Актуальное

  1. Главная
  2. Актуальное
  3. Зачем нужно согласие на обработку персональных данных?

Зачем нужно согласие на обработку персональных данных?

  • Опубликовано: 14 апреля 2019

Хотите иметь дело с проверкой Роскомнадзора своего ИТ-продукта или сайта? А потом ещё платить штраф, нести ответственность?

Думаю, что нет. Попробуем разобраться что надо делать с персональными данными в Российской Федерации и как не попасть под санкции госорганов.

Немного теории

Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

1) Нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:

  • Физическое лицо: предупреждение или штраф в размере 1 000 - 3 000 рублей;
  • Должностное лицо: штраф в размере от 5 000 - 10 000 рублей;
  • Юридическое лицо: штраф в размере 30 000 - 50 000 рублей;

2) Обработка персональных данных без согласия гражданина приведет:

  • Физическое лицо: штраф в размере 3 000 - 5 000 рублей;
  • Должностное лицо: штраф в размере от 10 000 - 20 000 рублей;
  • Юридическое лицо: штраф в размере 15 000 - 75 000 рублей;

3) В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:

  • Физическое лицо: штраф в размере 700 - 1 500 рублей;
  • Должностное лицо: штраф в размере от 3 000 - 6 000 рублей;
  • Индивидуальный предприниматель: штраф в размере от 5 000 - 10 000 рублей
  • Юридическое лицо: штраф в размере 15 000 - 30 000 рублей;

Основные понятия

Персональные данные (ПД) – это любая совокупность информации, через которую можно определить конкретного человека. Например, абстрактная электронная почта, допустим Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript. - не относится к ПД, однако электронная почта с рабочим адресом допустим, Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript. с подписью в письме “Главный инженер” - относятся к персональным данным, т.к. мы можем однозначно определить, что это Иван Иванов, работающий главным инженером в организации “Ромашка”.

Оператор, собирающий персональные данные. Любой контакт с физическим лицом, в том числе в пространстве Интернет, позволяющий однозначно определить человека - и вот вы уже владелец персональных данных в лице оператора.

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. То есть любое действие, которое совершается вашей компанией, как оператором.

Самый большой штраф - это за сбор ПД гражданина без согласия, остановимся на этом вопросе более подробно.

Сразу определим случаи, когда согласие на обработку ПД не надо собирать в соответствии с законодательством Российской Федерации:

  1. Сбор осуществляется на основании ФЗ -152, устанавливающего цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходимых в связи с реализацией международных договоров Российской Федерации о реадмиссии, иными словами, когда законодательством установлено, что физическое лицо должно предоставить персональные данные и иначе никак.
  2. Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных, т.е. когда вы заключили с физическим лицом договор и в рамках этого (только этого) договора вам нужны персональные данные. Сюда подходит и договор оферты (публичный договор) на сайте и его акцепт, но до покупки товара или услуг, заказа с сайта (к примеру) ещё надо довести пользователя, а значит момент, когда собираете ПД - наступает раньше.
  3. Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных, когда вы обезличиваете данные физического лица и “размываете” их в море других данных, соответственно определить кому что принадлежит - невозможно даже вам.
  4. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно, например, когда приезжает частная медицинская бригада и оказывает помощь.
  5. Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи, если вы организуете почтовую связь, то лицу, которому фактически оказываете услуги - нет необходимости требовать согласия на обработку ПД.
  6. Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
  7. Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности, т.е. не требуется согласие при использовании ПД, если это данные чиновников, предоставленные в соответствии с законодательством РФ.

Во всех остальных случаях, при контакте и сборе ПД от физического лица - вы должны получать его согласие и иначе никак - закон есть закон!

Что делать?

Теперь разберём как собирать ПД и получать согласие.

Шаг 1.

Вам требуется подготовить текст политики обработки и защиты персональных данных, а также согласие на обработку персональных данных. Если у вас юридическое лицо или вы - индивидуальный предприниматель - вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии. Обратите внимание, что данная политика как в Российской Федерации, так и в зарубежных странах - относится не только к работе с потребителями, но и с работниками.

Шаг 2.

Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.

Шаг 3.

Важно. Если на сайте есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.

При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!

Немного юридического обоснования чекбоксов, а как называет Роскомнадзор - “галочек”:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” устанавливает обязательство собирать персональные данные:

“4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью...”.

Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:

“Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.

Шаг 4 (Вариативно).

Подать уведомление об обработке ПДн в Роскомнадзор.

В соответствии с ч.1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).

Итого, чтобы минимально привести в порядок работу с персональными данными вам потребуется:

  • политика обработки персональных данных;
  • приказ об утверждении вышеуказанной политики;
  • согласие на обработку персональных данных;
  • чекбокс с гиперссылкой на вышеуказанное согласие.

Всё это требуется опубликовать на сайте и / или в приложении.

И зачем всё это вообще? Для чего же это вообще нужно? Зачем нужно беспокоиться о персональных данных и о получении согласия пользователя на их обработку?

Конечно, это прежде всего административная (штрафы, блокировка) и гражданская (причинение вреда) ответственность - такие вещи могут очень серьёзно повлиять на бизнес. Но есть ещё понятие «частная жизнь граждан», «злоупотребление правом» и «недобросовестная реклама». Я на 100% уверен, что каждый из нас не любит, когда на телефон приходит спам, реклама, а посередине ночи будит смс или звонок с просьбой “срочно перевести деньги, а то в тюрьму посадят”. А всё это происходит из-за ненадлежащего исполнения лицами, осуществляющими сбор персональных данных, своих обязательств. И согласие на обработку ПД - всего лишь часть механизма, который должен обеспечивать нашу с вами защиту как граждан и повышать социальную ответственность. К сожалению, такие полезные институты и механизмы могут превратиться в инструмент для давления и здесь важно обезопасить бизнес.

Так что, если вы выполнили все условия и шаги из настоящей статьи, то можно считать, что вы не только уменьшили вероятность быть оштрафованным и привлеченным к ответственности (работа с ПД физических лиц лишь небольшая часть правовой политики ИТ-продукта), но и сделали шаг к социально-ориентированному Интернет-пространству, уважающему личные данные пользователей!

Услуги

О нас

ОOO «АвСиКом» оказывает услуги в области обеспечения технической защиты конфиденциальной информации, безопасности сайтов, защиты персональных данных.

г. Москва

  • 1-й Тверской-Ямской пер., д. 18
  • +7 (499) 251-45-74
  • info@avsikom.ru

г. Магнитогорск

  • ул. Багратиона, д. 10
  • +7 (3519) 49-68-48
  • info@avsikom.ru

Актуальное

© 2024 ООО Авсиком. Все права защищены.
Создание сайта Магнитогорское Интернет Агентство