Практически все владельцы сайтов имеют дело с обработкой персональных данных (далее – ПД), потому что они делают рассылки по каким-то адресам, берут в штат сотрудников, заключают с ними договоры. Даже в обратной связи интернет-магазина необходима политика конфиденциальности. Так что любая организация является оператором персональных данных.
В России за незаконную обработку персональных данных гражданам выносится предупреждение или штраф до 3 тысяч рублей, должностные лица уплатят до 10 тысяч, а юридические — от 30 до 50 тысяч рублей штрафа (ст.13.11 КоАП РФ).
Целями сбора могут быть: заключение договоров о работе (сотрудничестве), купле-продаже, услугах. В то же время, информацию о человеке может собирать другой человек, например, для шантажа или других противоправных действий. Такие цели сбора ПД влекут за собой административную ответственность.
Отношения, связанные с обработкой персональных данных, регламентирует Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Закон о персональных данных). В нем отражены основные понятия, касающиеся информации о гражданине РФ: что такое ПД и их обработка, кто такой оператор, что такое обезличивание данных и другие.
В Законе о персональных данных конкретно не указано, что именно считается персональными данными. В статье 3 закона под этим понятием фигурирует любая информация, которая касается человека тем или иным образом. Если следовать определениям закона, то в список персональных данных можно внести:
Ситуацию в вопросах обработки данных отслеживает, в числе прочих инстанций,Роскомнадзор. Он предлагает оперировать идентификацией, простыми словами — распознаванием личности по совпадению признаков.
Например, если установлено, что имя, фамилия, данные паспорта, банковский счет, ИНН принадлежат одному конкретному человеку, то можно говорить об идентификации. А если есть только имя и фамилия, то для идентификации понадобится дополнительная информация, а по отдельности ФИО или номер телефона не являются персональными данными.
В целях безопасности ПД можно обезличить, как это рекомендует Роскомнадзор — сделать так, что без дополнительных способов идентифицировать человека будет невозможно.
Обработкой персональных данных закон считает сбор, хранение, передачу, систематизацию, составление списков, распространение и даже обезличивание или ликвидацию. За все эти действия, если они проводятся незаконно, оператор будет нести административную ответственность.
Чтобы обработка персональных данных была законной, составляется документ, которым гражданин Российской Федерации разрешает заинтересованной стороне получать, собирать, хранить и использовать персональные сведения о себе. При этом оператор (компания) гарантирует гражданину конфиденциальность и обязуется применять данные только в строго обозначенных законом целях и защищать ее от неправомерных действий.
На сайте в любой графе или форме, касающейся ПД, должна быть фраза о том, что если пользователь нажмет “на кнопку”, то он согласен на обработку информации о себе. Здесь же должна быть ссылка на документ, в котором подробно описаны условия соглашения. Обычно его размещают на отдельной страничке сайта.
В соглашении должна присутствовать следующая информация:
В футере сайта нужно разместить ссылку на политику организации процедуры обработки и защиты ПД. Все новые пользователи данного ресурса должны видеть положение об этом. Например, “наш сайт использует файлы cookie, если вы не хотите, чтобы ваши данные подвергались обработке, покиньте сайт”. О мерах, которые должен принимать оператор для обеспечения соблюдения законности, сказано в статье 18.1 Закона о персональных данных.
В каждой компании руководство должно назначить ответственных за обработку персональных данных, обычно это работники отдела кадров. С ними заключается договор о подобных обязанностях и составляется приказ, однако, наличие его не всегда строго обязательно.
Закон говорит о том, что оператор должен составлять локальные акты, однако списка таких документов не указывает. Можно предположить, что к ним относятся те же документы об оценке вреда пользователям из-за нарушения закона или приказы об осуществлении внутреннего контроля.
Компании (операторы), которые получили персональную информацию о своих работниках, не вправе разглашать ее. ПД запрещено передавать и распространять без согласия субъекта. При оформлении на работу руководство подписывает документ о неразглашении персональных данных.
Сотрудник же соглашается на их обработку, его знакомят с корпоративными документами о процедурах с персональными данными. Все эти бумаги предоставляются под подпись. Рекомендуется добавлять во все соглашения пункты об обработке персональных данных.
Компания, которая заключает договоры о сотрудничестве, подписывает также поручения о передаче информации о физических лицах (если речь идет, например, о рекламе их деятельности). Вышеуказанные действия будут свидетельствовать о соблюдении компанией политики конфиденциальности.
Cookie-файлы (далее также – куки) — это небольшие текстовые файлы, размещаемые на компьютере веб-сайтами, посещенных пользователем. Здесь тоже нужна политика конфиденциальности. Cookie-файлы могут содержать, в том числе, логин, пароль, имя, e-mail, геоданные, IP-адрес.
Куки нужны для того, чтобы у компаний был доступ к статистике и свидетельство того, что они соблюдают законность в вопросе обработки ПД. Например, благодаря cookie-файлам можно узнать, какие страницы больше всего посещают пользователи, какие — нет. Исходя из этих данных, владельцы сайта рассчитывают бюджет на рекламу.
Например, если какие-то посетители турагентства раньше заходили на страничку о Египте, то теперь им можно предложить отдых во Вьетнаме. Реклама автоматически будет появляться в браузерах таких пользователей благодаря cookie-файлам.
Куки играют важную роль в настройке таргетинга (показа пользователям информации, которой они интересуются). Если человек зашел на сайт и зарегистрировался там, то в следующий раз у него не спросят логин и пароль, если он осуществит вход на том же устройстве. Так что пользователям сервис куки также полезен. Таргетинг может настраиваться по геопозиции, возрасту и так далее, но это уже другая история.
Меры по обеспечению конфиденциальности и безопасности персональных данных подробно регламентируютсяприказом Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18 февраля 2013 года №21. Любую компанию могут проверить на предмет защиты ПД федеральные органы исполнительной власти, наделенные необходимыми полномочиями для обеспечения конфиденциальности персональных данных и информационной безопасности. К ним, в частности, относятся, Роскомнадзор, ФСБ России и ФСТЭК России. Нарушение указанных требований может привести к серьезным негативным последствиям для операторов персональных данных.
Например, случай с LinkedIn известен всему миру. Информация об этом находится в открытом доступе. Сайт был заблокирован в 2016 году за то, что компания использовала персональные данные пользователей (их адреса и действия) без получения согласия.
Еще более скандальный случай произошел в октябре 2018 года. Британское информационное бюро (ICO) оштрафовало социальную сеть Facebook на 500 000 фунтов стерлингов за передачу персональных данных 87 млн юзеров компании CambridgeAnalytica. По данным ТАСС, последняя сотрудничала с президентом США Дональдом Трампом, а полученная информация была использована во время выборов.
О том, как правильно составить положение об обработке ПД, читайте в нашей статье.
Поделиться:
Мы поможем вам от А до Я.
В оценке затрат и рисков. При принятии решения о продолжении судебного процесса или урегулирования. Мы сосредотачиваем наш опыт и энергию на создании прочного фундамента взаимоотношений.
Предыдущая статья
Написать в Телеграм
Написать в WhatsApp