Что делать юристу компании, которая работает с персональными данными клиентов

Содержание

Обработка персональных данных в 2018: как избежать штрафа

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы

Основание	Размер штрафа
Физлица	Должностные лица	Юрлица	ИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн	предупреждение или штраф — от 1000 до 3000 руб.	предупреждение или штраф — от 5000 до 10 000 руб.	предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта	от 3000 до 5000 руб.	от 10 000 до 20 000 руб.	от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДн	от 700 до 1500 руб.	от 3000 до 6000 руб.	от 15 000 до 30 000 руб.	от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработке	предупреждение или штраф — от 1000 до 2000 руб.	предупреждение или штраф — от 4000 до 6000 руб.	предупреждение или штраф — от 20 000 до 40 000 руб.	предупреждение или штраф — от 10 000 до 15 000 руб.
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)	предупреждение или наложение штрафа в размере от 1000 до 2000 руб.	предупреждение или штраф — от 4000 до 10 000 руб.	предупреждение или штраф — от 25 000 до 45 000 руб.	предупреждение или штраф — от 10 000 до 20 000 руб.
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования	от 700 до 2000 руб.	от 4000 до 10 000 руб.	от 25 000 до 50 000 руб.	от 10 000 до 20 000 руб.
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн	предупреждение или наложение административного штрафа — от 3000 до 6000 руб.

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:

Являюсь ли я оператором персональных данных?
Распространяется ли на меня закон о персональных данных?
Как уведомить Роскомнадзор об обработке персональных данных?
Что делать владельцу сайта, чтобы избежать штрафов?

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

ФИО (вместе и даже по отдельности)
дата рождения
адрес
телефон
email
фотография
ссылка на персональный сайт
ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан.

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально.

На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):

ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
цель обработки ПДн;
перечень ПДн, на обработку которых субъект дает согласие;
наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.

1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft.

Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда.

За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн.

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

относятся к субъектам, которых связывают с оператором трудовые отношения;
получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
являются общедоступными ПДн;
включают только ФИО субъектов ПДн;
нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

в случае обезличивания персональных данных;
в отношении общедоступных персональных данных;
если данные включают только фамилии, имена и отчества субъектов персональных данных;
для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

5 базовых принципов закона о персональных данных, о которых нужно знать

Как подготовиться к плановой проверке ФСБ по персональным данным?

Проверка Роскомнадзора: как подготовиться и избежать штрафов

Источник: https://kontur.ru/articles/4816

Защита персональных данных клиентов организации | Как защитить персональные данные клиента и что будет за их разглашение

Что делать юристу компании, которая работает с персональными данными клиентов

Большинство российских компаний, работающих в секторе оказания услуг физическим лицам, тем или иным способом собирают и обрабатывают их персональные данные.

Такая функция становится основанием для признания их операторами персональных данных в установленном законом порядке и необходимости принять комплекс организационных и технических мер, призванных защитить доверенную организациям информацию клиентов.

Нормативно-правовая база

Федеральный закон «О персональных данных» признает операторами всех юридических лиц и предпринимателей, которые получают и обрабатывают персональные данные клиентов в ситуациях, не являющихся обычным кадровым документооборотом. К предприятиям, постоянно сталкивающимся в своей работе с требованиями получать и обрабатывать данные в установленном законом порядке, а также предпринимать меры, направленные на их защиту, относятся:

медицинские учреждения, требования к которым, определяющие степень защищенности информационной системы, повышены из-за важности доверяемых им данных;
образовательные организации;
банки и другие финансовые учреждения;
страховые компании;
гостиницы;
библиотеки;
магазины.

Каждый из этих субъектов бизнеса получает от граждан сведения, которые носят конфиденциальный характер, и это не только имя, данные паспорта и номер телефона, но и информация о семейном положении, здоровье, имуществе, счетах и вкладах.

Организации, в деятельности которых эти сведения необходимы по различным причинам, часто нормативно-правового порядка (например, форматы различных учетных карточек устанавливаются министерствами и ведомствами), вместе со сведениями получают комплекс обязанностей по их защите при обработке и передаче третьим лицам.

Закон требует от операторов предпринять комплекс организационных и технических мер, направленных на защиту доверенной им информации.

Конкретизируются эти требования Постановлением Правительства № 1119, определяющим параметры, по которым устанавливается уровень защищенности системы, и приказами ФСТЭК России, которые регулируют применение и сертификацию технических средств, защищающих целостность информационной системы персональных данных. Также в области сертификации средств криптографической защиты данных и некоторых программных продуктов действуют стандарты, разрабатываемые и утверждаемые ФСБ России.

Обязанности оператора

Оператором является практически каждая организация, в рамках своей деятельности получающая от клиентов сведения о данных их паспорта или о номере телефона. Закон устанавливает обязанности оператора персональных данных как на организационном, так и на техническом уровне. После того, как компания определила, что требования закона безусловно относят ее к операторам, она обязана:

направить уведомление в Роскомнадзор о начале деятельности, связанной с обработкой персональных данных. Его форма заполняется на сайте, затем распечатывается, подписывается и отправляется в ведомство по почте;
разработать локальные нормативные акты, определяющие принципы и порядок обработки персональных данных клиентов в процессе осуществления ими предпринимательской деятельности;
разработать формат согласия на обработку персональных данных, которое подписывают клиенты, и определить порядок его предоставления для подписания;
назначить приказом руководителя лицо, ответственное за обеспечение надлежащей защиты персональных данных;
определить требуемую степень защищенности своей информационной системы согласно нормам Постановления Правительства № 1119;
разработать план приведения информационной базы в соответствие с требованиями законодательства и реализовать его.

Выполнение этих обязанностей контролируется в ходе проверок Роскомнадзора. Следует учитывать, что по закону о защите прав юридических лиц в процессе проверок первая из плановых может пройти только спустя три года после направления уведомления.

Положение о защите персональных данных

Одной из задач оператора становится разработка внутреннего положения, определяющего принципы его работы при взаимодействии с персональными данными клиентов.

Обычно оно размещается на сайте оператора таким образом, чтобы было доступно любому клиенту при поиске информации или предоставлении сведений, содержащих персональные данные.

Подготовить такой нормативный акт можно самостоятельно, силами административного подразделения компании или службы безопасности, никаких специальных норм он не содержит, и требований к его формату и содержанию законодательство не предъявляет. В рекомендуемой версии структура положения будет выглядеть следующим образом:

общие положения. Здесь необходимо описать принципы работы с персональными данными, общие цели их использования, сведения о том, что после истечения определенного времени данные, потерявшие актуальность, должны быть уничтожены, порядок утверждения самого документа и внесения в него изменений;
определения. Здесь поясняется, что понимается под персональными данными клиентов применительно к уставным целям и задачам конкретной компании, поясняются другие термины, например, «клиент», «оператор». Требуемые от клиента персональные данные описываются максимально подробно, с пояснениями, от какой категории лиц какие именно сведения должны быть предоставлены. Здесь же описываются допустимые способы получения персональных данных;
требования к конфиденциальности. В положении указывается, что на персональные данные распространяется режим конфиденциальности, что оператор обязывает своих сотрудников соблюдать его требования. Кроме того, отмечается, что при передаче сведений третьим лицам для обработки на основании соглашения оператор включает в его обязательства соблюдение конфиденциальности и ответственность за нарушение этих требований;
права и обязанности клиента. В этом разделе необходимо быть осторожнее. Так, возложение на клиента обязанности уведомлять организацию об изменении персональных данных должно быть объяснено или нормами закона, или интересами самого клиента;
обязанности самого общества, возникающие при обработке персональных данных. Здесь можно не ограничиваться требованиями закона, инициативные решения повысят привлекательность предложения организации для клиента;
способы защиты персональных данных;
заключительные положения.

Согласие на обработку персональных данных

Существенным элементом системы защиты персональных данных становится разработка формата согласия на обработку персональных данных и установление порядка его подписания.

Чаще всего сведения получают от клиента в процессе оформления договора, но следует учитывать, что они сохраняются не только в информационных базах, но и на материальных носителях, которыми, в зависимости от вида услуг, могут быть:

листки учета посетителей, заполненные в гостиницах;
формуляры, оформляемые в библиотеках;
медицинские карты;
анкеты различного рода.

Все эти документы часто хранятся в общем доступе, степень их защищенности нельзя отнести к повышенной.

Распространение на них режима конфиденциальности защищается включением соответствующих норм в трудовые договоры с персоналом, но, как показывает практика, взыскать ущерб с сотрудника, виновного в разглашении конфиденциальной информации, крайне сложно.

Единственной защитой персональных данных, хранящихся на бумажных носителях, становится трудность обработки большого объема рукописных данных, это значит, что их неправомерное распространение возможно только в случае заинтересованности злоумышленника в сведениях о конкретном клиенте. Но, подписывая согласие на обработку данных, клиент должен быть уверен в том, что они будут охраняться максимально возможным и соответствующим требованиям законодательства способом.

Также в согласии указываются цели обработки персональных данных, например, для гостиницы это будет соблюдение требований безопасности клиентов и сохранности имущества.

Подписывая согласие, клиент должен признать целесообразность этих целей. После того, как определены цели, указываются способы обработки персональных данных, ручные и автоматические.

Клиент должен выразить свое согласие и с ними.

В согласии указываются лица, которым, по договору с оператором, данные могут передаваться для хранения и обработки. Как показывает последняя судебная практика, применительно к банкам, эти лица необходимо скрупулезно и подробно перечислить.

Как гласит закон, согласие на обработку персональных данных в любое время может быть отозвано, делается это по тем каналам связи, которые оператор установил для коммуникации с клиентом. После отзыва компания обязана в течение 30 дней уничтожить данные.

Этого можно избежать только в том случае, когда их нахождение у организации-оператора обусловливается требованиями федеральных законов, например, по борьбе с терроризмом или об отмывании денежных средств.

Ранее срок удаления составлял 7 дней, но он был настолько неудобен для операторов, что было принято решение о его продлении. Также клиент вправе требовать удаления или изменения данных, если они не соответствуют действительности, искажены.

При получении отказа или в случае неисполнения требований гражданин может обратиться с заявлением в Роскомнадзор.

Риски, с которыми связана обработка персональных данных клиентов

Операторы должны учитывать, что нарушение установленного порядка обработки и защиты персональных данных влечет за собой возникновение неблагоприятных последствий. Такие нарушения могут быть выявлены тремя способами:

при проведении проверочных мероприятий органами контроля за соблюдением законодательства о защите персональных данных – Роскомнадзором, ФСТЭК РФ, ФСБ России;
в результате взаимодействия оператора с некоторыми другими ведомствами, например, ФАС РФ;
физическим лицом, чьи права нарушены. Такое нарушение может стать основой для предъявления иска в суд о восстановлении нарушенного права и компенсации морального вреда.

Следствиями выявления нарушения государственным органом становятся:

вынесение предписания об устранении нарушений закона;
административные штрафы, налагаемые на руководителей компаний;
запрет на занятие деятельностью, связанной с обработкой персональных данных;
в наиболее вопиющих случаях неправомерного использования или распространения данных – привлечение к уголовной ответственности.

Лицо, информация о частной жизни которого была неправомерно получена или распространена, может обратиться в суд со следующими категориями исков:

иск о возмещении морального вреда, связанного с неправомерным использованием персональных данных;
иск о запрете собирать персональные данные, если организация не обладает необходимыми сертифицированными ресурсами для обеспечения их безопасности (этот способ защиты прав часто применяется во взаимоотношениях с магазинами);
иск об удалении или изменении некорректно учтенных данных.

Российские суды удовлетворяют требования о взыскании морального вреда чаще всего в пределах небольших сумм, в среднем 50 тысяч для столицы и крупных городов, 10 тысяч по России. Но риск заключается не в том, чтобы потерять небольшие средства, а в вынесении проблемы в публичное поле.

После вступления в силу решения суда или сообщения СМИ о процессе Роскомнадзор может назначить внеочередную проверку соблюдения законодательства о защите персональных данных, и по ее результатам организации может быть запрещено заниматься их обработкой.

Это станет причиной существенно больших убытков для оператора.

Организации, работающие с физическими лицами, должны учитывать все требования и риски и выстраивать свою работу таким образом, чтобы нарушения установленного порядка защиты персональных данных не происходило.

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/perechen-personalnyh-dannyh-podlezhashchih-zashchite/zaschita-personalnykh-dannykh-klientov-organizatsii/

Нко и персональные данные: 10 советов юриста | милосердие.ru

Что делать юристу компании, которая работает с персональными данными клиентов

Если вас интересует благотворительность, вы хотите разбираться в новых технологиях, читать экспертные интервью с яркими фигурами в мире НКО и помогать с умом — подписывайтесь на секторную рассылку Милосердие.РУ. Чем больше мы знаем, тем лучше помогаем!

Считайте любую информацию о человеке персональными данными

Если НКО заносит в таблицу фамилии, имена, отчества и телефоны волонтеров или благополучателей — это уже обработка персональных данных. С точки зрения закона эта организация – оператор персональных данных.

Потому что к персональным данным относится любая информация о физическом лице (субъекту персональных данных), говорится в законе.

«На практике никогда нельзя сказать с уверенностью, что конкретная совокупность данных – это персональные данные. Если это телефон, имя, фамилия — наверное, да, это будут персональные данные.

Если рассматривать просто номер телефона без имени и фамилии – здесь уже вопрос», — говорит Ксения Королева, юрист московского офиса международной юридической фирмы Latham & Watkins, специалист по российскому праву.

Главный признак – персональные данные позволяют идентифицировать личность.

Обработка персональных данных – это «любые действия» с ними, включая сбор, систематизацию, хранение, уточнение и т.п. Оператор персональных данных – тот, кто их обрабатывает, точнее — организация или лицо, которые определяют цели и способы обработки. Это не рядовой сотрудник, который просто заносит номера телефонов в таблицу.

Статус оператора персональных данных предполагает ряд обязанностей, их нарушение влечет за собой санкции. Безусловно, оператор должен обеспечивать безопасное хранение персональных данных, он не имеет права передавать их третьим лицам без согласия субъекта, должен обезличивать или уничтожать данные, когда цель их обработки достигнута и т.п.

Кроме того, оператор должен опубликовать в открытом доступе свою политику – принципы работы с персональными данными. И назначить лицо, ответственное за соблюдение режима обработки.

Составьте политику работы с персональными данными «на все случаи жизни»

В политике, опубликованной на сайте, нужно перечислить, какие именно персональные данные обрабатывает организация, как она это делает, с какой целью, где хранит, кому передает в процессе работы.

Документ должен быть очень подробным и учитывать все возможные ситуации. «Все, что сможете придумать, лучше написать. Если, например, вы пока не планируете трансграничную передачу данных, все равно лучше ее упомянуть, вдруг потом пригодится», — советует Ксения Королева.

В таком подходе имеется недостаток. У сотрудников Роскомнадзора – это основной орган, регулирующий работу с персональными данными — может возникнуть вопрос, зачем организации нужен такой «карт-бланш». На него, по словам юриста, можно честно ответить: это на будущее.

Главное – каждый пункт документа должен быть логичным и основываться на конкретном опыте работы. Тогда и устранять недоразумения с Роскомнадзором будет проще.

Продуманная политика помогает предотвратить многие претензии. Например, на практике бывает довольно сложно получить согласие на обработку персональных данных до того, как эта обработка уже началась. Но можно на всякий случай прописать в своей политике, что, обращаясь в организацию, человек фактически соглашается с определенной обработкой своих персональных данных.

Заготовьте кипу письменных согласий

Согласие гражданина на обработку его персональных данных – главное условие работы с этой информацией.

Закон предусматривает ряд обстоятельств, когда согласие не требуется. Но его формулировки слишком широки, а правоприменительная практика невелика, поэтому юристы советуют НКО всегда стараться запастись согласием на обработку персональных данных — и волонтеров, и благополучателей, и даже сотрудников.

Пример – мероприятие с участием волонтеров, чьи данные затем будут где-то храниться. Лучше перед началом этого события распечатать бланки согласия и каждому дать подписать такой документ, советуют юристы.

В крайнем случае, если регистрация на мероприятие происходит через сайт, можно разместить там специальную форму, чтобы можно было согласиться на обработку персональных данных, поставив «галочку».

Предусмотрите в согласии все варианты

«Галочка» в веб-форме – это вариант простого согласия. Для обработки так называемых специальных категорий персональных данных, а также биометрических персональных данных требуется согласие на бумаге, собственноручно подписанное, или электронное, заверенное электронной подписью.

Специальные категории персональных данных – это сведения, касающиеся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Например, если НКО проводит занятия с детьми-инвалидами и составляет список класса, где упоминается инвалидность, значит, она обрабатывает специальные персональные данные. Ей требуется развернутое письменное согласие на эти действия.

На практике бывает сложно отличить специальные персональные данные от простых, поэтому во всех случаях лучше брать полноценное согласие, считает Ксения Королева.

Причем это согласие, как и политика, должно охватывать все возможные варианты действий с персональными данными. Например, если НКО собирается делиться информацией о просителях с врачами или юристами, об этом обязательно нужно упомянуть в тексте согласия.

Если все «третьи лица», которые получат доступ к данным, заранее известны, можно их сразу же и перечислить (иногда для этого приходится написать приложение к согласию). Если нет – нужно искать подходящую широкую формулировку. Вплоть до «любые третьи лица».

При передаче данных за рубеж помните о двух правилах

ИТАР ТАСС

Если данные будут передаваться за рубеж, в согласии должна быть упомянута конкретная страна. Это не требуется лишь в двух случаях: когда речь идет о государстве, подписавшем Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных; и когда государство входит в перечень Роскомнадзора (к слову, там есть Израиль, но нет США).

Кроме того, существует закон о локализации персональных данных. Он предписывает все действия по обработке персональных данных гражданина РФ производить на территории России. «Операторы должны обеспечить, чтобы все действия по обработке персональных данных сначала осуществлялись на территории России, и только потом дублировались в базе данных за рубежом», — поясняет Ксения Королева.

Закон легко нарушить, даже не подозревая об этом. Например, зарубежная клиника обновила персональные данные лица, с которым работает благотворительный фонд, а фонду об этом не сообщила.

«Мы советуем при передаче персональных данных за рубеж дописать в конце просьбу учитывать российское законодательство, и прежде чем вносить изменения, сообщить о них российской организации, чтобы она сделала это первой», — говорит юрист. Не факт, что клиника учтет просьбу, но у НКО будет хоть какое-то оправдание.

Получите согласие, прежде чем использовать фото

Фотографии, позволяющие установить личность человека, относятся к биометрическим данным. Для их использования (например, для публикации на сайте) требуется письменное согласие.

Но если фото не годится для идентификации гражданина – это не биометрические данные. Например, ксерокопии документов с фотографией, фото в истории болезни, фотографии в профиле в соцсети. Или, если снимали помещение, а человек оказался в кадре случайно и изображение нечеткое.

В законе названы случаи, когда получать согласие на использование изображений не требуется. Это съемка на публичных мероприятиях, использование в государственных или общественных интересах, позирование за плату.

Но ссылаться на эти исключения бывает нелегко. «Митинг на площади – публичное мероприятие. А если вход, допустим, на круглый стол, происходит по приглашениям, то здесь могут возникнуть вопросы», — говорит Александра Самсонова, помощник юриста в Latham & Watkins, специалист по российскому праву.

Оздоровительные или образовательные мероприятия для детей-инвалидов, безусловно, проводятся в интересах общества. «С другой стороны, есть личные интересы каждого ребенка, которому вы помогаете, — отмечает Ксения Королева. — Роскомнадзор может сказать: а вот эта мама не хотела публикации фото».

Если письменного согласия субъекта нет, его действия – тоже аргумент

РИА Новости

К НКО часто обращаются просители со всей России. Допустим, в фонд пишет житель Алтайского края: помогите моему ребенку пройти реабилитацию. В ответ сотрудники НКО должны написать: мы рассмотрим вашу просьбу, после того как вы пришлете нам собственноручно заполненное согласие на обработку персональных данных.

Если НКО этого не сделала, во избежание штрафов и других санкций на случай почтовой переписки Ксения Королева предлагает такой аргумент для проверяющих органов: отправку письма с просьбой о помощи можно считать конклюдентным действием (поведение лица, показывающее, что он согласен вступить в определенные правоотношения).

«Лицо направило вам письмо с определенной информацией и с определенным указанием, что с этой информацией делать. Это не стопроцентный, но все же аргумент», — объясняет она.

Переложите часть ответственности за безопасность на субъекта данных

Обеспечить безопасность чужих персональных данных просто: их нужно хранить так же, как вы храните конфиденциальную информацию о себе, говорят специалисты Latham & Watkins.

Например, бумажные документы с персональными данными должны находиться в шкафу, запертом на ключ, чтобы доступ к ним был только у ответственного лица.

Если персональные данные хранятся в электронной базе, могут возникать различные сомнения: надежно ли облачное хранилище, в России ли находится сервер и т.п.

В этом случае Ксения Королева советует указать в согласии, что персональные данные будут передаваться третьим лицам, предоставляющим средства IT для их хранения.

Таким образом часть ответственности за сохранность данных будет переложена на человека, подписывающего согласие, говорит она.

Обязательно уведомите Роскомнадзор

ТАСС/Юрий Смитюк

До начала сбора и обработки персональных данных оператор обязан уведомить Роскомнадзор о своем намерении. Но в этом правиле есть исключения. Например, уведомление не нужно, если речь идет об обработке данных сотрудников по Трудовому кодексу, если субъект данных сам сделал их общедоступными, если при обработке не используются средства автоматизации.

Доказать, что какое-то из этих исключений относится к конкретной НКО, не так легко, как кажется. Например, публикация данных в соцсетях далеко не всегда рассматривается как «общедоступная».

Поэтому юристы советуют в любом случае уведомлять Роскомнадзор. Но на практике клиенты стараются этого не делать, так как не хотят привлекать внимание, отмечает Ксения Королева.

Роскомнадзор проводит в первую очередь документарную проверку того, как организации работают с персональными данными. Если у него возникают сомнения, что персональные данные хранятся правильно и безопасно, проверку продолжают уже правоохранительные органы.

Зарегистрируйте сайт на того, кому он принадлежит на самом деле

Штрафы для нарушителей закона «О защите персональных данных» колеблются в промежутке от 15000 до 75000 рублей. Самая серьезная мера – блокировка сайта. Она не происходит за один день, сначала владелец получает предупреждения от Роскомнадзора. Однако, если сайт зарегистрирован не на человека, которому принадлежит на самом деле, санкция действительно может оказаться неожиданной для НКО.

Письменное согласие на обработку персональных данных должно включать:

— фамилию, имя, отчество, адрес, паспортные данные субъекта персональных данных и его законного представителя (если таковой имеется);— сведения об операторе персональных данных, которому дается это согласие;— цель обработки;— перечень персональных данных, на обработку которых дается согласие;— перечень действий с персональными данными, на совершение которых дается согласие;— сведения о третьих лицах, которым будут передаваться данные или поручаться их обработка;— срок, в течение которого действует согласие, а также способ его отзыва;

— подпись субъекта персональных данных.

Источник: https://www.miloserdie.ru/article/nko-personalnye-dannye-10-sovetov-yurista/

10 правил работы с персональными данными. Как избежать штрафа за контактную форму на сайте

Что делать юристу компании, которая работает с персональными данными клиентов

Вниманию сайтовладельцев! С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей (за одно обнаруженное нарушение). У вас на сайте есть контактная форма? Значит, скорее всего это касается и вас.

Прокуратуры уже штрафуют компании и суды их поддерживают. Помимо штрафов в пользу государства за нарушение правил обработки персональных данных может быть также взыскана компенсация морального вреда и определена иная ответственность.

Правила безопасности при работе с персональными данными

В феврале 2017 года внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных, которые вступят в силу 1 июля. Нововведения коснутся всех, кто получает, собирает, обрабатывает или хранит персональные данные.

Штрафы увеличены в десятки раз и разделены по видам нарушений. Так, если на сайте не размещена политика конфиденциальности, то штраф для ИП составит 10 тысяч рублей, а для компании — 30 тысяч.

До 75 тысяч рублей составит штраф для юрлица, если посредством сайта обрабатываются персональные данные клиента интернет-магазина или подписчика на информационный ресурс без его согласия (директор компании или ИП должен будет заплатить до 20 тысяч). И т.д.

Если будет зафиксировано несколько нарушений, штрафов будет тоже несколько.

Что делать? Срочно привести сайты в порядок! Проверки уже начались

Сейчас протоколы о нарушениях имеет право выписывать только прокуратура, и размер штрафа вне зависимости от вида нарушения составляет для юрлица 10 тысяч рублей, а для ИП или директора — 1000 рублей. С 1 июля уже в соответствии с более высокими ставками и, по всей видимости более рьяно, выписывать протоколы будет Роскомнадзор.

Какузнать, являетесь ливытем самым операторомперсональныхданных?

Персональные данные согласно Федеральному закону «О персональных данных» — это любые данные о человеке, по которым его можно идентифицировать. При этом в законе не содержится перечня типов таких данных, поэтому приходится исходить из общей логики закона и практики, и «дуть на воду».

К примеру, по имени пользователя или логину нельзя понять, что это за человек, то по имени и телефону или ФИО и электронной почте уже можно некоторым образом идентифицировать человека, а значит получение подобного сочетания уже может определяться как сбор и хранение персональных данных.

Итак, скорее всего, вы уже являетесь оператором персональных данных, если каким-то образом получаете от людей, к примеру, следующую информацию (в любом сочетании): фамилию, имя, отчество, какой-либо физический адрес, электронную почту, номер телефона, дату или место рождения, фото, ссылку на персональный сайт или соцсети, профессию, образование, уровень доходов, семейное положение и т.д..

На практике это означает, что все владельцы сайтов, которые содержат личные кабинеты, формы обратной связи, подписки или регистрации, анкеты и т.д.

, одним словом заполняемые формы, где посетитель должен оставить свои данные — это операторы персональных данных.

Даже если на сайте есть лишь популярные нынче кнопки заказа обратного звонка (пользователь оставляет имя и номер телефона) или отправки сообщения (имя и электронный адрес) — это тоже может быть квалифицировано как обработка персональных данных.

А записи в моей телефонной книжке тоже считаются сбором и хранением персональных данных?

Нет. На данные, которые вы храните для личных и семейных нужд, данный закон не распространяется. Но если вы передадите эти данные лицу или организации, которая согласно данному закону является оператором персональных данных или опубликуете сведения, это будет считаться нарушением.

Какработатьсперсональнымиданными, ненарушаязакон?

Как минимум необходимо выполнить и соблюдать 10 нижеследующих правил.

10 правил по работе с персональными данными

публиковать в открытом доступе всю информацию о ваших принципах взаимодействия и работы с персональными данными клиентов и посетителей вашего предприятия или ресурса;
запрашивать только те данные, которые нужны для каждой конкретной цели.
Например, нельзя запрашивать паспортные данные или домашний адрес для осуществления рассылки по электронной почте;
перед получением персональных данных, которые предполагается публиковать в общедоступных источниках, получать письменное согласие у каждого посетителя, клиента или подписчика на их обработку, хранение и распространение.
В случае, если данные не публикуются, а используются исключительно для обработки внутри компании, необходимо явным образом ограничить возможность передачи вам персональных данных без согласия на их обработку*;
использовать данные только для тех целей, о которых вы предупредили человека и которые указаны в опубликованных вами документах, касающихся работы с персональными данными;
сообщать по запросу человека, какие у вас есть данные о нём, как и для чего они обрабатываются и кому вы их передавали;
удалять данные по первому требованию лица, персональные данные которого хранятся в вашей базе;
хранить базы данных в надёжном месте, защищать их от взлома и утечки;
назначить лицо, ответственное за обеспечение безопасности персональных данных и соблюдения определённых ФЗ N152 правил работы с персональными данными;
обучить сотрудников работе с персональными данными;
зарегистрироваться в Роскомнадзоре. Форма уведомления на сайте Роскомнадзора — //pd.rkn.gov.ru/operators-registry/notification/form/

*Согласно Закону обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Законе, возлагается на оператора.

Почему владелец сайта должен регистрироваться?

По закону операторы персональных данных должны уведомить Роскомнадзор. Причем сделать это нужно до начала обработки данных или вскоре после начала осуществления данной деятельности. Роскомнадзор внесёт информацию об операторе в Реестр операторов персональных данных.

Уведомление можно не подавать, если:

обрабатываются только данные сотрудников;
персональные данные получены только для исполнения конкретного договора с конкретным человеком и не будут распространяться и использоваться никак иначе;
у вас хранятся только ФИО клиента;
данные опубликованы в общем доступе самим человеком или кем либо по его поручению.

Чтоделать, если ваш сайт содержит формы и позволяет получать персональные данные?

Если ваш сайт даёт возможность получать персональные данные и вы до сих пор не выполнили перечисленные выше условия, то уже сейчас может быть зафиксировано нарушение и уже сейчас вас могут оштрафовать.

Даже в том случае, если ваш сайт обслуживается другой компанией или специалистом на аутсорсинге, штраф будет выписан на компанию или ИП, которые указаны на сайте в качестве владельца и, следовательно, получателя персональных данных.

Как избежать возможных проблем (необходимая программа-минимум)

1) Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны с любой страницы вашего сайта.

Это может быть уведомление, пользовательское соглашение, правила продажи или политика в отношении обработки персональных данных как, например, у «Озона» (//ozon.ru/context/detail/id/137942530/).

Как бы не назывался этот документ, он должен содержать правила и условия обработки персональных данных.

2) Не используйте документы других компаний без обработки. Их можно использовать в качестве шаблона, но список данных и цели использования персональных данных необходимо прописать свои.

То, что требуется типографии для оформления заказа или интернет-магазину для доставки товара, не понадобится для e-mail рассылки.

Запрос излишних данных может быть расценен как нарушение закона и стать поводом для штрафа.

3) Реализуйте программное решение, которое гарантирует однозначное установление того, что человек согласился на обработку персональных данных.

Это может быть чек-бокс в форме регистрации, в котором необходимо поставить галочку, или кнопка согласия с условиями использования, без активации которых человек не сможет отправить сообщение или оформить заказ.

Для подстраховки можно заверить у нотариуса распечатанные скриншоты веб-страниц с формами, прокомментировав их сопроводительным текстом (к примеру, «на момент заверения указанные на данной распечатке кнопки работали согласно описанному в преамбуле функционалу и без их активации пересылка данных была технически невозможна»).

4) Подготовьте внутренние документы, регламентирующие правила хранения и обработки персональных данных, и ответственности сотрудников, которые имеют к ним доступ.

5) Отправьте, если сайт подпадает под требования Закона, уведомление в Роскомнадзор. Если стопроцентно уверены, что отправка уведомления не требуется, оформите всю документацию так, чтобы это было явно понятно и возможным проверяющим.

Например, можно указать в политике работы с персональными данными, что они используются только для исполнения конкретных договоров, или зафиксировать в документации, что данные открыты для общего доступа по желанию пользователя (но помните, что доказывание этого факта Закон возлагает на оператора).

Для составления необходимой документации и соблюдения всех требований Закона рекомендуется воспользоваться услугами квалифицированного юриста.