10 правил работы с персональными данными. Как избежать штрафа за контактную форму на сайте

E-mail, телефон, логин, пароль – персональные данные?

6 Марта 2016 <nobr>19 307</nobr>Сегодня многие компании имеют свой сайт, на котором могут регистрироваться пользователи. Такие компании уже не один раз задавались вопросом «Что относится к персональным данным?»

Очень многие компании беспокоит вопрос не подпадает ли их деятельность под закон о защите персональных данных?

Что относится к персональным данным?

Ответ на этот вопрос нужно искать в нескольких местах. Во-первых, можно заглянуть в Закон о персональных данных[1]. В нем указано, что персональные данные – это любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу. В законе упоминаются персональные данные специальных категорий, которыми являются данные о: расовой принадлежности, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

Во-вторых можно обратиться к разъяснениям Роскомнадзора[2], где перечисляется информация, которая относится к персональным данным: фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы.

В-третьих, можно также посмотреть на положения Конвенции Совета Европы о персональных данных[3], которую Россия ратифицировала в 2005 году. В ней указано, что персональные данные это любая информация об определенном или поддающемся определению физическом лице[4].

В большинстве случаев при регистрации на сайте пользователей просят указать их имя, адрес электронной почты, логин – пароль, иногда телефон. Поэтому возникает вопрос: происходит ли сбор персональных данных при получении такой информации от пользователей? Однозначного ответа на вопрос нет — мнения специалистов в этой области расходятся. Часть высказывается за то, что адрес электронной почты и номер телефона относятся к персональным данным, потому что с их помощью можно определить лицо. Но глава Роскомнадзора Александр Жаров в одном из своих интервью высказался, что такие данные являются персональными только когда позволяют безошибочно идентифицировать личность, а отдельно взятый номер телефона или адрес электронной почты не являются персональными данными[5]. Без ответа остается вопрос относится ли к персональным данным адрес электронной почты, из которого видны имя, фамилия и место работы человека. Пожалуй, скорее относится, чем нет.

Наиболее радикальная позиция заключается в том, что и IP адреc относится к персональным данным, потому что с его помощью тоже можно определить лицо. Но по этому вопросу больше споров, чем ясности: с помощью IP-адреса можно иногда определить лишь точку доступа к сети, а иногда и лицо, которое выходило в Интернет.

Но по крайней мере хотя бы логин и пароль не относятся к персональным данным. Такую позицию высказал Александр Жаров[6]. В одном из своих интервью он пояснил, что Twitter не подпадает под действие Закона о персональных данных, потому что не обрабатывает персональные данные: «По тому набору вопросов, которые компания задает пользователю при регистрации, мы делаем вывод, что компания не собирает личные данные»[7]. Такой подход кажется логичным, поскольку с помощью этих данных (логина и пароля) не возможно определить лицо.

К сожалению, когда ответ на вопрос «Что относится к персональным данным?» не знают государственные органы, в ведении которых находится этот вопрос, то не стоит ожидать, что такой ответ существует. В разделе вопросов на сайте Минсвязи, касающемся персональных данных, на вопрос с просьбой уточнить понятие персональных данных в связи с тем, что в законе оно достаточно размыто, опубликован такой ответ Минсвязи: «… определить состав персональных данных, в том числе привести их перечень, представляется нереализуемым»[8].

[1] Федеральный закон «О персональных данных» №152-ФЗ от 27.07.2006 г.

[2] П.1 статьи 3 Закона о персональных данных.

[3] Временные рекомендации по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных (утв. Роскомнадзором 30.12.2014).

[4] Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера от 28.01.1981 г.

[5]http://lenta.ru/articles/2015/09/01/personaldata/

[6] Статья 2 (а) Конвенции.

[7]http://top.rbc.ru/technology_and_media/31/08/2015/…

[8]http://www.minsvyaz.ru/ru/personaldata/#1438551391…

+1

Что делать, если вы все-таки являетесь оператором персональных данных

Для соблюдения требований закона соблюдайте следующие правила:

1. Получите согласие пользователя на обработку его персональных данных.

Для этого разместите в виде отдельного документа пользовательское соглашение. В качестве основы можно взять аналоги на других сайтах, но обязательно перед размещением прочитайте и подкорректируйте их в соответствии с особенностями вашего ресурса. Закон явно запрещает сбор лишней информации, поэтому в соглашении и по факту у пользователя, например, для рассылки электронной почты не должен запрашиваться адрес его проживания.

Согласие пользователя должно фиксироваться и храниться в виде log-файла вне зависимости от способа подтверждения (галочка, код из SMS). Также обязательно подписание подобного документа до момента получения от пользователя персональных данных.

В качестве хороших примеров документов приведем следующие сайты:

• политика конфиденциальности как у интернет-магазина Ozon или re-store;
• официальное уведомление, как на сайте М-видео;
• правила продажи, например, как у Читай-города;
• пользовательское соглашение, как на сайте интернет-магазина Lamoda.

Вне зависимости от конкретного выбора примера итоговый вариант документа должен включать следующую информацию:

• информацию об операторе персональных данных;
• четкое указание целей сбора персональных данных;
• перечень данных, которые будут собираться;
• список действий, которые могут быть совершены с этими данными;
• способ отзыва согласия пользователя на хранение данных;
• срок хранения персональных данных;
• контактные данные для запроса информации пользователем о своих персональных данных.

1. Используйте информацию только для оговоренных целей.

Если вы предлагаете зарегистрированному пользователю дополнительные сервисы или услуги, требующие использования персональных данных, то необходимо повторное получение согласие по примеру предыдущего пункта. Если цель, для которой собирались сведения, была достигнута, то они должны быть уничтожены автоматически при условии, что в соглашении не оговорено иное.

1. Разместите на сайте «Политику обработки персональных данных».

Она должна находиться в открытом доступе и на видном для пользователя месте, описывать все принципы обработки данных пользователей.

1. Направьте уведомление об обработке в Роскомнадзор.

Сделать это можно в электронном или бумажном виде. В документе должна быть указана следующая информация:

• наименование оператора персональных данных;
• цель сбора и обработки информации;
• перечень видов собираемых данных;
• список субъектов, данные которых обрабатываются;
• основание обработки информации;
• список действий с полученной информацией;
• наличие и описание видов мер, направленных на защиту собираемой информации;
• ФИО и контактные данные лица, отвечающего за обработку персональных данных;
• дата начала обработки;
• информация о местонахождении базы, где содержатся данные;
• подтверждение соответствия нормативам требований обеспечения безопасности персональных данных.

Если не интернет-магазин осуществляет сбор ПД исключительно с целью надлежащего исполнения обязательтв перед пользователе/покупателем, он вправе не направлять в адрес Роскомнадзора уведомление о своем намерении обрабатывать ПД.

Согласно под. 2 п. 2 ст. 22 ФЗ «О персональных данных» Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.

Таким образом, если интернет-магазин обрабатывает персональные данные исключительно с целью надлежащего исполнения обязательств по размещенному на сайте договору оферты, к примеру, для исполнения обязательств по доставке товара покупателю, регистрация в Роскомнадзоре не требуется.

1. Отвечать на официальные запросы от пользователей или государственных органов.

После получения подобного запроса необходимо направить официальный ответ в течение 30 дней. Обратите внимание, что подобный документ может рассматриваться в качестве письменного доказательства при разбирательстве, поэтому отвечать необходимо по существу.

1. Удалять или изменять персональные данные по запросу.

На это владельцу сайта отводится 7 дней, по истечении которых в базе не должно о нем остаться никаких сведений.

Выполнение требований избавит вас от риска получить штраф за неправильное обращение с персональными данными. Соблюдение подобных пунктов требует, по большому счету, только затрат на первоначальном этапе, а вложенные инвестиции обернутся сторицей в виде спокойствия. Что касается обращений со стороны Роскомнадзора и отдельных пользователей, то их количество будет небольшим, поэтому ответы на них не отнимут много времени.

Что изменилось?

Ранее статья 13.11 КоАП РФ практически не работала сразу по трем причинам:

• отсутствовала четкая детализация нарушения;
• штраф для для юридических лиц составлял всего 10 000 рублей, а для физических лиц — 500 рублей;
• протоколы об административном нарушении составляла прокуратура, у которой существуют более важные и приоритетные дела.

Сейчас ситуация кардинально изменилась и кроме детализации нарушений и резкого увеличения штрафов, возможность составления протоколов предоставили Роскомнадзору. Последний весьма активен в «прочесывании» интернета, поэтому высока вероятность, что своим правом организация воспользуется при первой же возможности. Поэтому тем компаниям (и интернет-магазинам в частности) которые являются операторами персональных данных, стоит проверить соответствие своих сайтов текущим нормам законодательства.

Сколько теперь придется заплатить за нарушения закона?

Увеличение штрафных санкций за нарушение правил обработки персональных данных становится заметным не только для небольших сайтов, но и для крупных магазинов, оперирующих большими оборотами. Сейчас в законе предусмотрены следующие штрафы для юридических лиц:

• неправомерная обработка персональных данных (например, продажа сведений третьим лицам) – от 30 до 50 тысяч рублей;
• обработка без письменного согласия пользования или с нарушением требований, установленных ФЗ №152, — от 15 до 75 тысяч рублей;
• отсутствие действующей политики в области обработки персональных данных – от 15 до 30 тысяч рублей;
• Невыполнение запросов, касающихся уточнения типов запрашиваемых персональных данных и целей их сбора, — от 20 до 40 тысяч рублей;
• Невыполнение требования пользователя, касающегося удаления его данных, — от 25 до 45 тысяч рублей;
• утечка данных в результате нарушений действующих правил обработки или недостаточной защиты – от 25 до 50 тысяч рублей;
• несвоевременное выполнение предписаний со стороны государственных контролирующих органов – от 3 до 6 тысяч рублей (для должностных лиц).

Что может послужить основанием для проверки сайта

Существуют два ключевых основания: жалоба и проведение плановых проверок (если вы являетесь оператором персональных данных). По данным Роскомнадзора, по сравнению с 2013 годом количество жалоб выросло практически на 60% — c 10 016 обращений до 33 814. Не забывайте о том, что никто не застрахован от жалобы со стороны конкурентов. Кроме того, количество проводимых проверок также растет: с 743 в 2013 году до 2053 в 2016.

Ответственность в случае нарушения закона

В случае нарушения закона для юридических лиц и сотрудников компании (например, генеральный директор или ответственный за работу с персональными данными) предусмотрен административный штраф в размере от 5 000 до 10 000 рублей. В случае, если в руководящий состав компании входят иностранные граждане, обратите, пожалуйста, внимание на то, что иностранным гражданам, которые привлекались к административной ответственности 2 или более раза в течение 3х лет (вне зависимости от оснований привлечения), может быть отказано во въезде на территорию России.

На данный момент Госдумой принят в первом чтении законопроект об увеличении размера штрафа до 500 000 рублей за нарушение законодательства о персональных данных и увеличении штрафа за незаконную обработку персональных данных до 300 000 рублей.

Изменения в Закон о персональных данных предусматривают также возможность Роскомнадзора ограничить доступ к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных с использованием сети Интернет. Процедура ограничения доступа длительная и многоступенчатая. Вместе с тем, поскольку закон не ограничивает возможность применения блокировки информации только для определенных категорий операторов персональных данных или ресурсов обработки персональных данных, с юридической точки зрения, существует возможность применить такую процедуру в том числе и ко внутренним системам хранения и обработки персональных данных работников компании (например, Intranet).

C уважением,

Антон Кабаков Партнёр, Awara

Александр Ермаков Партнёр, Awara IT Solutions

Что является персональными данными?

Персональными данными является любая информация о физическом лице, в том числе:

1. Адрес электронной почты, содержащий в себе фамилию и/или название компании;
2. Номер банковской карты, а также, в определенных случаях, код CVC;
3. В некоторых случаях, номер мобильного телефона (так называемые «конфиденциальные персональные данные»)

Например:

Электронный адрес: ivan.ivanov@pochta.ivan@pochta.com – не является персональными данными.

Необходимо отметить, что даже в случае, если информация, относящаяся к субъекту персональных данных, не позволяет идентифицировать физическое лицо, при определенных обстоятельствах такая информация может являться персональными данными.

В настоящий момент Роскомнадзор разрабатывает четкие критерии определения «персональные данные»¹.

Нюансы в отношении физических лиц

Субъект (носитель) персональных данных (ПДн) обладает рядом характеристик, относящихся к нему.

Каждый гражданин имеет паспорт с серией и номером, свидетельство о рождении, личный телефон, адрес проживания и так далее. В законе Российской Федерации № 152 сказано, что к ПДн относятся такие данные физического лица как:

• семейное;
• социальное;
• материальное положение;
• информация об образовании;
• доходах;
• профессиональном статусе и профессиональных связях;
• другая идентификационная информация личного характера.

Одним словом, сведения о конкретном человеке, его работе или личной жизни.

Особенности для юридических лиц

Информация, принадлежащая юридическим лицам, распространяется иначе. Любой гражданин имеет возможность получить доступ к ведомостям, которые в случае с физическим лицом, считались бы конфиденциальными. Например, узнать адрес или телефон фирмы. Дело в том, что юридические лица не являются субъектами ПДн, к ним такой термин не применяется. Согласно закону «О персональных данных» №152 правительства РФ, подобные обязательства по конфиденциальности возникают только в отношении физических лиц.

В российском законодательстве нет четкого перечня персональных данных, поскольку такие ведомости должны обладать сразу двумя характеристиками – не только принадлежать субъекту информации (например, физическому лицу) но и позволять идентифицировать его. Второй параметр определяется в каждой ситуации отдельно, в зависимости от оператора, характера данных и их количества.

В юридической практике случаи по разглашению конфиденциальной информации рассматриваются по-разному, и решения принимаются в зависимости от степени обезличивания данных и потенциального или фактического ущерба в адрес субъекта данных.

Это приводит к тому, что одни и те же сведения в разных случаях могут как относиться к ПДн, так и не быть их частью.

Далее рассмотрим, являются ли персональными данными следующие примеры сведений о человеке.

О том, что считается персональными данными физических и юридических лиц, мы более подробно рассказывали тут.

Адрес электронной почты

Роскомнадзор сообщает, что некоторые персональные данные становится таковыми только после использования в паре с другими ведомостями личного характера. Адрес электронной почты относится к выше охарактеризованной группе. Емейл (email ) может позволить идентифицировать конкретного человека, если будет указан вместе, например, с фотографией или местом проживания.

В таком случае адрес почты станет ПДн (со всеми правовыми последствиями). Если же в общем доступе размещен только адрес электронной почты, информация считается обезличенной.

Важно! Адреса электронной почты, несущие в себе настоящие имя, фамилию, отчество, год рождения или место рождения, не будут считаться ПДн без дополнительных ведомостей.

ИНН

Идентификационный номер налогоплательщика (ИНН) используется налоговыми органами для учета. Государственные службы не нуждаются в согласии субъекта, а сам ИНН не относится к ведомостям персонального характера и не попадает под действие закона «О персональных данных».

Несмотря на то, что граждане, обращаясь за справкой ИНН, предоставляют информацию о себе (ФИО, дату и место рождения, паспорт), сам документ не несет личной информации.

ИНН представляет собой технический цифровой код:

1. Код налогового органа, выдавшего ИНН.
2. Номер записи о лице в Едином государственном реестре налогоплательщиков.
3. Личное контрольное число, рассчитанное по алгоритму ФНС.

Его используют в ФНС, остальным же физическим лицам знание числового кода не позволит узнать о субъекте что-то еще.

Фотография

Относится ли фотография к персональным данным? В ответе на этот вопрос есть свои нюансы. Фото, размещенное без какой-либо дополнительной информации о лице, не является частью персональных данных. Такое объяснение дает надзорный орган – Роскомнадзор.

Как сказано выше, ПДн должны отвечать сразу двум критериям, чтобы в их отношении регулирование осуществлялось на основе профильного закона ФЗ №152. Фотография относится к данным, принадлежащим лицу, но не дает возможности однозначно идентифицировать человека.

Другие механизмы включаются, если речь идет о распространении данных, очерняющих честь и достоинство человека. В этом случае гражданин имеет право обратиться в суд по поводу публикации только одного фотоснимка.

СНИЛС

СНИЛС – это страховой номер индивидуального лицевого счета. В Федеральном законе №27 сказано, что Пенсионный фонд и страхователи должны обеспечить защиту данных, которые входят в индивидуальный лицевой счет. Однако сам номер СНИЛС не позволяет идентифицировать физическое лицо, поэтому в перечень ПДн не входит.

СНИЛС становится общедоступной информации при создании электронной подписи. Квалифицированные центры, а их деятельность регламентируется законом ФЗ №63 «Об электронной подписи», используют номер СНИЛС или ИНН для проведения операций с сертификатами.

Как видите, СНИЛС по аналогии с ИНН не позволяет конкретизировать субъект информации, хотя и является кодом другой информации. Это привело к тому, что на правительственные органы наложили обязательства сохранять конфиденциальность данных, поданных для получения СНИЛС, при этом сам код остается общедоступным.

Какие компании попадают под действие новых требований закона?

1. Компании, зарегистрированные в России;
2. Иностранные компании, имеющие представительства и филиалы в России;
3. Иностранные компании, деятельность которых направлена на территорию России и и/или включает в себя обработку персональных данных российских граждан.

Например:

Если гражданин России, работающий в российском представительстве иностранной компании, может просматривать и загружать информацию о себе на общий внутренний портал иностранной компании, и сервер, на котором обрабатывается и хранится данная информация, располагается за пределами России, то такая компания может быть признана нарушающей требования закона о локализации персональных данных на территории России.

ФИО и телефон

Имя, фамилия и отчество, опубликованные в паре с телефонным номером человека, являются персональными данными согласно утвержденного ФЗ №152 РФ. Они дают возможность с большой долей вероятности идентифицировать гражданина, что в последствии может обернуться для субъекта непредвиденными последствиями. Оператор ПДн имеет право распространять/передавать и обрабатывать данные, включающие в себя ФИО и телефон физического лица, только получив согласие держателя ведомостей.

О том, относится ли номер телефона к ПД, читайте в этом материале, а считается ли персональными данными ФИО, мы рассказывали тут.

Распространяются ли требования закона на «обезличенные» персональные данные?

Если компания передает зашифрованные персональные данные за рубеж, и при этом принимающий сервер ни при каких условиях не может осуществить дешифрацию полученных персональных данных, то такие действия компании не могут быть признаны нарушением требований закона о локализации персональных данных в России, поскольку в данном случае отсутствует факт передачи персональных данных за пределы России. Иными словами, за рубеж осуществляется передача не персональных данных, а зашифрованного кода.

Какие меры следует принять в связи с новыми требованиями?

Действия в части IT

1. Провести IT-аудит:
   • Определить, где происходит сбор, обработка, и хранение персональной информации, и кто отвечает за эти процессы в компании;
   • Используя DLP-системы, определить, как организовано перемещение данных в компании;
   • Сравнить, какой объем информации находится на внутренних серверах компании, а какой — на серверах третьей стороны, поскольку часть данных может храниться у сторонней организации;
   • Проверить, насколько четко организована процедура резервного копирования и восстановления, и убедиться, что вам точно известно место хранения резервных копий;
   • Установить, какое программное обеспечение используется для сбора, обработки, и хранения персональных данных.
2. Определить, какая информация, использующаяся в работе компании, попадает (или может попадать) под категорию персональных данных. Особенно это касается данных, задействованных в работе кадрового и расчетного отделов, отдела IT-безопасности, бухгалтерии, данных из CRM-систем и клиентских соглашений;
3. Проанализировать IT-инфраструктуру компании с целью определить возможные «центры» обработки персональных данных за пределами России;
4. Оценить риски;
5. Основываясь на полученных результатах, разработать стратегию и план действий, а также определить размер бюджета для возможных преобразований.

Юридические действия

Для локализации персональных данных российских граждан на территории России, необходимо:

1. Провести юридический аудит обрабатываемых компанией сведений о субъектах персональных данных для того, что бы определить, что из них относится к персональным данным в соответствии с применимым законодательством;
2. Привести внутреннюю документацию компании в соответствие с новыми требованиями к процедуре обработки и хранения персональных данных, в частности:
   • политику о персональных данных компании или иной документ, оформляющий порядок обработки персональных данных;
   • согласия работников и иных субъектов персональных данных на обработку их персональных данных;
   • иные документы, регламентирующие процедуры обработки персональных данных в компании.
3. Ознакомить сотрудников с новой версией документации по работе с персональными данными, и получить согласия работников на обработку и трансграничную передачу их персональных данных в соответствии с требованиями законодательства.
4. Уведомить контролирующие органы о местонахождении баз данных, используемых для работы с персональными данными российских граждан.

Используемые источники:

• https://spark.ru/startup/digital-legal/blog/14168/e-mail-telefon-login-parol-personalnie-dannie
• https://retailrocket.ru/blog/izmeneniya-v-zakone-o-personalnyih-dannyih/
• https://www.awaragroup.com/ru/blog/localization-of-personal-data-in-russia/
• https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/chto-otnositsya/primery-pd.html