Меню
Блог

Об изменениях законодательства о персональных данных с 1 июля 2017 года

Некоторое время назад рынок взбудоражило известие о том, что с 1 июля 2017 года меняется законодательство о персональных данных и что теперь за нарушения можно получить большие штрафы. Ну, а чтобы этого избежать, нужно на сайт добавить оферту или дисклеймер. В этой статье разберемся с реальным положением дел, рассмотрим 2 больших мифа и расскажем, что же делать на самом деле.

Итак, сначала мифы.

1.Миф 1. С 1 июля 2017 года меняется ФЗ "О персональных данных".

Как на самом деле: Федеральный закон "О персональных данных" с 1 июля 2017 года не поменялся. Он остался в точности таким же, как и был до 1 июля 2017 года. Другими словами, как была обязанность выполнять данный закон, так и осталась.

На самом деле, изменения коснулись только статьи 13.11 Кодекса об административных правонарушений Российской Федерации.

Ранее была предусмотрена ответственность за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), которая предусматривала:

  1. предупреждение или наложение штрафа на граждан в размере от 300 рублей до 500 рублей
  2. на должностных лиц - от 500 рублей до 1000 рублей
  3. на юридических лиц - от 5000 рублей до 10000 рублей.

С 1 июля 2017 года расширен перечень составов правонарушений, а также увеличены размеры штрафов. В частности:

  1. За обработку персональных данных в случаях, не предусмотренных законодательством в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния (повлечет предупреждение или наложение штрафа на граждан в размере от 1000 рублей до 3000 рублей, на должностных лиц - от 5000 рублей до 10000 рублей, на юридических лиц - от 30000 рублей до 50000 рублей);
  2. За обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством, если эти действия не содержат уголовно наказуемого деяния, либо обработку персональных данных с нарушением установленных законодательством в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных;
  3. За невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных;
  4. За невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.

Составление протоколов по административным делам данной категории отнесено к компетенции должностных лиц Роскомнадзора (ранее дела данной категории возбуждались прокурором).

2.Миф 2. Если поместить на сайт оферту или дисклеймер, предусматривающий согласие на обработку персональных данных, то никаких санкций не будет.

Как на самом деле: если Вы не занимаетесь сбором, хранением и обрабокой персональных данных пользователей, то бояться нечего, никаких штрафов Вы не получите. А вот если все же Ваша работа предполагает какие-либо действия с персональными данными пользователей, то Вы обязаны:

  1. Стать оператором, осуществляющим обработку персональных данных и получить вот такую выписку из реестра операторов, осуществляющих обработку персональных данных (получить ее относительно просто, быстро и бесплатно). Если Вы не входите в реестр операторов, то обрабатывать персональные данные нельзя вне зависимости от того, есть на Вашем сайте дисклеймер или нет (подробнее тут).
  2. Получать согласия пользователей на обработку их персональных данных.

Далее мы кратко разберем, что же со всем этим делать.

3.Что такое персональные данные?

Согласно ст. 3 Федерального закона, персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), то есть его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, в связи с чем можно сделать вывод, что телефон и электронный адрес также могут являться персональными данными.

Соответственно, если Вы собираете о своих пользователях, клиентах, абонентах какие-либо данные (например, ФИО, телефон, email), то продолжайте чтение данной статьи.

Форма обратной связи, окно онлайн-консультанта, форма регистрации и т.п. - это все способы сбора персональных данных. Следовательно, Вы обязаны предварительно получить согласие пользователей на эти действия.

В этой статье рассмотрим требования федерального закона «О персональных данных» к форме согласия на обработку персональных данных.

4.Форма согласия на обработку персональных данных

Статья 9 федерального закона «О персональных данных» определяет, что согласие может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В ряде случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных (равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью).

Обозначим также еще несколько важных моментов, указанных в той же статье 9:

  1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
  2. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
  3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
  4. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора.

Пункт 4 статьи 9 федерального закона «О персональных данных» устанавливает данные, которые должны содержаться в письменном согласии на обработку персональных данных. Например, данные, которые должны содержаться в согласии в самом простом случае, когда гражданин дает согласие на обработку персональных данных компании:

  1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  2. наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  3. цель обработки персональных данных;
  4. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  5. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  6. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  7. срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  8. подпись субъекта персональных данных.

В заключение отметим, что наиболее полно закону соответствуют следующие формы получения согласия на обработку персональных данных:

  1. письменная (или с помощью электронной подписи),
  2. устная (при наличии возможности доказать получение согласия, например, с помощью предоставления записи телефонного разговора), а также
  3. согласие, оставленное на сайте (например, акцепт оферты, в которой содержится согласие на обработку персональных данных).

4.1.Пример оферты/дисклеймера в части обработки персональных данных для сайта:

«Нажимая кнопку «Заказать», я:

  1. Подтверждаю, что введенные мной данные (фамилия, имя, отчество, электронный адрес, телефон) являются корректными;
  2. Подтверждаю, что все данные предоставляются добровольно;
  3. Выражаю полное и безоговорочное согласие на использование моих данных для поддержания связи со мной любым способом, включая телефонные звонки на указанный стационарный и/или мобильный телефон, отправку СМС-сообщений на указанный мобильный телефон, отправку электронных писем на указанный электронный адрес с целью информирования о поступлении новых товаров/услуг, оповещения о проводимых акциях, мероприятиях, скидках, их результатах, для осуществления заочных опросов с целью изучения мнения о товарах/услугах, организациях торговли, высылки новостей и т.п.

Согласие предоставляется ООО "Таргет Телеком" (ОГРН 5147746239427) мной бессрочно. Я проинформирован о том, что согласие может быть отозвано в любой момент путем:

  1. Направления письменного уведомления по адресу: 125635 Москва, ул. Ангарская, дом 6, пом. III, ком. 1;
  2. Направления электронного письма на адрес: unsubscribe@targetsms.ru;
  3. Звонка по телефону: +74959661303.»

5.Выводы

  1. Федеральный закон "О персональных данных" как был обязателен к исполнению, так и остался. С 1 июля 2017 года изменилась лишь статья 13.11 КоАП РФ.
  2. Если Вы не собираете/храните/обрабатываете персональные данные пользователей, то ничего делать и не нужно.
  3. Если Вы работаете с персональными данными пользователей, то нужно стать оператором, осуществляющим обработку персональных данных, получать согласия пользователей в определенной законодательством форме и поместить на сайт политику/оферту/дисклеймер, описывающий то, что Вы собираетесь делать с персональными данными пользователей (обычно политика в области обработки персональных данных и согласие пользователей на обработку персональных данных являются одним документом).

6.Читайте также:

  1. Является ли номер телефона персональными данными
  2. Является ли адрес электронной почты персональными данными
  3. Форма согласия на обработку персональных данных
  4. Является ли законным сбор персональных данных с сайтов объявлений или социальных сетей
  5. Законно ли создание общедоступных баз персональных данных?