img

КАК ЗАКОННО РАБОТАТЬ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ?



Закон уже есть


Последнее время многие заволновались о персональных данных. Странно, ведь закон принят давно. Со второго месяца этого лета за хранение пользовательских данных за пределами РФ вы можете получить штраф до 75 000 руб. Существует мнение, что этот закон касается только тех, кто работает в государственном или финансовом секторе, — это не совсем верно. Закон распространяется на всех, кто владеет хоть какими-то данными о других людях — собирает их, обрабатывает и хранит. Вы можете быть даже не ИП и не юрлицом, но, если у вас есть сайт с подпиской, вы уже храните персональные данные.

Никто еще не знает, что такое персональные данные


Согласно закону, персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Если понимать это буквально, то персональными данными является любая информация о каком-либо определенном человеке — имя и другие паспортные данные, адрес, место работы, номер телефона, порода питомца... Сам по себе логин — это вроде бы не персональные данные. Но если на аватарку человек поставил свою настоящую фотографию или при регистрации указал почту, где в названии фигурирует его фамилия с инициалами, а в доменном имени — название компании, то в совокупности это уже персональные данные.

Как же они узнают, где и что я храню?


Роскомнадзор узнает о нарушении двумя способами:

  • сам проведет проверку,
  • отреагирует на чью-то жалобу.
Например, у вас оказалась чья-то база с емейл-адресами или номерами телефонов. Когда вы начинаете обзвон или рассылку, люди могут пожаловаться на вас. И тогда начнутся проверки.

По закону операторы обязаны хранить персональные данные на российских серверах. Есть несколько исключений, но это частности. Любой интернет-магазин или сервис по подписке должен хранить базу с персональными данными граждан в России. Потом можно передавать эти данные за границу. Это законно, но при определенных условиях. Иначе нельзя было бы бронировать гостиницы и покупать билеты на самолет за границей. Роскомнадзор может потребовать предоставить подтверждение заявленного места хранения баз данных. Например, договор с дата-центром, хостингом или документы на собственный сервер. Если выяснится, что персональные данные хранятся с нарушениями и не в России, у вас будут проблемы. Кроме закона о персональных данных, есть требования Федеральной службы по техническому и экспортному контролю и ФСБ. Еще к проверке может подключиться прокуратура. Им хватит полномочий, чтобы узнать, где на самом деле хранятся данные, и разобраться с нарушениями.

Придумал! Переведу сайт на другой язык


Может показаться, что ,если ты перевел свои сайт на иностранный язык – тебе уже ничего не грозит и ты волен собирать все данные, каких хочешь, но это не так.

Роскомнадзор имеет право оштрафовать сайт и заблокировать, если:

  • есть русскоязычная реклама, ведущая на этот сайт;
  • россияне пользуются вашими товарами или услугами;
  • существует доставка в РФ;
  • расчет возможен в рублях;
  • существует версия сайта на русском языке.

Я нашел выход! Для сбора данных буду пользоваться социальными сетями.


Нет, хранение и использование персональных данных, даже выставленных на всеобщий доступ, не в личных целях карается законом. То есть позвонить понравившейся тебе Маше Потапкиной, которая указала свои номер на своей страничке, можно, а вот рекламу Маше слать уже нельзя. Потому что Маша тебе этого не разрешала и кнопочки никакие не нажимала. Нет такого правила, что если человек сам разместил данные в общем доступе на каком-то ресурсе, то с ними можно делать что угодно: распространять, обрабатывать и хранить у себя без разрешения.

Как корректно собирать данные?


Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Молчание или отсутствие возражений на обработку персональных данных — это не согласие. Конкретной формы, в которой его нужно получать от посетителя и клиента, нет. Это может быть ссылка на пользовательское соглашение в ответном письме или галочка в форме регистрации. Главное, чтобы можно было доказать, что это согласие получено и посетитель понимал, на что он соглашается. Необходимо собирать только те данные, которые вам нужны для работы. За сбор лишних данных можно получить штраф. Получить разрешение — это еще не все! Нужно соблюдать принципы обработки персональных данных и правильно оформить внутренние документы. Ниже приведены основные принципы сбора и обработки персональных данных.

Принципы:


  • Обработка персональных данных должна осуществляться на законной и справедливой основе.
  • Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
  • Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
  • Обработке подлежат только персональные данные, которые отвечают целям их обработки.
  • Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
  • При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры по удалению или уточнению неполных или неточных данных (либо обеспечивать принятие таких мер).
  • Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Как собирать и обрабатывать?


  • Обратитесь к юристу за разъяснением закона или попытайтесь сделать это самостоятельно, но закон достаточно сложный и в нем не много точных формулировок. Если решили изучать сами, не бойтесь обращаться за помощью в Минкомсвязи или в Роскомнадзор.
  • Разместите на сайте документы, объясняющие, зачем вы собираете персональные данные.
  • Формируйте базу на российских серверах, если ваш бизнес предполагает передачу данных за границу, передавайте — главное, чтобы это было законно, обоснованно и безопасно.
  • Защитите свои данные не только с точки зрения закона, но и технически.
  • Заверьте страницы сайта с документами о персональных данных у нотариуса, чтобы вас не обвинили в их отсутствии или изменении формулировок.





Полезные статьи:


ООО ПРОМРЕГИОН. Информационно Аналитический Центр Основано 2002.