В этом году ужесточилась ответственность за нарушения требований законодательства в области персональных данных. Поэтому этот выпуск мы решили посвятить полностью персональным данным.
Who is who?
Для начала, давайте зафиксируем определение персональных данных и связанных понятий:
Персональные данные (ПДн) – это любая информация, относящаяся прямо или косвенно к определенному лицу, например, ФИО, паспортные данные, номер телефона, электронная почта и другие данные.
Субъект ПДн – физическое лицо, предоставляющее свои персональные данные.
Оператор ПДн — это лицо, которое обрабатывает ПДн: компания (ООО, АО, ПАО), ИП, самозанятые и физические лица.
Что важно знать
До начала обработки ПДн Оператор обязан уведомить Роскомнадзор (РКН) о своем намерении осуществлять обработку ПДн.
Исключения предусмотрены ФЗ «О персональных данных», обработку можно осуществлять без уведомления:
- Если данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- Если оператор осуществляет деятельность по обработке исключительно без использования средств автоматизации;
- Если обработка подразумевает случаи, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Согласие на обработку должно быть:
- конкретным;
- соответствовать заявленной цели;
- нельзя собирать ПДн «на всякий случай» (например, если для рассылки нужно только имя и электронная почта, номер телефона не просим).
Форма согласия должна быть такой, чтобы при необходимости вы смогли подтвердить факт его получения (чек-бокс на сайте, письменный документ с «живой» подписью).
Согласие на обработку ПДн — всегда отдельный документ. Зашивать в текст договора, правила конкурса и другие форматы запрещено.
47c8365f97635e8e1497a53ba0fbcab2.jpgКроме того
Оператор, с согласия субъекта ПДн, может поручить обработку ПДн другому лицу (назовем такое лицо Обработчик).Важно: если клиент (для оказания ему услуги) передает вам ПДн субъектов, то у вас с этим клиентом должно быть заключено дополнительно Поручение на обработку ПДн.
Обработчик несет ответственность перед Оператором.
Оператор ПДн несет ответственность перед субъектом ПДн за свои действия и действия Обработчика.
Как собирать ПДн на сайте
Что касается сайта, то на нем должны быть размещены в публичном доступе следующие документы:
- Согласие на обработку ПДн пользователей сайта;
- Политика об обработке ПДн (она же политика конфиденциальности);
- Предупреждение о сборе Cookies о пользователях сайта (с кнопкой «Согласен», «ОК», «Принимаю» и тп.);
- Согласие на рекламную рассылку, на использование фото гражданина для опубликования отзывов, на распространение ПДн при опубликовании отзывов на сайтах должны идти отдельным документом.
fuP8EAPZp7880eIdjVBlEvDijoMj8CqYQFCyHlUFbvr5xA140w1nAGqSDjCMhxsZcNwo3BoUdJoWHOz8oF5P1ViWa3RwUJ7nCf6N9toUEWxBjYrpkcQSjK7DVSbZ9rdG.jpegВажно: данные документы должны полностью соответствовать реальным процессам в компании. РКН имеет право проводить профилактическую проверку.
Все формы, в которых собираются персональные данные (например, имя, телефон,
email), должны содержать:
- Чекбокс согласия на обработку данных, без которых нельзя передать данные.
- Гиперссылку на политику конфиденциальности и обработки персональных данных.
