Размещение персональных данных на сайте без согласия

152-ФЗ: полное руководство 2018 г. по обработке и защите персональных данных

Размещение персональных данных на сайте без согласия

Федеральный закон 152-ФЗ “О персональных данных” существует с 2006 года, но только 1 июля 2017 г. про него вспомнили все — тогда начали действовать поправки к статье 13.11 КоАП РФ. Штрафы за незаконную обработку персональных данных существенно выросли, а Роскомнадзор получил полную свободу действий по отношению к нарушителям.

Рассказываем, как сделать все правильно и обезопасить свой бизнес.

Приведем ваш сайт в соответствие с 152-ФЗ в рамках продвижения

Узнать детали

Любое юридическое лицо, ИП или некоммерческая организация является оператором персональных данных, которые условно делятся на 3 категории:

  • информация о сотрудниках,
  • информация о клиентах,
  • данные о пользователях сайта.

На любого оператора распространяются требования закона к обработке и защите персональных данных:

  • получать, хранить и использовать данные можно только с согласия владельцев,
  • использовать их можно только в целях, указанных во взаимном соглашении,
  • хранить данные необходимо на территории РФ (это касается всех видов носителей — в частности, хостинга сайта),
  • требуется удалять или обезличивать данные по окончании использования.

Карать за незаконную обработку персональных данных может Роскомнадзор, Федеральная служба по техническому и экспортному контролю и даже Трудовая инспекция.

Не ответили вовремя на запрос пользователя удалить его из базы рассылки? Штраф 40 тыс. руб. Храните резюме сотрудников в открытом доступе — 50 тыс. руб. Не уведомляете пользователей сайта о сборе их персональных данных — 75 тыс. руб.

UPDATE 2019 г.: в июне принят законопроект, в соответствии с которым штрафы по той же статье 13.11 КоАП РФ могут достигать уже 18 млн руб.

Не забывайте о том, что штрафы по разным нарушениям суммируются, сайту грозит блокировка, а особо активные владельцы персональных данных могут пойти в суд и потребовать возмещения морального ущерба.

  1. Сначала приведите сайт в соответствие с требованиями 152-ФЗ — скорее всего аудит начнут именно с него и в первую очередь придут к тем, у кого на сайте нет ни слова про персональные данные.
  2. Затем начинайте вносить изменения в документооборот компании — это может занять не один месяц.
  3. Не используйте данные ваших пользователей для рекламы без их согласия. Это касается и онлайн-пользователей, и покупателей оффлайн-магазинов, которые оставляют свои координаты, получая карты лояльности. Уставшие от назойливых рассылок граждане теперь могут подать на вас жалобу и быть услышанными.
  4. Если среди ваших сотрудников, клиентов или целевой аудитории есть жители европейских стран, с 26 мая 2018 г. вам также нужно выполнять требования Регламента GDPR.

Владельцам сайтов необходимо разработать и утвердить приказом собственный документ, где будут прописаны права и обязанности оператора в отношении сбора и обработки персональных данных пользователей.

В соответствии с рекомендациями Роскомнадзора в Политике конфиденциальности для сайта нужно прописать:

  • Общие положения по обработке и защите персональных данных. Включают назначение документа, расшифровку ключевых понятий (персональные данные, обработка, оператор, субъект), права и обязанности сторон.
  • Цели сбора. Сбор данных должен проводиться только в рамках определенных целей — приема обращений, корректной работы сайта, конкретных маркетинговых активностей и т.д.
  • Правовые основания. Сюда относятся уставные документы компании, согласие пользователей на обработку данных и другие документы, согласно которым владелец сайта собирает и использует данные субъекта. Обратите внимание: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» не является основанием сбора данных, так как он лишь регулирует отношения сторон и требования к операторам.
  • Объем и содержание подлежащих сбору данных. Категории обрабатываемых сведений о субъекте должны в обязательном порядке соответствовать указанным в документе целям и не могут быть избыточными. Например, если вы не сформулировали, зачем вам скан паспорта пользователя, за сбор таких данных вас могут оштрафовать.
  • Условия обработки. Здесь нужно перечислить операции, которые вы совершаете с данными пользователей, а также методы и сроки их обработки.
  • Условия передачи данных третьих лицам. Если у вас есть необходимость в передаче конфиденциальных данных третьим лицам, нужно обозначить категории третьих лиц, цели, условия, методы и объемы передачи данных, разрешенные способы использования и требования к их защите.

Если вы вносите изменения в условия Политики в отношении персональных данных, нужно не только уведомить пользователей об изменениях, но и обязательно сохранить на сайте старые редакции Политики, на основании которых сбор данных производился ранее.

Не стоит копировать такой документ с другого сайта, меняя лишь название компании: для каждого сайта набор персональных данных, цели и порядок их обработки будет свой.

Разработанный документ нужно разместить на сайте (обычно в футере) и получать согласие с ним пользователей в момент отправки данных. Это относится ко всем формам, собирающим информацию: заявки, обратного звонка, подписки на рассылку и т.д.

Нажимая на кнопку целевого действия (оставить заявку / купить / подписаться), пользователь должен по умолчанию или с помощью галочки согласиться на обработку данных.

В текст «Я даю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности сайта» нужно вставить ссылку на Политику.

Иногда делают отдельный документ «Согласие на обработку персональных данных», короче и понятнее для пользователей, но строгих требований закона по этому вопросу нет.

Шаг 3. Разместить уведомление о сборе cookies

Существует 4 категории cookies, которые собираются на современных сайтах и также могут являться персональными данными по закону:

  • Обязательные. Используются для работы пользователей с сайтом и позволяют им регистрироваться, совершать быстрые покупки и получать доступ к защищенным областям.
  • Эксплуатационные. Сведения о поведении на сайте — посещенные страницы, время на сайте, полученные сообщения об ошибках и т.д. Такие данные анонимны и собираются для анализа трафика и улучшения работы сайта.
  • Функциональные. Позволяют запомнить выбранные пользователем параметры (имя, геоположение, язык и т.п.) и настроить сайт под него.
  • Маркетинговые. Сведения о профиле пользователя (пол, возраст) и его интересах (на основе поисковых запросов и посещенных сайтов). Эти данные часто передаются третьим лицам (рекламным сетям) и позволяют показывать ему наиболее релевантную рекламу.

На сайте необходимо разместить уведомление, в соответствии с которым пользователь автоматически соглашается со сбором определенных видов cookies. В противном случае он должен покинуть сайт.

Шаг 4. Предоставить пользователям возможность отозвать свои персональные данные

Обычно сбор данных прекращается, когда достигнуты цели их использования, но иногда причиной может стать запрос самого субъекта ПД.

Чтобы не нарушать закон, нужно:

  1. Разместить в информационных рассылках заметные кнопки отписки. Проверить корректность их работы.
  2. Разместить на сайте e-mail для запросов, связанных с персональными данными.
  3. Оперативно реагировать на запросы пользователей предоставить информацию о его ПД или удалить их.

Шаг 5. Проверить расположение баз данных

Узнайте у своего хостинг-провайдера точный адрес сервера вплоть до здания. Если сервер находится за пределами РФ, рекомендуется перенести сайт — иначе придется составлять Регламент по трансграничной передаче данных, да и у РКН будет больше вопросов.

Помните LinkedIn? Именно за хранение данных вне РФ его и заблокировали еще в 2016 г.

Шаг 6. Подать заявление в Роскомнадзор

Владелец сайта должен уведомить РКН о том, что он является оператором персональных данных. Для этого понадобится точный адрес сервера, который вы узнали на предыдущем шаге.

Обратите внимание: даже если вы подаете заявление в 2018 г., датой начала обработки персональных данных следует считать дату регистрации вашей компании.

После отправки электронного заявления не забудьте его распечатать, подписать у руководителя компании и отправить печатную версию по адресу Роскомнадзора — это обязательное требование. Спустя пару недель стоит проверить, добавили ли вас в Реестр операторов ПД.

В каких случаях НЕ нужно подавать заявление:

  • если вы обрабатываете персональные данные без средств автоматизации (компьютера),
  • если вы обрабатываете только внутренние персональные данные (сотрудников, клиентов или партнеров на основании договорных отношений),
  • если все данные ваших пользователей находятся в публичном доступе (например, комментарии к записям),
  • если вы собираете только ФИО пользователей,
  • общественным, религиозным и государственным структурам.

Всем сайтам, где пользователи оставляют адрес электронной почты, телефон или платежные данные, подавать заявление нужно.

Необходимо назначить сотрудника, ответственного за обработку персональных данных в компании — речь идет о данных сотрудников, клиентов и партнеров. Это может быть бухгалтер или кто-то из руководства.

Шаг 2. Составить внутренние правила обращения с ПД

Нужно составить Правила обработки персональных данных в компании и в письменной форме ознакомить с ними сотрудников. В документе, в том числе, нужно отразить уровни доступа к конфиденциальным данным, согласно с должностными инструкциями. Все сотрудники должны подписать Обязательство о неразглашении персональных данных.

Правила обработки персональных данных должны быть прописаны отдельным разделом и в договорах с клиентами и партнерами компании. Также это можно сделать в форме Соглашения, которое подписывается в дополнение к существующему договору.

1. Защитить информационные системы

Если конфиденциальные данные пользователей задействованы в информационных системах (к примеру, в 1С, CRM и т.д.), нужно убедиться в высоком уровне их технической защищенности, составить специальный акт, а при наличии угроз — техническое задание на проект системы защиты с использование продукта, рекомендованного ФСТЭК. Процедура долгая и достаточно дорогая.

В первую очередь, это актуально для корпораций, больших интернет-магазинов, государственных и общественных учреждений. Особенно осторожными нужно быть владельцам компаний, которые собирают и обрабатывают данные более чем 100 000 субъектов, касающиеся политических взглядов, состояния здоровья, интимной жизни, расовой или национальной принадлежности, а также религиозных убеждений.

Риск проверки этого требования ФСТЭК и ФСБ РФ у малого и среднего бизнеса крайне мал. Бюджетный вариант для подстраховки — организовать хранение баз данных в облаке с помощью специального сервиса.

2. Перейти на защищенный протокол HTTPS

Установка протокола HTTPS для шифрования данных и их безопасной передачи не является требованием 152-ФЗ, но очень рекомендуется. Если вы до сих пор этого не сделали, то рекомендуем запланировать переход до конца 2018 года.

Для чего это нужно, если кратко: протокол исключает перехват информации сторонним сервисом и ее использование мошенниками, существенно повышая доверие и пользователей, и поисковых систем.

Для корректного перехода на HTTPS обратитесь к своему SEO подрядчику.

Однако практика показывает, что при проверке контролирующий орган скорее всего будет трактовать закон в свою пользу. Рекомендуем всем реализовать тот минимум, который мы изложили, и спать спокойно.

Источник: https://aevrika.ru/blog/152-fz-polnoe-rukovodstvo-2018-g-po-obrabotke-i-zaschite-personalnyh-dannyh/

152-ФЗ, или Персональные данные на сайте

Размещение персональных данных на сайте без согласия

Михаил Хохолков, ИНТЕЛЛЕКТ-С: «Минимум, что нужно сделать владельцу сайта, — разместить на сайте политику обработки персональных данных».

Хохолков Михаил Владимирович
Ведущий юрист

1 июля 2017 года вступили в силу изменения в статью 13.11 Кодекса об административных правонарушениях (КоАП РФ), регулирующую ответственность за соблюдение законодательства о персональных данных.

Ранее предусматривался один состав правонарушения — нарушение законодательства о персональных данных. Сейчас этот перечень развернут в 7 пунктов. Увеличивается и размер штрафов. Дела об административных правонарушениях в области персональных данных будут рассматривать территориальные отделения Роскомнадзора.

Сам же Закон «О персональных данных» действует уже 10 лет, кардинально не меняясь. Поэтому непонятна паника, которую раздувают некоторые СМИ. Тем не менее, для владельцев любых сайтов, собирающих данные пользователей, я выделил следующие важные моменты. 

Политика обработки персональных данных на сайте

Пункт 3 статьи 13.

11 КоАП РФ: невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных — влечет предупреждение или наложение административного штрафа:

  • на граждан в размере от 700 до 1 500 рублей;
  • на должностных лиц — от 3 000 до 6 000 рублей;
  • на индивидуальных предпринимателей — от 5 000 до 10 000 рублей;
  • на юридических лиц — от 15 000 до 30 000 рублей. 

Минимум, что нужно сделать сейчас, — разместить на сайте политику обработки персональных данных.

Особых требований к месту размещения законодатель не устанавливает, однако рекомендую ссылку на политику установить на главной странице, а также продублировать ее в местах размещения форм для сбора персональных данных. Политика обработки персональных данных должна быть доступной для любого пользователя.

Чек-лист для разработки политики обработки персональных данных (ПД) на сайте

Что нужно проверить:

  • любые формы отправки сообщений по типу «задать вопрос» и поля, обязательные для заполнения. Их нужно будет указать в политике обработки ПД в разделе «Объём ПД»;
  • регистрация пользователя / личный кабинет / авторизация через соцсети. Проверить поля, обязательные для заполнения. Указать их в политике обработки ПД в разделе «Объём ПД»;
  • форма заказа обратного звонка — какие поля в ней обязательны для заполнения. Эти данные нужно будет указывать в политике обработки ПД в разделах «Объем ПД» и «Цели ПД»;
  • рассылка. Если есть форма подписки на рассылку, то необходимо размещать согласие на обработку ПД и согласие на получение рассылки (всё можно делать в одном документе). На рассылку нужно также сослаться в разделе «Цели ПД»;
  • отзывы посетителей / клиентов / партнёров с ПД (благодарственные письма и т.д). Если пользователь пишет отзыв сам, то нужно размещать согласие на обработку ПД. Если выкладываются сканы благодарственных писем, то нужно предварительно обсудить с партнёром возможность получения такого согласия;
  • возможность отправки резюме. В этом случае необходимо согласие на обработку ПД в целях трудоустройства.

База данных сайта с персональными данными пользователей должна находится на территории России.

Если политика обработки ПД (документ может называться «политика конфиденциальности» или аналогично) уже есть на сайте, проверьте по чек-листу цели сбора и объёмы ПД. Лишней информации там быть не должно быть.

Принцип «лучше укажем больше данных, вдруг пригодится» неприемлем. Важно помнить, что объём собираемых данных должен соответствовать цели обработки.

Универсальных критериев такого соответствия не существует, поэтому нужно руководствоваться принципами разумности и достаточности.

Примеры:

  • для заказа авиабилетов нужны паспортные данные, для доставки пиццы — нет;
  • для доставки заказа курьером интернет-магазина нужен адрес доставки, для самовывоза — нет;
  • для бронирования билета в кино — вообще ничего не нужно, если не оплачивается онлайн.

Если на сайте нет никаких форм обратной связи, нет возможности заказать обратный звонок и т.п. — персональные данные не обрабатываются, следовательно, политику обработки ПД размещать не нужно.

Цель и объем сбора персональных данных

Излишний объем данных, собираемых у пользователя, может быть самостоятельным нарушением. Пункт 1 статьи 13.

11 КоАП: обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, — влечет предупреждение или наложение административного штрафа: 

  • на граждан в размере от 1 000 до 3 000 рублей;
  • на должностных лиц — от 5 000 до 10 000 рублей;
  • на юридических лиц — от 30 000 до 50 000 рублей. 

Таким образом, собираемые персональные данные должны соответствовать цели их обработки и не быть излишними. 

Поэтому в политике обработки персональных данных должна быть указана цель обработки и объем.

Пример

Самый частый случай сбора данных на сайте — заказ обратного звонка.

В этом случае достаточно просить указать пользователя лишь номер телефона. Если же для обратного звонка вы просите указать электронную почту, ФИО, адрес, место работы, должность, то такие данные считаются излишними, не соответствующими целям обработки, и, следовательно, их сбор является нарушением.

Без крайней необходимости не осуществляйте сбор паспортных данных. Чаще всего они не нужны. Для выполнения заказа, например, в интернет-магазине, достаточно указать телефон и адрес доставки.

Определившись с целями и объемом обработки персональных, составьте свою политику обработки, разместите на сайт. 

Кстати говоря. Я направлял такой запрос в Роскомнадзор:

Необходимо ли размещение политики обработки персональных данных на сайте доставки товаров, если для оформления заказа пользователь указывает только номер телефона? Оператор сайта звонит покупателю по указанному номеру, уточняет детали заказа и адрес доставки. В дальнейшем (после доставки заказа) номер телефона, имя и фамилия покупателя, адрес доставки не сохраняется и не обрабатывается владельцем сайта. 

И вот какой ответ получил: 

По информации, содержащейся в обращении, дать правовую оценку по существу поставленного вопроса не представляется возможным. 

По сути, это означает, что не любой случай сбора персональных данных влечет за собой необходимость размещения политики обработки этих данных, что не отменяет необходимости изучения этого вопроса для каждого сайта индивидуально.

Согласие на обработку персональных данных

Когда необходима письменная форма согласия на обработку ПД

Письменная форма — это документ в печатном виде с оригинальной (не сканированной, не факсимильной) подписью субъекта.

Письменная форма не будет соблюдена, если она получена по электронной почте в виде отсканированного документа.

Согласие в форме электронного документа может быть подписано электронной подписью в соответствии с ФЗ «Об электронной подписи». Требования письменной формы установлены пунктом 4 статьи 9 ФЗ «О персональных данных».

Письменная форма согласия на обработку персональных данных необходима только в случаях, прямо предусмотренных законом. Всего таких случаев пять, и они описаны в статьях 8, 10, 11, 12 и 16 ФЗ «О персональных данных»:

  • Статья 8 касается случаев создания общедоступных источников информации (справочников, адресных книг и т.п.). В эти справочники вы можете включать сведения о лицах, предварительно получив от них письменное согласие на обработку персональных данных.
  • Статья 10 — специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
  • Статья 11 говорит об обработке биометрических персональных данных: фото- и видеоизображения, отпечатков пальцев, ДНК. Фото и видео признаются обработкой персональных данных в том случае, если они используются для установления личности. Съёмка с обычной камеры наблюдения в офисе, в супермаркете или на улице обработкой персональных данных не является.
  • Статья 12 касается трансграничной передачи персональных данных.
  • Статья 16 запрещает принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы — только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами.

Есть случаи, когда персональные данные могут быть обработаны без согласия субъекта — это пункты 2-11 части 1 статьи 6, часть 2 статьи 10 ФЗ «О персональных данных».

Во всех иных случаях (т.е. когда нет требования получать согласие в письменной форме или когда согласие не требуется) согласие может быть получено в любой форме, позволяющей подтвердить получение такого согласия. Подтверждать наличие такого согласия должен оператор обработки персональных данных.

Гиперссылку на согласие на обработку персональных данных рекомендуем устанавливать рядом с кнопками «отправить», «далее», «подписаться на рассылку» и подобными, сопровождая текстом:«Нажимая на кнопку ОТПРАВИТЬ, я подтверждаю, что ознакомился с политикой обработки персональных данных и даю согласие на обработку персональных данных», где текст, выделенный курсивом, — это гиперссылки на соответствующие документы.

Уведомление в Роскомнадзор

В определенных случаях необходимо подать уведомление в Роскомнадзор по месту регистрации (юр. лица, предпринимателя или гражданина — администратора сайта) для включения в реестр обработки персональных данных. Если такое уведомление не предоставить, то возможно привлечение к ответственности по статье 19.7 КоАП — предупреждение или наложение административного штрафа

  • на граждан в размере от 100 до 300 рублей;
  • на должностных лиц — от 300 до 500 рублей;
  • на юридических лиц — от 3 000 до 5 000 рублей. 

Форма и содержание уведомления, порядок его заполнения есть на сайте Роскомнадзора. Правда, представители Роскомнадзора пока никого за это не штрафуют — и не факт, что будут штрафовать.

В пункте 2 ст. 22 ФЗ «О персональных данных» перечислены случаи, когда уведомление в Роскомнадзор подавать не требуется. Всего таких случаев девять.

Самый распространенный — персональные данные получены в связи с заключением договора, если при том персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных.

Эти данные должны использоваться исключительно для исполнения указанного договора и заключения договора с субъектом персональных данных.

Заключение

Если на сайте не размещена политика обработки персональных данных, то его владелец не выполняет требования Закона «О персональных данных».

Указанные выше рекомендации относятся ко владельцам любых сайтов, которые так или иначе поддерживают обратную связь со своими посетителями.

Дополнительные требования могут быть предъявлены к интернет-магазинам, сервисам по подбору персонала, сервисам бронирования билетов, приема платежей, сетевых изданий (СМИ) и т.п. Про использование персональных данных в СМИ я напишу отдельно.

Поэтому прошу внимательно отнестись к подготовке документов, не используя «типовых форм политики обработки персональных данных», поскольку их не существует. За помощью обращайтесь к юристам, специализирующимся в этой отрасли.

Постскриптум

А вы знали, что дополнительные требования к информации, размещаемой на любых сайтах установлены и Федеральным законом «Об информации»?

Источник: https://www.intellectpro.ru/press/works/personal_nye_dannye_na_sayte/

Является ли нарушением тайны персональных данных сотрудника его фото на корпоративном сайте? – Информационный Центр Искра

Размещение персональных данных на сайте без согласия

РУБРИКА КАДРОВЫЙ ВОПРОС

Без согласия работника нельзя размещать его биометрические данные (фото и пр.), например, на Доске почета или на каком-то другом информационном стенде.

А как же быть с социальными сетями компаний, с Instagram, ВКонтакте, прочими группами, которые сегодня стремится заводить любая уважающая себя структура? Доступ в эти паблики – часто свободный.

Но никто не имеет привычки собирать согласия работников, размещая разные корпоративные снимки. Какое может быть наказание за это нарушение (если это нарушение), если следовать Положению о защите ПД?

Правовую основу регулирования отношений в сфере персональных данных составляет Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», действие которого распространяется на все юридические лица, независимо от их организационно-правовой формы, и физические лица, включая индивидуальных предпринимателей, которые осуществляют обработку персональных данных.

Для представительства организации в сети Интернет, а также для решения проблемы коммуникации между сотрудниками руководители принимают решение о создании корпоративных сайтов. На указанных сайтах и внутренних порталах, к которым имеют доступ как клиенты организации, так и работники, часто размещаются персональные данные сотрудников организации.

Согласно ст. 3 Закона № 152-ФЗ персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

В соответствии с п. 3 ст.

3 Закона № 152-ФЗ под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Не забываем, что Федеральным законом № 152-ФЗ установлены особые требования об обработке биометрических персональных данных, которая может осуществляться исключительно при наличии согласия в письменной форме субъекта персональных данных.

В соответствии с ч. 1 ст. 11 Федерального закона от 27 июля 2006 г.

№ 152-ФЗ «О персональных данных» к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, такие как изображение человека (фотография и видеозапись), дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие.

Но из любого правила есть исключения. В соответствии со ст. 152.1 Гражданского кодекса Российской Федерации согласие не требуется в случаях, когда:

1) использование изображения осуществляется в государственных, общественных или иных публичных интересах;

2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;

3) гражданин позировал за плату.

Как мы видим, наличие письменного согласия на размещение фото- и видеоматериалов сотрудников организации на корпоративных сайтах зависит от целей использования изображений и мест их получения.

За нарушение положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника согласно статье 90 Трудового кодекса РФ виновные лица привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Таким образом, во избежание спорных ситуаций считаю, что работодателю следует разработать и принять соответствующие локальные нормативные акты, регламентирующие порядок разработки, наполнения корпоративных сайтов в организации, ознакомить с ними работников в порядке ст. 74 ТК РФ, а также в любом случае получить от работника согласие на обработку биометрических персональных данных.

Елена КАРАСЕВА, ведущий специалист по вопросам трудового права и кадрового делопроизводства; директор Агентства трудовых споров.

Досье эксперта:

Большой опыт публичных выступлений (для коммерческих и муниципальных предприятий по вопросам практики применения норм трудового права с учетом существующих изменений в ТК РФ).Образование: высшее юридическое, СибАГС, Новосибирск; Высшее педагогическое, НГПУ, Новосибирск.

Материал предоставлен редакцией
газеты «Правовое обозрение»

Подписаться на онлайн-версию

Источник: https://ic-iskra.ru/news/3149-yavlyaetsya-li-narusheniem-tayny-personalnykh-dannykh-sotrudnika-ego-foto-na-korporativnom-sayte

Как избежать штрафов в связи с поправками к закону о персональных данных

Размещение персональных данных на сайте без согласия

Почти все владельцы сайтов обрабатывают персональные данные — например, собирают почтовые адреса для рассылки.

1 июля 2017 года вступают в силу изменения в законе о персональных данных, из-за которых в разы вырастут штрафы. Максим Лагутин, эксперт по персональным данным в компании Б-152, рассказывает, на кого это повлияет и как избежать штрафов.

Максим Лагутин

Эксперт по защите персональных данных,
основатель консалтинговой компании Б-152 Сейчас по статье 13.11 есть только одно нарушение со штрафом 10 000 рублей для юрлиц. После 1 июля их станет семь и общий штраф может составить до 295 000 рублей.Почему сейчас? Все штрафы, которые вступают в силу с 1 июля, являются наиболее частыми нарушениями, которые Роскомнадзор выявлял в течение последних пяти лет. Ужесточение нашего законодательства связано с ужесточением законодательства в Евросоюзе.Например, если в форме обратной связи нет ссылки на соглашение на обработку персональных данных, компания должна будет заплатить 50 000 рублей. Если на сайте нет политики конфиденциальности, ИП оштрафуют на 10 000 рублей, компанию — на 30 000 рублей.

Операторов персональных данных. Оператор — любая организация, ИП и физическое лицо, которые обрабатывают персональные данные, например, собирает электронные адреса для рассылки.

Определение из закона 152-ФЗ «О персональных данных»:

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Любые данные о человеке, по которым его можно опознать. Точного перечисления в законе нет, но, например, если логин пользователя нам ни о чем не говорит, то электронная почта — это уже персональные данные.

Определение из закона 152-ФЗ «О персональных данных»:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Неважно, используете ли вы эту информацию по отдельности или в сочетании — если вы как-то получаете ее от пользователей, вы — оператор персональных данных.

  • Email
  • Телефон
  • Имя, фамилия, отчество (и по отдельности)
  • Адрес
  • Дата рождения
  • Фотография
  • Ссылка на персональный сайт и профиль в соцсетях

Трактовка расплывчатая, но исходя из позиции судов и Роскомнадзора даже cookie, данные об IP-адресе, местоположении без указания фамилии и имени являются персональными данными. В деле LinkedIn (который заблокировали за использование cookie, сведений о поведении пользователя на странице и сведений о местонахождении) и провайдера Скартел позиция судов и Роскомнадзора подтверждается.

Если на вашем сайте есть любая форма сбора данных — обратной связи, подписки на рассылку, регистрации или личный кабинет, это считается обработкой персональных данных.

Хранение и сбор тоже попадают под определение обработки. Даже если вы собираете данные и через пару минут удаляете, это будет считаться обработкой персональных данных.

Определение из закона 152-ФЗ «О персональных данных»:

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Вам нужно сделать так, чтобы сайт соответствовал требованиям 152-ФЗ. Эти требования применимы для всех — физических лиц и компаний. Убедитесь, что вы соблюдаете следующие условия:

Хостинг и база данных с персональными данными должна располагаться на территории России. Об этом прямо говорят данные проверок Роскомнадзора (снова LinkedIn) и закон № 242-ФЗ, который обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года.

Это касается иностранных компаний с юрлицом в России и без него, а также российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. Все осложняется тем, что требования Роскомнадзора до конца не ясны, приходится догадываться самим. Подробнее о локализации данных рассказывается в статье.

Если вы не понимаете, где хранить данные и что делать, обратитесь с запросом в Роскомнадзор или Минкомсвязи. И возможно у вашего хостинг-провайдера есть готовые решения на такой случай.

Под каждой формой сбора данных, включая сбор email, разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». В тексте должна быть ссылка на документ — Пользовательское соглашение, договор или согласие на обработку персональных данных. Текст самого документа можно разместить на отдельной странице.

В Тильде в каждом блоке с формой сбора данных есть поле, в котором можно разместить текст о согласии на обработку данных и ссылку на соглашение и таким образом выполнить требование закона.

Какая информация должна быть в соглашении об обработке персональных данных

Согласно ч.4 ст.

 9 закона 152-ФЗ «О персональных данных» в соглашении обязательно должна быть следующая информация:

  • наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

Также нужно указать информацию о том, как физическое лицо может отозвать свое согласие на обработку персональных данных (ч.2 ст. 9 152-ФЗ «О персональных данных»).

Разместить на сайте в общем доступе (например, в подвале сайта) ссылку на документ — политику организации в отношении обработки персональных данных на сайте.

Показывать всем новым пользователям сайта предупреждение с текстом о том, что вы собираете метаданные пользователя (cookie, данные об IP-адресе и местоположении) для функционирования сайта и, если он не хочет, чтобы эти его данные обрабатывались, то должен покинуть сайт.

На Тильде блок с предупреждением находится в категории «Другое» под номером Т657

Подать уведомление, чтобы внести организацию в реестр операторов персональных данных Роскомнадзора — можно сделать через сайт.

Уведомление можно не подавать, если вы:

  • обрабатываете только данные работников и только для исполнения требований трудового законодательства (без передачи данных в банки, например, оформления зарплатного проекта)
  • обрабатываете данные, заключая договор с каждым клиентом и работником, и не передаете данные третьим лицам
  • обрабатываете персональные данные только на бумажных носителях.

Другие исключения, когда уведомление в Роскомнадзор можно не подавать, содержатся во втором пункте статьи 22 закона 152-ФЗ.

Подтверждать статус оператора в Роскомнадзоре не нужно. Вы или ваша компания итак уже является оператором, если имеет доступ к персональным данным.

Выше мы назвали главные требования, которые Роскомнадзор предъявляет ко всем сайтам — неважно, физическое вы лицо или юридическое. Ниже еще несколько групп требований, которые должны дополнительно выполнять юридические лица.

Что нужно еще сделать компаниям:

Назначить ответственных лиц и разработать пакет внутренних документов, регламентирующих процессы обработки и защиты персональных данных.

Правильно отрегулировать взаимодействие с физическими лицами, государственными органами и контрагентами. Это значит, вам нужно:

  1. Подписать с сотрудниками обязательства о неразглашении персональных данных, согласие на обработку персональных данных и под роспись ознакомить их с внутренними документами по персональным данным.
  2. Со всеми другими физическими лицами подписывать согласие на обработку персональных данных или добавлять пункты об обработке персональных данных в договоры, которые вы заключаете.
  3. Заключать поручения на обработку персональных данных, если вы передаете кому-то данные физических лиц (например, рекламным агентствам).
  4. Отвечать на запросы физических лиц по поводу обработки их персональных данных — не игнорировать, как часто делают.

Защитить персональные данные техническими и организационными мерами — антивирусными системами, средствами межсетевого экранирования, разграничить права доступа. Все это прописано в приказе ФСТЭК № 21. В зависимости от требований проверять компанию могут разные инстанции: Роскомнадзор, ФСТЭК и ФСБ России. Самые редкие случаи проверки для частных организаций — проверка технической защиты персональных данных, это делает ФСБ в малом количестве.

ФСТЭК

Федеральная служба по техническому и экспортному контролю

Основной риск представляет Роскомнадзор, проводящий тысячи проверок в год.

Если раньше сумма штрафов для юридических лиц не превышала 10 000 рублей, то с 1 июля она спокойно может доходить до 300 000 рублей. Если нарушений несколько, штрафов тоже будет несколько.

Например, если вам напишет пользователь и попросит уточнить или удалить его персональные данные с вашего сайта, а вы не предоставите эту информацию, то штраф для физических лиц будет до 2000 рублей, для ИП — до 20 000 рублей, для компаний — до 45 000 рублей. Все штрафы можно посмотреть в поправках к закону.

Как правило, вначале Роскомнадзор присылает «письмо счастья», в котором указывает выявленные нарушения на сайте, связанные с неправомерной обработкой персональных данных. Хотя в случае с астраханскими сайтами, которых оштрафовали за форму обратной связи на сайте, проверку просто начали по алфавиту.

Пример «письма счастья»:

Еще Роскомнадзор может запросить большой список документов. Если проверка выявит нарушения, то Роскомнадзор может заблокировать сайт, наложить штрафы и в редких случаях приостановить деятельность компании. Не ждите «письмо счастья». Начните выполнять все основные требования, чтобы избежать плачевных последствий и штрафов.

Максим Лагутин
Иллюстрации, дизайн и верстка: Юлия Засс

Если материал вам понравился, расскажите о нем друзьям. Спасибо!

Источник: http://tilda.education/articles-personal-data-law

Консультант закона
Добавить комментарий