Главная / Консультации / Обработка персональных данных.
Задать вопрос
опубликовано:

Обработка персональных данных.

Прежде всего, стоит определиться понятиями, установленными законодательством о ПД. В силу ст. 2 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» к ПД относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД). Таким образом, в качестве ПД может быть не только ФИО и паспортные данные, но все, что угодно, в том числе телефон, семейное положение, адрес, любимые блюда, интересы субъекта и т.п. Субъектами признаются только физические лица.

Под обработкой ПД понимается любое действие (операция) или совокупность действий (операций), совершаемых с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД. Обработка может производиться с использованием средств автоматизации или без использования таких средств.

К операторам законодательство относит государственные органы, муниципальные органы, юридических или физических лиц, самостоятельно или совместно с другими лицами организующими и (или) осуществляющими обработку ПД.

Таким образом, сайт, получающий сведения о физических лицах, осуществляет обработку персональных данных и является оператором.

Что нужно соблюсти при обработке персональных данных?

По общему правилу при обработке ПД требуется согласие субъекта на такую работку. Согласие на обработку ПД может быть дано субъектом в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Способ и форму получения согласия оператор персональных данных определяет самостоятельно. Если речь идет о сайте, то, как правило, согласие дается путем проставления галочки напротив графы «Я даю согласие на обработку моих персональных данных и принимаю условия и порядок обработки персональных данных, установленные оператором» и нажатием кнопки «Далее».

В каких случаях требуется письменная форма согласия на обработку персональных данных?

Письменная форма согласия обязательно нужна в следующих случаях:

  • Если ПД попадут в общедоступные источники ПД (каталоги, справочники и т.п.);
  • Если в качестве ПД выступают сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
  • Если в качестве ПД выступают сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПД) и которые используются оператором для установления личности субъекта.
  • Если осуществляется трансграничная передача ПД на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов.
  • Если на основании исключительно автоматизированной обработки принимаются решения, порождающие юридические последствия в отношении субъекта или иным образом затрагивающее его права и законные интересы.

Равнозначным содержащему собственноручную подпись субъекта согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Например, такое согласие может быть дано при помощи электронной подписи в ЕСИА.

Также следует иметь ввиду, что на оператора всегда возлагается обязанность доказать, что он получил согласие от субъекта. В связи с этим целесообразно устанавливать системы идентификации личности или иного подтверждения, например, путем запроса кода, поступившего в смс-сообщении.

Нужно ли регистрироваться в Роскомнадзоре (РКН)?

В силу п. 1 ст. 22 N 152-ФЗ оператор до начала обработки ПД обязан уведомить Роскомнадзор о своем намерении осуществлять обработку ПД. Уведомлять не нужно, если осуществляется обработка ПД:

  • полученных в соответствии с трудовым законодательством;
  • в целях заключения и исполнения договора между оператором и субъектом, при условии, что ПД не передаются третьим лицам без согласия субъекта.
  • сделанных субъектом общедоступными;
  • включающих в себя только ФИО;
  • обработка ПД без использования сайта, персонального компьютера и иных средств автоматизации.

Таким образом, если пользователь в личном кабинете размещает какие-то данные, то он самостоятельно делает их общедоступными (не стоит путать с общедоступными источниками). Если пользователь акцептирует оферту (акцепт равноценен заключения договора между оператором и субъектом) и дает согласие на передачу таких данных третьим лицам, то уведомлять Роскомнадзор не нужно даже и в тех случаях, когда ПД субъекта передаются каким-то третьим лицам.

Какие документы необходимо разместить на сайте?

В силу п. 2 ст. 18.1 152-ФЗ Оператор обязан опубликовать на сайте документ, содержащий сведения об обработке ПД и их защите, а также обеспечить возможность доступа к указанному документу.

Это может быть, как отдельный документ, так и раздел в оферте (правилах, условиях и т.п.), регулирующих вопросы оказания услуг, продажи товаров. Как правило, такой документ публикуется отдельно, что, конечно же, удобнее и снизит риск возникновения споров с Роскомнадзором.

Как правило, такой документ содержит цели, задачи обработки ПД, состав такой обработки, условия защиты и хранения ПД, а также перечень ПД, предоставляемых субъектом ПД.

Трансграничная передача персональных данных.

Как уже говорилось ранее, для трансграничной передачи ПД требуется письменное согласие субъекта ПД, если иностранное государство не может обеспечить адекватную защиту ПД. Как правило, большая часть государств имеет нормативно-правовые документы, позволяющие обеспечить сохранность трансграничных ПД. Например, Германия является подписантом Конвенции о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года (ратифицирована ФРГ в 1985 году), что исключает необходимость получения письменного согласия субъекта на обработку ПД.

Вместе с тем, если стоит вопрос о хранении персональных данных за пределами РФ, то по общему правилу такие действия считаются незаконным. Данный вывод сделан на основании п. 5 ст. 18 152-ФЗ, в силу которого при сборе персональных данных, в том числе через «Интернет», оператор обязан обеспечить обработку персональных данных с использованием баз данных, находящихся на территории РФ.

В силу положений п. 1 ст. 18 152-ФЗ Оператор обязан принимать меры, необходимые и достаточные для защиты ПД. Оператор самостоятельно определяет состав мер, необходимых для выполнения таких обязанностей. В статье приводятся возможные меры, которые может принимать оператор, однако представляется, что как минимум оператор должен назначить ответственного за организацию обработки ПД.

Ответственность за нарушение законодательства о персональных данных.  

За несоблюдение требований об охране ПД предусмотрены ответственность. Для наглядности меры ответственности представлены ниже в таблице:

Вид нарушения

Ответственность

Для граждан

Для должностных лиц и ИП

Для юр. лиц

Непредоставление уведомления в РКН (Ст. 19.7 КоАП РФ)

Предупреждение или штраф:

от 100 до 300 р.

От 300 до 500 р.

От 3 до 5 т.р.

Нарушение порядка обработки ПД (ст. 13.11 КоАП РФ)

Предупреждение или штраф:

от 300 до 500 р.

От 500 до 1500 р.

От 5до 10 т.р.

Нарушение неприкосновенности частной жизни (ст. 137 УК РФ)

Штраф от 5 до в до 200 т.р. или в размере дохода за период 18 месяцев, либо обязательными работами до 360 часов, либо исправительными работами до 1 года, либо принудительными работами до 2 лет, либо арестом до 4 мес., либо лишением свободы на до 2 лет с лишением права занимать определенные должности. Уголовная ответственность применяется только к физическим лицам.

В данный момент прослеживается тенденция к усилению контроля за сохранностью ПД, в том числе к увеличению штрафов за нарушения в области обработки ПД. Полномочия по возбуждению таких дел будут переданы Роскомнадзору.

Из совокупного анализа предстоящих изменений можно сделать вывод, что граждане могут быть оштрафованы на сумму от 700 до 5 000 рублей, должностные лица – на сумму от 3 000 до 20 000 руб., ИП – на сумму от 5 000 до 20 000 руб., юридические лица – на сумму от 15 000 до 75 000 руб.

Вывод:

Учитывая предстоящее ужесточение штрафных санкций, законодательные тенденции в области охраны ПД, целесообразно с большей серьезностью подойти к вопросам, связанным с обработкой ПД, усилить контроль за соблюдением законодательства, принять меры, направленные на охрану ПД.

Читайте также


Консультации
Юридические услуги онлайн