что значит оператор персональных данных
Оператор персональных данных
Знание законодательной базы для того, кто намерен осуществлять обработку ПДн в рамках своей деятельности, является обязательным, и главным нормативно-правовым актом является Федеральный Закон № 152, принятый в 2006 году. Он регулирует взаимоотношения владельцев личной информации и тех, кто использует эти сведения для коммерческих и иных целей. Детальный анализ ФЗ позволит разобраться, кто признается оператором персональных данных, какие у него права и обязанности, может ли быть обработчиком поручитель, какие требования предъявляются к тем, кто собирает, хранит, копирует, распространяет, уничтожает и блокирует сведения. Особого внимания заслуживает вопрос необходимости исполнения закона о ПДн в полном объеме, например, в отдельных случаях нет необходимости отправлять уведомление Роскомнадзору об осуществлении обработки информации.
Кто является оператором персональных данных в соответствии с ФЗ-152?
В статье 3 четко прописано, что статус оператора ПДн имеют все, кто сами либо с помощью уполномоченных лиц обрабатывают персональные данные, предварительно установив их состав, цели и список выполняемых действий. Под данную категорию попадают как юридические, так и физические лица, а также муниципальные органы и государственные структуры. Фактически это все без исключения компании, реализующие товары или услуги.
В действующем законодательстве РФ указаны организации, которым не нужно дополнительно информировать Роскомнадзор о проведении операций с ПДн. К ним относятся фирмы и ИП, которые получают и используют личные сведения субъектов:
Кроме того, оператор личных данных не должен сообщать в компетентный орган, если обрабатывает исключительно Ф.И.О. гражданина, сведения для выдачи однократных пропусков и ПДн, которые имеют общедоступный характер. Если ваша деятельность не относится ни к одной из перечисленных категорий, то уведомление посылать необходимо, причем сразу после этого вы будете включены в реестр. Каждый человек может в любое время зайти на официальный ресурс Роскомнадзора и узнать наименование и другие сведения об операторе персональных данных. Если в перечне информации нет, это может значить, что фирма или ИП не подали уведомление, соответственно, нарушили закон либо совершают операции, для которых не требуется его предоставлять.
Проконсультироваться, нужно ли в вашем случае контактировать с проверяющей организацией, можно в нашем специализированном центре. Опытные эксперты по защите ПДн изучат ситуацию и дадут конкретные рекомендации по поводу правового урегулирования деятельности согласно ФЗ-152.
Независимо от того, в какой сфере работает компания, насколько большой штат сотрудников и объем обрабатываемой личной информации, в обязательном порядке необходима разработка Политики обработки ПДн и прочей внутренней документации, определяющей порядок совершения всех операций. Для тех, кто ведет бизнес онлайн, предусмотрено требование опубликовать основные документы на сайте. При отсутствии неограниченного доступа к Политике можно получить штраф в пределах от 3 до 30 тысяч рублей, в дополнение к этому организация автоматически попадает в реестр нарушителей, что негативно скажется на деловой репутации.
Права и обязанности оператора персональных данных
Занимаясь обработкой ПДн, предприниматель или фирма должны четко придерживаться законодательных нормативов. Например, есть возможность осуществлять с полученными сведениями такие операции, как:
Но при этом установлены ограничения относительно продолжительности хранения и способа применения. Запрещено продолжать обрабатывать ПДн после достижения изначально поставленных целей и сроков.
Что касается требований к операторам персональных данных, то основными среди них являются:
Что проверяет Роскомнадзор?
Регулярные проверки ведомства — мощный стимул для организаций не нарушать положения ФЗ-152. Главное, на что обращают внимание представители госструктуры:
Естественно, если в прошлом оператор персональных данных совершал нарушения, но его будут инспектировать особенно тщательно, так что есть смысл изначально привести деятельность в сфере ПДн в соответствие в требованиями ФЗ-152.
Делегирование обработки ПДн
Осуществлять обработку самостоятельно необязательно — можно поручить организацию обработки и защиту информации специалистам. Это может быть сервис-провайдер либо иное лицо (например, наш Центр безопасности данных), которое возьмет на себя обеспечение технической части согласно условиям подписанного договора и нормативам российского законодательства. Юридическое право выполнять действия с ПДн закрепляется в поручении, где отдельным пунктом прописана необходимость обеспечения безопасности и конфиденциальности обрабатываемых данных граждан.
Чем грозит разглашение личной информации граждан?
Закон предусматривает различные виды ответственности за несоблюдение оператором требований ФЗ-152 в отношении операций с ПДн, а именно:
Как будут проверять операторов персональных данных
23 февраля вступили в силу правила проверки операторов персональных данных. Раньше правил вообще не было, только регламент Роскомнадзора. Теперь всем владельцам сайтов, рассылок, магазинов с программами лояльности, форумов и любого бизнеса с наемными работниками станет понятно, как их будут проверять.
Источник:
Постановление правительства от 13.02.2019 № 146
В правилах описаны плановые и внеплановые проверки: когда могут прийти, что попросят, сколько времени займут и чем это закончится. За одно нарушение закона о персональных данных можно получить штраф до 75 тысяч рублей. Если нарушений несколько, есть риск потерять сотни тысяч. И это касается всех, у кого есть даже небольшая рассылка или интернет-магазин.
Мы изучили правила, чтобы вам не пришлось читать 17 страниц постановления. Вот как это работает.
Коротко о правилах проверок
Основные изменения для операторов персональных данных:
Кого это касается?
В постановлении написано, как будут проверять операторов персональных данных. Операторы персональных данных — это люди, предприниматели и компании, которые получают, хранят и обрабатывают информацию о других людях. Например, о своих клиентах и работниках. Для них есть специальный закон. А теперь еще и правила проверок.
Вот примеры, которые попадают под действие этих документов:
Все эти владельцы сайтов, магазинов, бизнес-центров, форумов, рассылок и обычные работодатели — операторы персональных данных. Они должны соблюдать закон, оформлять документы и, когда положено, — уведомлять Роскомнадзор.
Любого из них могут проверить — по плану или внезапно. И оштрафовать, если найдут нарушения. А может, даже закрыть магазин и заблокировать сайт.
Что такое персональные данные
Персональные данные — это любая информация, которая прямо или косвенно относится к конкретному человеку и позволяет его идентифицировать.
Точного списка таких данных нет, но в методичке Роскомнадзора есть примеры:
На что имеют право проверяющие
Чтобы операторы персональных данных не раздавали информацию о своих клиентах всем подряд, надежно ее хранили и удаляли по требованию, Роскомнадзор проводит проверки, находит нарушения, выносит предупреждения и штрафует.
Права представителей Роскомнадзора строго регламентированы, но их немало. Вот что они могут делать во время проверки операторов персональных данных:
Эти права у проверяющих есть не только в ходе выездной проверки, но и при наблюдении за тем, как оператор персональных данных работает, что публикует и как собирает информацию. При этом оператор может об этом даже не знать. Дальше расскажем, что такое наблюдение и чем оно грозит операторам.
Какие обязанности у проверяющих
При проверке операторов персональных данных должностные лица из Роскомнадзора обязаны:
Любое нарушение — повод обжаловать результаты проверки, ее продление и даже сам факт проведения. Если что-то идет вразрез с правилами, фиксируйте детали и отправляйте жалобу руководству управления Роскомнадзора.
Плановые проверки — раз в три года
Плановая проверка — это когда Роскомнадзор заранее, на год вперед, составляет план проверок и размещает его в открытом доступе. Кто угодно может проверить, придут к нему в этом году или нет. В плане указана дата проверки, так что можно подготовиться.
Как предупредят. О плановой проверке предупредят за три рабочих дня любым доступным способом: отправят копию приказа по почте, пришлют электронное уведомление или как-то еще.
Когда могут прийти. Раньше было три основания для таких проверок, теперь только эти:
График плановых проверок нужно искать в реестре Генпрокуратуры.
Как часто. Плановые проверки проводят раз в три года. Но теперь могут приходить и каждые два года. Это особые случаи: например, обработка биометрических данных или передача информации за границу.
Сколько длится. Плановые проверки проводят максимум 20 дней. Так было и раньше. Один раз проверку могут продлить.
Внеплановые проверки — на основании жалоб и наблюдений
Внеплановая проверка — это когда визита проверяющих нет в графике и за три дня об этом не сообщают. То есть проверка внезапная, повод может возникнуть в любое время, а причина заранее неизвестна.
Как предупредят. О внеплановой проверке предупредят за сутки.
Когда могут прийти. Для внеплановой проверки все равно нужны основания. Все они перечислены в постановлении правительства, но список теперь новый — не такой, как был в регламенте.
Последний пункт самый интересный. Смотрите: за вашим сайтом и бизнесом могут просто тихонько наблюдать. Вам при этом ничего не присылают, ничего не запрашивают. Читают ваши пользовательские соглашения, проверяют галочки на формах подписки — эта процедура называется наблюдением, она предусмотрена правилами. И если есть подозрения, что вы что-то нарушаете: не спрашиваете согласия, плохо защищаете данные или не предупреждаете об их сборе, — докладная на стол и встречайте внеплановую проверку. По правилам должны согласовать эту проверку с прокуратурой, но для вас будет сюрприз.
Как часто. У внеплановых проверок нет периодичности. К нарушителям могут приходить хоть каждый месяц.
Сколько длится. Внеплановая проверка длится максимум 10 рабочих дней. Срок сократили в два раза, но один раз могут продлить.
Внеплановые проверки могут быть только выездными
Раньше внеплановая проверка могла быть документарной. Это когда просят документы. Больше документарных внеплановых проверок не будет. Значит, если вынесут решение о выездной проверке, нужно ждать гостей с удостоверениями: придут по месту регистрации или фактической работы.
Документы для проверки нужно приготовить за пять дней
Если проверка документарная, бумаги должны быть готовы в течение пяти рабочих дней. То есть и этот срок сократили в два раза. С оригиналов документов нужно сделать заверенные печатью и подписью копии и передать в Роскомнадзор. Можно отправить через интернет с усиленной подписью. Дата представления документов — это не дата отправки, а дата штампа о приемке Роскомнадзором.
Если в документах найдутся противоречия, Роскомнадзор запросит пояснения. Их придется представить в течение трех рабочих дней. Раньше для уточнения давали 10 дней.
Запрос из-за обращений граждан — это не проверка
Любой человек, которому кажется, что его данные неправильно обрабатывают, передают кому-то без разрешения или не удаляют по требованию, может написать обращение в Роскомнадзор. Каждое такое обращение обязаны рассмотреть и дать на него ответ.
Для ответа Роскомнадзору могут понадобиться пояснения интернет-магазина, банка, автора рассылки или службы доставки. Тогда им пришлют запрос: тут к вам претензии, поясните ситуацию. Этот запрос не считается документарной проверкой. Для него не нужен приказ и график на год вперед.
Как проводят выездную проверку
Выездную проверку проводят по месту работы или регистрации бизнеса. Если оператор персональных данных — физлицо без регистрации ИП, выездной проверки у него быть не может.
Когда начинается выездная проверка, представитель Роскомнадзора показывает удостоверение и приказ с информацией о сроках, основаниях и целях проверки. Еще до того как начнут проверять, оператору вручат запрос о представлении документов. Раньше такого не было. На подготовку документов дадут минимум два дня.
Во время проверки нужно предоставить проверяющим доступ в помещения и к компьютерам. Если мешать проверке, составят акт и пригласят полицию.
Если проверка придет и никого не застанет по указанному адресу, сроки приостановят. Если и потом никто не объявится, с внеплановой проверкой смогут прийти в любое другое время вообще без предупреждения.
Когда проверку могут продлить
Для каждой проверки есть сроки ее проведения. Проверяющие не могут дольше изучать документы, осматривать компьютеры и опрашивать сотрудников. Но есть причины продлить проверку. Раньше была только одна и в исключительном случае: когда объем работы очень большой. Теперь причин для продления больше:
Проверку могут продлить только на основании приказа. С ним обязательно знакомят оператора в течение трех дней после того, как приняли решение увеличить срок.
Как оформляют результаты проверки
Когда проверка закончится, составят акт в двух экземплярах. В нем напишут, что нарушений нет или что их нашли. Представитель оператора должен подписать акт. Если отказаться, от штрафов это не спасет: в акте сделают пометку об отказе и пришлют его по почте.
Если не согласны с актом, пишите возражения и обжалуйте результаты проверки.
Если находят нарушения
Если оператор персональных данных что-то нарушил, ему выдадут предписание: устраните нарушения в такой-то срок. Максимальное время для устранения — 6 месяцев. Но конкретному оператору могут дать и меньше. Раньше этот период регламент не ограничивал.
Когда нарушение устранят, об этом нужно сообщить в Роскомнадзор. Если предписание не исполнено или не все нарушения устранили, может прийти внеплановая выездная проверка. А если в результате нарушаются права тех, чьи данные обрабатывают, Роскомнадзор может вообще запретить обработку, пока все не исправят. Для бизнеса это может означать приостановление деятельности.
За нарушения при обработке персональных данных могут вынести предупреждение, а могут оштрафовать: юрлицо — отдельно, директора — дополнительно.
Что такое контроль без взаимодействия с оператором
Чтобы находить нарушения, Роскомнадзор проводит специальные мероприятия, в которых сами операторы никак не задействованы и о которых они вообще не знают. Это наблюдение двух видов:
Это не проверка, а просто наблюдение, о котором вы даже не подозреваете. Но его результаты могут стать основанием для внеплановой проверки.
Для наблюдения должно быть задание. А для задания нужны причины:
Если по итогам наблюдения найдутся нарушения или покажется, что они есть, проверяющий пишет докладную записку. Ее рассмотрит руководитель отделения Роскомнадзора и может назначить проверку. А может без проверки попросить устранить нарушения, заблокировать или уничтожить данные. Если не выполнить это требование, составят протокол и оштрафуют: фирму — на сумму до 45 тысяч рублей, ИП — на сумму до 20 тысяч.
Я самозанятый и работаю с физлицами. Мне что, тоже регистрироваться в Роскомнадзоре и получать согласие на обработку данных?
Быть оператором персональных данных — это не значит обязательно регистрироваться в реестре и всегда запрашивать согласие. Если вы получаете и храните чьи-то данные, вы уже оператор. ИП и юрлиц могут проверить планово и внезапно, вам нужно оформлять документы и соблюдать закон.
При этом не все операторы должны регистрироваться в реестре Роскомнадзора. И не всегда нужно получать согласие: по закону обрабатывать данные можно и без согласия.
Например, если вы запрашиваете электронную почту для отправки чека, согласие не нужно. Если просите адрес для доставки пиццы, согласие тоже не нужно. Так же и с уведомлением Роскомнадзора: если арендатор квартиры или покупатель торта передал вам данные для договора или доставки, это не повод регистрироваться в реестре. Но при этом вы оператор персональных данных и должны соблюдать остальные требования закона. Вас могут проверять, штрафовать и блокировать.
Правовой статус оператора персональных данных
Согласно ст.3 ФЗ «О персональных данных», оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Данная норма выделяет два критерия, при наличии которых лицо квалифицируется как оператор персональных данных:
— организация и (или) осуществление обработки персональных данных;
— определение целей обработки персональных данных, состав обрабатываемых персональных данных и действия (операции), совершаемые с персональными данным.
При детальном рассмотрении определения оператора персональных данных встает вопрос о том, должно ли лицо для квалификации в качестве оператора соответствовать обоим или одному из данных критериев.
Зачастую организацию и(или) осуществление обработки персональных данных может выполнять лицо, действующее по поручению иного лица (принципала) и не определяющее цели, состав и операции обработки персональных данных. Типичным примером такого лица является хостинг-провайдер, осуществляющий хранение и иную обработку персональных данных по поручению клиента. В подобных отношениях клиент соответствует обоим критериям оператора, в то время как хостинг-провайдер соответствует только критерию организации и (или) осуществления обработки персональных данных, при условии, что клиент самостоятельно определяет цели, состав и операции по обработке персональных данных, и хостинг-провайдер не использует такие персональные данные в собственных целях. В случае же, когда хостинг-провайдер по тем или иным причинам и основаниям (или без таковых) определяет цели, состав и операции по обработке персональных данных независимо от клиента, такая деятельность хостинг-провайдера соответствует обоим критериями оператора.
В отличие от описанного примера, крайне затруднительно представить ситуацию, при которой лицо будет определять цели, состав и операции по обработке персональных данных, без организации и (или) осуществления обработки персональных данных этим же лицом или иными лицами по его поручению. Учитывая, что закон не содержит прямого запрета на определение целей, состава и операций по обработке персональных данных, любое лицо вправе осуществлять такое определение, но такая деятельность не будет входить в сферу регулирования ФЗ «О персональных данных», поскольку согласно ст.1 указанного закона, закон регулирует отношения, связанные с обработкой персональных данных, для наличия которой очевидно недостаточно только определить цели, состав и способы обработки без осуществления самой обработки.
Таким образом, справедливо утверждать, что для квалификации в качестве оператора лицо должно соответствовать обоим указанным критериям. С другой стороны, закон допускает соответствие обоим критериям не только независимо, но и совместно с другими лицами. И если часть предусмотренных статусом оператора действий осуществляется лицом в рамках поручения принципала, то в таких отношениях можно говорить о совместном выполнении обоих критериев обоими участниками процесса обработки.
Работа с персональными данными в рамках поручения принципала не означает, что хостинг-провайдер не определяет самостоятельные, присущие только ему цели и способы обработки персональных данных. Если целью обработки персональных данных принципала является хранение персональных данных в рамках оказания услуг субъектам персональных данных, то целью хостинг-провайдера является исполнение договора с принципалом. И если способом обработки принципала является обмен цифровыми данными с хостинг-провайдером, то хостинг-провайдер при хранении данных на своих серверах может использовать свои независимые способы обработки, о деталях которых принципал может быть и не осведомлен, если способы обработки касаются, например, защиты данных.
Следовательно, в любых подобных отношениях в рамках российского законодательства и клиент, и хостинг-провайдер могут выступать в качестве операторов. Данный вывод является ключевым для определения правового статуса лиц, осуществляющих обработку персональных данных по поручению оператора, существование которых предусмотрено ч.3 ст.6 ФЗ «О персональных данных». Несмотря на то, что данная норма прямо не называет операторами лиц, действующих по поручению оператора, её положения не исключают возможность наличия статуса оператора у такого лица в рамках обработки персональных данных по поручению.
Такая трактовка законодательства вызывает ряд вопросов, которые, впрочем, вполне поддаются решению. Учитывая, что хостинг-провайдер может быть не осведомлен о том, что обрабатываемые им данные являются персональными (что не освобождает его от исполнения обязанностей оператора), встает вопрос об ответственности за соблюдение обязанностей оператора и о возможности такого соблюдения. Несмотря на то, что неосведомленный оператор может быть привлечен к ответственности и понести убытки, закон не запрещает установить в поручении на обработку персональных данных или ином соглашении механизмы ответственности клиента-принципала перед таким оператором за отсутствие факта передачи оператору сведений, необходимых для исполнения его публичных обязанностей.
Справедливость данного подхода подтверждается также тем, что согласно сч.4 ст.6 ФЗ «О персональных данных», лицо, обрабатывающее персональные данные по поручению оператора, освобождается от обязанности получению согласия субъекта на обработку персональных данных. А согласно ч.5 указанной статьи, лицо, действующее по поручению оператора, не несет ответственности перед субъектами персональных данных, которая полностью возлагается на оператора-принципала (что не исключает публичной ответственности лица, действующего по поручению). Данные исключения позволяют оператору, действующему по поручению, в полном объеме соблюдать требования, предъявляемые законом к оператору.
Такие положения закона, на первый взгляд, противоречат мировой практике, в частности – GDPR (Общему регламенту защиты персональных данных (Регламент (Европейский Союз) 2016/679)), статья 4 которого прямо разделяет понятия «контроллера», определяющего цели и способы обработки персональных данных, и «процессора», обрабатывающего персональные данные от имени контроллера, для каждого из которых закон устанавливает свои обязанности. Но фактически использование отдельного термина «процессор» является техническим приемом, который позволяет упростить описание правового статуса оператора, выполняющего функции процессора, в части его отличий от статуса оператора-контроллера. Можно утверждать, что ФЗ «О персональных данных» следует подходам GDPR, но не вводит отдельный термин, аналогичный процессору, а описывает особенности его статуса через исключения из общих положений об обязанностях оператора.
Логика такого подхода также позволяет избежать неопределенности правового статуса лиц, обрабатывающих персональные данные по поручению процессора, которые не состоят в прямых отношениях с изначальным контроллером. В то время как ст.28 GDPR предусматривает особенности правового статуса процессоров, обрабатывающих персональные данных по поручению процессоров верхнего уровня, в ФЗ «О персональных данных» статус таких процессоров напрямую не описан, и единственным способом определения статуса таких процессоров в рамках российского закона является квалификация отношений между двумя процессорами как отношений между контроллером и процессором, что в совокупности с механизмами гражданского-правовой ответственности контроллера перед процессором и исключениями, предусмотренными для операторов, являющихся процессорами, делает описанный подход жизнеспособным и обоснованным, а также расширяющим возможности привлечения процессоров и контроллеров к субсидиарной публичной ответственности, которые позволяют более эффективно защищать интересы субъектов персональных данных, не ущемляя прав контроллеров и процессоров.
Объявляю вас оператором персональных данных
Если компания собирает персональные данные клиентов через сайт или отправляет данные сотрудников в банк для зарплатного проекта, она должна подать уведомление в Роскомнадзор и зарегистрироваться как оператор персональных данных. Но иногда компании думают, что лучше не привлекать внимание ведомства и не подавать уведомление. Они ведь и раньше собирали данные, а уведомление подают только сейчас. Точно придет проверка, и придется платить штраф.
Отсиживаться рискованнее, чем подать уведомление. Об этом рассказывает эксперт по персональным данным Максим Лагутин.
Кто относится к операторам персональных данных
Оператор персональных данных — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Например, собирают электронные адреса для рассылки или просят покупателей оставить имя и телефон для заказа в интернет-магазине. Дословно в законе так:
Збагойно: 152-ФЗ — в «Деле»
Персональные данные — это любые данные о человеке, по которым его можно определить. Например:
Ник без других данных не считается персональными данными, по нему нельзя определить человека.
С геопозицией и куками ситуация спорная. Формально сами по себе они не считаются персональными данными. Например, только по геопозиции трудно определить, кто находится в этой точке. В реальности Роскомнадзор в 2016—2017 годах разработал рекомендации по обработке этих данных и начал проводить проверки.
«МГТС» продавала данные своих клиентов другим компаниям:
По сути это были куки — данные о том, какие страницы посещают клиенты. По этим данным компании показывали клиентам нужную рекламу. Согласия от клиентов у «МГТС» на обработку данных не было. Компания думала, что куки не считаются персональными данными, поэтому согласие на них не нужно.
Суд с компанией не согласился и назначил штраф 30 000 рублей.
Мы рекомендуем перестраховываться и считать куки и геопозицию персональными данными. Особенно если компания вместе с этими данными получает другую личную информацию о клиентах, например имя, телефон, электронную почту.
Роскомнадзор считает, что компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет. Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных. Такой же позиции придерживаются суды.
Данные из социальных сетей
По закону компания не должна подавать уведомление в Роскомнадзор, если использует общедоступные данные. Например, если берет телефон и имя человека из телефонного справочника. Справочник уже получил согласие от человека разместить данные о нем, поэтому второй раз спрашивать не надо.
Номинально информацию с открытых страниц в социальных сетях можно считать общедоступной. Казалось бы, человек зарегистрировался в соцсети, сам открыл доступ к своим имени и телефону. Значит, данные можно брать. В оферте с пользователями Вконтакте есть пункт о том, что данные могут быть доступны другим пользователям интернета:
В реальности мало кто читает оферту. Поэтому Роскомнадзор говорит, что данные из соцсетей можно обрабатывать, если человек дал на это согласие.
В 2017 году ВКонтакте подал в суд на компанию «Double Data» и «Национальное бюро кредитных историй». Они брали информацию из открытых профилей пользователей, оценивали их кредитную историю и продавали информацию банкам.
Социальная сеть просила взыскать с компаний по одному рублю. «Вконтакте» выиграл суд.
Получается, данные в соцсетях не считаются общедоступными. Нельзя просто взять телефоны пользователей и начать им продавать пылесосы-роботы. В этом деле соцсеть хотела обратить внимание на проблему, поэтому иск был на рубль. Но в другом деле пользователь может подать в суд на компанию на миллион или два.
Наш совет — получать от клиентов разрешение, чтобы использовать открытые данные из социальных сетей. Например, при регистрации в интернет-магазине с данными Вконтакте можно показывать такое сообщение:
«Для регистрации мы будем использовать открытые данные с вашей страницы Вконтакте: имя, электронную почту, телефон. Если согласны с этим, нажмите на кнопку „Далее“».
Если пользователь согласится, то претензий к компании не будет.
Когда уведомление не нужно
По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:
Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника;
Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор. Исключение — парикмахерские в поселке или продавцы мяса на рынке.
Проверка Роскомнадзора
Мы знаем компании, которые обрабатывают персональные данные и боятся подавать уведомление. Они думают, что раз раньше обрабатывали данные без уведомления, то нарушали закон и получат штраф. Они и правда нарушали закон, но это не значит, что Роскомнадзор сразу придет с проверкой.
В реестре Роскомнадзора 380 тысяч компаний, и цифра постоянно растет:
Проверить все компании из списка Роскомнадзор не может. По нашим наблюдениям проверки чаще всего приходят к компаниям, которые пытаются затаиться и не подают уведомление. Это Роскомнадзор подтвердил летом на Дне открытых дверей.
Проверка приходит не сразу. Сначала Роскомнадзор присылает письмо с просьбой объяснить, почему компания собирает данные и не регистрируетя как оператор. Не ответить на такое письмо — повод для проверки.
Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то еще способ. Был случай, когда в Астрахани оштрафовали все компании на букву А. которые обрабатывали персональные данные и не подали уведомление.
Роскомнадзор чаще всего обращает внимание на компании, которые используют персональные данные для:
Поэтому мы рекомендуем подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку. Штраф за обработку персональных данных без уведомления — 5000 рублей. Дополнительно к этому Роскомнадзор может заблокировать сайт или приостановить деятельность компании, но это редкие меры.
Если Роскомнадзор придет с проверкой, он может обнаружить, что компания неправильно обрабатывает персональные данные, штраф может быть до 75 000 рублей.
Счет для ИП и ООО в Модульбанке
Удобный сервис, недорогие тарифы, защита от блокировок по 115ФЗ