Обработка персональных данных для чего

Обработка персональных данных для чего

Статья 6. Условия обработки персональных данных

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

Перспективы и риски арбитражных споров и споров в суде общей юрисдикции. Ситуации, связанные со ст. 6

Споры в суде общей юрисдикции:

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

(п. 3 в ред. Федерального закона от 29.07.2017 N 223-ФЗ)

(см. текст в предыдущей редакции)

(п. 3.1 введен Федеральным законом от 29.07.2017 N 223-ФЗ)

4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

(в ред. Федерального закона от 05.04.2013 N 43-ФЗ)

(см. текст в предыдущей редакции)

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

(в ред. Федеральных законов от 21.12.2013 N 363-ФЗ, от 03.07.2016 N 231-ФЗ)

(см. текст в предыдущей редакции)

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

(в ред. Федерального закона от 03.07.2016 N 231-ФЗ)

(см. текст в предыдущей редакции)

О выявлении конституционно-правового смысла п. 8 ч. 1 ст. 6 см. Постановление КС РФ от 25.05.2021 N 22-П.

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

(п. 9.1 введен Федеральным законом от 24.04.2020 N 123-ФЗ; в ред. Федерального закона от 02.07.2021 N 331-ФЗ)

(см. текст в предыдущей редакции)

(см. текст в предыдущей редакции)

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

1.1. Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных Федеральным законом от 27 мая 1996 года N 57-ФЗ «О государственной охране».

(часть 1.1 введена Федеральным законом от 01.07.2017 N 148-ФЗ)

2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

Источник

Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать

В России действует закон о защите персональных данных. Его обязаны соблюдать все, кто хранит любые персональные данные, то есть те, у кого есть сотрудники или база клиентов. Расскажем, как соответствовать 152-ФЗ и какими штрафами грозит несоблюдение закона.

Обеспечить защиту данных

Если вы храните персональные данные, то по статье 3 152-ФЗ являетесь оператором персональных данных и отвечаете за их защиту. Основные требования общие для всех:

Если вы храните не просто ФИО, а важные данные, например фотографии, нужно обеспечить более серьезную защиту — к примеру, настроить систему обнаружения вторжений. Подробнее об этом можно почитать в нашей статье «Защита персональных данных в облаке: как сделать все по закону 152-ФЗ» — там мы рассказываем о типах угроз, уровнях защищенности и технических требованиях по безопасности.

Что будет, если не защитить данные

Ответственность за нарушение закона о персональных данных зависит от вида нарушения. Если оператор не защитит данные и кто-то случайно или намеренно получит к ним доступ, его оштрафуют:

Может случиться, что из-за неправомерного доступа к персональным данным человек пострадает. Например, кто-то узнает его адрес и проникнет в квартиру. В таком случае компания, которая допустила утечку данных, должна будет компенсировать ущерб по закону о защите персональных данных.

Разработать документы, описывающие порядок работы с персональными данными

Публичные документы: их показываем тем, у кого берем персональные данные

Согласие на обработку персональных данных. Базовый документ — его нужно давать на подпись тем, чьи персональные данные вы собираете лично, а не через интернет. В документе нужно прописать, какие именно данные и с какими целями вы собираете.

Образец согласия на обработку персональных данных. Источник

Если собираете данные только через интернет, этот документ не нужен. Понадобится опубликованная на сайте политика конфиденциальности, а получать согласие можно будет через форму.

Положение об обработке и защите персональных данных. Этот документ нужно показывать тем, кто лично подписывает с вами согласие на обработку персональных данных. В положении о персональных данных прописывают цель и сроки обработки и хранения данных, порядок их уничтожения.

Политика конфиденциальности. Это документ для тех, кто собирает данные через интернет. Его нужно разместить на сайте, чтобы пользователи могли узнать, как и для чего вы собираете их персональные данные. Он похож на «Положение об обработке и защите персональных данных».

Ссылку на политику нужно добавить в пользовательское соглашение. А в формах, где пользователь оставляет свои данные, нужно добавить галочку с текстом: «Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности».

Политику можно подготовить по шаблону. Такие шаблоны часто есть у конструкторов сайтов, например у Tilda.

Внутренние документы компании: в них описываем корпоративный порядок работы с персональными данными

Модель угроз безопасности. Этот документ показывает, какие опасности угрожают вашей системе хранения и обработки персональных данных. Его нужно составлять обязательно — без него нельзя понять, как именно вы обязаны защитить свою систему. При составлении нужно ориентироваться на базовую модель от ФСТЭК.

Приказ о назначении ответственного за безопасность персональных данных. Если вы ИП, то сами отвечаете за безопасность, и приказ не нужен. Если у вас ООО, в нем должен быть ответственный — должностное лицо, которое следит за персональными данными. Его нужно назначить приказом.

Образец приказа о назначении ответственного за персональные данные. Источник

Приказ о допуске к обработке персональных данных. В этом документе прописаны все сотрудники, которые имеют доступ к персональным данным. Важно, чтобы это было обосновано — нельзя вписать туда людей, которым по работе не нужны персональные данные, например, уборщицу или программиста.

Инструкция пользователя системы персональных данных. В этой инструкции нужно прописать, как правильно общаться с персональными данными. С ней должны ознакомиться все, кто имеет доступ к данным.

Что будет, если не разработать документы

Если вы не назначите ответственного за обработку ПД или не составите список тех, кому разрешен доступ — это тоже нарушение. Получится, что вы просто так передали данные третьим лицам — а это незаконное распространение, за которое положена уголовная ответственность: штраф до 200 000 рублей, принудительные работы до двух лет, арест до четырех месяцев.

Уведомить Роскомнадзор

Если вы собираете персональные данные сотрудников, уведомлять никого не нужно. А вот если работает с персональными данными клиентов, придется отправить уведомление в Роскомнадзор — зарегистрироваться как оператор персональных данных.

Отправить уведомление можно онлайн, на сайте Роскомнадзора.

Что будет, если не отправить уведомление

Вы совершите административное правонарушение — не уведомите контролирующий орган, хотя обязаны были это сделать. За это положен штраф:

Получать согласие на хранение и обработку персональных данных

Когда вы обеспечили защиту данных, собрали пакет документов и уведомили Роскомнадзор, можно, наконец, начать работать с персональными данными. Чтобы все было по закону, нужно получать согласие от каждого человека, чьи персональные данные вы собираете. По закону о защите персональных данных 152-ФЗ каждый ваш клиент или сотрудник будет субъектом персональных данных и должен быть в курсе, что вы собираете и храните информацию о нем.

Получить согласие можно двумя способами:

Что будет, если не спрашивать разрешения

Источник

5 базовых принципов закона о персональных данных, о которых нужно знать

Деятельность по обработке персональных данных регулирует №152-ФЗ «О персональных данных». Он касается всех без исключения организаций, поэтому важно иметь представление об основных требованиях, которые он устанавливает.

1. Закон распространяется на все организации — и коммерческие, и бюджетные

Под персональными данными, как следует из ст. 3 №152- ФЗ, подразумевается любая информация, имеющая отношение к физлицу: информация, указанная в паспорте (ФИО, дата рождения, адрес регистрации, семейное положение и др.), а также сведения об образовании, занимаемой должности, зарплате и даже росте, весе, цвете глаз и др.

Закон распространяется абсолютно на все организации. Поскольку в каждой организации есть работники, то их данные так или иначе используются при заключении трудового договора, начислении зарплаты и в других случаях. Персональные данные вносятся в личные дела сотрудников, которые хранятся у кадровиков.

Под обработкой персональных данных подразумеваются действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных. Распространение персональных данных — это действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2. Компании могут использовать данные различных категорий субъектов

С каждой из категорий субъектов персональных данных компанию связывает определенный тип правоотношений. Некоторые компании обрабатывают персональные данные не только работников, но и клиентов, например, производственные компании. Так, компании из сферы услуг (автошколы, салоны красоты, парикмахерские, туристические агентства и др.) взаимодействуют с клиентами-физлицами, обрабатывая их персональные данные с целью предоставления, например, дисконтных карт. Интернет-магазины собирают данные физлиц, чтобы осуществлять доставку товаров.

Существует определенная категория лиц, которая не является ни клиентами, ни работниками компании, однако она передает свои данные в организацию, где они хранятся и обрабатываются. К такой категории относятся соискатели, принимающие участие в конкурсе на вакансию и передающие потенциальному работодателю свои персональные данные в виде резюме или анкеты на сайте компании.

Сотрудники могут работать в организации по договору подряда. Оформляя человека по такому договору, компания может не запрашивать у него сведений о семейном положении или ограничений по здоровью. В случае с работником, оформленным по трудовому договору, компания должна это делать.

У товариществ собственников жилья нет ни работников, ни клиентов. Это сообщество, в котором состоят члены. Существуют и другие виды организаций с подобной структурой и без трудовых или гражданских правоотношений: общественные организации, политические партии, религиозные организации и др.

3. Обработке подлежат персональные данные, отвечающие целям их обработки

Важно понимать, какие данные каких субъектов используются, чтобы устанавливать цель обработки персональных данных.

Организациям необходимо иметь представление не только о том, данные каких категорий субъектов они обрабатывают, но и с какой целью они это делают, исходя из специфики деятельности. Например, у интернет-магазина и автошколы цель обработки данных может заключаться в выполнении условий договора с клиентами.

Проверьте, насколько ваша организация готова к проверке Роскомнадзора

4. Необходимо знать, какие именно данные нужно использовать

Закон требует от компаний понимания, какие именно персональные данные в отношении каждой категории субъектов они обрабатывают.

Очевидно, что если в случае с работником необходимо знать об ограничениях по здоровью для начисления социальных выплат, имеются ли у него дети до 18 лет, чтобы предоставить ему налоговый вычет, то в отношении клиента интернет-магазина, который заказал товар, эти сведения не нужны. В этом случае достаточно знать имя, адрес и телефон покупателя.

Закон запрещает обрабатывать персональные данные, которые не требуются для достижения цели их обработки.

Достигнув цели обработки данных, компания должна прекратить обработку этих данных. Так, если интернет-магазин осуществил доставку товара клиенту, то в дальнейшем ему уже не потребуются его номер мобильного телефона и адрес доставки.

5. Необходимо понимать, когда требуется согласие на обработку данных

Для каждой категории субъектов (работников, клиентов, соискателей и др.) определяется цель обработки данных. Порой эта цель заключается в выполнении требований определенных законов. В этом случае организация может абсолютно спокойно собирать данные соответствующей категории и обрабатывать их. Так, в отношении работников организации выполняют трудовое законодательство, многие кредитные и финансовые организации обязаны на своем официальном сайте публиковать сведения об аффилированных лицах, ОАО должно размещать у себя на сайте информацию о структуре акционеров.

Если цель обработки данных какой-то категории субъектов установлена компанией самостоятельно, исходя из специфики деятельности, то она должна взять согласие об обработке персональных данных у субъекта данных (ст. 9 №152- ФЗ). Например, если компания принимает на работу сотрудника по трудовому договору, то по трудовому законодательству она должна знать, как его зовут, где он прописан, какое у него образование. И эти сведения компания может получать у человека без его согласия. Если же компания собралась выплачивать сотруднику зарплату на банковскую карту и планирует передавать сведения о нем в банк, то она обязана взять на это согласие, так как прямого требования передавать персональные данные в банк для выплаты заработной платы в законе нет.

Если интернет-магазин после доставки товара планирует рассылать клиентам SMS-сообщения о скидках, то он должен заранее сформулировать эту цель и взять с клиентов согласие на использование данных именно с этой целью. В ч.1 ст.15 №152- ФЗ есть упоминание о том, что рекламные контакты с клиентами совершаются только с их согласия.

Закон отдельно выделяет требования для данных, неправомерные действия с которыми могут нанести вред субъекту персональных данных. Речь идет о специальной категории персональных данных (ст. 10 №152- ФЗ) и биометрических персональных данных (ст. 11 №152-ФЗ).

К биометрическим данным относятся сведения, которые отражают физиологические особенности человека и необходимы для установления его личности (например, если в компании используются системы контроля доступа). К специальной категории данных относятся сведения о национальной, расовой принадлежности, философских, политических и религиозных убеждениях, состоянии здоровья и интимной жизни. Эти данные выделяются в отдельную категорию, так как закон прямо запрещает их использовать, за исключением ряда случаев (один из них — если субъект дал на то свое письменное согласие).

Отдельно закон говорит о передаче данных за границу (ст. 12 №152- ФЗ).

С учетом всех базовых принципов, описанных выше, требования к обработке данных можно разделить на три больших блока (ст. 19 №152- ФЗ):

1. Правовые меры

Организация решает, как будет соблюдать законодательство, оформляет решение в виде внутренних документов, например, «Политики в отношении обработки персональных данных», издает приказ, в котором назначает ответственного за организацию процесса обработки персональных данных и т д.

2. Организационные меры

Эти меры связаны с деятельностью компании. Закон требует, чтобы «Политика в отношении обработки персональных данных» была доступна для всех категорий субъектов персональных данных. Ее рекомендуется размещать на информационном стенде, где с ней смогут ознакомиться не только работники, но и клиенты.

По закону любой субъект персональных данных может написать в компанию письмо с требованием уточнить, обрабатывает ли она его данные. Если обрабатывает, то какие данные, с какой целью и на каком основании. Также любой субъект имеет право потребовать прекратить обработку своих персональных данных.

Рассмотрение этого письма и подготовка ответа на него — деятельность, относящаяся к организационным мерам. О том, как отвечать на такие письма, уточняется в ст. 20-21 №152-ФЗ.

3. Технические меры

Связаны с использованием средств защиты информации. Это могут быть как примитивные средства — сургучовые печати, решетки на окнах, так и высокотехнологичные способы — антивирусы, межсетевые экраны, средства защиты от несанкционированного доступа, средства криптографической защиты и др.

При обработке персональных данных организации следует:

Существенное дополнение: в рамках текущего законодательства ни у одного контролирующего органа нет полномочий на то, чтобы контролировать выполнение технических мер у коммерческих частных организаций. Роскомнадзор может контролировать только выполнение правовых и организационных мер у частных компаний. Поэтому о четвертом шаге можно говорить формально: закон предоставляет возможность коммерческим компаниям большую свободу в выборе технических мер. Что касается государственных организаций, то для них требования по использованию средств защиты информации четко определены и подробно описаны.

Игорь Луканин, руководитель продукта «Контур.Персональные данные»

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Источник

Персональные данные для digital-маркетинга: полный гайд и шаблоны документов

Вы собираете имейлы или телефоны клиентов — вы оператор персональных данных. Разбираемся, как не нарушить закон.

Polina Vari для Skillbox Media

Евгений Царёв

Управляющий RTM Group, эксперт в области IT-права и кибербезопасности. 15 лет в сфере защиты информации, из них более 10 лет — на руководящих позициях в крупных компаниях отрасли, включая Leta IT-Company и Swivel Secure. В 2018 году основал и возглавил группу компаний RTM Group, специализирующуюся на IT-праве, судебных компьютерных экспертизах и аудите в области ИБ и ИТ.

Самозанятый автор. Создаёт статьи в блог и коммерческий контент. Пишет о маркетинге, финансах, бизнесе и YouTube.

Что такое персональные данные

Понятие персональных данных и правила их обработки содержатся в федеральном законе №152-ФЗ «О персональных данных». Согласно ему, персональные данные — это «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)».

Когда вы начинаете обрабатывать такие сведения, то становитесь оператором персональных данных. Под обработкой закон понимает любые действия: сбор, запись, систематизацию, накопление, хранение, — вплоть до уничтожения. Полный список можно посмотреть в этой статье.

Почти все компании в России — операторы персональных данных, потому что обрабатывают хотя бы сведения о сотрудниках. Также операторами становятся все, кто обрабатывает сведения о клиентах. Вот несколько типовых ситуаций:

В тот момент, когда вы начинаете обработку персональных данных, запускается и механизм ответственности. Вы становитесь оператором со всеми последствиями.

О чём необходимо помнить операторам, когда они обрабатывают персональные данные граждан? Нужно определить цель и сроки обработки ПДн, содержание, объём, перечень и категории обрабатываемых данных, заручиться согласием субъекта. Ниже мы разберём подробнее, какие требования законодательства нужно выполнить.

Уведомление Роскомнадзора

Просто так начать обрабатывать персональные данные нельзя. До старта нужно уведомить Роскомнадзор. Только компании и учреждения, которые вели эту деятельность до выхода соответствующего закона, могут регистрироваться по факту. Другими словами, они могут уведомлять ведомство уже после того, как начали обработку.

Перед подачей заявления нужно подготовиться:

Уже после этого можно регистрироваться. Роскомнадзор разработал форму уведомления для всех, кто будет обрабатывать персональные данные. Есть три способа подать уведомление:

Регулятор вносит сведения в реестр операторов персональных данных в течение 30 дней с даты поступления уведомления. Когда вы начнёте обрабатывать данные и потребуются какие-либо изменения, нужно будет сообщить о них Роскомнадзору. Также нужно будет уведомить, если вы прекратите собирать и обрабатывать данные.

Можно ли обойтись без регистрации в Роскомнадзоре? Можно, но в редких случаях — они описаны в статье 22 №152-ФЗ. В основном это прямые договоры с клиентами, когда вы никому не передаёте информацию о клиентах, а также не предоставляете им дополнительных услуг. Ещё можно обойтись без уведомления, если вы:

Но всё это — только если правоотношения строятся «в чистом виде», что на практике практически невозможно. Например, работодатель наверняка имеет зарплатный проект и передаёт сведения в банк.

Если у вас есть хотя бы небольшие сомнения, лучше спросить регулятора о вашем конкретном случае, чем в одностороннем порядке решить, что предписания к вам не относятся.

Случай из практики. Автосалон не зарегистрировали в качестве оператора персональных данных. Руководители организации решили, что организация подпадает под исключения из части 2 статьи 22 152-ФЗ. Все случаи обработки персональных данных, решили они, — это исключения: автосалон выдаёт разовые пропуска, заключает договоры купли-продажи авто и обрабатывает сведения о работниках.

Организация сообщила об этом в Роскомнадзор информационным письмом. В ответ регулятор разъяснил, что пройти процедуру придётся. Аргументы Роскомнадзора были такими:

Поскольку салон оказывает сопутствующие и посреднические услуги, ему пришлось зарегистрироваться в качестве оператора.

Необходимые документы и их шаблоны

Правильно разработанная юридическая документация поможет свести к минимуму риск, что компанию обвинят в нарушении законодательства о персональных данных. Список необходимых документов включает:

В разделе мы расскажем об этих документах подробнее.

Политика конфиденциальности и правила работы с персональными данными. В документах многих компаний содержится одна и та же ошибка: правила работы с персональными данными они называют политикой конфиденциальности. Однако это разные документы.

Правила работы с персональными данными должны содержать то, что рекомендует Роскомнадзор и требует 152-ФЗ. Политика конфиденциальности шире: документ описывает работу со всей конфиденциальной информацией, в том числе с персональными данными. В политику добавляют то, что нужно защитить дополнительно. Например, это договоры, переписка с клиентами и партнёрами, внутренняя документация.

Два документа можно объединить в один, это не противоречит законодательству. Когда пользователи регистрируются на сайте, их нужно познакомить с политикой конфиденциальности и правилами работы с персональными данными до процедуры регистрации.

Согласие на обработку персональных данных. Форма, которую должен заполнять субъект персональных данных. В ней обязательно должны быть сведения об информационных ресурсах оператора. Это адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имени файла веб-страницы. Нужно указать адреса всех сайтов, которые будут обрабатывать сведения о пользователях.

Согласие должно быть написано чёткими и ясными фразами, чтобы пользователь понял, кому и в каких случаях вы можете передавать его данные. Ошибкой будет написать что-то вроде « Пользователь ознакомлен и согласен с тем, что передача его персональных данных может осуществляться маркетплейсом в объёме, необходимом для получения Пользователем доступа к Платформе, любым третьим лицам, в том числе осуществляющим техническое обслуживание сайта и поддержку Пользователя».

Важно! Если на сайте можно зарегистрироваться, нужно знакомить пользователей с политикой конфиденциальности и получать согласие на обработку персональных данных перед тем, как он отправит анкетные сведения.

Согласие на обработку персональных данных

Когда клиент подписался на новостную рассылку на сайте, оформил заказ на маркетплейсе или оставил заявку на тест-драйв авто, он сообщил как минимум своё имя, номер телефона или email. Это основание запросить и получить согласие на обработку персональных данных.

Пользователь должен принять решение о предоставлении данных свободно и по своей воле. В подтверждение он должен подписать официальное согласие на обработку такой информации.

Законодательство не предполагает конклюдентного подтверждения: то есть пользователь не может дать согласие, выполнив определённые действия. Нельзя прописать в политике, что клиент выражает согласие на обработку его данных, заполняя форму для заказа в интернет-магазине.

Получить согласие на обработку можно в любой форме, позволяющей подтвердить факт его получения. Например, чекбоксом — пунктом, в котором пользователь должен поставить галочку. Предустанавливать её нельзя: субъект персональных данных должен сам выразить согласие. Разместить чекбокс нужно во всех формах, в которых собирают персональные данные.

Также можно поместить уведомление о согласии на обработку рядом с кнопкой. Нажав на неё, пользователь согласится с тем, что вы будете обрабатывать его данные. Часто веб-сервисы собирают разрешения в личных кабинетах, где пользователи также проставляют метки в специальных формах.

Важно! Если собираете биометрические данные (фото пользователей или аудио с их голосом), нужно получать только письменное согласие на обработку персональных данных. Чекбокс не подойдёт.

В любой момент пользователь может отозвать согласие на обработку персональных данных. Тогда вы должны будете прекратить обрабатывать их, то есть удалить.

Бывают ли случаи, когда не нужно брать согласие на обработку персональных данных? Бывают, но их мало. Закон разрешает не брать согласие, если « обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора».

Не забывайте получать согласие на обработку персональных данных, даже если это кажется избыточным. Самые частые нарушения, за которые штрафуют операторов: компании обрабатывали данные без согласия владельцев или объём запрошенных данных не соответствовал целям обработки. Эти нарушения приводят не только к штрафам, но и к утечкам.

Ответственность за нарушения при обработке персональных данных

Правомерную обработку персональных данных контролирует Роскомнадзор, иногда это делают также Роструд и ФАС. Ответственность за нарушения в этой сфере год за годом ужесточается. Подробнее о видах ответственности читайте здесь.

По статье 13.11 КоАП РФ Роскомнадзор может возбудить дело об административном правонарушении и наложить штраф:

Риск привлечения к ответственности и размер штрафа не зависят от масштабов компании. Главное — характер и злостность нарушения.

Кейс. Роскомнадзор выявил нарушения на интернет-ресурсе, принадлежащем французскому регистратору доменов Gandi SAS. Когда клиент проставлял галочку о согласии на обработку персональных данных, он не получал информации об операторе.

Кроме того, компания обрабатывала личные сведения граждан России на территории США с нарушением требований 152-ФЗ. Согласно пункту 5 статьи 18 152-ФЗ, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить обработку персональных данных с использованием баз данных, находящихся на территории России. У компании также не было политики обработки персональных данных. В результате рассмотрения дела ресурс включили в Реестр нарушителей прав субъектов персональных данных.

Только за 2020 год число заблокированных Роскомнадзором ресурсов превысило 190 тысяч. У регулятора есть широкий список оснований, в соответствии с которыми он может включить ресурс в список нарушителей. Подробный список представлен здесь.

Кроме того, в июле 2021 года вступил в силу 355-ФЗ, который внёс поправки в статью 7 115-ФЗ — закона о борьбе с легализацией доходов и финансированием терроризма.

Согласно новой редакции закона, банки обязаны принимать на обслуживание только те компании, сайт которых работает легитимно. А значит, он не заблокирован, не нарушает правила обработки персональных данных и другие предписания Роскомнадзора. Если есть какие-то нарушения, банк обязан отказать в обслуживании: компания не сможет совершать любые операции по расчётному счёту.

Закон касается не только новых компаний, но и тех, кто давно работает с расчётным счётом. Сфера бизнеса и организационно-правовая форма не имеют значения — никаких исключений нет. Банкам предписано выборочно проверять сайты на соответствие закону и бить тревогу, если выявлены нарушения.

Поле, в которое нужно поставить галочку при заполнении формы.

Источник

• ← пробковый пазл на пол
• обшивка под крышей сайдингом →