персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.
Когда пользователь оставляет свои сведения на сайте в сети интернет при приобретении какого-либо товара, ресурс становится хранителем (оператором) персональных данных, что накладывает на него определенные права и обязанности
Законодательство РФ предусматривает три вида ответственности:
Чаще всего под персональными данными (ПДн) понимаются:
Также к персональным данным относятся сведения:
Обезличенные персональные данные и автоматически собираемая информация:
Номер статьи | Возможные нарушения | Размер штрафа |
ч.1 ст.13.11 КоАП | Запрос сканов документов у посетителей сайта.SMS- и e-mail рассылка без согласия клиента.Любая дезинформация пользователей относительно цели ввода данных в форму на сайте. | Для физ. лиц – до 3 т.р.Для юр. лиц – до 50 т.р. |
ч.2ст.13.11 КоАП | Обработка, сбор и хранение любых ПДн, в том числе IP-адресов и cookie, без электронной подписи пользователей.Отсутствие на сайте документов «Политика конфиденциальности» и «Пользовательское соглашение».Несоответствие документов требованиям закона, которое может возникнуть из-за ошибок при составлении.Отсутствие дисклеймера при первом посещении сайта пользователем. | Для физ. лиц – до 5 т.р.Для юр. лиц – до 75 т.р. |
ч. 3 ст.13.11 КоАП | Отсутствие свободного доступа к Политике конфиденциальности для каждого посетителя сайта. | Для физ. лиц – до 1.5 т.р.Для ИП – до 10 т.р.Для юр. лиц – до 30 т.р. |
ч. 4 ст.13.11 КоАП | Отказ, игнорирование или ложь в ответ на требование пользователя предоставить полную информацию о том, как хранят и обрабатывают его персональные данные. | Для физ. лиц – до 2 т.р.Для ИП – до 15 т.р.Для юр. лиц – до 40 т.р. |
ч. 5 ст.13.11 КоАП | Отказ удалить ПДн из публичного доступа по желанию пользователя.Другие действия, нарушающие право субъекта отозвать согласие на обработку ПДн. | Для физ. лиц – до 2 т.р.Для ИП – до 20 т.р.Для юр. лиц – до 45 т.р. |
ч. 6 ст.13.11 КоАП | Хакерская атака, взлом базы данных третьими лицами, распространение ПДн пользователей. | Для физ. лиц – до 2 т.р.Для ИП – до 20 т.р.Для юр. лиц – до 50 т.р. |
Веб-сайты есть практически у большинства крупных компаний, претензии Роскомнадзора обычно направлены к ним из-за нарушения сбора персональных данных. Чаще всего замечаниям подвергается нецелевая обработка. Для примера приведем простую ситуацию, когда на сайте какой-либо компании от гражданина требуют предоставить номер телефона или паспортные данные.Важно знать, что подобная информация (место жительство, телефон, паспортные данные) не нужно указывать в форме регистрации на ресурсах. Это противоречит требованиям и целям закона. Форма регистрации может содержать в себе следующие поля: электронная почта, имя и пол пользователя.
Помимо информации, которую пользователь сам указывает на сайте, Роскомнадзор стал относить к персональным данным также данные о поведении пользователя на сайте, cookie, сведения о его геопозиции и IP-адрес.
Под каждой формой ввода данных на сайте (регистрация, заявки на услугу, обратный звонок) разместить текст «Нажимая на кнопку «Название кнопки», я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на документ. Примеры документов вы можете посмотреть на федеральных сайтах, например, ozon.ru и tinkoff.ru.
Вместо согласия можно использовать единую публичную оферту, но в ней будет нужно прописать, в каких целях, какие данные обрабатываются, то есть указать всё, согласно ч.4 ст.9 152-ФЗ. В этом случае обязательно хранить логи, чтобы, в случае чего, доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и оставлял там свои персональные данные.
Этот документ нужно разместить на сайте в свободном доступе. В данном документе должны быть описаны процедуры сбора, обработки и хранения персональных данных пользователей сайта. Хорошо проработанный документ о политике в отношении обработки персональных данных есть на ikea.com. При этом с данным документом регистрирующийся не должен соглашаться при заполнении формы.
Узнать у хостинг-провайдера, где физически находится ЦОД, в котором расположен ваш сайт и, в случае, если он расположен не на территории РФ, перенести сайт на другой хостинг. Сделать это вы можете, отправив запрос в техническую поддержку сайта.
Укажите email, куда физическое лицо может обратиться за тем, чтобы его персональные данные были удалены, заблокированы и вообще, куда он может задать вопрос по персональным данным. Email можно указать в документах, описанных выше.
Важно, чтобы указанный email был рабочим, информация на нем регулярно проверялась, чтобы не пропустить запрос пользователя на удаление персональных данных с сайта.
Вам или агентству-разработчику сайта необходимо подать уведомление об обработке персональных данных в Роскомнадзор, для этого нужно перейти по ссылке и помимо всего прочего указать там адреса местонахождения баз персональных данных и перечень персональных данных, которые в них содержатся.
В случае если агентство-разработчик сайта имеет доступ к персональным данным из заявок или базы данных сайта (например, сайт находится на технической поддержке), вам необходимо заключить соглашение с агентством об обеспечении безопасности персональных данных. В соглашении должно быть указано, какие персональные данные агентство может обрабатывать, в каких целях и какие действия с ними выполнять. Также там должны быть требования по защите персональных данных.
До 1 июля 2017 года поставить на сайте дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и, если он не согласен, то должен покинуть сайт. Примеры дисклеймеров вы можете посмотреть на сайтах marykay.ru и bmw.ru. В противном случае это будет являться согласием на обработку его персональных данных.