Персональные данные: ответы на популярные вопросы
Кто и как может получить доступ к персональным данным, в каких случаях не нужно разрешение на их использование и передачу, могут ли не продать товар или не оказать услугу при отказе дать согласие на обработку данных, какие данные собирают владельцы сайтов и как отказаться от рекламной рассылки?
Что такое персональные данные?
Персональные данные (ПД) – это любая информация о человеке. ПД бывают трех видов: общие, специальные и биометрические.
Это Ф.И.О., паспортные данные, СНИЛС, ИНН, дата и место рождения, e-mail, адрес, семейное, социальное и имущественное положение, место учебы и работы, образование, профессия, доходы и т.д.
С номером телефона сложнее. Сам по себе номер как набор цифр – это не ПД, поскольку он не может персонифицировать субъекта данных, он обезличен. Но ситуация меняется, когда помимо номера есть информация о человеке. В этом случае он может быть признан ПД. То есть записанный номер телефона без указания на человека, которому он принадлежит, не относится к персональным данным. Но если, например, на сайте вы нашли номер телефона и Ф.И.О. его владельца, он будет считаться ПД.
Не являются персональными данными: госномер транспортного средства, так как он относится не к человеку, а к автомобилю; лицевой счет ЖКХ, поскольку он относится к квартире.
Перечисленные выше ПД могут обрабатываться только с вашего согласия и лишь в некоторых случаях без него (об этом ниже).
2. Специальные ПД
Это данные о расовой и национальной принадлежности, политических, религиозных и философских убеждениях, состоянии здоровья, интимной жизни и т.д.
Обработка таких ПД не допускается, за исключением следующих случаев:
- вы дали письменное согласие на обработку, т.е. подписали документ, в котором выразили свое согласие;
- обработка в целях оказания медицинской помощи; при этом вам не могут отказать в медпомощи, если вы отказываетесь подписать согласие на обработку специальных ПД;
- обработка в целях страхования;
- обработка ПД госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности, а также иные исключения, предусмотренные ч. 2 ст. 10 Закона о персональных данных.
3. Биометрические ПД
Это данные о физиологических и биологических особенностях человека, которые позволяют установить его личность. К биометрическим ПД относятся: ДНК, голос, радужная оболочка глаза, отпечатки пальцев, изображение лица, рост, вес и т.д.
Такие ПД могут обрабатываться только с письменного согласия, за исключением случаев, когда обработка осуществляется госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности; а также в иных случаях, предусмотренных ч. 2 ст. 11 Закона о персональных данных.
Например, следуя в свой офис, вы проходите пункт охраны. Там вас просят приложить к сканеру палец, что позволяет службе охраны на компьютере видеть ваши ПД на основании взятого отпечатка. Так они могут установить вашу личность. Для использования отпечатка пальца охранная организация должна взять у вас письменное согласие на обработку биометрических ПД.
Что такое обработка персональных данных?
Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
- работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
- продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
- покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.
Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.
Кто такой оператор персональных данных?
Оператор ПД – любой человек, ИП, компания, органы и учреждения государственной и муниципальной власти, которые осуществляют действия с ПД.
- работодатель, обрабатывающий ПД своих работников;
- продавец, обрабатывающий ПД клиентов-граждан;
- госорганы, обрабатывающие ПД граждан при предоставлении государственных услуг;
- владельцы сайтов, собирающие ПД пользователей сайта.
Какие условия обязан соблюдать оператор при обработке персональных данных?
Главное условие – наличие вашего согласия. При этом в ст. 6 Закона о персональных данных предусмотрены случаи, когда оператор может обрабатывать ПД при отсутствии согласия:
- в целях, предусмотренных международным договором России, например договором, позволяющим выдавать преступников другой стране (экстрадиция);
- в целях, предусмотренных законами РФ, когда на оператора возложены определенные обязанности; например, работодатель обязан передать ПД в налоговые органы;
- в связи с вашим участием в суде; например, при подаче документов в суд вы должны указать свои Ф.И.О. и адрес;
- для исполнения судебного акт; например, суд по результатам рассмотрения дела выдает исполнительный документ, в котором указываются Ф.И.О., адрес, ИНН и иные данные должника;
- в целях получения госуслуг – в таких случаях мы всегда подписываем согласие на обработку ПД. В недавнем определении Верховный Суд РФ подтвердил, что отказ лица от подписания согласия не может являться основанием для отказа в предоставлении услуги органом власти 1 ;
- для исполнения договора, в котором вы являетесь стороной, выгодоприобретателем (например, в вашу пользу застраховано имущество) или поручителем.
Например, вы заключили с риелтором договор, согласно которому он ищет покупателя для вашей квартиры. Риелтору нужно знать ваши ПД: Ф.И.О., контактный телефон и e-mail. Так как он использует эти данные только для оказания услуг, ему не нужно ваше согласие на обработку ПД. Если же риелтор желает присылать вам рекламные материалы, которые, естественно, не связаны с оказанием услуг по заключенному договору, то он обязан будет получить ваше согласие на обработку ПД в рекламных целях;
Что такое согласие на обработку персональных данных?
Согласие на обработку ПД – это добровольно принятое вами решение о предоставлении своих данных оператору для обработки в тех целях, которые им определены.
Согласие на обработку ПД должно быть оформлено:
- письменно, если того требует закон (см. выше);
- в остальных случаях закон допускает оформление согласия в любой иной форме, позволяющей подтвердить факт его получения оператором, например проставление галочки напротив текста о предоставлении согласия на сайте при регистрации (☑).
Пункты, которые обязательно должно содержать письменное согласие:
- Ф.И.О., адрес, реквизиты паспорта или иного документа, удостоверяющего личность;
- название организации или Ф.И.О. и адрес оператора;
- цель обработки ПД – вы должны понимать, для чего вы даете согласие на обработку данных; если оператор станет обрабатывать ПД в иных целях, это будет считаться нарушением закона;
- перечень ПД, которые будет обрабатывать оператор;
- информация о лице, которое будет обрабатывать ваши ПД по поручению оператора. Например, работодатель передает ваши данные сторонней организации, которая оказывает бухгалтерские или кадровые услуги, – для этого вы должны предоставить свое согласие;
- перечень действий, которые будет осуществлять оператор, т.е. что конкретно он может делать с ПД: собирать и хранить или собирать, хранить и передавать и т.д.;
- срок, на который выдано согласие;
- способ отзыва согласия;
- подпись.
Можно ли не давать согласие на обработку ПД?
Можно. Предоставление согласия – дело добровольное. Исключением являются те случаи, когда оператор может обрабатывать ПД без вашего согласия (см. выше).
Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?
На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.
- Госорганы не могут отказывать вам в предоставлении услуг, поскольку у них есть право на обработку ПД без вашего согласия.
- Коммерческие организации, с которыми вы заключили договор оказания услуг (выполнения работ и т.д.), не должны вам отказывать, поскольку имеют право обрабатывать ваши ПД в целях исполнения договора без вашего согласия.
С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения).Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.
Вместе с тем операторы, устанавливающие такой пропускной режим, обычно не берут согласий, поскольку:
- считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
- считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.
Однако оба довода являются спорными.
Почему организация может требовать оформления согласия на обработку ПД?
Причин может быть несколько:
- оператор хочет получить возможность обрабатывать ПД в целях, не связанных с выполнением договора; самый распространенный случай – нужно согласие на рассылку рекламных материалов;
- оператор не понимает или не знает о случаях, в которых не требуется получение согласия;
- оператор хочет перестраховаться.
Может ли оператор передать кому-нибудь персональные данные?
Оператор может передавать ПД третьим лицам только с вашего согласия, если иное не предусмотрено законом.
Примеры, когда согласие нужно: работодатель передает ваши ПД сторонней организации для бронирования отелей, покупки авиабилетов или оформления пропуска.
Примеры, когда согласие не нужно:
- управляющая организация или правление товарищества собственников жилья вправе предоставить ваши ПД (Ф.И.О., номер квартиры, сведения о размере доли) организатору созыва общего собрания собственников жилья;
- работодатель вправе передавать ваши ПД в ФСС, ПФР, налоговые органы, по запросу в суд, прокуратуру, правоохранительные органы и т.д.
Предоставление такого согласия является добровольным. Оператор не может принуждать вас это сделать.
(Банк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? О том, как действовать в такой ситуации, читайте в статье «Битва за персональные данные».)
Какие персональные данные оператор собирает через сайт и зачем?
ПД, которые могут быть собраны оператором через сайт, условно можно разделить на две группы.
1. ПД, которые вы передаете сами, заполняя формы обратной связи на сайте: Ф.И.О., адрес, номер телефона, e-mail.
В этом случае объем переданных ПД вы можете определить сами. Согласие на обработку таких данных обычно можно предоставить путем:
- проставления галочки в специальном окне («Я даю свое согласите на обработку персональных данных» ☑);
- принятия условий публичной оферты, опубликованной на сайте; обычно оплата товара означает согласие с условиями.
2. ПД, которые оператор собирает без предоставления вами информации.
В основном это файлы куки (cookie) – небольшие текстовые файлы со служебной информацией с сайта (сведения о программном обеспечении, которым вы пользуетесь, IP вашего компьютера, информация о вашем браузере).
Ваше согласие на обработку этих ПД оператор получает, если вы остаетесь на сайте после того, как появилось всплывающее окно с информацией примерно следующего содержания: «Продолжая использовать настоящий сайт, вы даете согласие на обработку файлов cookie в целях функционирования сайта. Если вы против обработки ваших данных, незамедлительно покиньте сайт».
Владелец сайта вправе обрабатывать ваши ПД только в тех целях, которые были указаны при получении вашего согласия, чаще это направление вам рекламных материалов. Файлы куки обычно используются для сбора статистики и информации о ваших предпочтениях.
Законно ли направление мне рекламы без моего согласия?
Прежде чем направить вам рекламные материалы, оператор обязан взять у вас согласие:
- на получение рекламных материалов, т.е. вы должны разрешить ему высылать их;
- на обработку ПД в целях продвижения товаров, работ или услуг, т.е. вы должны разрешить ему обрабатывать ваши данные (Ф.И.О., номер телефона, e-mail) для получения рекламной рассылки.
Обычно мы не замечаем, как даем эти согласия. Например, в магазине вы заполняете анкету для получения бонусной карты, что влечет согласие на рекламную рассылку; на сайте при заполнении формы обратной связи или при оформлении заказа вы ставите галочку напротив текста, который выражает ваше согласие (☑).
Если вы не хотите сталкиваться со спамом, рекомендую внимательно следить за тем, что вы подписываете или оформляете на сайте.
Как отказаться от назойливой рекламной рассылки?
Обычно в конце рекламного сообщения есть активная ссылка, которая позволяет отказаться от рассылки. Если это не помогло, вы должны обратиться к оператору, от которого получаете рекламу, с требованием прекратить обработку ПД в целях продвижения товаров, работ или услуг. Вы можете обратиться к нему лично, придя в офис, направить по почте письменное требование или через e-mail отправить электронный документ, подписанный усиленной квалифицированной подписью.
При оформлении отказа рекомендую указать свои контактные данные и четко сформулировать свое требование (отказ от получения рекламных материалов и от обработки ПД в целях продвижения товаров, работ, услуг). Тут же следует сослаться на ч. 2 ст. 15 Закона о персональных данных, в которой сказано, что по требования субъекта ПД оператор обязан немедленно прекратить обработку его данных.
Лучше направить письменное требование обычной почтой (ценным письмом с описью вложения). Почтовая квитанция и опись будут являться подтверждением факта обращения к оператору. Получив такое требование, он обязан будет прекратить обработку ПД.
Если вам направляют рекламу, несмотря на отказ от нее, вы можете обратиться:
- в территориальный орган Роскомнадзора с жалобой на действия оператора;
- в территориальный орган Федеральной антимонопольной службы с жалобой на действия предпринимателя, осуществляющего рассылку рекламных материалов без вашего согласия на их получение;
- в суд.
Какие права у меня есть при обработке моих персональных данных?
1. Право на получение у оператора информации, касающейся обработки ваших ПД.
Вы можете обратиться к оператору с требованием о предоставлении следующей информации:
- подтверждение факта обработки ваших ПД оператором – он должен подтвердить или опровергнуть информацию об этом;
- правовые основания и цели обработки ваших ПД – если вы дали свое согласие на обработку, то оператор должен сослаться на него. Если он вправе осуществлять обработку без вашего согласия, то должен сослаться на конкретное положение закона. Также оператор должен перечислить цели, для которых осуществляется обработка ПД;
- способы обработки ваших ПД – возможны два способа: автоматизированный – обработка с помощью средств вычислительной техники; без использования средств автоматизации – обработку осуществляет человек;
- наименование и место нахождения оператора; сведения о лицах (за исключением работников оператора), которые имеют доступ к ПД или которым эти данные могут быть раскрыты на основании договора с оператором или на основании федерального закона – здесь речь идет об органах госвласти, которым оператор передает ваши ПД, а также об иных третьих лицах, которым оператор передает ваши ПД на основании договора;
- перечень обрабатываемых ПД и источник их получения – оператор должен указать, какие именно ваши данные он обрабатывает и как их получил;
- сроки обработки и хранения ПД;
- порядок осуществления вами прав, предусмотренных Законом о персональных данных, – информация о том, каким образом вы можете реализовать свои права у данного оператора;
- о трансграничной передаче ПД – информация о том, передаются ли ваши ПД за границу;
- сведения о лице, осуществляющем обработку ваших ПД вместо оператора, – например, сторонняя организация вместо работодателя обрабатывает ПД работников для предоставления кадровых и бухгалтерских услуг;
- иные сведения, предусмотренные законодательством.
Право на получение такой информации не распространяется на случаи обработки ПД в целях обороны страны, безопасности государства, охраны правопорядка, в рамках законодательства о противодействии отмыванию доходов, полученных преступным путем, и т.д.
Как получить от оператора необходимую информацию?
Вы вправе обратиться к оператору лично, придя в офис. Можно направить запрос по почте в виде письменного документа или на e-mail в виде электронного документа, подписанного усиленной квалифицированной электронной подписью.
Самый надежный способ обращения – направление по обычной почте ценного письма с описью вложения. Оставьте у себя почтовые квитанции и опись – так вы сможете подтвердить факт направления запроса оператору.
В запросе обязательно нужно указать:
- паспортные данные;
- если ваши ПД обрабатываются оператором на основании договора, то укажите дату его заключения и номер;
- если вы не заключали договор с оператором, укажите иные сведения, подтверждающие ваши взаимоотношения с ним; например, если вы купили товар на сайте оператора, можете сослаться на адрес сайта, номер вашего заказа и т.д.;
- иные сведения, подтверждающие факт обработки ваших ПД оператором; например, ссылка на электронное письмо с рекламными материалами;
- ваша подпись.
При личном обращении информация об обработке ПД должна быть предоставлена вам незамедлительно. Если запрос был направлен по почте, то ответ должен поступить в течение 30 дней с даты получения оператором запроса.
Повторно обратиться к оператору вы можете не ранее чем через 30 дней после первоначального обращения. Отправить второй запрос, не дожидаясь истечения 30-дневного срока, вы можете, только если оператор предоставил не всю информация, которую вы требовали. Но вы должны будете обосновать свое обращение. В случае несоблюдения этих условий оператор вправе отказать в выполнении повторного запроса.
2. Право на предъявление иных требований к оператору, обрабатывающему ваши ПД.
Вы можете требовать от оператора:
- уточнить ваши ПД;
- блокировать ПД – временно прекратить обработку данных. Например: вы обратились к оператору с требованием уточнить ПД и, пока вносятся изменения, заблокировать их, чтобы приостановить обработку неточных данных;
- уничтожить ПД. Например: вы просите оператора уничтожить паспортные данные, которые не нужны ему для направления вам рекламных материалов.
Такие требования можно предъявить, если ПД, которые обрабатывает оператор:
- неполные, например вместо Ф.И.О. указана только фамилия;
- устаревшие, например если вы поменяли паспорт;
- неточные, например ваша фамилия указана с ошибкой;
- получены незаконно;
- не являются необходимыми для заявленной цели обработки. Например: продавец обрабатывает ваши паспортные данные, хотя получал ПД для направления рекламных материалов, для чего ему достаточно знать ваши имя и e-mail или номер телефона.
Как обратиться к оператору с одним из требований?
Порядок обращения может быть таким же, как и при запросе информации об обработке ПД (см. выше пункт 1). При оформлении обращения рекомендую указать свои контактные данные и четко сформулировать свое требование (об уточнении, блокировании или уничтожении ПД). Тут же нужно сослаться на ч. 1 ст. 14 и ч. 3 ст. 20 Закона о персональных данных.
Отказать в выполнении требования оператор не может. Он обязан сделать это в течение 7 дней и уведомить об этом вас и тех, кому были переданы ваши ПД. Если оператор не выполнил ваши требования, имеет смысл обратиться в контролирующий орган – Роскомнадзор.
3. Право на отзыв согласия на обработку ПД.
После отзыва согласия оператор не может обрабатывать ваши ПД, за исключением случаев, когда обработка может быть продолжена по закону. Например: вы заключили с оператором договор оказания услуг и подписали согласие. После его отзыва оператор вправе продолжить обработку ваших ПД только в том объеме, который необходим для оказания вам услуг по договору.
Как отозвать согласие на обработку персональных данных?
Порядок обращения может быть таким же, как и при запросе информации об обработке ПД (см. выше пункт 1). При оформлении отзыва рекомендую указать свои контактные данные и четко сформулировать свое требование (отзыв ранее выданного согласия на обработку ПД). Сослаться нужно будет на ч. 2 ст. 9 и ч. 5 ст. 21 Закона о персональных данных.
Оператор не может вам отказать и должен будет прекратить обработку ПД в течение 30 дней с даты поступления отзыва.
4. Право принимать предусмотренные законом меры по защите своих прав.
Если вы считаете, что оператор:
- осуществляет обработку ваших ПД с нарушением требований закона, например обрабатывает биометрические данные без письменного согласия;
- иным образом нарушает ваши права, например игнорирует ваши требования об уничтожении ПД, отзыве согласия, отказе от обработки ПД в целях продвижения товаров, работ или услуг и т.д.
В таких случаях вы можете обратиться:
- в территориальный орган Роскомнадзора с жалобой на действия или бездействие оператора;
- в суд с требованием о восстановлении нарушенных прав, а также с требованием о взыскании убытков (причиненный вам имущественный вред) и компенсации морального вреда (причиненные нравственные страдания).
Вы можете обратиться за защитой своих прав в любой из этих органов. Однако наиболее быстрый и надежный способ – направление жалобы в территориальный орган Роскомнадзора. Это позволит сэкономить время и силы. При обращении в суд дело может рассматриваться очень долго, нужно будет посетить не одно судебное заседание, представить доказательства и т.д.
1 Кассационное определение Судебной коллегии по административным делам Верховного Суда РФ от 22 января 2020 г. № 5-КА19-56.
Пользовательские соглашения: зачем нужны и почему их не читают
В российском законодательстве нет определения пользовательского соглашения. Партнер юридической фирмы Tomashevskaya & Partners Tomashevskaya & Partners Федеральный рейтинг. группа Частный капитал группа Интеллектуальная собственность (Консалтинг) группа Международные судебные разбирательства группа ТМТ (телекоммуникации, медиа и технологии) группа Корпоративное право/Слияния и поглощения (high market) × Роман Янковский называет его «документом, который регламентирует отношения между администрацией и пользователями сайта». Обычно его составляет владелец сайта, там же перечислены права и обязанности сторон.
Пользовательские соглашения «Яндекса» и WhatsApp
Часто люди думают, что пользовательское соглашение — текст сугубо информационного характера, но на самом деле документ имеет юридическую силу. О правовой природе пользовательского соглашения среди экспертов единого мнения нет.
Руководитель цифровой группы Пепеляев Групп Пепеляев Групп Федеральный рейтинг. группа Антимонопольное право (включая споры) группа Арбитражное судопроизводство (средние и малые споры — mid market) группа ВЭД/Таможенное право и валютное регулирование группа Земельное право/Коммерческая недвижимость/Строительство группа Интеллектуальная собственность (Регистрация) группа Комплаенс группа Налоговое консультирование и споры (Налоговое консультирование) группа Налоговое консультирование и споры (Налоговые споры) группа Трудовое и миграционное право (включая споры) группа Цифровая экономика группа Интеллектуальная собственность (Защита прав и судебные споры) группа Интеллектуальная собственность (Консалтинг) группа Природные ресурсы/Энергетика группа Фармацевтика и здравоохранение группа Финансовое/Банковское право группа Экологическое право группа Банкротство (включая споры) (mid market) группа Корпоративное право/Слияния и поглощения (high market) группа Международный арбитраж группа ТМТ (телекоммуникации, медиа и технологии) × Полина Бардина называет соглашение непоименованным договором (это тот, что не предусмотрен законом или иными правовыми актами, но не противоречит им. — Прим. ред.) и считает, что документ может включать в себя элементы лицензионного договора или договора оказания услуг. Советник юридической фирмы Orchards Orchards Федеральный рейтинг. группа Арбитражное судопроизводство (крупные споры — high market) группа Экологическое право группа Антимонопольное право (включая споры) группа Банкротство (включая споры) (high market) группа Земельное право/Коммерческая недвижимость/Строительство группа Разрешение споров в судах общей юрисдикции группа ТМТ (телекоммуникации, медиа и технологии) группа Фармацевтика и здравоохранение группа Интеллектуальная собственность (Консалтинг) Профайл компании × Анастасия Сивицкая добавляет, что пользовательское соглашение — это договор присоединения. Его условия определяются одной из сторон в формулярах и стандартных формах (ст. 428 ГК).
Пользовательское соглашение может содержать самую разную информацию: описание функций сервиса, правила размещения или копирования контента, условия подписки, особенности регистрации и совершения покупок. Все зависит от специфики сайта или сервиса. Важно, что положения документа не могут противоречить законам «О защите прав потребителей» и «О персональных данных».
С пользовательскими соглашениями человек встречается постоянно. Например, чтобы пользоваться электронной почтой на «Яндексе», надо принять условия документа и дать согласие на обработку персональных данных. Сделать это просто — достаточно поставить галочку в специальном поле при регистрации. В некоторых случаях нужно нажать на кнопку или просто скачать программу.
Поля регистрации аккаунтов на «Яндексе», Ozon, в инстаграме, WhatsApp и mail.ru
Предполагается, что человек, который поставил галочку, нажал на кнопку или скачал программу, прошел по ссылкам, прочитал документы и согласился с их положениями.
А иногда, чтобы принять условия пользовательского соглашения, даже галочку ставить не надо. Если речь идет о сайте, на котором нет регистрации, то человек соглашается с документом, просто используя веб-ресурс. Партнер юридической фирмы Morgan Lewis Morgan Lewis Федеральный рейтинг. группа Природные ресурсы/Энергетика группа ТМТ (телекоммуникации, медиа и технологии) группа Трудовое и миграционное право (включая споры) группа Фармацевтика и здравоохранение группа Финансовое/Банковское право группа Интеллектуальная собственность (Консалтинг) группа Корпоративное право/Слияния и поглощения (high market) группа Международный арбитраж группа Антимонопольное право (включая споры) группа Банкротство (включая споры) (high market) × Анастасия Дергачева сравнивает это с проездом в общественном транспорте: «Когда заходите в троллейбус, вы заключаете договор перевозки. Вам нужно оплатить проезд, но никакую галочку нигде ставить не нужно. Человек сам понимает, что бесплатно покататься не удастся и соглашается на заключение договора перевозки». Аналогичная схема работает и с онлайн-ресурсами. Получается, что каждый, кто пользуется интернетом, становится субъектом десятков пользовательских соглашений, знает он об этом или нет. Даже вы, читая этот материал, согласились с нашими правилами. Хотя вряд ли их изучали.
Вообще, пользовательские соглашения читают редко. Это доказывает исследование 2020 года компании ProPrivacy. Авторы придумали опросник, проходя который люди принимали необычные условия пользовательского соглашения. Результаты показали, что из 100 человек только один прочитал текст документа и отказался от эксперимента. Остальные 99, приняв и не прочитав условия, отдали компании ProPrivacy право выбрать имя своего первого ребенка и согласились в ближайшие десять лет приглашать на рождественский ужин агента ФБР. Конечно, документ в эксперименте был шуточным, но в жизни из-за такой невнимательности могут наступить реальные последствия.
Зачем вникать в суть
Читать каждое пользовательское соглашение на каждом сайте не хватит времени, сил и желания, с пониманием констатирует Дергачева. Но если вы используете цифровую площадку для учебы или работы, то сделать это нужно. Янковский отмечает, что документ важен для профессиональных участников. Если вы ведете блог на каком-то ресурсе, то нужно знать, о чем писать можно, а какие темы на платформе запрещены. Еще непрочтение соглашения может привести к случайной установке ненужных программ или подписке на рекламные рассылки.
Сивицкая добавляет, что блогерам полезно ознакомиться с пользовательскими соглашениями соцсетей: «Неприятно потерять популярный аккаунт из-за нарушения правил, которые вы ранее не знали или не заметили».
Популярный аккаунт за нарушение пользовательского соглашения могут заблокировать не только в соцсети, но и в онлайн-игре. В 2009 году Innova Systems заморозила аккаунт Василия Луначарского* в игре Lineage 2. Причиной блокировки стало то, что пользователь покупал и продавал игровую валюту за настоящие деньги, а это было запрещено.
Луначарский не согласился с блокировкой и написал претензию в компанию. Innova Systems представила игроку служебную записку, но в ней были указаны другие причины деактивации аккаунта. Посчитав, что фирма действует незаконно, Луначарский пошел в суд с требованием возместить материальный и моральный ущерб. Представители Innova Systems на заседание не явились, но в письменном заявлении требования Луначарского отрицали. Они настаивали, что истец не является клиентом компании, потому что при регистрации в игре не указал свой почтовый адрес.
Дело рассматривал мировой судья. Доводы ответчика он посчитал несостоятельными: в переписке компании и Луначарского, которую истец представил суду, видно, что Innova Systems воспринимала игрока как своего клиента. Запрет на покупку и продажу игровой валюты за настоящие деньги в пользовательском соглашении появился только в 2009 году, а Луначарский принимал условия документа еще в 2008-м. Доказательств, что о нововведениях пользователю сообщили, Innova Systems не представила. Еще компания опубликовала информацию о нарушениях Луначарского в новостном разделе сайта, на котором размещена игра. На это у ответчика тоже не было прав.
Суд пришел к выводам, что Innova Systems заблокировала аккаунт Луначарского, поэтому он не смог пользоваться оплаченными в игре услугами. Из-за ограничения доступа заявитель не мог расслабляться и отдыхать. А опубликованное сообщение испортило репутацию Луначарского в игре. Поэтому суд постановил выплатить истцу материальный ущерб и компенсацию за моральный вред.
Возможные незаконные действия администрации сайта — дополнительный повод прочитать пользовательское соглашение. Наталья Гуляева, управляющий партнер LEVEL Legal Services (ранее Hogan Lovells) LEVEL Legal Services (ранее Hogan Lovells) Федеральный рейтинг. группа Интеллектуальная собственность (Защита прав и судебные споры) группа Интеллектуальная собственность (Консалтинг) группа Интеллектуальная собственность (Регистрация) группа Международные судебные разбирательства группа ТМТ (телекоммуникации, медиа и технологии) группа Корпоративное право/Слияния и поглощения (high market) группа Международный арбитраж группа Транспортное право группа Фармацевтика и здравоохранение группа Финансовое/Банковское право × , считает, что даже поверхностное ознакомление поможет пользователю понять специфику работы сайта и позволит в дальнейшем избежать грубых нарушений, а также пресечь нарушения со стороны владельца портала.
Судебная практика подтверждает, что человек должен читать пользовательские соглашения. Если он этого не делает, то за наступившие негативные последствия отвечает сам.
О необходимости чтения таких документов говорят не только российские юристы. Как передает The Washington Post, группа американских юристов разработала законопроект, который обязывает сайты и сервисы отображать краткое содержание пользовательских соглашений. Выжимки должны быть простыми и понятными для обычного человека. В тексте нужно указывать, какие данные собирает сайт, были ли случаи утечки информации и нарушения конфиденциальности.
Компании эксплуатируют факт, что пользователи не читают соглашения, поэтому добавляют в них условия, которые нарушают права людей, отмечает Лори Трахан, одна из авторов инициативы. «Пользователи не должны разбираться в юридических терминах, чтобы понять, как сайты будут использовать их данные», — добавил соавтор инициативы Билл Кэссиди. Новеллу еще не приняли, но тему активно обсуждают в правительстве.
Что такое политика конфиденциальности
Вместе с пользовательским соглашением часто предлагают принять политику конфиденциальности, где описывается, как сайт будет использовать персональные данные пользователя.
С юридической точки зрения политика конфиденциальности — часть пользовательского соглашения. Но обычно ее выносят в отдельный документ, чтобы обратить внимание пользователя на вопрос обработки персональных данных.
Руководитель практики правовой защиты информации Пепеляев Групп Пепеляев Групп Федеральный рейтинг. группа Антимонопольное право (включая споры) группа Арбитражное судопроизводство (средние и малые споры — mid market) группа ВЭД/Таможенное право и валютное регулирование группа Земельное право/Коммерческая недвижимость/Строительство группа Интеллектуальная собственность (Регистрация) группа Комплаенс группа Налоговое консультирование и споры (Налоговое консультирование) группа Налоговое консультирование и споры (Налоговые споры) группа Трудовое и миграционное право (включая споры) группа Цифровая экономика группа Интеллектуальная собственность (Защита прав и судебные споры) группа Интеллектуальная собственность (Консалтинг) группа Природные ресурсы/Энергетика группа Фармацевтика и здравоохранение группа Финансовое/Банковское право группа Экологическое право группа Банкротство (включая споры) (mid market) группа Корпоративное право/Слияния и поглощения (high market) группа Международный арбитраж группа ТМТ (телекоммуникации, медиа и технологии) × Дмитрий Зыков поясняет, что публикация политики конфиденциальности — обязанность владельца сайта. Об этом говорится в ч. 2 ст. 18.1 ФЗ «О персональных данных».
Пользовательское соглашение и персональные данные
Принимая условия подобного соглашения и политику конфиденциальности сайта, пользователь дает владельцу веб-ресурса право собирать информацию о себе. В этом нет ничего противозаконного, если точно известно, какие именно сведения собираются, рассказывает Зыков. Юрист LEVEL Legal Services (ранее Hogan Lovells) LEVEL Legal Services (ранее Hogan Lovells) Федеральный рейтинг. группа Интеллектуальная собственность (Защита прав и судебные споры) группа Интеллектуальная собственность (Консалтинг) группа Интеллектуальная собственность (Регистрация) группа Международные судебные разбирательства группа ТМТ (телекоммуникации, медиа и технологии) группа Корпоративное право/Слияния и поглощения (high market) группа Международный арбитраж группа Транспортное право группа Фармацевтика и здравоохранение группа Финансовое/Банковское право × Екатерина Киселева добавляет, что в пользовательском соглашении и политике конфиденциальности должно быть указано, как именно эти данные будут использоваться.
- Персональные данные и сопутствующую техническую информацию, без которой работа сервиса или программы невозможна.
- Дополнительную пользовательскую информацию (для рекламных рассылок).
- Анонимную техническую информацию для статистики и аналитики.
- Биометрические и другие персональные данные, на получение которых должно быть отдельное разрешение.
Доступ к личной информации пользователя может быть не только у владельца сайта, но и у специалистов технической поддержки или курьерской службы, а еще у рекламных агентств. Чтобы они могли работать с персональными данными, нужна прямая необходимость или согласие пользователя. Если вас не устраивает, что доступ к личной информации появится у третьих лиц, нельзя соглашаться на такие условия. «Не бойтесь отказываться от тех посредников, которые невнятно объясняют, зачем им ваши данные», — говорит Янковский.
Чтобы разобраться в вопросах защиты персональных данных, необязательно быть юристом или читать законы. В интернете есть много ресурсов, которые объясняют сложные правовые вопросы простым и понятным языком. Например, на сайте Роскомнадзора есть ответы на часто встречающиеся вопросы, которые помогут разобраться в основах.
Как защитить свои права
Если владелец сайта нарушил условия пользовательского соглашения, можно обратиться в суд. Еще свои права нужно отстаивать, если документ содержит невыгодные и обременительные условия. «Речь идет о навязывании пользователям допуслуг или нарушении правил по определению подсудности», — поясняет Бардина. Но в таких случаях нужно помнить о юрисдикции. Если сайт зарегистрирован за рубежом, то подать на него в суд за нарушение российских законов будет сложно.
Трудностей не побоялись российские пользователи Facebook. 12 февраля 2019 года Григорий Каскин*, Алиса Семенова*, Петр Десяткин* и Анатолий Королев* подали исковое заявление к соцсети в Тверской райсуд Москвы. Они утверждали, что Facebook нарушил условия пользовательского соглашения, которое они приняли. Соцсеть незаконно собирала их персональные данные, удаляла посты и блокировала аккаунты. Истцы просили запретить Facebook немотивированную блокировку и удаление аккаунтов, сбор без согласия пользователей их персональных данных. Еще они хотели вернуть удаленные публикации.
Дело рассматривала Татьяна Молитвина. Она решила, что дело неподсудно суду, и вернула иск (ч. 2 ст. 135 ГПК). Истцы обжаловали это решение, но его подтвердил Мосгорсуд. Нижестоящие инстанции посчитали, что между истцами и ответчиком не было правоотношений, никаких услуг Facebook истцам не оказывал (пользовательское соглашение суды не брали в расчет). Еще суды указали, что иск к организации нужно подавать по месту ее нахождения (ст. 28 ГПК), а у Facebook в России нет ни имущества, ни представительства.
Тогда истцы пошли в Верховный суд, здесь дело рассматривала тройка судей под председательством Вячеслава Горшкова (дело № 5-КГ20-49). Она указала, что дело с участием иностранных организаций в России можно рассматривать, если те распространяют здесь рекламу, а сам иск вытекает из договора, который исполняется в России, или речь идет о персональных данных (ст. 402 ГПК). Согласно ст. 29 ГПК, требования о защите персональных данных можно изучать по месту жительства истца. ВС учел и то, что истцы и Facebook заключили пользовательское соглашение. Документ не изучили в нижестоящих судах и не разобрались, были ли в нем условия о подсудности спора. По итогу дело вернули в Тверской райсуд Москвы, чтобы заново рассмотреть вопрос о принятии искового заявления. Там оно и «зависло».
Получается, что российский суд может рассмотреть иск к иностранному сайту. Но есть ситуации, когда оснований для иска точно не будет. Например, если пользователю не нравятся условия соглашения, но закону они не противоречат. Янковский рассказывает, что у владельца сайта нет обязанности удовлетворить всех людей. Поскольку пользовательское соглашение относится к договорам присоединения, человек имеет право либо полностью принять его условия, либо отказаться от их принятия, дополняет Сивицкая.
При этом условия пользовательского соглашения не должны быть дискриминационными: сайт не может быть доступным только для женщин или только для мужчин.
Согласие на обработку персональных данных
Относительно недавно в России был введен в оборот новый документ под названием «Согласие на обработку персональных данных». Очень быстро он получил повсеместное распространение и на данный момент широко используется в самых разных организациях, начиная от государственных бюджетных учреждений и до коммерческих компаний.
Внимание! Этот документ можно скачать в КонсультантПлюс.
- Бланк и образец
- Онлайн просмотр
- Бесплатная загрузка
- Безопасно
Что собой представляет согласие
Согласие на обработку персональных данных – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе.
Также документ гарантирует человеку то, что информация о нем будет применяться для строго определенных целей и будет защищена от неправомерных действий.
Когда чаще всего требуется согласие
Сейчас согласие необходимо писать почти повсеместно:
- при подаче документов на ребенка в садик или школу;
- при трудоустройстве;
- при заключении договора с банком, страховой компанией и т.д.
Иными словами, везде, где гражданин предоставляет свои личные документы или документы лица, представителем которого он является, заполняет различного рода тесты и анкеты, он подписывается такое согласие.
Что вкладывается в термин «персональные данные»
Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу. Это:
- фамилия, имя, отчество;
- дата и место рождения;
- сведения из паспорта, трудовой книжки и прочих документов;
- а также некоторые характеристики его личности.
При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.
В частности их условно можно поделить на три основных вида:
- общедоступные данные (ФИО, пол, дата, место рождения, гражданство и т.п.)
- биометрические (физиологические особенности индивида, его внешние параметры)
- специальные (народность, религия, здоровье и т.д.). Сюда же в некоторой степени относится и информация о месте работы человека, его отношениях с законодательством, привычках и т.п.
По закону, согласие на обработку персональных действий строго необходимо только тогда, когда оно касается двух последних из вышеназванных категорий, однако зачастую оно пишется и в отношении той информации, которая имеет позицию общедоступной.
Для чего формируется согласие на обработку при трудоустройстве
Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д. Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).
В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.
Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.
Если сотрудник отказывается подписывать согласие
Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.
Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.
В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.
Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.
Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.
Что грозит за разглашение персональных данных
Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.
Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.
Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.
В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).
Как уведомить
Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.
Можно ли отозвать согласие
Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает. Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия. Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.
Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).
Это требование должно быть выполнено не позже чем через месяц после написания отзыва.
Образец согласия
Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:
- наименование компании-работодателя;
- место и дата составления документа;
- фамилия, имя, отчество работника, его паспортные данные и сведения о месте жительства.
Далее в основной части подробно указывается:
- каких именно персональных данных касается документ;
- в каких целях и что именно допустимо с ними делать;
- срок действия согласия и возможность его отзыва (хотя это итак гарантировано законодательством).
Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.
СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Я, Ковтун Инна Олеговна, паспорт 2495 564738, выдан Ленинским РОВД г. Иваново, адрес регистрации: г. Иваново, ул. Мельничная д.73, кв. 8, даю свое согласие ОАО «КомЖилФонд» на обработку моих персональных данных. Согласие касается фамилии, имени, отчества, данных о поле, дате рождении, гражданстве, типе документа, удостоверяющем личность (его серии, номере, дате и месте выдачи), а также сведений из трудовой книжки: опыте работы, месте работы и должности.
Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях. Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч. передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.
До моего сведения доведено, что ОАО «КомЖилФонд» гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации. Срок действия данного согласия не ограничен. Согласие может быть отозвано в любой момент по моему письменному заявлению.
Подтверждаю, что давая согласие я действую без принуждения, по собственной воле и в своих интересах.
Согласие на обработку персональных данных: зачем оно нужно
На vc.ru автор Nikita Zhurlov рассказал про важный документ — согласие на обработку персональных данных.
Хотите иметь дело с проверкой Роскомнадзором своего ИТ-продукта или сайта? А потом ещё платить штраф, нести ответственность?
Думаю, что нет. Поэтому, давайте, начнём разбирать что надо делать с персональными данными в Российской Федерации и как не попасть под санкции госорганов.
Немного теории
1) нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:
— Физическое лицо: предупреждение или штраф в размере 1 000 — 3 000 рублей;
— Должностное лицо: штраф в размере от 5 000 — 10 000 рублей;
— Юридическое лицо: штраф в размере 30 000 — 50 000 рублей;
2) Обработка персональных данных без согласия гражданина приведет:
— Физическое лицо: штраф в размере 3 000 — 5 000 рублей;
— Должностное лицо: штраф в размере от 10 000 — 20 000 рублей;
— Юридическое лицо: штраф в размере 15 000 — 75 000 рублей;
3) В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:
— Физическое лицо: штраф в размере 700 — 1 500 рублей;
— Должностное лицо: штраф в размере от 3 000 — 6 000 рублей;
— Индивидуальный предприниматель: штраф в размере от 5 000 — 10 000 рублей
— Юридическое лицо: штраф в размере 15 000 — 30 000 рублей;
Первоначально определимся с основными понятиями и поймём, что же они значат (неформальное объяснение по тексту будет обозначаться «Д», это от слова description):
Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Д: это любая совокупность информации, через которую можно определить определенного человека. К примеру, абстрактная электронная почта, допустим posledni_kaktus_naokne@bk.ru — не относится к ПД, однако электронная почта с рабочим адресом допустим, ivan.ivanov@romashka.ru с подписью в письме «Главный инженер» — относятся к персональным данным, т.к. мы можем однозначно определить, что это Иван Иванов, работающий главным инженером в организации «Ромашка».
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Д: это вы, собирающий персональные данные. Любой контакт с физическим лицом, в том числе в пространстве Интернет, позволяющий однозначно определить человека — и вот вы уже владелец персональных данных в лице оператора.
Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Д: это любые действия, которые вы совершаете как оператор.
1. Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.
Д: когда законодательством установлено, что физическое лицо должно предоставить персональные данные и иначе никак.
2. Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
Д: когда вы заключили с физическим лицом договор и в рамках этого (только этого) договора вам нужны персональные данные. Сюда подходит и оферты (публичный договор) на сайте и его акцепт, но до покупки товара или услуг, заказа с сайта (к примеру) ещё надо довести пользователя, а значит момент когда собираете ПД — наступает раньше.
3. Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.
Д: вы обезличиваете данные физического лица и «размываете» их в море других данных, соответственно определить кому что принадлежит — невозможно даже вам.
4. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
Д: данный пункт не относится к интернет-проектам, но для понимания ситуации, пример, когда приезжает частная медицинская бригада и оказывает помощь.
5. Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.
Д: если вы организуете почтовую связь, то лицу, которому фактически оказываете услуги — нет необходимости требовать согласия на обработку ПД.
6. Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
7. Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Д: не требуется согласие при использовании ПД, если это данные чиновников, предоставленные в соответствии с законодательством Российской Российской Федерации.
Во всех остальных случаях, при контакте и сборе ПД от физического лица — вы должны получать его согласие и иначе никак — закон есть закон!
Что делать
Шаг 1.
Вам требуется подготовить текст политики обработки и защиты персональных данных, а также согласие на обработку персональных данных. Если у вас юридическое лицо или вы — индивидуальный предприниматель — вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии. Хочу обратить внимание, что данная политика как в Российской Федерации, так и в зарубежных странах — относится не только к работе с потребителями, но и с работниками.
Шаг 2.
Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.
Шаг 3.
Самое главное по теме. Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.
При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!
Немного юридического обоснования чекбоксов, а как называет Роскомнадзор — «галочек»:
Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» устанавливает обязательство собирать персональные данные:
«4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. ».
Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:
«Получение согласия на обработку персональных данных может быть получено посредством проставления „галочки“ пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме».
Вариативно, ещё шаг 4.
Подать уведомление об обработке ПДн в Роскомнадзор.
В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.
Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).
Итого, чтобы минимально привести в порядок работу с персональными данными вам потребуется: