Как работать с персональными данными клиентов и собирать согласия на их обработку

Содержание
  1. Мифы о 152-ФЗ
  2. Может ли оператор передать кому-нибудь персональные данные?
  3. Суть закона
  4. Популярные статьи
  5. Государственный контроль и надзор за обработкой персональных данных
  6. Что такое персональные данные?
  7. Федеральный закон № 152 “О персональных данных”
  8. Судебная практика по 152-ФЗ
  9. В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?
  10. Документы для сайта по 152 ФЗ О персональных данных
  11. Какие персональные данные оператор собирает через сайт и зачем?
  12. Выполнение требований 152-ФЗ в банковской сфере
  13. Что отразить в политике конфиденциальности
  14. Когда не нужно согласие
  15. Изменения и комментарии к закону
  16. Ограничения и условия использования персональных данных
  17. Когда уведомление Роскомнадзора не требуется
  18. Требуется ли владельцам сайтов согласие на обработку публикуемых персональных данных
  19. Основные требования к Политике конфиденциальности

Мифы о 152-ФЗ

Из-за того, что Федеральный закон «О Персональных данных» все еще размыт в своих определениях, возникли заблуждения, которые с постановлением не имеют ничего общего.

Первый миф. Если клиентская база данных находится в облачном хранилище, то согласно условиям ФЗ-152 ответственность перейдет на компанию, которая это хранилище обслуживает.

Нет, оператором по-прежнему остается организация, поместившая сведения в «облако». Дело в том, что интернет-хранилища — это накопители данных. У компании-владельца «облака» нет права использовать файлы своих клиентов. Поэтому хранилище отвечает за персональные данные. Это все равно, что надеяться на флеш-карту.

Второй миф. Если организация использует последнюю версию антивируса на своем ресурсе, это считается соблюдением ФЗ-152 2006 г.

Нет. Главное содержание законопроекта в том, чтобы защищать исключительно персональные данные физических лиц, а так как базы данных не хранятся на публичных сайтах, то и использование антивируса не считается защитой частных сведений. Хорошо, когда компании с ответственностью подходят к своей безопасности, но лучше доверить защиту личной информации профессионалам.

Юристы убеждены, что Федеральный закон «О Персональных данных» ждет еще не одна поправка. Но несмотря на это ФЗ-152 уже на протяжении 13 лет практикуется в нашей исполнительной системе. Каждый год по причине несоответствия закону закрываются новые сайты, а их владельцам выписывают штрафы.

httpv://www.youtube.com/watch?v=embed/WsKMIE8qJhU

Может ли оператор передать кому-нибудь персональные данные?

Оператор может передавать ПД третьим лицам только с вашего согласия, если иное не предусмотрено законом.

Примеры, когда согласие нужно: работодатель передает ваши ПД сторонней организации для бронирования отелей, покупки авиабилетов или оформления пропуска.

Примеры, когда согласие не нужно:

  • управляющая организация или правление товарищества собственников жилья вправе предоставить ваши ПД (Ф.И.О., номер квартиры, сведения о размере доли) организатору созыва общего собрания собственников жилья;
  • работодатель вправе передавать ваши ПД в ФСС, ПФР, налоговые органы, по запросу в суд, прокуратуру, правоохранительные органы и т.д.

Предоставление такого согласия является добровольным. Оператор не может принуждать вас это сделать.

Суть закона

Требования постановления заключаются в следующих аспектах:

  1. Организация обрабатывает персональные данные только при заключении письменного соглашения с владельцем.
  2. Биометрические сведения не разглашаются третьим лицам.
  3. Хранить информацию можно только на территории России. Это условие соблюдается для всех видов носителей, в том числе и хостингов интернет-сайтов.
  4. Оператор использует частные данные исключительно при процессах, оговоренных в соглашении. С ними владелец информации ознакомлен.
  5. При завершении работы организация обязана уничтожить данные.

Контролируют соблюдение всех условий закона государственные организации:

  • Роскомнадзор;
  • Федеральная служба по техническому и экспортному контролю;
  • трудовая инспекция.

У законопроекта три действующие стороны: организация,  использующая ПДн, лицо, которому они принадлежат, и исполнительные органы, следящие за правоотношениями участников.

Популярные статьи

  • 12.3K
  • 6 мин.

Алгоритмы Google: как улучшить позиции, не попав под санкции

А вы знаете, как можно повлиять на ранжирование в Google и опередить своих конкурентов, угодив требованиям поисковика? В статье мы расскажем об основных алгоритмах Гугл и их задачах, дадим советы по продвижению. А главное, расскажем, как не попасть под фильтры и не понизить свои позиции в поисковой системе Google.

  • 9 апреля 2018
  • Продвижение
  • 48.9K
  • 18 мин.

Стратегия продвижения: ТОП-3 лучших стратегий

От правильно выбранной стратегии продвижения сайта зависит не только количество трафика, привлеченного из поиска на сайт, но и скорость его привлечения, а значит, ваши продажи и прибыль. Рассмотрим основные параметры, по которым следует анализировать сайт и, опираясь на них, правильно определять стратегию продвижения.

  • 28 ноября 2018
  • Продвижение
  • 25.4K
  • 16 мин.

Рисуем портрет: как найти и определить целевую аудиторию

  • 18 июня 2020
  • Продвижение

Государственный контроль и надзор за обработкой персональных данных

В ее функции входит:

  • запросы на предоставление личной информации для выполнения своих полномочий;
  • проверка полученной от источников информации;
  • выставление требований к операторам об уничтожении личных сведений;
  • принятие необходимых действий для прекращения обработки частных данных, если процесс не соответствует закону;
  • подача в суд на организации, нарушающие ФЗ-152.

Помимо функций, связанных с поддержанием федерального постановления, Роскомнадзор участвует в улучшении, а также уточнении ФЗ-152. Происходит это путем выдвижения на рассмотрение законодательных инициатив. Хотя, по сути, Роскомнадзор все еще остается исключительно исполнительным органом власти.

Что такое персональные данные?

Персональные данные (ПД) – это любая информация о человеке. ПД бывают трех видов: общие, специальные и биометрические.

1. Общие ПД

С номером телефона сложнее. Сам по себе номер как набор цифр – это не ПД, поскольку он не может персонифицировать субъекта данных, он обезличен. Но ситуация меняется, когда помимо номера есть информация о человеке. В этом случае он может быть признан ПД. То есть записанный номер телефона без указания на человека, которому он принадлежит, не относится к персональным данным. Но если, например, на сайте вы нашли номер телефона и Ф.И.О. его владельца, он будет считаться ПД.

Не являются персональными данными: госномер транспортного средства, так как он относится не к человеку, а к автомобилю; лицевой счет ЖКХ, поскольку он относится к квартире.

Перечисленные выше ПД могут обрабатываться только с вашего согласия и лишь в некоторых случаях без него (об этом ниже).

2. Специальные ПД

Это данные о расовой и национальной принадлежности, политических, религиозных и философских убеждениях, состоянии здоровья, интимной жизни и т.д.

Обработка таких ПД не допускается, за исключением следующих случаев:

  • вы дали письменное согласие на обработку, т.е. подписали документ, в котором выразили свое согласие;
  • обработка в целях оказания медицинской помощи; при этом вам не могут отказать в медпомощи, если вы отказываетесь подписать согласие на обработку специальных ПД;
  • обработка в целях страхования;
  • обработка ПД госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности, а также иные исключения, предусмотренные ч. 2 ст. 10 Закона о персональных данных.

3. Биометрические ПД

Это данные о физиологических и биологических особенностях человека, которые позволяют установить его личность. К биометрическим ПД относятся: ДНК, голос, радужная оболочка глаза, отпечатки пальцев, изображение лица, рост, вес и т.д.

Такие ПД могут обрабатываться только с письменного согласия, за исключением случаев, когда обработка осуществляется госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности; а также в иных случаях, предусмотренных ч. 2 ст. 11 Закона о персональных данных.

Федеральный закон № 152 “О персональных данных”

Из названия этого закона вы можете понять, что он предусматривает защиту персональной личной информации простых посетителей. То есть этот закон регулирует информацию, которую имеет право получать тот или иной ресурс.

Например, некоторые ресурсы с помощью определенных скриптов могли парсить контакты пользователей, чтобы потом рассылать им рекламу.

Естественно, простым людям такие манипуляции не особо нравятся. Они не хотят, чтобы какие-то рекламщики имели доступ к их личным страницам ВКонтакте, электронной почте или к номерам мобильных телефонов. Последнее особенно болезненно, потому как звонки от всяких рекламных агентств начинают реально доводить людей до психоза. Им приходится менять номера телефонов, только бы надоедливые колл-центры отстали со своей рекламой.

Но я разобрал наиболее серьезный случай. На практике такое случается довольно редко, чаще сайты собирают другую информацию, которая никак не связана с конкретными контактами.

Более 100 крутых уроков, тестов и тренажеров для развития мозга

Начать развиваться

В любом случае под персональными данными понимаются абсолютно любые сведения, которые относятся к определенному физическому лицу. Это может быть Ф. И. О., дата рождения, адрес электронной почты, номер телефона, информация о работе, социальном положении, образовании, месте проживания, интернет-провайдере и т. д.

То есть за любые сведения, которые ваш ресурс получает от посетителей, вы можете получить штраф. Даже за использование файлов cookie без уведомления пользователей об этом положено наказание в виде штрафа.

Люди, которые занимаются продвижением своих ресурсов также попадают в зону риска. Как правило, они собирают базы пользователей, чтобы в дальнейшем рассылать им акции, предложения и любые другие сведения.

Именно поэтому во всех этих случаях вы должны иметь политику конфиденциальности – документ, который рассказывает посетителям о том, на что вы имеете право при обработке их персональных данных. При прочтении этой информации пользователь должен дать свое разрешение на использование своей личной информации. Обычно это делается с помощью галочки, которая должна располагаться под всеми полями для ввода такой информации.

Если посетитель согласен на обработку своих персональных данных и он подтвердил свое разрешение при помощи чекбокса, то все риски автоматически с вас снимаются. То есть теперь все действия будут регулироваться именно вашей политикой конфиденциальности, в которой четко расписаны ваши права и обязанности. Там же прописаны права и обязанности пользователей, которые посещают ваш ресурс.

Если посетитель не дает свое согласие на обработку данных, то он должен игнорировать формы и не заполнять их. Если на вашем ресурсе используются куки, то вы должны уведомлять посетителей об этом посредством информационного блока – он должен быть виден на всех страницах сайта, чтобы пользователь точно увидел его.

Посетитель кликает на кнопку, тем самым показывая свое согласие на использование файлов cookie. Если же он не согласен с этим, то он должен незамедлительно покинуть ресурс. Об этом чаще всего в таких уведомлениях также есть информация.

В РФ это Роскомнадзор. Именно он контролирует такие вопросы и принимает решения в отношении физических, юридических и должностных лиц. Более подробно об этой организации можно прочитать на портале Роскомнадзора.

Как я и говорил ранее, если вы не будете соблюдать закон РФ, то вас накажут. Мера определяется самыми разными факторами. Максимальное наказание на данный момент – это штраф в размере 75 000 рублей. Но если вы простой гражданин, то штраф может составлять всего 3 000 – 5 000 рублей.

Теперь, чтобы вам было понятнее, я разберу вышеописанную информацию на тезисы:

  • под персональными данными понимается любая информация о посетителе: имя, место проживания, используемый браузер и т. д.;
  • собирать информацию о пользователях без уведомления их об этом – строго запрещено;
  • самый простой способ уведомить посетителей о сборе и обработке персональных данных – создать политику конфиденциальности. В ней должны быть отражены все вопросы, которые касаются этой темы;
  • использование cookies тоже является сбором персональной информации;
  • вы должны уведомлять всех своих пользователей о том, что сайт использует куки. Они смогут согласиться с этим, нажав соответствующую кнопку;
  • если посетитель против, чтобы вы использовали cookies, он должен незамедлительно покинуть сайт.

Надеюсь, что теперь вы имеете более полное представление об этом Федеральном законе. В целом здесь нет ничего сложно. Достаточно просто создать политику конфиденциальности и сделать уведомление об использовании cookies, если они, конечно, действительно используются.

Судебная практика по 152-ФЗ

Принятие законопроекта и его глобальная поправка вызвали массу судебных отзывов.

Первая жалоба была отправлена в Конституционный Суд Российской Федерации. Истец заявлял, что ФЗ-152 противоречит основному принципу Конституции РФ, то есть праву на частную жизнь. Суть иска заключалась в том, что исполнительные органы будут иметь доступ к личным сведениям без разрешения их владельца. И по приказу им будет доставлены сведения. Однако на заявление истца суд ответил отказом, так как посчитал, что персональные данные не подходят под определение «Частная жизнь», ведь субъект сознательно делится ими с оператором.

Следующее судебное разбирательство было связано с размещением личных данных гражданина в региональной газете. Редакция позволила себе упомянуть на своих страницах частную информацию об истце без его согласия. В ответ на этот текст гражданин отправил иск в Верховный Суд Российской Федерации с требованием закрыть печатное СМИ. В результате слушания суд решил в принудительном порядке закрыть газету.

В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?

2 параграф ФЗ 152 2006 г. о персональных данных проводит разъяснение о тех случаях, когда согласие на обработку данных не требуется. Организация может безнаказанно работать с личной информацией в следующих случаях:

  • Если обработка сведений предусмотрена законодательством Российской Федерации без разрешения владельца.
  • Если личная информация используется в судопроизводстве.
  • Если ПДн использует исполнительная ветвь власти РФ.
  • Обработка на портале Госуслуги.
  • При заключении договора о приобретении товара или услуги.
  • Использование частных сведений необходима в жизненно опасных ситуациях, когда владелец не способен дать разрешение.
  • В художественном произведении при условии ненарушения прав субъекта.
  • В журналистских расследованиях и научных работах.
  • Если личные сведения раскрыты в соответствии с Федеральным Законом.

Документы для сайта по 152 ФЗ О персональных данных

Теперь предлагаю сформировать документы для сайта по 152 ФЗ О персональных данных. Ранее сервис предлагал воспользоваться бесплатным тарифом. Теперь остался только платный тариф, но цена вполне приемлемая.

1 этап: кнопка Создать – кнопка Начать

2 этап: укажите тип владельца сайта. Это может быть физическое лицо, Юридическое лицо, Индивидуальный предприниматель. Кто вы?

3 этап: укажите данные владельца сайта: ФИО, адрес регистрации. Недостоверные данные могут повлечь за собой штраф.

4 этап: укажите название сайта и его адрес. В поле адрес введите URL вашего сайта. Название сайта – в моем случае, это Блог Ольги Абрамовой.

5 этап: укажите, как предоставляется доступ к сайту. Бесплатно, платно, или с использованием обоих вариантов.

6 этап: укажите способ связи с владельцем сайта: телефон, адрес электронной почты, форма обратной связи. Любой из выбранных пунктов требует достоверных данных. Если вы выберете телефон, то вам придется указать его номер.

7 этап: выбор данных, которые обрабатываются на вашем сайте согласно ФЗ 152 «О персональных данных». Что отметила я, вы можете посмотреть на скриншоте.

8 этап: дальше вам необходимо определиться с пунктами, которые есть на вашем сайте: выбрать формы, через которые вы собираете персональные данные и указать, есть ли счетчики на вашем ресурсе.

9 этап: укажите, какие из перечисленных видов услуг предоставляет ваш сайт. Мой выбор смотрите на скриншоте:

10 этап: цель обработки персональных данных. Выделите те, которые вы считаете нужными.

11 этап: заполните форму данных для связи.

Все, что вам осталось сделать, это нажать на кнопку Получить документы. После этого вам необходимо дать ссылку на онлайн-сервис в социальной сети. Представлено всего два варианта: Facebook и Вконтакте. По требованию ресурса информацию из ленты нельзя удалять в течение трех дней. В противном случае сформированные документы на вашем сайте будут заблокированы!

Какие персональные данные оператор собирает через сайт и зачем?

ПД, которые могут быть собраны оператором через сайт, условно можно разделить на две группы.

В этом случае объем переданных ПД вы можете определить сами. Согласие на обработку таких данных обычно можно предоставить путем:

  • проставления галочки в специальном окне («Я даю свое согласите на обработку персональных данных» );
  • принятия условий публичной оферты, опубликованной на сайте; обычно оплата товара означает согласие с условиями.

2. ПД, которые оператор собирает без предоставления вами информации.

В основном это файлы куки (cookie) – небольшие текстовые файлы со служебной информацией с сайта (сведения о программном обеспечении, которым вы пользуетесь, IP вашего компьютера, информация о вашем браузере).

Ваше согласие на обработку этих ПД оператор получает, если вы остаетесь на сайте после того, как появилось всплывающее окно с информацией примерно следующего содержания: «Продолжая использовать настоящий сайт, вы даете согласие на обработку файлов cookie в целях функционирования сайта. Если вы против обработки ваших данных, незамедлительно покиньте сайт».

Выполнение требований 152-ФЗ в банковской сфере

Именно изменение закона в 2011 году позволило Российскому Центробанку иметь дело с документами, которые тем или иным образом касаются обработки личных данных. Однако в связи с этим возникло несколько законодательных конфликтов. Дело в том, что условия ФЗ-152 начали конфликтовать с некоторыми положениями «Стандарта Банка России».

Основной конфликт двух государственных документов произошел в связи с методами безопасного хранения конфиденциальной информации. ФЗ-152 приемлет только те виды защиты данных, которые прописаны в его регламенте. В то время как Банк России пользуется совершенно иными средствами. К этому следует добавить также понятийное несоответствие. Так, под определение клиентских сведений попадают все платежные процессы, что делает их совершение более затруднительным.

Поэтому до сих пор выполнение требований закона «О персональных данных» структурами банка не до конца регламентировано и ждет более четких сводов прав и обязанностей.

Что отразить в политике конфиденциальности

Утвержденной законом формы этого документа нет, но есть перечень сведений, которые обязательно должны в нем быть:

  • основание и цель сбора персональных данных;
  • наименование, контактные данные и адрес;
  • информация о том, кто обрабатывает данные. Если этим занимается другая компания, то вписывается информация о третьих лицах, у которых есть доступ к данным;.
  • виды данных для обработки и источники их получения;
  • сроки обработки и хранения персональных данных;
  • способ соблюдения прав субъекта, предусмотренных законом «О персональных данных»;
  • информация о передаче данных за пределы России.

Всю эту информацию можно изложить в свободной форме. Требование одно — субъект должен понимать, куда отправляются его персональные данные, как их используют и охраняют. 

Когда не нужно согласие

  • необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
  • осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
  • осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
  • необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных;
  • необходима для доставки почтовых отправлений и расчетов с организациями почтовой связи;
  • осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности;
  • осуществляется в отношении данных, подлежащих опубликованию — например, данные лиц занимающих государственные должности.

Изменения и комментарии к закону

Первое краткое дополнение к законопроекту было добавлено в 2009 году вместе с принятием ФЗ под номером 363. Это изменение повлияло на цифровую систему обработки. Все операторы с 2010 г. должны были перейти на единую программу хранения и использования частной информации.

Новое изменение вступило в силу в июле 2011 года. Эта поправка концентрировалась на поправке многих положений закона. Уточнялись условия попадания информации, пояснялись нормы, касающиеся передачи сведений, расширялся регламент принципов

Также большое внимание уделялось соблюдению правил безопасного применения и хранения данных, ужесточились наказания за несоблюдение норм, прописанных в постановлении

Последнее на данный момент изменение в ФЗ-152 было утверждено в феврале 2017 года. Это дополнение перенесло нарушение условий законопроекта в разряд административных преступлений. С момента внесения поправки недобросовестные операторы начали караться рублем. Штраф за несоответствие ФЗ-152 начал составлять сумму от 40 000 до 75 000 рублей, в зависимости от категории нарушения.

Ограничения и условия использования персональных данных

Наибольшие затруднения с правовой и технической стороны вызывают изменения 152-ФЗ в части возможности установления субъектом персональных данных в согласии ограничений и условий их использования.

Оператор ПДн обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения (п.1 ст.10.1 ФЗ 152).

Если в согласии прямо не указано, что субъект не установил запретов и условия их использовании или не определил категории и перечень ПДн, к которым такие запреты и условия относятся, оператор ПДн вправе осуществлять их обработку без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц (п.5 ст.10.1 ФЗ 152).

На основании п.9 новой статьи 10.1 ФЗ 152, в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.

При этом оператор обязан обеспечить субъекту возможность установления запретов и условий использования персональных данных. Отказ оператора в установлении субъектом персональных данных предусмотренных выше запретов и условий, не допускается.

Более того оператор, оператор обязан в срок не позднее 3 рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения (п.10 ст.10.1 ФЗ 152).

Иными словами, для обеспечения возможности использования третьими лицами опубликованных в общем доступе персональных данных, помимо ознакомления с ними (получения доступа), владелец сайта (оператор ИСПДн) обязан получить согласие субъекта на их распространение. Одновременно оператор должен обеспечить возможность установления запретов и условий использования отдельных категорий и перечня ПДн и опубликовать данную информацию.

Представьте себе сайт для поиска работы, на котором публикуются резюме соискателей, или доску объявлений, где есть контактные данные пользователей. Как обеспечить с 1 марта возможность копирования с них персональной информации пользователей, размещенной в общем доступе?

Выше мы рассмотрели 2 варианта правовых оснований для обработки ПДн: по договору и на основании согласия. Что необходимо сделать в каждом из указанных случаев?

При наличии договора с субъектом ПДн согласие необходимо получать для обеспечения возможности копирования и последующего использования персональных данных неопределенным кругом лиц. Если такой задачи перед администрацией сайта не стоит, можно ограничиться включением в соглашение (договор) с пользователем и политику конфиденциальности, условий о возможности из предоставления заранее определенному кругу лиц (например, агентствам по подбору персонала или работодателям в примере с сайтами поиска работы).

Если владелец сайта по каким-то причинам намерен распространять ПДн пользователей заранее неопределенному кругу лиц (например, любым интернет-пользователям), потребуется выполнить план мероприятий по ограничению копирования третьими лицами персональных данных пользователей до получения тельных согласий, обеспечению возможности установления различных запретов и условий использования таких данных и публикации таких сведений совместно с такими данными.

Полагаем, что операторов, желающих делиться данными со всеми, найдется не много. Поэтому поправки в ФЗ 152 в целом можно воспринимать в положительном ключе для большинства агрегаторов, поскольку они явным образом запрещают парсинг. Для корпоративных сайтов новшества не несут ничего хорошего, т.к. потребуется получать отдельные согласия со всех субъектов, персональные данные которых у них публикуются.

Виталий Селиванов, 2021

Когда уведомление Роскомнадзора не требуется

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • используются оператором исключительно для исполнения договора;
  • являются общедоступными данными;
  • включают только ФИО субъектов;
  • нужны для однократного пропуска субъекта на территорию, на которой находится оператор;
  • включены в федеральные автоматизированные информационные системы и государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;  
  • обрабатываются без использования средств автоматизации.

Логично, что персональные данные должны быть надежно защищены. Для этого создаются регламенты и настраивается система безопасности. Но не все данные нужно охранять одинаково.

Требуется ли владельцам сайтов согласие на обработку публикуемых персональных данных

Нужно понимать, что отдельное согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, требуется только для случаев, когда нет иных законных оснований для их обработки.

Обычно владельцы сайтов осуществляют сбор и последующее использование персональных данных пользователей в целях заключения или исполнения договора. Это самостоятельное основание для обработки ПДн, не требующее отдельного согласия (пп.5 п.1 ст.6 ФЗ 152). В таком случае достаточно сформулировать условия договора с пользователем в общем виде в Пользовательском соглашении, а порядок обработки ПДн включить в Политику конфиденциальности.

Если сайт позволяет публиковать персональные данные в общем доступе, то важно обозначить, что пользователь раскрывает такие данные неопределенному кругу лиц по собственной инициативе (п.2 ст.10.1 ФЗ 152 в новой редакции). Для предоставления доступа к таким сведениям третьим лицам администрации не требуется отдельное согласие субъекта, поскольку у нее есть действующий договор

Однако третьим лицам потребуется подтвердить наличие законных оснований для копирования материалов с сайта и их последующего использования, поскольку прямого договора с субъектом у них нет.

Поэтому примем за общее правило, что согласие на обработку ПДн требуется при отсутствии между сторонами сделки. В законе есть и другие основания для обработки ПДн без согласия субъекта (например, такое право дано журналистами в целях их профессиональной деятельности или гос. органам — для осуществления возложенных на них функций и т.д.). Однако это частные случаи, которые не касаются оборота данных в гражданских отношениях.

Возьмем в качестве наглядного примера вариант сайта, на котором персональные данные публикуются администрацией. В основном, это корпоративные сайты с фотографиями сотрудников компании, их именами, телефонами и электронными адресами, размещаемыми в имиджевых или сервисных целях. У администрации отсутствует договор с сотрудником, предусматривающий обработку его ПДн указанным способом. Поэтому требуется получить отдельное согласие на предоставление доступа и распространение ПДн сотрудника на сайте компании.

Таким образом, изменения направлены на пресечение бесконтрольного использования персональных данных неопределенным кругом лиц. Субъекту вернули контроль над его персональными данными. Теперь он волен давать согласие на обработку ПДн неопределенным кругом лиц или конкретным лицам, вводить ограничения и условия использования отдельных персональных данных, опубликованных в общем доступе.

Основные требования к Политике конфиденциальности

Подготовка сайта к 152 ФЗ должна соблюдать следующие требования к информации в Политике конфиденциальности:

  • В документе должно быть прописано ФИО оператора и его адрес;
  • Указаны цели, для которых собираются персональные данные;
  • Перечислен перечень собираемых персональных данных, например, имя, email, номер телефона и т.д.;
  • ФИО, адрес лица, собирающего персональные данные, по поручению оператора;
  • Перечень действий, для которых собираются персональные данные: например, информирование подписчиков блога, рассылка рекламной информации и т.п.;
  • Срок, в течение которого действует согласие субъекта на обработку персональных данных, и способы отзыва.

Владельцам сайтов, не имеющих юридического образования, очень сложно составить подобные документы самостоятельно. Но о нас уже позаботились. Я вам дам ссылку на ресурс, где такие документы вы можете составить буквально за 5 минут.

Чтобы перейти на данный онлайн-сервис, воспользуйтесь этой ссылкой >>>

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Знай и умей
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: