Незаконный сбор персональных данных без ответов на конкретные вопросы

Ответственность за нарушение закона о персональных данных

Незаконный сбор персональных данных без ответов на конкретные вопросы

Екатерина Добрикова

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Таблица 1. “Виды ответственности за нарушение закона о персональных данных”

Вид ответственностиНарушениеСанкцияНорма
АдминистративнаяНеправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информацииАдминистративный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.Статья 5.39 КоАП РФ
Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данныхПредупреждение или административный штраф:
  • на граждан – от 1 тыс. до 3 тыс. руб.;
  • на должностных лиц – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 30 тыс. до 50 тыс. руб.
Часть 1 ст. 13.11 КоАП РФ
Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласиеАдминистративный штраф:
  • на граждан – от 3 тыс. до 5 тыс. руб.;
  • на должностных лиц – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 75 тыс. руб.
Часть 2 ст. 13.11 КоАП РФ
Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данныхПредупреждение или административный штраф:
  • на граждан – от 700 до 1 тыс. руб.;
  • на должностных лиц – от 3 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 30 тыс. руб.
Часть 3 ст. 13.11 КоАП РФ
Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данныхПредупреждение или административный штраф:
  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 15 тыс. руб.;
  • на юридических лиц – от 20 тыс. до 40 тыс. руб.
Часть 4 ст. 13.11 КоАП РФ
Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)Предупреждение или административный штраф:
  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 45 тыс. руб.
Часть 5 ст. 13.11 КоАП РФ
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении нихАдминистративный штраф:
  • на граждан – от 700 до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 50 тыс. руб.
Часть 6 ст. 13.11 КоАП РФ
Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методовПредупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.Часть 7 ст. 13.11 КоАП РФ
Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном видеАдминистративный штраф:
  • на граждан – от 100 до 300 руб.;
  • на должностных лиц – от 300 до 500 руб.;
  • на юридических лиц – от 3 тыс. до 5 тыс. руб.
Статья 19.7 КоАП РФ
УголовнаяНезаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИШтраф до 200 тыс. руб., либо обязательные работы на срок до 360 часов, либо исправительные работы на срок до одного года, либо принудительные работы на срок до двух лет (с лишением права занимать определенные должности на срок до трех лет или без такового), либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет (с лишением права занимать определенные должности на срок до трех лет)Статья 137 Уголовного кодекса
То же деяние, совершенное с использованием служебного положенияШтраф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет или без такового), либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет)
Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданийШтраф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительные работы на срок до пяти лет (с лишением права занимать определенные должности на срок до шести лет или без такового), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет (с лишением права занимать определенные должности на срок до шести лет)
Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам гражданШтраф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти летСтатья 140 УК РФ
Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копированиеШтраф до 200 тыс. руб., либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительные работы на срок до двух лет, либо лишение свободы на тот же срокСтатья 272 УК РФ
Гражданско-правоваяПричинение лицу убытков в результате нарушения правил обработки его персональных данных.Под убытками при этом понимаются:
  • расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права;
  • утрата или повреждение его имущества;
  • неполученные доходы, которые лицо получило бы, не будь его право нарушено.
Возмещение убытковСтатья 15 Гражданского кодекса
Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данныхКомпенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)Статья 24 закона о персональных данных, ст. 151 ГК РФ
ДисциплинарнаяРазглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностейУвольнениеПодпункт “в” п. 6 ч. 1 ст. 81 Трудового кодекса
Иные нарушения в области персональных данных при их обработкеЗамечание или выговорСтатья 90, ст. 192 ТК РФ

Источник: //www.garant.ru/actual/persona/otvetstvennost/

Политика Российского Союза Автостраховщиков в отношении обработки персональных данных

Незаконный сбор персональных данных без ответов на конкретные вопросы

Меню раздела

1. Общие положения

1.1.

 Политика обработки персональных данных в Российском Союзе Автостраховщиков (далее — Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и состав обрабатываемых в Российском Союзе Автостраховщиков персональных данных, действия (операции), совершаемые с персональными данными, права субъектов персональных данных, а также содержит сведения о реализуемых  требованиях к защите персональных данных.

1.2. Политика разработана  в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 г. № 152-ФЗ “О персональных данных” и иными нормативными правовыми актами Российской Федерации в области персональных данных.

1.3. Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в РСА и обеспечение безопасности персональных данных в РСА, в том числе при их обработке в информационных системах, содержащих персональные данные, разрабатываются в РСА с учетом положений Политики.

2. Основные термины и определения, используемые в Политике

2.1. персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2.2. оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

2.3.

 обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.4. автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

2.5. распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

2.6. предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.7. блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.8. уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

2.9. обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

2.10. информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

2.11. трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Принципы и цели обработки персональных данных

3.1. РСА, являясь оператором персональных данных, осуществляет обработку персональных данных работников РСА и других субъектов персональных данных, не состоящих с РСА в трудовых отношениях, в соответствии со следующими принципами:

3.1.1. обработка персональных данных в  РСА осуществляется на законной и справедливой основе;

3.1.2. обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

3.1.3. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

3.1.4. обработке подлежат только персональные данные, которые отвечают целям их обработки;

3.1.5. содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

3.1.6. при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. В РСА принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;

3.1.7. хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

3.1.8. обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.2. Персональные данные обрабатываются в РСА в целях:

3.2.1. обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации;

3.2.2. осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на РСА, в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;

3.2.3. регулирования трудовых отношений с работниками РСА;

3.2.4. подготовки, заключения, исполнения и прекращения договоров с контрагентами;

3.2.5. исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

3.2.6. осуществления прав и законных интересов РСА в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами РСА, или третьих лиц либо достижения общественно значимых целей;

3.2.7. в иных законных целях.

4. Перечень субъектов, персональные данные которых обрабатываются в РСА, и состав персональных данных,

обрабатываемых в РСА

4.1.

 В РСА обрабатываются персональные данные следующих категорий субъектов: кандидатов, работников, родственников работников,  лиц, ранее состоявших в трудовых отношениях с РСА, граждан, представителей контрагентов, физических лиц по договорам гражданско-правового характера, авторов результатов интеллектуальной деятельности, страхователей, потерпевших в результате дорожно-транспортного происшествия (далее – ДТП), виновников и  иных участников ДТП, участников/акционеров страховых организаций, представителей страховых организаций,   операторов технического осмотра, технических экспертов, третейских судьей.

4.2. Состав персональных данных, обрабатываемых в РСА, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами РСА с учетом целей обработки персональных данных, указанных в разделе 3 Политики.

4.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в РСА не осуществляется.

5. >Сведения о реализуемых требованиях к защите персональных данных

5.1. РСА при осуществлении обработки персональных данных:

5.1.1. принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов РСА в области персональных данных;

5.1.2. принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

5.1.3. назначает лицо, ответственное за организацию обработки персональных данных в РСА;

5.1.4. издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных в РСА;

5.1.5. осуществляет ознакомление работников РСА, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных нормативных актов РСА в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;

5.1.6. публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;

5.1.7.

сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;

5.1.8. прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;

5.1.9. совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.

6. Условия обработки персональных данных в РСА

6.1. Обработка персональных данных в РСА осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

6.1.1. РСА вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора.

Поручение  должно содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ “О персональных данных”.

7. Перечень действий с персональными данными и способы их обработки

7.1.  РСА осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

7.2. Обработка персональных данных в РСА осуществляется следующими способами:

7.2.1. без использования  средств вычислительной техники (неавтоматизированная обработка персональных данных);

7.2.2. автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

7.2.3. обработка персональных данных с использованием способов, указанных в подпунктах 7.2.1. и 7.2.2. настоящего пункта Политики.

8. Права субъектов персональных данных

8.1.  Субъекты персональных данных имеют право на:

8.1.1. полную информацию об их персональных данных, обрабатываемых в РСА;

8.1.2. доступ к своим персональным данным, за исключением случаев, предусмотренных федеральным законом;

8.1.3. уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; 

8.1.4. отзыв согласия на обработку персональных данных; 

8.1.5. принятие предусмотренных законом мер по защите своих прав;

8.1.6. обжалование действия или бездействия РСА, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;

8.1.7. осуществление иных прав, предусмотренных законодательством Российской Федерации.

9. Меры, принимаемые РСА для обеспечения выполнения обязанностей оператора при обработке персональных данных

9.1. Меры, необходимые и достаточные для обеспечения выполнения РСА обязанностей оператора, предусмотренных законодательством Российской Федерации в области персональных данных, устанавливаются РСА в локальных нормативных актах, регламентирующих обработку персональных данных в РСА и обеспечение безопасности персональных данных в РСА, в том числе при их обработке в информационных системах.

Источник: //autoins.ru/ob-rsa/politika-rsa-v-otnoshenii-obrabotki-personalnykh-dannykh/

Персональные данные: информация для владельцев интернет-магазинов

Незаконный сбор персональных данных без ответов на конкретные вопросы

Нам поступает большое количество вопросов и обращений в связи с тем, что с 1 июля 2017 года повышается административная ответственность за нарушение порядка работы с персональными данными. Поэтому мы решили подробно рассказать вам о том:

  • какие данные считаются персональными;
  • относитесь ли вы к операторам персональных данных;
  • что меняется в законодательстве;
  • что делать интернет-магазину – оператору персональных данных, чтобы избежать проблем.

Государство не перестает подкидывать бизнесу задачи для нескучной жизни, что, конечно, не является новостью, а скорее правилами игры.

Тенденция на урегулирование и контроль со стороны государственных органов всего, что относится к информации о физических лицах, сохраняется.

В этом наша страна двигается параллельно европейскому законодательству, где давно работает защита персональных данных, что, в принципе, само по себе неплохо.

Самое главное, что нужно понять: даже если вы относитесь к операторам персональных данных, то с этим можно спокойно жить и продолжать работать в этом статусе при соблюдении нескольких условий:

  1. соблюдать принципы обработки данных (не запрашивать излишнюю информацию и не в целях сбора данных);
  2. получить согласие лица на обработку его персональных данных (технически реализовать несложно);
  3. опубликовать политику владельца сайта в отношении обработки персональных данных (технически реализовать несложно);
  4. предоставить доступ к персональным данным их владельцам  (если поступит запрос от клиента);
  5. уточнить, блокировать или уничтожить персональные данные по требованию владельца  (если попросит об этом);
  6. обеспечить безопасность персональных данных при их обработке (защита от неправомерного доступа третьих лиц, копирования и т.п.).
  7. серверы должны находиться на территории РФ.

Ниже мы расскажем подробности и что нужно делать сайтам и интернет-магазинам, чтобы работать дальше в нормальном режиме, когда можно не уведомлять Роскомнадзор об обработке персональных данных и дадим конкретные варианты шагов и готовые шаблоны документов.

Советуем не нарушать законодательство, не увеличивать риски для вашего бизнеса и все-таки соблюсти все нужные процедуры для операторов персональных данных, если вы понимаете, что есть совпадение хотя бы по нескольким пунктам, относящим сведения о ваших клиентах к персональным данным.

Современный маркетинг и успешная работа в интернет-бизнесе невозможны без сбора сведений о клиенте, его поведении и предпочтениях. Без этого не стоит рассчитывать на долгосрочный прибыльный интернет-проект. Поэтому, чтобы сайтам и интернет-магазинам спокойно работать после 1 июля, необходимо сделать несколько шагов, о которых пойдет речь ниже.

Какие данные считаются персональными?

Итак, какие сведения относятся к персональным данным в терминах Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных»? 

Это – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). То есть персональные данные – это любые сведения о человеке, по которым можно его идентифицировать.

Закон не содержит полного и исключительного перечня таких сведений, отнесение данных к персональным и определение своего статуса (оператор или не оператор персональных данных) отдано на откуп владельцам сайтов.

Никакой проверки того, что данные относятся к конкретному физическому лицу закон не предусматривает. Поэтому получается, что владелец сайта фактически не знает вымышленные или нет данные ввел клиент, но от обязанностей по обработке персональных данных это его не освобождает.

И еще, нельзя забывать, что за нарушение норм Закона о персональных данных Роскомнадзор может привлечь к ответственности.

Судебная практика по этому вопросу разная, но тенденция прослеживается и она совпадает с разъяснениями Роскомнадзора относительного того, что относится к персональным данным:

  • фамилия
  • имя
  • отчество
  • паспортные данные
  • год, месяц, дата рождения
  • место рождения
  • адрес
  • семейное положение
  • социальное положение
  • имущественное положение
  • образование
  • профессия
  • доходы

На практике возникает множество вопросов: сайты при регистрации просят указать имя, электронную почту, иногда телефон (некоторые из этих полей могут быть необязательными*). Происходит ли сбор персональных данных при получении такой информации от пользователей? Однозначного ответа на вопрос нет – мнения специалистов в этой области расходятся.

Часть высказывается за то, что адрес электронной почты и номер телефона относятся к персональным данным, потому что с их помощью можно определить лицо. Другие говорят, что эти данные являются персональными только когда позволяют безошибочно идентифицировать человека, а отдельно взятый номер телефона или адрес электронной почты не являются персональными данными.

Судебная и административная практика склоняются к отнесению номера телефона к персональным данным, так как именно обладатель номера имеет право на распоряжение информацией о нем (например, разрешать использовать номер для рассылки по нему какой-либо информации).

Пока без ясного ответа остается вопрос – относится ли к персональным данным адрес электронной почты, из которого видны имя, фамилия и место работы человека. Скорее да, чем нет. 

Относитесь ли вы к операторам персональных данных или нет?

Вы являетесь оператором персональных данных, если:

  • вы собираете на сайте вышеуказанную информацию о клиентах-физических лицах;
  • у вас есть форма обратной связи, подписки, регистрации;
  • у вас есть личный кабинет;
  • клиент может заполнить анкету на сайте; 
  • на сайте возможно размещение объявления;
  • на сайте размещена кнопка обратного звонка.

Определить ваш статус (являетесь ли оператором персональных данных или нет) вам нужно самостоятельно исходя из вашей конкретной ситуации, настроек сайта, интернет-магазина, программных и технических средств, которые у вас установлены.

Вы не являетесь оператором персональных данных, если никаким образом не получаете, не храните и не обрабатываете вышеуказанную информацию в любом ее сочетании. 

Что делать интернет-магазину – оператору персональных данных чтобы избежать проблем?

Есть и хорошие новости: 1.

В соответствии с пунктом 5 части 1 статьи 6 Закона «О персональных данных» допускается обработка персональных данных без согласия субъекта персональных данных, если она необходима для исполнения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

2. Также оператор вправе без уведомления Роскомнадзора осуществлять обработку ПДн, полученных в связи с заключением договора, стороной которого является субъект ПДн (пп.2 п.2 ст.22 №152-ФЗ от 27.07.2006г. «О персональных данных»).

Для того, чтобы это применить на практике, нужно, чтобы обработке ПДн предшествовало заключение договора с покупателем или начало его оформления.

В реальности при регистрации или оформлении заказа покупатель оставляет на сайте персональные данные (то, что Роскомнадзор относит адрес, ФИО, телефон и е-mail к персональным данным, ведомство давно обозначило).

Получается, что такие ПДн обрабатываются на стороне интернет-магазина до заключения договора.

Поэтому владельцу магазина для того, чтобы сослаться на положения закона, которые его освобождают от:

  • получения согласия субъекта персональных данных на их обработку;
  • уведомления Роскомнадзора об обработке ПДн для включения в специальных реестр операторов ПДн

желательно сделать следующее – разделить публичную оферту на 3 документа:

  1. Пользовательское соглашение, где прописаны: общие условия использования сайта, ответственность владельца сервиса,  как защищаются права на сайт и его контент, разрешение рассылок пользователям различных уведомлений, порядок разрешения споров. Пользовательское соглашение – это договор присоединения, который принимается пользователем без оговорок в полном объеме. Пользовательское соглашение позволяет заранее урегулировать возможные конфликтные ситуации, связанные с тем, какой объем услуг и в каком порядке будет получать пользователь. Кроме того, этот вариант подойдет, если физические лица размещают на сайте организации или предпринимателя какую-либо информацию от своего имени. Пользовательское соглашение позволит владельцу сайта модерировать такую информацию.
  2. Публичная оферта на дистанционную продажу товаров, в которой изложены условия и порядок заключения договора купли-продажи товара через интернет-магазин – мы уверены, что этот документ у вас давно есть на сайте и с ним нет никаких проблем;
  3. Политика конфиденциальности, которая описывает порядок обработки ПДн в связи с заключением а) договора на использование сайта по пользовательскому соглашению и б) договора купли-продажи по оферте. Утверждается приказом владельца сайта и размещается в офисе на видном месте, на сайте и в мобильном приложении в общем доступе. Проще всего это реализовать, вставив ссылку на документ в футер. 

Политика конфиденциальности должна включать следующие положения:

  • перечень информации, которую собирает и обрабатывает сайт: персональные данные, иные сведения (например, информация, собираемая в автоматическом режиме: IP, cookie и др.);
  • цель сбора персональных данных и для чего они будут использоваться (например, для маркетингового исследования и др.);
  • требования к защите ПДн, включая случаи, когда персональные данные могут быть переданы третьим лицам;
  • изменения персональных данных (пользователь должен иметь возможность редактировать свои данные);
  • изменение Политики (как правило, владелец вносит изменения без предварительного уведомления и одновременно для всех пользователей, поэтому последним следует периодически просматривать Политику).

То есть все просто и логично: под каждое действие физлица свой договор и условия обработки его ПДн. 

Если все-таки сбор ПДн происходит до заключения договора или у вас есть сомнения в какой момент происходи сбор ПДн (а эти нюансы важны в спорах с Роскомнадзором), то владельцу интернет-магазина и сайта нужно сделать следующее, чтобы не получить штраф:

Под каждой формой ввода данных на сайтах и в мобильных приложениях (форма регистрации, заявки, обратной связи и т.д.

) разместить текст «Нажимая на кнопку «УКАЗАТЬ НАЗВАНИЕ КНОПКИ», я даю свое согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на сам документ. Смысл в том, чтобы пользователь не мог отправить свои персональные данные без согласия на их обработку.

В согласие нужно включить условия, которые установила часть 4 статьи 9 Закона о персональных данных. Например, наименование и адрес оператора, который получает согласие; цель обработки персональных данных; их перечень.

Что еще рекомендуется сделать, чтобы быть спокойными, что требования Закона о персональных данных выполнены?

1. Сайт и хостинг должны находиться на территории РФ. На этот счет беспокоиться не нужно, серверы InSales находятся в нашей стране, это уже давно реализовано.

2. На сайте указать e-mail, по которому физическое лицо может написать – обратиться с требованием об изменении, удалении его ПДн и задать любые вопросы по его ПДн.

Желательно, чтобы это был не общий почтовый ящик типа info, pochta, pishitepisma и т.п.

, а выделенный специально для этого адрес, куда будут приходить письма только по тематике ПДн (так меньше вероятность того, что они потеряются в общей куче, не попадут в СПАМ и вы не отследите ответы по ним). 

Чем мы можем помочь нашим клиентам, чтобы вы могли привести свои сайты в соответствие с новыми правилами? 

По ссылкам ниже вы можете скачать образцы документов для сайта:

– пользовательское соглашение

– политика конфиденциальности

– договор-оферта

Источник: //www.insales.ru/collection/doc-other/product/personalnye-dannye-informatsiya-dlya-vladeltsev-internet-magazinov

Опора обратилась к уполномоченному верховной рады из-за сбора персональных данных агитаторами за кандидата в президенты

Незаконный сбор персональных данных без ответов на конкретные вопросы

Общественный омбудсмен ОПОРЫ по защите избирательных прав в Одесской области Максим Теплицкий обратился к Представителю Уполномоченного Верховной Рады Украины по правам человека в южных областях из-за сбора персональных данных, осуществляемой в рамках предвыборной кампании кандидата в президенты Петра Порошенко.

Как говорится в заявлении, 23 февраля представителю ОПОРЫ стало известно, что агитаторами в агитационных палатках кандидата в президенты Украины Петра Порошенко осуществляется противоправный, по мнению общественного омбудсмена, сбор персональных данных лиц, привлеченных к так называемой «Анкете сторонника Петра Порошенко».

«Общаясь с агитаторами кандидата в президенты Украины Петра Порошенко я получил фотокопию бланка такого опроса, который содержит персональные данные избирателей. Такие анкеты заполняются во многих агитационных палатках кандидата в президенты Украины Петра Порошенко, находящихся на территории Одессы и Одесской области.

У лиц, привлекаемых к заполнению анкет, собирают персональные данные. В частности, в указанных документах заполняются такие данные как фамилия, имя и отчество, адрес фактического проживания, номер телефона, личная подпись лица.

В «Анкете» также отмечается, что лицо дает согласие на обработку персональных данных», – сообщил Максим Теплицкий.

По его словам, в соответствии со ст. 2 Закона Украины «О защите персональных данных», персональные данные – сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано. Согласно ч. 2 ст.

11 Закона Украины «Об информации», к конфиденциальной информации о физическом лице относятся, в частности, данные о его национальности, образовании, семейном положении, религиозных убеждений, состояния здоровья, а также адрес, дата и место рождения. Согласно ч. 5, 6 ст.

6 Закона Украины «О защите персональных данных», обработка персональных данных осуществляется для конкретных и законных целей, определенных по согласию субъекта персональных данных или в случаях, предусмотренных законами Украины, в порядке, установленном законодательством.

Не допускается обработка данных о физическом лице, являются конфиденциальной информацией, без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека.

«Согласно правовым позициям Уполномоченного ВРУ по правам человека, изложенных в разъяснениях к Типовому порядку обработки персональных данных от 8 января 2014 года, согласие на обработку персональных данных должно быть сознательным решением лица, которое она принимает добровольно, без принуждения и угроз.

Для того, чтобы сделать осознанный выбор – давать или не давать согласие на обработку персональных данных – лицо к даче согласия должно иметь ответы на следующие вопросы: кто будет обрабатывать его персональные данные (название владельца персональных данных, его адрес, контактные телефоны и т.д.

); с какой целью будут обрабатываться персональные данные (цель должна быть сформулирована четко и понятно), какие персональные данные будут обрабатываться (конкретный исчерпывающий перечень персональных данных лица, планируется обрабатывать), какие действия с персональными данными предусматривает их обработка (сбор, хранение, передача, обнародование, обезличивание и т.д.); кто является распорядителем персональных данных и какие права и полномочия распорядителя по обработке персональных данных; кому могут быть переданы персональные данные, с какой целью, на каких основаниях; сколько времени персональные данные будут храниться у владельца; на каких условиях лицо может отозвать согласие на обработку персональных данных и какие последствия такого действия. Мы считаем, что лица, которые подписывают «Анкету сторонника Петра Порошенко», лишены вышеприведенной информации, а получение согласия на обработку их персональных данных осуществляется противоправным путем, цель получения указанных персональных данных определена нечетко, поэтому является нелегитимной. Во-вторых, «Анкеты сторонника Петра Порошенко» содержат прямые указания на сбор персональных данных с физических лиц и их обработку, в частности собирается информация о фамилии, имени и отчества лица, почтовый адрес, возраст, телефон, политические убеждения. При этом ни в одном документе не содержится упоминания о предоставлении опрашиваемыми лицами согласия на обработку вышеупомянутых персональных данных», – сказано в заявлении.

Кроме того, согласно ч. 1 ст.

9 Закона Украины «О защите персональных данных», владелец персональных данных сообщает Уполномоченному об обработке персональных данных, представляющей особый риск для прав и свобод субъектов персональных данных, в течение тридцати рабочих дней со дня начала такой обработки. Согласно правовой позиции Уполномоченного ВРУ по правам человека, к чувствительным данным относятся, в частности, политические или мировоззренческие убеждения.

По мнению общественного омбудсмена, сбор и обработка персональных данных без получения согласия субъекта персональных данных и без уведомления Уполномоченного об обработке персональных данных представляет особый риск для прав и свобод субъектов персональных данных.

Также Теплицкий напомнил, что статьей 18839 Кодекса Украины об административных правонарушениях установлена ​​ответственность за несообщение или несвоевременное сообщение Уполномоченному Верховной Рады Украины по правам человека об обработке персональных данных или об изменении сведений, подлежащих уведомлению согласно закону, сообщение неполных или недостоверных сведений (ч. 1 ст. 18839), а также за несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных, что привело к незаконному доступу к ним или нарушения прав субъекта персональных данных (ч. 4 ст.18839).

Общественный омбудсмен в своем заявлении просит Уполномоченного Верховной Рады провести проверку фактов, изложенных в заявлении, а в случае установления нарушений законодательства в сфере защиты персональных данных принять соответствующие меры: SMS требованию (предписание) о нарушении законодательства или составить протокол по ст. 18839 КУоАП.

Напомним, что наблюдатели ОПОРЫ обратились в полицию из-за агитации в помещении РГА в Одесской области.

Справка: Наблюдение ОПОРЫ направлено на незаангажированную оценку процесса подготовки и проведения выборов, содействие честным и свободным выборам, предупреждение нарушений. С октября 2018 года Гражданская сеть ОПОРА проводит масштабную кампанию наблюдения за выборами президента.

С момента официального старта избирательной кампании к наблюдению привлечены 204 наблюдателя по всей стране. А 31 марта 2019 года и в случае проведения второго тура к ним присоединятся еще более 1500 наблюдателей.

Они также будут осуществлять параллельный подсчет (PVT – parallel vote tabulation) с целью получения результатов выборов, быстрее официальных и точнее по экзит-полов.

Кроме того, мы мониторим использование бюджетных ресурсов в целях косвенной агитации, обучаем правоохранительные органы об особенностях избирательного процесса, запустили сеть общественных омбудсменов по защите избирательных прав граждан, оценили выполнение Украиной рекомендаций международных миссий по избирательной реформы и занимаемся просвещением избирателей.

Источник: //izbirkom.org.ua/news/vybory-2019/2019/opora-obratilas-k-upolnomochennomu-verkhovnoi-rady-iz-za-sbora-personalnykh-dannykh-agitatorami-za-kandidata-v-prezidenty/

Криминальный мир
Добавить комментарий