Зачем нужно согласие на обработку персональных данных

Хотите иметь дело с проверкой Роскомнадзором своего ИТ-продукта или сайта? А потом ещё платить штраф, нести ответственность?

Думаю, что нет. Поэтому, давайте, начнём разбирать что надо делать с персональными данными в Российской Федерации и как не попасть под санкции госорганов.

Немного теории

Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

1) нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:

- Физическое лицо: предупреждение или штраф в размере 1 000 - 3 000 рублей;

- Должностное лицо: штраф в размере от 5 000 - 10 000 рублей;

- Юридическое лицо: штраф в размере 30 000 - 50 000 рублей;

2) Обработка персональных данных без согласия гражданина приведет:

- Физическое лицо: штраф в размере 3 000 - 5 000 рублей;

- Должностное лицо: штраф в размере от 10 000 - 20 000 рублей;

- Юридическое лицо: штраф в размере 15 000 - 75 000 рублей;

3) В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:

- Физическое лицо: штраф в размере 700 - 1 500 рублей;

- Должностное лицо: штраф в размере от 3 000 - 6 000 рублей;

- Индивидуальный предприниматель: штраф в размере от 5 000 - 10 000 рублей

- Юридическое лицо: штраф в размере 15 000 - 30 000 рублей;

Первоначально определимся с основными понятиями и поймём, что же они значат (неформальное объяснение по тексту будет обозначаться “Д”, это от слова description):

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Д: это любая совокупность информации, через которую можно определить определенного человека. К примеру, абстрактная электронная почта, допустим posledni_kaktus_naokne@bk.ru - не относится к ПД, однако электронная почта с рабочим адресом допустим, ivan.ivanov@romashka.ru с подписью в письме “Главный инженер” - относятся к персональным данным, т.к. мы можем однозначно определить, что это Иван Иванов, работающий главным инженером в организации “Ромашка”.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Д: это вы, собирающий персональные данные. Любой контакт с физическим лицом, в том числе в пространстве Интернет, позволяющий однозначно определить человека - и вот вы уже владелец персональных данных в лице оператора.

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Д: это любые действия, которые вы совершаете как оператор.

Самый большой штраф как вы видите - это за сбор ПД гражданина без согласия, поэтому в статье будем говорить в основном об этом.

Определим сразу случаи, когда согласие на обработку ПД не надо собирать в соответствии с законодательством Российской Федерации:

1. Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.

Д: когда законодательством установлено, что физическое лицо должно предоставить персональные данные и иначе никак.

2. Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Д: когда вы заключили с физическим лицом договор и в рамках этого (только этого) договора вам нужны персональные данные. Сюда подходит и оферты (публичный договор) на сайте и его акцепт, но до покупки товара или услуг, заказа с сайта (к примеру) ещё надо довести пользователя, а значит момент когда собираете ПД - наступает раньше.

3. Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.

Д: вы обезличиваете данные физического лица и “размываете” их в море других данных, соответственно определить кому что принадлежит - невозможно даже вам.

4. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

Д: данный пункт не относится к интернет-проектам, но для понимания ситуации, пример, когда приезжает частная медицинская бригада и оказывает помощь.

5. Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.

Д: если вы организуете почтовую связь, то лицу, которому фактически оказываете услуги - нет необходимости требовать согласия на обработку ПД.

6. Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

7. Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Д: не требуется согласие при использовании ПД, если это данные чиновников, предоставленные в соответствии с законодательством Российской Российской Федерации.

Во всех остальных случаях, при контакте и сборе ПД от физического лица - вы должны получать его согласие и иначе никак - закон есть закон!

Что делать

Теперь разберём как собирать ПД и получать согласие.

Шаг 1.

Вам требуется подготовить текст политики обработки и защиты персональных данных, а также согласие на обработку персональных данных. Если у вас юридическое лицо или вы - индивидуальный предприниматель - вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии. Хочу обратить внимание, что данная политика как в Российской Федерации, так и в зарубежных странах - относится не только к работе с потребителями, но и с работниками.

Шаг 2.

Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.

Шаг 3.

Самое главное по теме. Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.

При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!

Немного юридического обоснования чекбоксов, а как называет Роскомнадзор - “галочек”:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” устанавливает обязательство собирать персональные данные:

“4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью...”.

Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:

“Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.

Вариативно, ещё шаг 4.

Подать уведомление об обработке ПДн в Роскомнадзор.

В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).

Итого, чтобы минимально привести в порядок работу с персональными данными вам потребуется:

- политика обработки персональных данных;

- приказ об утверждении вышеуказанной политики;

- согласие на обработку персональных данных;

- чекбокс с гиперссылкой на вышеуказанное согласие.

Всё это требуется опубликовать на сайте и / или в приложении.

И зачем всё это вообще?

Для чего же это вообще нужно? Зачем нужно беспокоиться о персональных данных и о получении согласия пользователя на их обработку?

Конечно, это прежде всего административная (штрафы, блокировка) и гражданская (причинение вреда) ответственность - такие вещи могут очень серьёзно повлиять на бизнес. Но есть ещё такая штука как частная жизнь граждан, как злоупотребление правом и недобросовестная реклама продавцов. Я на 100% уверен, что каждый из нас не любит, когда на телефон приходит спам, реклама, а посередине ночи будит смс или звонок с просьбой “срочно перевести деньги, а то в тюрьму посадят”. А всё это происходит из-за ненадлежащего исполнения лицами, осуществляющими сбор персональных данных, своих обязательств. И согласие на обработку ПД - всего лишь часть механизма, который должен обеспечивать нашу с вами защиту как граждан и повышать социальную ответственность. К сожалению, такие полезные институты и механизмы могут превратиться в инструмент для давления… И мы как юристы должны эффективно использовать законы и максимально обезопасить бизнес от этого.

Так что, если вы выполнили все условия и шаги из настоящей статьи, то поздравляем - вы не только уменьшили вероятность быть оштрафованным и привлеченным к ответственности (работа с ПД физических лиц лишь небольшая часть правовой политики ИТ-продукта), но и сделали шаг к социально-ориентированному Интернет-пространству, уважающему личные данные пользователей!

Спасибо за внимание!

1212
49 комментариев

Нужно ли отдельно выносить галочки "Я соглашаюсь на обработку своих персональных данных и прочитал пользовательское соглашение" и "Да, я хочу получать информацию о новинках и быть в курсе акций и новостей".

То есть можно ли объединить в одну галочку обработку перс.данных и согласие на рассылку?

1
Ответить

Добрый день!
Если речь идёт сугубо про РФ, то Вы можете это прописать в тексте самого согласия на обработку персональных данных, что одна из целей сбора - получение информационных материалов. Но, в любом случае, у пользователя должна быть возможность отказаться от этой рассылки.

В ЕС и США так уже нельзя, должен быть отдельный чек-бокс и каждое письмо долдно предлагать отписаться.

Ответить

Считаю, что все эти "согласия" не более, чем зарегулировать интернет. Передать 3-м лицам информацию по пользователям ничего не мешает с этим согласием и без него!

3
Ответить

Недавно надо было найти подходящий кредитный продукт, но так как я совсем не ориентируюсь в этом и бегать по банкам или проверять каждый сайт по подходящим условиям не удобно - хотел через один известный агрегатор проанализировать рынок.
Зашёл, вбил характеристики, попросили оставить свои данные. Окей, не проблема, но так как последние 4 года занимаюсь юриспруденцией для ИТ - решил посмотреть как же они организовали все правовые документы... ох, в каком же я шоке был посл открытия согласия на обработку персональных данных!... они впихнули туда десяток документов, с которыми пользователь соглашается, отправляя данные, в том числе на предоставление своей кредитной истории для микрофинансовых организаций, разрешение им присылать сообщения, звонить, найм как агента одного страховщика и передача данных или оказание услуг ещё несколькими организациями.
При этом, все эти документы есть только в одном месте на сайте - в согласии на обработку ПД, которое появляется при заполнении формы!
На лицо злоупотребление правом и недобросовестное поведение оператора, когда под видом одного подаётся совершенно иное. И это очень было неприятно, не скажу, что я уж очень чувствительный человек, но не люблю когда хотят обмануть.

Поэтому, не только для того, чтобы устроить тотальный контроль за интернетом... хотя, как я и написал в посте - идея обеспечить защиту данных отличная, но, она не должна становиться инструментом давления на бизнес.

2
Ответить

Согласен с тем, что ничего не стоит передать информацию, но не согласен с тем, что это для регуляции интернета.

Много работаю с разного рода документами в оффлайне, бюджетными организация, гос. органами, региональными структурами. Данные нормы активно внедряются в работу и почти повсеместно (если говорить про сферу, где я нахожусь) находятся в работе. Например, Федеральное казначейство РФ собирает согласия на обработку ПД достаточно давно как обязательный элемент пакета документов.

Гораздо сложнее выглядит процесс разработки регламентов по работе с ПД в самой организации. Но, по-факту, как вы и сказали, даже в оффлайне и в зарегулированной по всем нормам и правилам структуре/организации ничто и никто не мешает получить доступ к этой информации и тем более передать информацию 3-м лицам.

2
Ответить

Если у вас юридическое лицо или вы - индивидуальный предприниматель - вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии.Как насчет этого:
На сайте не всегда должна быть опубликована «Политика конфиденциальности». Обязанность издания документов, определяющих политику оператора в отношении обработки Пдн, возлагается только на ЮЛ (пп. 2 части первой ст.18.1 ФЗ от 27.07.2006 № 152-ФЗ). http://про-боно.рф/2018/05/18/personal-dannye/Или тут подход "Лучше перебдеть, чем недобдеть"? ;)

3
Ответить

Хороший вопрос.
Разъясню про ИП. Несмотря на то, что в законе оператор определен как юридическое или физическое лицо - Роскомнадзор даёт разъяснение "В соответствии с требованиями пункта 2 статьи 3 Федерального закона от 27.06.2006 г. № 152-ФЗ «О персональных данных» Оператор – это государственный орган, муниципальный орган, юридическое и физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных (т.е. имеющие персональный ИНН/КПП, ОГРН или ОГРНИП — для индивидуальных предпринимателей)".
Пункт 2 статьи 18.1. Федерального закона от 27.06.2006 г. № 152-ФЗ «О персональных данных» говорит про то что любой оператор должен публиковать информацию.
Если исходить просто из логики - ИП ведёт хозяйственную деятельность, ведёт внутриорганизационную деятельность (издаёт приказы, к примеру), нанимает сотрудников, контактирует с потребителями и таким образом собирает персональные данные. Соответственно, ему требуется утверждённая политика как же он это делает, для чего и как защищает.
Плюс к тому же в части 3 статьи 13.11. КоАП РФ прямо выделены индивидуальные предприниматели за отсутствие опубликованных документов.

Так что, вопрос не в том, чтобы "перебдеть", а просто соответствовать закону.

P.s. Скажу ещё, что если прямо не сказано, все санкции для индивидуального предпринимателя по КоАП РФ, УК РФ - определяются в графе "должностные лица".

2
Ответить