какие данные являются персональными

Если компания собирает персональные данные клиентов через сайт или отправляет данные сотрудников в банк для зарплатного проекта, она должна подать уведомление в Роскомнадзор и зарегистрироваться как оператор персональных данных. Но иногда компании думают, что лучше не привлекать внимание ведомства и не подавать уведомление. Они ведь и раньше собирали данные, а уведомление подают только сейчас. Точно придет проверка, и придется платить штраф.

Отсиживаться рискованнее, чем подать уведомление. Об этом рассказывает эксперт по персональным данным Максим Лагутин.

Кто относится к операторам персональных данных

Оператор персональных данных — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Например, собирают электронные адреса для рассылки или просят покупателей оставить имя и телефон для заказа в интернет-магазине. Дословно в законе так:

Збагойно: 152-ФЗ — в «Деле»

Персональные данные — это любые данные о человеке, по которым его можно определить. Например:

  • электронная почта;
  • телефон,
  • имя и фамилия;
  • дата рождения;
  • адрес;
  • ссылка на сайт.

Ник без других данных не считается персональными данными, по нему нельзя определить человека.

С геопозицией и куками ситуация спорная. Формально сами по себе они не считаются персональными данными. Например, только по геопозиции трудно определить, кто находится в этой точке. В реальности Роскомнадзор в 2016—2017 годах разработал рекомендации по обработке этих данных и начал проводить проверки.

«МГТС» продавала данные своих клиентов другим компаниям:

  • временные метки;
  • деперсонализированный идентификатор useid;
  • адреса страниц, к которым было обращение;
  • адреса, с которых был переход;
  • информацию о браузере и устройстве, с которого был запрос;
  • IP-адрес.
Читайте так же:  где смотреть номер актовой записи

По сути это были куки — данные о том, какие страницы посещают клиенты. По этим данным компании показывали клиентам нужную рекламу. Согласия от клиентов у «МГТС» на обработку данных не было. Компания думала, что куки не считаются персональными данными, поэтому согласие на них не нужно.

Суд с компанией не согласился и назначил штраф 30 000 рублей.

Мы рекомендуем перестраховываться и считать куки и геопозицию персональными данными. Особенно если компания вместе с этими данными получает другую личную информацию о клиентах, например имя, телефон, электронную почту.

Роскомнадзор считает, что компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет. Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных. Такой же позиции придерживаются суды.

Данные из социальных сетей

По закону компания не должна подавать уведомление в Роскомнадзор, если использует общедоступные данные. Например, если берет телефон и имя человека из телефонного справочника. Справочник уже получил согласие от человека разместить данные о нем, поэтому второй раз спрашивать не надо.

Номинально информацию с открытых страниц в социальных сетях можно считать общедоступной. Казалось бы, человек зарегистрировался в соцсети, сам открыл доступ к своим имени и телефону. Значит, данные можно брать. В оферте с пользователями Вконтакте есть пункт о том, что данные могут быть доступны другим пользователям интернета:

В реальности мало кто читает оферту. Поэтому Роскомнадзор говорит, что данные из соцсетей можно обрабатывать, если человек дал на это согласие.

В 2017 году ВКонтакте подал в суд на компанию «Double Data» и «Национальное бюро кредитных историй». Они брали информацию из открытых профилей пользователей, оценивали их кредитную историю и продавали информацию банкам.

Читайте так же:  возражения на исковое заявление о взыскании задолженности

Социальная сеть просила взыскать с компаний по одному рублю. «Вконтакте» выиграл суд.

Получается, данные в соцсетях не считаются общедоступными. Нельзя просто взять телефоны пользователей и начать им продавать пылесосы-роботы. В этом деле соцсеть хотела обратить внимание на проблему, поэтому иск был на рубль. Но в другом деле пользователь может подать в суд на компанию на миллион или два.

Наш совет — получать от клиентов разрешение, чтобы использовать открытые данные из социальных сетей. Например, при регистрации в интернет-магазине с данными Вконтакте можно показывать такое сообщение:

«Для регистрации мы будем использовать открытые данные с вашей страницы Вконтакте: имя, электронную почту, телефон. Если согласны с этим, нажмите на кнопку „Далее“».

Если пользователь согласится, то претензий к компании не будет.

Когда уведомление не нужно

По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:

    обрабатывает только данные сотрудников, которые нужны по закону и не передает их кому-то еще без согласия сотрудника. Например, заполняет приказ о приеме на работу и карточку сотрудника и хранит их в сейфе.

Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника;

Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор. Исключение — парикмахерские в поселке или продавцы мяса на рынке.

Проверка Роскомнадзора

Мы знаем компании, которые обрабатывают персональные данные и боятся подавать уведомление. Они думают, что раз раньше обрабатывали данные без уведомления, то нарушали закон и получат штраф. Они и правда нарушали закон, но это не значит, что Роскомнадзор сразу придет с проверкой.

Читайте так же:  доплата пенсионерам за несовершеннолетних детей

В реестре Роскомнадзора 380 тысяч компаний, и цифра постоянно растет:

Проверить все компании из списка Роскомнадзор не может. По нашим наблюдениям проверки чаще всего приходят к компаниям, которые пытаются затаиться и не подают уведомление. Это Роскомнадзор подтвердил летом на Дне открытых дверей.

Проверка приходит не сразу. Сначала Роскомнадзор присылает письмо с просьбой объяснить, почему компания собирает данные и не регистрируетя как оператор. Не ответить на такое письмо — повод для проверки.

Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то еще способ. Был случай, когда в Астрахани оштрафовали все компании на букву А. которые обрабатывали персональные данные и не подали уведомление.

Роскомнадзор чаще всего обращает внимание на компании, которые используют персональные данные для:

  • устройства сотрудников на работу и оформления им страховых полисов или зарплатных проектов;
  • карт лояльности;
  • рекламных рассылок;
  • оказания услуг;
  • регистрации на сайтах;
  • звонков потенциальным клиентам.

Поэтому мы рекомендуем подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку. Штраф за обработку персональных данных без уведомления — 5000 рублей. Дополнительно к этому Роскомнадзор может заблокировать сайт или приостановить деятельность компании, но это редкие меры.

Если Роскомнадзор придет с проверкой, он может обнаружить, что компания неправильно обрабатывает персональные данные, штраф может быть до 75 000 рублей.

Задумывались ли вы, что такое персональные данные и какие они бывают?

В последние несколько лет вы наверняка сталкивались с необходимостью подписания документа об обработке персональных данных. Например, когда обращались в государственные органы, банки, оформляли ребенка в кружок или секции. На самом деле, тема защиты личных данных человека была поднята на европейском уровне еще в 70-х годах прошлого столетия, впоследствии воплотившись в международной Конвенции, предложенной для согласования государствам Европы.

Читайте так же:  возмещение расходов по авансовому отчету

Данный документ был подписан и нашей страной, правда, гораздо позже, только в 2005 г. Но уже в следующем году в нашей стране был разработан и принят свод правил, определяющих, что такое персональные данные и как с ними работать. Это — Федеральный закон № 152-ФЗ «О персональных данных». В отличие от очень близких к персональным данным категорий, частной жизни, личной и семейной тайны, законодательное определение, которых отсутствует, понятие «персональных данных» дано прямо в законе:

Как видно, это определение носит очень общий характер и фактически любая информация о гражданине может быть отнесена к персональным данным.

Важно, что персональные данные относят только к человеку, какая-либо информация о юридических лицах персональными данными не является.

Кроме того, чтобы та или иная информация могла быть признана персональными данными, нужно, чтобы она относилась к конкретному человеку, позволяла его идентифицировать. Возможно прямое указание на фамилию, имя и отчество или другие идентифицирующие признаки. Бывает, что человек может быть косвенно идентифицирован. Иными словами, человек напрямую не называется, но при этом он узнаваем, например, по фактам его жизни. Закон это также допускает. Однако когда распространяется информация, не позволяющая понять, о каком человеке идет речь, то на такие случаи закон «О персональных данных» не распространяется.

В зависимости от того, какая информация является содержанием персональных данных, это понятие может быть причислено к разным видам. В зависимости от ситуации используется тот или иной вид персональных данных. В одном случае используется информация, только идентифицирующая человека, в другом – позволяющая узнать о его доходах. Это могут быть интимные сведения о личной жизни, вероисповедании и состоянии здоровья человека.

Читайте так же:  расторжение брака в судебном порядке производится

Владельцы сайтов часто задаются вопросом: являются ли контакты подписчиков, собираемые на сайте, персональными данными? Ответ на данный вопрос зависит от того, какие данные вы собираете. Если просите ввести только адрес электронной почты, то — нет. Если в форме подписки человек оставляет не только адрес своей электронной почты, но и имя, то ответ неоднозначен. Все зависит от того, могут ли эти сведения позволить идентифицировать человека. Я считаю, что далеко не всегда. Хотя, конечно, есть люди, которые могут указать в подписной форме и фамилию, и имя. Часто также адрес электронной почты может совпадать с фамилией человека, что создает возможность опознания подписчика. И последний вариант, если вы просите в форме подписки ввести фамилию, имя, и какие-то еще данные (адрес электронной почты, телефон), то, да, эта информация будет относиться к персональным данным.

Но важно знать, какие документы должны быть на вашем сайте или блоге, чтобы не нарушить действующее законодательство, если вы все таки собираете персональные данные.

какие данные являются персональными
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here