Какая персональная информация может быть удалена ответ

О персональных данных

Вопросы, касающиеся предоставления государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных»

1. Вопрос: Каким образом для организации можно получить выписку из реестра операторов, осуществляющих обработку персональных данных? Что для этого требуется?

Ответ: Предоставление выписки из Реестра является одним из результатов предоставления государственной услуги — Ведение реестра операторов, осуществляющих обработку персональных данных, предоставление которой регламентировано Административным регламентом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденным приказом Минкомсвязи России от 21.12.2011 № 346 (Зарегистрировано в Минюсте России 29.03.2012 № 23650) (далее – Административный регламент).

В соответствии с п.п. 102-103.2 Административного регламента заявители вправе получить выписку из Реестра на основании письменного заявления в Роскомнадзор (соответствующий территориальный орган Роскомнадзора) или заявления в электронной форме с Единого портала.

Выписка из Реестра предоставляется при наличии в заявлении наименования юридического лица, фамилии, имени, отчества (последнее — при наличии) физического лица, почтового адреса юридического лица, физического лица. Образец заявления на предоставление выписки из Реестра приведен в приложении № 4 к Административному регламенту.

Вопросы, касающиеся использования персональных данных на сайтах в сети «Интернет» без согласия субъекта персональных данных:

1. Вопрос : Что делать, если мои персональные данные размещены на сайтах в сети «Интернет» без моего согласия?
Ответ: В данном случае следует предоставить в адрес Управления Роскомнадзора соответствующее обращение. В целях объективного и полного рассмотрения необходимо указать следующую информацию:

1) перечень персональных данных, неправомерно обрабатываемых на сайтах в сети «Интернет»;

2) сведения о документе, удостоверяющем Вашу личность (копии страниц паспорта), для подтверждения принадлежности персональных данных, неправомерно размещенных на сайтах в сети «Интернет», к Вам, как к субъекту персональных данных;

3) точные и доступные адреса страниц сайтов (указатели страниц сайтов в сети «Интернет» — URL), содержащие незаконно обрабатываемые (размещённые) персональные данные, позволяющие осуществить просмотр данных страниц Управлением, а также снимки экрана с данными страницами, содержащие в себе полный адрес страницы сайта (URL) и даты публикации постов/сообщений, содержащих незаконно обрабатываемые (размещённые) персональные данные на текущий момент времени (дата) и другие сведения, подтверждающие нарушения требований законодательства в области персональных данных (видеозапись экрана с действиями, позволяющими зафиксировать нарушения и т.п.);

4) сведения, уполномочивающие Вас представлять интересы физических лиц (копии доверенностей), персональные данные которых размещены на сайтах (в случае нарушения их прав как субъектов персональных данных).

Дополнительно следует представить (при наличии):

— сведения, подтверждающие факт направления Вами в адрес администрации сайта (далее — оператор) требования об уничтожении Ваших персональных данных с указанием на их незаконное получение (без согласия) оператором или с указанием того, что они не являются необходимыми для заявленной цели обработки (представляется при возможности направления указанного требования);

— ответ оператора на Ваше требование об уничтожении Ваших персональных данных (при наличии).

Обращаем внимание на то, что все имеющиеся сведения должны быть представлены в адрес Управления единовременно.

При размещении персональных данных в публичных сообществах социальных сетей следует разграничить вопросы защиты персональных данных и защиты чести, достоинства и деловой репутации.

Вопросы защиты чести, достоинства и деловой репутации решаются в порядке, установленным гражданским судопроизводством. Для чего гражданину необходимо обратиться в суд за защитой своих прав, свобод и интересов.

Вопросы, касающиеся выявленных фактов мошенничества

1. Вопрос: Рассматривает ли Роскомнадзор обращения граждан, в которых сообщается о действиях мошенников/аферистов/субъектах, распространяющих поддельные документы, программное обеспечение и т.д.?

Ответ: Рассмотрение дел, содержащих в себе признаки мошенничества (незаконное списание денежных средств и т.п.), в том числе рассмотрение обращений, относительно деятельности мошеннических интернет-ресурсов, а также дел о продаже поддельных документов и программного обеспечения, не входит в полномочия Управления, так как делами такого рода занимаются правоохранительные органы.

При поступлении в Управление обращений, содержащих в себе вышеуказанные вопросы, данные обращения перенаправляются в Министерство Внутренних Дел Российской Федерации для рассмотрения поставленных вопросов в пределах установленной законом компетенции.

О создании, распространении и использовании запрещенной информации и других противоправных действиях в сети «Интернет» Вы можете сообщить в общественную приемную МВД России на официальном сайте по адресу: http://mvd.ru/request_main.

2. Вопрос: Рассматривает ли Роскомнадзор обращения граждан, в которых сообщается о деятельности Интернет-казино?

Ответ: Расследование противоправной деятельности входит в компетенцию Министерства внутренних дел Российской Федерации. О создании, распространении и использовании запрещенной информации и других противоправных действиях в сети Интернет Вы можете сообщить в общественную приемную МВД России на официальном сайте по адресу: http://mvd.ru/request_main.

Вопросы, касающиеся использования персональных данных ребенка:

1. Вопрос: Достаточно ли подписи одного родителя в согласии на обработку персональных данных ребенка? Как быть в ситуации, когда родитель категорически отказывается подписывать согласие на обработку персональных данных?

Ответ: В соответствии с ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» допускается обработка персональных данных, в том числе:

— если обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций полномочий обязанностей;

— если обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг (п. 4 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Таким образом, согласие на обработку персональных данных ребенка требуется только в том случае, если осуществляется обработка персональных данных, не совместимая с образовательными целями, либо не подпадает под действие п. 4 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

В случае необходимости получения согласия на обработку персональных данных ребенка в письменной форме, достаточно подписи одного из родителей, ввиду того, что в соответствии с п. 1 ст. 61 Семейного кодекса Российской Федерации, родители имеют равные права и несут равные обязанности в отношении своих детей.

2. Вопрос: Возможно ли размещать на сайте образовательного учреждения персональные данные детей, а также фото с мероприятий?

Ответ: Основополагающим принципом Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») является осуществление обработки персональных данных на законной и справедливой основе, ограничиваясь достижением заранее определенных и законных целей. При этом не допускается обработка персональных данных, несовместимая с заранее определенными и заявленными целями сбора.

Таким образом, обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей, а содержание и объем обрабатываемых персональных данных не должны быть избыточными, а строго соответствовать заявленным целям обработки.

Обращаем Ваше внимание на то, что законодательство в области персональных данных определяет два понятия «предоставления» персональных данных и их «распространения».

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – это действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Для выполнения образовательных целей достаточно предоставления информации.

В связи с вышеизложенным, в целях недопущения нарушения прав несовершеннолетних и их законных представителей, рекомендуется исключить публикацию их персональных данных (в том числе фотографий) на сайтах образовательных учреждений в открытом доступе.

Для обеспечения предоставления персональных данных в соответствии с заявленными целями обработки, рекомендуем использовать такие сервисы, в которых доступ к определенной информации имеют только зарегистрированные пользователи согласно назначенных прав. Данный функционал возможно реализовать, например, в системе «Электронный дневник».

3. Вопрос: Возможна ли публикация персональных данных педагогов на официальных сайтах образовательных учреждений без их согласия?

Ответ: В соответствии с ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» допускается обработка персональных данных, в том числе:

— если обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций полномочий обязанностей;

— если персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Статьей 29 Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации» предусмотрено, что образовательные организации формируют открытые и общедоступные информационные ресурсы, содержащие информацию об их деятельности, и обеспечивают доступ к таким ресурсам посредством размещения их в информационно-телекоммуникационных сетях, в том числе на официальном сайте образовательной организации в сети «Интернет». Образовательные организации обеспечивают открытость и доступность, в том числе, о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы.

Кроме того, Правилами размещения на официальном сайте образовательной организации в информационно – телекоммуникационной сети «Интернет» и обновления информации об образовательной организации», утвержденными Постановлением Правительства Российской Федерации от 10.07.2013 № 582, конкретизирован характер информации, подлежащей размещению на официальном сайте.

Так, образовательное учреждение вправе без согласия на обработку персональных данных размещать на своем официальном сайте следующее: информацию о руководителе образовательной организации, его заместителях, руководителях филиалов образовательной организации (при их наличии), в том числе: фамилия, имя, отчество (при наличии) руководителя, его заместителей; должность руководителя, его заместителей; контактные телефоны; адрес электронной почты; о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы, в том числе: фамилия, имя, отчество (при наличии) работника; занимаемая должность (должности); преподаваемые дисциплины; ученая степень (при наличии); ученое звание (при наличии); наименование направления подготовки и (или) специальности; данные о повышении квалификации и (или) профессиональной переподготовке (при наличии); общий стаж работы; стаж работы по специальности.

4. Вопрос: Допускается ли размещение на сайте образовательного учреждения размещение благодарностей и поздравлений родителям за активное участие в конкурсах и мероприятиях?

Ответ: Размещение такой информации допускается, на усмотрение родителей, при условии отсутствия в таких благодарностях и поздравлениях персональных данных несовершеннолетних.

Вопросы, касающиеся работы банковких и коллекторских организаций

1. Вопрос: Разъяснения о правомерности телефонных звонков третьим лицам с целью возврата просроченной кредитоской задолженности.

Ответ: В последнее время участились случаи поступления в Роскомнадзор обращений граждан по вопросу осуществления кредиторами (или лицами, действующими по поручению кредитора) телефонных звонков с целью принудить третьи лица выплатить кредиторскую задолженность.

В связи с этим Роскомнадзор как уполномоченный орган по защите прав субъектов персональных данных считает необходимым разъяснить следующее.

При осуществлении мер, направленных на взыскание просроченной кредиторской задолженности, кредиторы (а также лица, действующие от их имени)прибегают к различным способам установления информации о должнике, в том числе совершают звонки в адрес третьих лиц. Это могут быть члены семьи должника, родственники, иные проживающие с должником лица, соседи и любые другие физические лица. При этом звонившие не обращают внимание на необходимость одновременного соблюдения условий, которые позволяют считать такие звонки законными. Взаимодействие кредиторов с любыми третьими лицами возможно только в случае:

1. наличия согласия должника на осуществление взаимодействия с третьим лицом, направленного на возврат просроченной задолженности;

2. третьим лицом не выражено несогласие на осуществление с ним взаимодействия.

Таким образом, все действия кредиторов (или лиц, действующих по поручению кредитора) в отношении третьих лиц, предпринимаемые в отсутствии их волеизъявления, являются незаконными.

В случае выявления подобных фактов граждане вправе обратиться в Роскомнадзор, приложив соответствующие материалы, для принятия, при наличии оснований, мер реагирования.

Время публикации: 08.07.2013 13:20
Последнее изменение: 12.08.2020 14:53

25 мая 2018 года Общий регламент о защите данных, также известный как GDPR, официально вступил в силу. Такая информация прокатилась лавиной по украинскому бизнесу с сотнями комментариев экспертов, мыслей, позиций, планов и страшных «пророчеств» о миллионных штрафах, которые ожидают всех и каждого как в ЕС, так и в Украине, кто, по мнению некоторых специалистов: «случайно получил персональные данные гражданина ЕС и обрабатывал их с несоблюдением требований GDPR». Бизнес переживал, суетился, делал «что-то, чтобы быть compliant», извещал своих пользователей о новой политике по обработке персональных данных, заново собирал согласия на обработку или тихо сидел, скрестив пальцы, надеясь, что все успокоится.

Прошел почти год, следом за шумом в ЕС спал гам и в Украине, в результате много кто остановился на импульсивном наборе случайных шагов в сторону соответствия требованиям GDPR, сделанных еще в мае прошлого года.

Сегодня наблюдаем затишье. Однако анализ последних событий дает основания сделать предвидение, что стоит ожидать дежурной волны броуновского движения в юридической плоскости среди бизнеса в Европе, а вслед и в Украине. Недавно CNIL (французский орган, ответственный за имплементацию законодательства о персональных данных) оштрафовал Google на 50,000,000 евро. Если коротко подытожить причину наложения штрафа: за «нехватку прозрачности перед пользователями относительно обработки их данных». Сомнительно, что этот факт пройдет мимо внимания бизнеса. Очевидно, Google не был последним, и вечеринка для европейских «копов» по защите персональных данных только начинается.

Соответственно, ожидается новый наплыв рывков со стороны бизнеса, и это станет достаточно логическим следствием последних событий. К сожалению, выглядит так, что ни европейский, ни украинский бизнес пока вовсе не готов систематизировать свои усилия в последовательный план действий, конечным результатом которого будет приведение бизнеса в соответствие с требованиями GDPR.

Я выбрал 10 сложных вопросов, обобщенных из собственной практики, которые в действительности задает себе украинский бизнес, и на которые часто не получает, или же получает недостоверные ответы. Однако, именно эти вопросы лежат в основе осознания проблемы под названием GDPR и масштабов ее влияния на нас. Зная ответы, ответственное лицо может систематизировать подход бизнеса к compliance процедурам и сложить road map или же отказаться от GDPR направления вообще.

Следовательно, попробую понятными словами дать ответы на эти распространенные вопросы.

1. Мой бизнес тоже могут оштрафовать на 50 млн евро как Google?

Могут, но не обязательно.

Статья 83 GDPR предусматривает размеры штрафов до 20,000,000 евро или до 4% от годового оборота группы компаний за существенные нарушения требований Регламента. Однако в заголовки новостей попадают штрафы от 1,000,000 евро. Немногие знают, что в ноябре 2018 года немецкая компания была оштрафована на 20,000 евро за хранение паролей пользователей в незашифрованном формате, или же о том, что в декабре того же года на португальское медицинское заведение был наложен штраф в размере 400,000 евро за использование фальшивых учетных записей работниками для доступа к данным пациентам, или же об относительно незначительном штраф в размере 4,800 евро, который был наложен в октябре 2018 года на австрийскую компанию за незаконное установление камеры видеонаблюдения в публичном месте (источник). Соразмерный штраф может наложить Гоструда за допуск к работе 2 неоформленных работников. В Германии существуют примеры еще меньших штрафов в размере 250-600 евро за совсем мелкие нарушения (источник).

При чем очевидно, что такие суммы для европейского предприятия не являются заоблачными. Возможно, GDPR не такой уже и монстр с бездонным карманом для штрафов, а лишь набор правил для справедливой имплементации требований ЕС относительно защиты данных? Оставлю эту мысль для размышлений каждому.

Кроме того, считаю уместным вспомнить, что по состоянию на 5 февраля 2019 года было наложено лишь 91 штраф в соответствии с GDPR, о чем свидетельствует статистика, приведенная Россом Маккином из DLA Piper (источник). Не поражает? Не думаю, что должно бы. Как это часто бывает, картинка, нарисованная СМИ и постами-репостами в соцсетях, выглядит в разы страшнее, чем реальная ситуация, подтвержденная сухими цифрами и фактами.

Отвечая на вопрос в подзаголовке 1 выше, выражу следующее мнение. Если будет идти речь о нарушении прав одного человека (например, ее данные были переданы работнику компании, который не должен был иметь соответствующего доступа) не стоит ожидать штраф, который будет превышать несколько тысяч евро. Когда же идет речь о миллионах пользователей и их правах, как в случае из Google, стоит четко понимать, что именно для таких случаев в текст закона была помещена часть о 4% от годового оборота группы компаний».

2. Что надо делать, чтобы мой бизнес точно оштрафовали?

Лучше всего ответить на этот вопрос несколькими примерами, чтобы очертить общую картину.

Пример 1. Никогда не удалять персональные данные пользователей. Например, хранить их прямо в blockchain или же не предусматривать возможность удалить свой профиль.

Пример 2. Требовать от пользователей согласие на обработку персональных данных, без которого они не могут пользоваться вашим сервисом.

Пример 3. Требовать предоставление персональных данных, которые не являются необходимыми для конкретного вида предлагаемых услуг.

Важно отметить, что маловероятной является инициатива контролирующих органов ЕС по очевидным причинам перегруженности, потому точно оштрафуют только тогда, когда к ним поступит жалоба от физического лица.

3. Если мы не будем ничего делать, нас точно оштрафуют?

Нет, не точно.

Как я уже отмечал в ответе на предыдущий вопрос, административные структуры, которые могут штрафовать за нарушение GDPR в ЕС, подобно своим коллегам в Украине, имеют существенно ограниченные человеческие и финансовые ресурсы. Надежным мостиком для привлечения к себе внимания может стать жалоба субъекта персональных данных. Поэтому можно месяцами или даже годами не делать никаких движений и не считаться с требованиями законодательства ЕС о персональных данных, оставаясь в тени тихо и спокойно вести бизнес без штрафов и связанных проблем. Однако, всегда существует шанс в неудобный момент получить полностью обоснованную жалобу от физического лица о том, что его данные обрабатывались с нарушением требований GDPR, и столкнуться со всеми негативными последствиями.

4. Какой украинский бизнес точно не подпадает под действие GDPR?

Тема территориального действия заняла бы второе место после штрафов на пьедестале объектов спекуляций относительно GDPR. Для тех, кому интересно глубже исследовать эту проблематику, рекомендую ознакомиться с разъяснениями EDPB (European Data Protection Board) относительно территориального действия GDPR (Guidelines 3/2018 on the territorial scope of the GDPR) от 16 ноября 2018 года (ссылка).

Попробую привести несколько примеров бизнеса в Украине, который точно не подпадает под действие GDPR, однако может искренне сомневаться в этом, принимая во внимание неточную информацию, которая свободно и успешно привидением гуляет в Сети.

Пример 1. Частное медицинское учреждение «Здоровье» находится и зарегистрировано в Киеве. Медицинское учреждение рекламирует свои услуги в Украине и не имеет специальных рекламных кампаний, нацеленных на территорию ЕС. «Здоровье» популярный среди поляков, которые живут в Киеве. Принимая во внимание это, заведение активно рекламирует свои услуги на польском языке в интернете для пользователей, которые находятся в Украине. Сайт медицинского учреждения предложен на украинском, английском и польском языках.

Комментарий 1. Такое медицинское учреждение не подпадает под действие GDPR по ни одному из критериев, поскольку оно не имеет ни учреждения на территории ЕС, ни не нацеливает свои услуги на физических лиц, которые находятся на территории ЕС. Сам факт наличия польской версии сайта или локальной рекламы в Украине для поляков не имеет юридических последствий и не затягивает «Здоровье» под действие GDPR.

Пример 2. Украинское медиа-агентство «Новинка», которое предлагает новости, блоги, путеводители и развлекательный контент на украинском и русском языках, нацеленное на аудиторию пользователей в Украине, в частности, на тех, кто часто путешествует. Каждую неделю ресурс публикует статью с советами относительно путешествий в один из городов в ЕС. Часто пользователи посещают «Новинку» во время своих путешествий, находясь на территории ЕС. Веб-сайт, на котором публикуются материалы, собирает информацию о посетителях, в частности, IP адреса, геолокацию, длительность посещения, количество переходов между страницами, и тому подобное.

Комментарий 2. Невзирая на то, что де-факто, медиа-агентство будет собирать персональные данные пользователей, которые находятся на территории ЕС, среди которых даже будет европейский IP адрес и место расположения пользователя на территории ЕС, GDPR не будет распространять свое действие на «Новинку», потому что обработка не связана с деятельностью ресурса в ЕС и не нацелена и прямо не предлагает свои услуги физическим лицам, которые находятся на территории стран Евросоюза. Более простыми словами, «Новинка» не обязана переживать, что кто-то из ее пользователей будет находиться в Гамбурге, читая дежурный путеводитель. Такие в известной степени случайные совпадения не значат, что медиа-агентство попадает под юрисдикцию GDPR.

Пример 3. Украинский технологический стартап «Тучка» расположен во Львове. Стартап разрабатывает программное обеспечение для американских брокеров, которое обрабатывает данные относительно торговли ценными бумагами на Нью-Йоркской фондовой бирже, строя разнообразную полезную графику и аналитику. «Тучка» арендует серверы у провайдера в Германии, где, среди прочего, хранит данные о пользователях.

Комментарий 3. Важным моментом в таком примере будет то, что провайдер в Германии подпадает под действие GDPR и обязан отвечать требованиям закона к процессору персональных данных. Однако, сам стартап из Украины автоматически не попадает под юрисдикцию GDPR, поскольку его деятельность не нацелена на рынок ЕС и он не имеет учреждения там.

5. Какой украинский бизнес точно подпадает под действие GDPR?

Опять приведу несколько примеров, в этот раз приближенных к тем, с которыми сталкивался в своей практике, когда для бизнеса становилось сюрпризом, что GDPR применяется к нему.

Пример 1. Украинская компания «Розумничка» в Житомире занимается разработкой систем типа «умный дом», который включает у себя аппаратную и программную части, обе изготовлены в Украине. Все данные о пользователях и покупателях обрабатываются, в частности, хранятся, в Украине. Систему можно приобрести непосредственно на веб-сайте «Розумнички», который доступен на украинском и английском языках, проведя расчет в гривне или евро. Предлагается бесплатная доставка по целому миру. На сайте доступны истории пользователей «умного дома» из Украины, Румынии и Дании.

Комментарий 1. Невзирая на то, что полный цикл изготовления и разработки осуществляется в Украине, «Розумничка» нацелена на продажу своего продукта в Евросоюзе, о чем свидетельствует доступность сайта на английском, возможность расчета в евро и истории пользователей в ЕС. Потому GDPR будет применяться к обработке компанией персональных данных пользователей из ЕС.

Пример 2. Специализированная украинская юридическая компания «Наши», которая расположена в Полтаве, занимается юридической поддержкой украинцев в Чехии. Веб-сайт компании доступен лишь на украинском языке и расположен на домене .ua. «Наши» обрабатывает данные о своих клиентах, которые предоставляются ей во время сотрудничества относительно решения юридических вопросов украинцев в Чехии. Расчет проводится исключительно на банковский счет компании в Украине в гривнях.

Комментарий 2. Все вышеуказанные детали, даже то, что идет речь о данных украинцев, не имеют юридического значения для GDPR, поскольку «Наши» предлагают свои услуги физическим лицам на территории ЕС и обрабатывают их данные. Этого факта достаточно, чтобы GDPR переключил рубильник в позицию «Вкл». относительно конкретной деятельности украинской компании.

Пример 3. Украинская агрокомпания «Землица», которая находится в Черкассах, изготовляет хлебопродукты. Агрокомпания имеет 4000 работников в Украине. Для осуществления продаж в Европе, агрокомпания открыла небольшой офис во Франции, наняв там 3-х местных работников. Данные французских работников обрабатываются отделом кадров в Черкассах. Пока что 100% продаж бизнеса происходят в Украине.

Комментарий 3. Хотя количество работников «Землицы» во Франции представляет 0.075% от всех работников компании, а на продажи в ЕС приходится часть в 0%, GDPR применяется к «Землице», по крайней мере в части обработки данных работников во Франции.

Для общего понимания стоит дополнительно отметить, что GDPR распространяется на бизнес, который нацелен на лиц на территории ЕС , независимо от гражданства или происхождения, а не на граждан ЕС, о чем часто можно почитать или услышать.

6. Если мой бизнес получит запрос от гражданина ЕС на удаление его данных, я обязан его выполнить в соответствии с требованиями GDPR даже, если сам бизнес не подпадает под требования GDPR?

Нет, такая мысль является ошибочной.

Если бизнес не попадает под юрисдикцию GDPR, он не обязан выполнять его требования через единичные запросы даже от граждан ЕС или лиц, которые находятся на территории ЕС. Однако, не стоит забывать, что в Украине также существует Закон «О защите персональных данных», в соответствии с которым лицо может отзывать свое согласие на обработку, соответственно, данные должны быть удалены.

7. Могу ли я разделить обработку данных в пределах одного бизнеса так, чтобы только определенная часть операций отвечала требованиям GDPR?

Да, это возможно.

GDPR позволяет бизнесу не соответствовать его требованиям в той части, на которую закон не распространяется. Таким образом, компания «Розумничка» из Житомира может разделить обработку персональных данных своих пользователей на 2 отдельных потока и обеспечить соответствие GDPR только относительно той обработки, которая касается пользователей из территории ЕС.

8. Я обновил текст политики обработки персональных данных на своем веб-сайте в соответствии с требованиями GDPR. Теперь я compliant?

Конечно нет. Хотя, к сожалению, создается убедительное впечатление, что большая часть компаний именно так и считает.

Политика относительно обработки персональных данных — это лишь одно из средств отвечать требованиям GDPR. К тому же, перед тем, как обновлять политику и сообщать об этом тысяче пользователей, стоит исследовать, на самом ли деле бизнес выполняет все то, что обещает в политике, и насколько глубоко внедрены технические механизмы, которые это обеспечивают. Политика — это средство коммуникации бизнеса с субъектами, чьи персональные данные он обрабатывает, и GDPR требует, чтобы эта коммуникация была прозрачной, четкой, полной и понятной. Об этом свидетельствует хорошо известный пример Google (источник).

Короткий совет: следуйте такому обобщенному плану. 1. Что мы обрабатываем? 2. Почему мы это обрабатываем? 3. Как мы это обрабатываем? 4. Где мы это обрабатываем? 5. Как мы это должны обрабатывать? 6. Мы обрабатываем это так, как должны? Когда ответ на последний вопрос «да», только тогда переходим к следующему пункту. 7. Описываем ответы на эти вопросы в политике и сообщаем об этом своим пользователям.

9. Сколько времени займет приведение бизнеса в соответствие требованиям GDPR?

Приблизительно 1 год.

В зависимости от размера бизнеса и объемов обработки персональных данных срок может быть как немного меньшим, так и значительно более длинным, однако в большинстве случаев одного года достаточно для того, чтобы настроить основные процессы бизнеса в соответствии с требованиями GDPR.

10. GDPR — это набор юридических требований, мои юристы сказали, что бизнес отвечает требованиям, потому я compliant? (Альтернативный вопрос: GDPR — это набор технических требований, мои технические специалисты сказали, что бизнес отвечает требованиям, потому я compliant?)

Ответ на оба вопроса: нет, не обязательно.

Парадоксально существуют два противоположных маргинальных подхода до восприятия GDPR. Для одних это всего лишь набор юридических норм, а для других — только технических требований. В действительности оба подхода ошибочные. GDPR — это комплекс юридических правил обработки персональных данных, который ничего не достоин без технических средств относительно их имплементации. Личная практика подтверждает, что над тем, чтобы привести бизнес к состоянию «compliant with the GDPR», должна работать команда, которая состоит хотя бы из одного юриста и одного специалиста по информационной безопасности. Только в таком согласованном тандеме возможно обеспечить настоящее соответствие с требованиями GDPR в полном спектре: от юридических процессов до технических средств.

С 9 по 23 октября 2020 приглашаем посетить курс «GDPR В УКРАИНЕ: практика применения». Во время мероприятий вы узнаете об: основах GDPR — принципах обработки, правах субъектов, ответственности; о применении GDPR комплаенс для компании; о кукисах и консентах в GDPR.

***

Рассмотреть результаты положений GDPR на примере некоторых кейсов вы сможете в материале ЮРИСТ&ЗАКОН .

Для получения доступа к другим материалам информационно-правовой системы ЛИГА:ЗАКОН, воспользуйтесь свободным тестом

Что такое персональные данные?

Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе:
— его фамилия, имя, отчество,
— год, месяц, дата и место рождения,
— адрес, семейное, социальное, имущественное положение, образование, профессия, доходы,
— другая информация (см. ФЗ-152, ст.3).
Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.
В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласияфизического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152, ст.8).
Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории.

Что такое оператор и субъект персональных данных?

Оператор персональных данных — это, как правило, организация, а точнее — государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Субъект персональных данных — это физическое лицо.
Оператор несет ответственность за защиту персональных данных субъекта в соответствии с действующим законодательством РФ.

Как классифицировать информационную систему персональных данных?

Для того, чтобы отнести типовую информационную систему персональных данных (ИСПДн) к тому или иному классу необходимо:
I. Определить категорию обрабатываемых персональных данных:
• категория 4 — обезличенные и (или) общедоступные персональные данные;
• категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
• категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
• категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
II. Определить объем персональных данных, обрабатываемых в информационной системе:
• объем 3 — в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации;
• объем 2 — в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
• объем 1 — в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
III. По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов (см. табл.):
• класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;
• класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
• класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
• класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.

Объем / Категория Объем 3
(<1 000,
организация)
Объем 2
(1 000-100 000,
отрасль, город)
Объем1
(>100 000,
субъект Федерации)
Категория 4 (обезличенные, общедоступные) Класс 4 Класс 4 Класс 4
Категория 3 (идентификационные) Класс 3 Класс 3 Класс 2
Категория 2 (идентификационные и еще) Класс 3 Класс 2 Класс 1
Категория 1 (медицинские, социальные) Класс 1 Класс 1 Класс 1

См. Порядок проведения классификации информационных систем персональных данных, введенный Приказом ФСТЭК (Федеральная служба по техническому и экспортному контролю) России, ФСБ России, Мининформсвязи России N 55/86/20.

Судный день отсрочен до 1 января 2011 года

Информационные системы персональных данных, созданные до дня вступления в силу Федерального закона РФ № 152 «О персональных данных», должны быть приведены в соответствие с требованиями данного Федерального закона не позднее 1 января 2010 года (см. ФЗ-152, ст.25).
Это означает, что операторы персональных данных, не сумевшие выполнить весьма жесткие требования ФЗ-152, с 1 января 2010 г. понесут соответствующую гражданскую, административную, дисциплинарную, а может быть (не дай Бог) и уголовную ответственность.
Все информационные системы, уже принятые в эксплуатацию после февраля-апреля 2008 г. (с момента рассылки методических документов ФСТЭК России и ФСБ России), но не соответствующие требованиям российского законодательства в области персональных данных, могут понести указанную ответственность и ранее, например, завтра утром.
Примечание. Изменения в УК РФ, существенно ужесточающие ответственность за нарушения, затрагивающие неприкосновенность частной жизни, тоже вступят в силу с 1 января 2010 года.
ДОПОЛНЕНИЕ :
Но как всегда случается, операторы персональных данных особо не шевелились, и мало кто успел сделать все, что требуется. 16 декабря 2009 г. Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ). Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год – до 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.

Обязательные требования по защите информационных систем персональных данных

Основные обязательные требования к организации системы защиты информации в зависимости от класса типовой ИСПДн:
Для ИСПДн класса 4:
Перечень мероприятий по защите персональных данных определяется оператором (в зависимости от возможного ущерба)
Для ИСПДн класса 3:
• декларирование соответствия или обязательная аттестация по требованиям безопасности информации
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (для распределенных систем ИСПДн К3)
Для ИСПДн класса 2:
• обязательная аттестация по требованиям безопасности информации
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации для распределенных систем
Для ИСПДн класса 1:
• обязательная аттестация по требованиям безопасности информации
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации

Порядок действий по защите информационной системы персональных данных

Последовательность действий при выполнении требований законодательства по обработке персональных данных:
1) Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации;
2) Предпроектное обследование информационной системы — сбор исходных данных;
3) Классификация системы обработки персональных данных;
4) Построение частной модели угроз с целью определения их актуальности для информационной системы;
5) Разработка частного технического задания на систему защиты персональных данных;
6) Проектирование системы защиты персональных данных;
7) Реализация и внедрение системы защиты персональных данных;
8) Выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований;
9) Аттестация (сертификация) по требованиям безопасности информации;
10) Повышение квалификации сотрудников в области защиты персональных данных;
11) Сопровождение (аутсорсинг) системы защиты персональных данных.

Когда аттестация и сертификация обязательна?

Аттестация информационных систем по требованиям безопасности информации обязательна:
— для ИСПДн, в случае отнесения персональных данных к государственному информационному ресурсу (см.»Специальные требования и рекомендации по технической защите конфиденциальной информации», Гостехкомиссия России, 2001 г.) ;
— в остальных случаях — для ИСПДн 1, 2 и 3 классов.
Для ИСПДн 3 класса по решению оператора процедура обязательной аттестации может быть заменена процедурой декларирования соответствия (см. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», ФСТЭК России, 2008 г., п.3.11). К сожалению, в настоящее время процесс декларации соответствия не регламентирован.
Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия (см. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п.5), включая сертификацию на соответствие требованиям по безопасности информации (см. «Основные мероприятия по организации…», п. 3.3).
При этом, для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение), должна быть проведена в том числе сертификация на отсутствие недекларированных возможностей (см. «Основные мероприятия по организации…», пп. 4.2, 4.3).
Примечание:
1) Операторы ИСПДн при проведении мероприятий по обеспечению безопасности персональных данных (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.
2) Заявители на сертификацию средств защиты информации (разработчики СЗИ, ИСПДн или операторы персональных данных) должны иметь лицензию на осуществление деятельности по разработке и/или производству средств защиты конфиденциальной информации.
ДОПОЛНЕНИЕ :
В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:
• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.

Ответственность за нарушения по обработке персональных данных

Лица, виновные в нарушении требований Федерального закона 152-ФЗ «О персональных данных», несут:
— гражданскую,
— уголовную (см. Уголовный кодекс Российской Федерации, ст.137, 140, 155, 183, 272, 273, 274, 292, 293),
— административную (см. Кодекс Российской Федерации об административных правонарушениях, ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),
— дисциплинарную (см. Трудовой кодекс Российской Федерации, ст.81; ст.90; ст.195; ст.237; ст.391)
и иную предусмотренную законодательством РФ ответственность (см. подзаконные акты по работе с персональными данными, которые издаются в субъектах РФ, ведомствах и организациях).
Аббревиатуры используемые в статье:
ФСТЭК — Федеральная служба по техническому и экспортному контролю.
ПЭМИН — Побочные Электромагнитные Излучения и Наводки

Закон об обработке персональных данных принят давно, однако, даже после введения дополнительных штрафов в 2017 году, не все компании правильно подходят к обработке персональных данных клиентов.

Политика обработки персональных данных

Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

1. Нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:
— Физическое лицо: предупреждение или штраф в размере 1 000 — 3 000 рублей;
— Должностное лицо: штраф в размере от 5 000 — 10 000 рублей;
— Юридическое лицо: штраф в размере 30 000 — 50 000 рублей;

2. Обработка персональных данных без согласия гражданина приведет:
— Физическое лицо: штраф в размере 3 000 — 5 000 рублей;
— Должностное лицо: штраф в размере от 10 000 — 20 000 рублей;
— Юридическое лицо: штраф в размере 15 000 — 75 000 рублей;

3. В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:
— Физическое лицо: штраф в размере 700 — 1 500 рублей;
— Должностное лицо: штраф в размере от 3 000 — 6 000 рублей;
— Индивидуальный предприниматель: штраф в размере от 5 000 — 10 000 рублей
— Юридическое лицо: штраф в размере 15 000 — 30 000 рублей;

Отдельно необходимо отметить три пункта:

1. Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Таким образом почта katya334566@bk.ru не является персональными данными, а почта petr.ivanov@livetex.ru , с указанием должности в подписи, является, так как можно определить, что эта почта принадлежит Петру Иванову, работающему в LiveTex.

2. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

3. Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Несколько ситуаций, когда персональные данные можно обрабатывать без согласия

Эти случаи опираются на законодательство РФ:

  • Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.
  • Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
  • Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.
  • Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
  • Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.
  • Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
  • Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
    Во всех ситуациях, которые не подходят под эти пункты, необходимо согласие на обработку.

Что сделать для того, чтобы правильно работать с персональными данными?

Необходимо подготовить текст политики обработки и защиты персональных данных. Также необходимо утвердить данный текст приказом. После, обязательно, надо разместить данную политику в общем доступе. Если на вашем сайте есть какие-либо формы обратной связи – вам необходимо под каждой такой формой написать что-то вроде «я согласен на обработку персональных данных» и оставить чекбокс.

Так же необходимо сделать при первом входе в ваше мобильное приложение, если данное приложение имеет доступ к персональным данным. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним. Так же необходимо, чтобы пользователь мог ознакомиться с политикой обработки и с пользовательским соглашением, соответственно надо оставить ссылку на них.

Юридическое обоснование чекбоксов звучит так:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных” устанавливает обязательство собирать персональные данные:

«В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью…”.

Понятное дело, что сделать это сложно и долго. Поэтому Роскомнадзор пошёл навстречу людям и дал разъяснения:

«Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.

Последним шагом является уведомление Роскомнадзора о том, что вы обрабатываете персональные данные. В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных”, оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).

Зачем нужна политика обработки персональных данных?

Зачем вообще необходимо задумываться о политике обработки персональных данных? Первой причиной, конечно же, назову штрафы и возможная блокировка вашего сайта. Это административная ответственность. Да и в целом это все может привести к большим проблемам с вашим бизнесом.

Для пользователей LiveTex есть отличная новость – «пользовательское соглашение» уже загружено в ваши виджеты. Вам только необходимо загрузить юридические данные о вашей компании и посетители перед началом чата смогут прочитать «пользовательское соглашение».

Какая персональная информация может быть удалена ответ

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *