашение об использовании юридическим лицом ваших персональных данных, вы позволяете исключительно ему ваши данные хранить и применять только для своей работы, поскольку вас связывают определенные рабочие отношения. Разглашение личных данных может грозить вам нарушением прав и свобод, а организации немалым штрафом или же привлечением к уголовной ответственности.

Закон «О персональных данных» все что вы хотели знать, но боялись спросить

В сентябре 2015 года Федеральный закон о персональных данных претерпел серьезные изменения. Мы с вами сейчас внимательно их рассмотрим, чтобы понимать, как это все будет работать в реалиях Рунета. Юристы наши много раз говорили о ПДн и до вступления изменений в силу. И вот час настал, и все, что раньше только размусоливалось в теории, теперь введено в работу. Увы, мы пока не прорвались с докладом на главные каналы страны и все, что нам остается, писать сюда. Итак, приступим.

Начать, конечно, нужно с того, что теперь при сборе персональных данных (сокращенно – ПДн, никто не знает почему именно так, но будем использовать то, что есть), в Интернете или офлайн, оператор обязан обеспечить запись, систематизацию, хранение и уточнение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации. Этот вопрос уже наделал много шума в Сети. И все уже много раз обсудили, что серверы с базами персональных данных граждан должны находиться на территории матушки нашей России. В этой связи возникло множество вопросов и кривотолков, и «уток», конечно, тоже. Граждане задались вопросами: «Где ж нам взять столько качественных серверов? А не ухудшит ли отсутствие конкуренции и без того «ниочень» ситуацию с отечественными серверами?». Оно и верно. Но мы сейчас не об этом.
Кого считать оператором? Как и прежде, это юридическое или физическое лицо, организующее или осуществляющее обработку ПДн. Но что конкретно скрывается за этим «ПДн-ом»? А это любая информация, относящаяся прямо или косвенно к определенному физическому лицу (то есть персональными данными можно считать не только ФИО и номер паспорта, а еще и номер телефона и e-mail этого самого лица).
Вся эта кутерьма с локализацией хранения данных граждан у нас на Руси – законодательная новинка. Поэтому закон несколько противоречив. Например, слишком широко и неоднозначно можно истолковать его положения, и, самое главное, непонятно, как должны работать новые нормы на практике.
Загадочно выглядит и главный камень преткновения – «базы персональных данных не должны храниться за рубежом», но в законе прописана возможность передачи персональных данных в другие страны (которые могут обеспечить адекватную защиту прав субъектов ПДн), именуемая трансграничной передачей данных. И вроде бы требование это относится только к российским компаниям и не распространяется на иностранные юрисдикции. То есть требование о хранении персональных данных в России не должно распространяться на организации, зарегистрированные за рубежом и собирающие персональные данные граждан РФ. Минкомсвязи пришел нам на помощь и пояснил, что при осуществлении деятельности в Интернете невозможно четко определить географические границы, а значит, необходимо обозначить ряд признаков, по которым тот или иной ресурс можно отнести к «используемым на территории РФ».
Конечно же, нельзя исключать и того, что закон, предложивший широкие трактовки и критерии, будет применяться избирательно и действие ФЗ «О персональных данных» будет направлено и на иностранные интернет-ресурсы, деятельность которых направлена в том числе на территорию России (интернет-магазины, маркетплейсы, платформы и пр.), которые могут быть заблокированы на территории РФ при несоблюдении требований российского закона о персональных данных. Как раз вокруг этого вопроса и поднялся основной срач шум и гам в соцсетях. Люди страшно боятся потерять своих френдов на Фб и фоловеров в Твиттере. Их можно понять, но мы снова отвлеклись от главного.
Минкомсвязи поделился с миром признаками ресурса, обязанного все наши персональные данные хранить в РФ, мы доносим их до вас, дорогие читатели.
Роскомнадзором будут использоваться два основных критерия:

  1. Использование доменного имени, связанного с Российской Федерацией или субъектом РФ (.ru,.рф, .su и т. д.).
  2. Наличие русскоязычной версии интернет-сайта. А кроме того – наличие возможности осуществления расчетов в рублях, возможности исполнения заключенного на таком интернет-сайте договора на территории России или использование рекламы на русском языке.

Кстати, велика вероятность того, что контролирующие органы будут обращать свое зоркое око особливо на отечественные компании, работающие с заграничными сервисами.
Двинемся далее. Из текста статьи 18 ФЗ «О персональных данных» следует, что
При сборе ПДн оператор обязан обеспечить хранение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
А это значит, что хранению в РФ подлежат персональные данные, полученные в результате организации сбора таких данных, а не в результате случайного попадания к нему. Соответственно, получение контактов, например, курьеров одной организации другой организацией, переданных в ходе рабочего процесса, не будет являться сбором персональных данных. А если вы получили визитку при личной встрече с сотрудником некой компании, потом забили эти данные в CRMку, да еще и в рассылку его включили, то, извините, это уже можно считать обработкой ПДн. Однако закон тут не дает точных формулировок и судебной практики еще нет. Поэтому можно долго и нудно обсуждать этот вопрос, но так и не прийти к точному ответу. Поэтому мы вместе с вами будем ждать пояснений свыше.
Рассматривать статьи ФЗ «О персональных данных» невозможно по отдельности. Простой пример: если требование по локализации отдельных процессов обработки ПДн из статьи 18 рассматривать вместе со ст. 12 о трансграничной передаче данных, при этом еще учитывая определения из статьи 3: «передача персональных данных на территорию иностранного государства иностранному лицу: органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу», то в сумме мы получаем следующее: ПДн гражданина, изначально внесенные в базу на территории Российской Федерации и актуализируемые в ней («первичная база данных»), в дальнейшем можно передать в базы данных, расположенные за рубежом («вторичные базы данных»), с другими админами. Все это, естественно, должно проворачиваться с соблюдением положений о трансграничной передаче данных.

Следующее, о чем хотелось бы сказать, это «Реестр нарушителей прав субъектов персональных данных» (на картинке выше название портала Роскомнадзора), в который будут вноситься данные о тех ресурсах, которые обрабатывают персональные данные с нарушением закона. Пока попасть в реестр можно только по решению суда на основании заявления, поданного либо субъектом ПДн, либо Роскомнадзором. В качестве меры избрано ограничение доступа к сайту оператора. И чтобы эту меру осуществить, должен быть регламентированный порядок. Роскомнадзор не заставил себя ждать и уже утвердил такой порядок по схеме «реестр – хостинг-провайдер».
Мы его доносим как есть:

  1. Направление провайдеру хостинга уведомления о нарушении законодательства РФ в области персональных данных.
  2. Направление провайдером хостинга оператору реестра обращения об исключении информации о доменном имени или указателях страниц интернет-сайтов, сетевом адресе, позволяющем идентифицировать сайты, содержащие информацию, обрабатываемую с нарушением прав субъектов персональных данных, из реестра.
  3. Направление провайдеру хостинга оператором реестра уведомления об исключении из реестра доменного имени или указателя страницы интернет-сайта, а также сетевого адреса.
  4. Получение от провайдера хостинга оператором реестра информации, необходимой для организации взаимодействия в рамках ведения реестра.

В свою очередь провайдер сможет получить из реестра следующую информацию: доменное имя, сетевой адрес, страницу сайта, на котором осуществляется обработка информации с нарушением, номер дела и дата принятия судебного акта, на основании которого данные об информационном ресурсе были включены в реестр.
На этом у нас все.
Храните деньги в сберегательных кассах данные на территории РФ и не забывайте каждый раз просить согласия пользователей на сбор и обработку их персональных данных. Иначе Роскомнадзор найдет вас, даже если лично Вы находитесь на Бали.