152-фз 18 статья

Оглавление:

Статья 18. Обязанности оператора при сборе персональных данных

Статья 18 . Обязанности оператора при сборе персональных данных

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.

2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.

3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных.

Закон 152-ФЗ о персональных данных: как обезопасить бизнес от новых штрафов с 1 июля 2017

Штрафы за несоблюдение требований Федерального закона «О персональных данных» были повышены в соответствии с Федеральным законом от 07.02.2017 № 13-ФЗ. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей. При этом, если раньше в КоАП существовал только один, общий для всех случаев состав правонарушения в области персданных (ст.13.11 КоАП РФ), то теперь в данной статье появилось целых семь составов.

Чтобы избежать штрафов по 152-ФЗ, компаниям и ИП с 1 июля 2017 года следует внимательнее подходить к соблюдению требований закона о персональных данных.

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

1. С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона «О персональных данных».

2. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей.

3. Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. Закон не содержит конкретного перечня таких организаций.

4. Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре.

5. Обезопасить себя от штрафов можно, соблюдая 6 правил:

  • исключить случаи нецелевого сбора и обработки данных;
  • получать письменное согласие граждан на обработку их данных;
  • знакомить граждан с политикой обработки персональных данных;
  • отвечать на вопросы граждан о том, каким образом используются их персональные данные;
  • выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении;
  • обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д.

6. С 01.07.2017 начинает действовать упрощенный порядок привлечения к административной ответственности. Дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры.

Кого коснутся новые штрафы

Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. По закону они отнесены к операторам персональных данных и обязаны соблюдать законодательные ограничения.

Закон не содержит конкретного перечня таких организаций. Однако к ним можно отнести банки, страховые компании, операторов мобильной связи и интернета, медицинские организации, транспортные компании, учебные заведения и все те компании, при обращении в которые граждан просят указать личные данные или заполнить анкету.

Но и это еще не все. Закон распространяется на работодателей, получающих сведения от сотрудников как по трудовым договорам, так и по договорам гражданско-правового характера. Работодатели тоже являются операторами персональных данных с небольшой оговоркой. Если работодатель состоит с гражданином в трудовых или гражданско-правовых отношениях, ему не требуется уведомлять Роскомнадзор об обработке личной информации (ч. 2 ст. 22 Федерального закона № 152-ФЗ).

Также к операторам персональных данных относятся компании, имеющие собственные сайты с обратной формой связи и регистрацией пользователей, у которых запрашиваются личные сведения.

Подробнее о том, кто может не подавать уведомление в Роскомнадзор, читайте в статье «Кому не нужно уведомлять Роскомнадзор об обработке персональных данных».

Как обезопасить себя от штрафов: 6 правил

1. Исключить случаи нецелевого сбора и обработки данных.

Под данное нарушение попадают и случаи сбора излишней информации о гражданах. Например, когда сайт для новостной рассылки по e-mail требует от посетителей предоставить, скажем, паспортные данные. Это считается обработкой данных не по назначению, поэтому исключите подобные случаи из практики работы своей компании и сайта.

Данные действия образуют состав правонарушения по ч. 1 ст. 13.11 КоАП РФ. Штраф для предпринимателей – от 5 до 10 тысяч рублей, а для организаций – от 30 до 50 тысяч рублей.

2. Получать письменное согласие граждан на обработку их данных.

Согласие граждан на обработку персональных данных, когда это требуется по закону, операторы получают в соответствии с ч. 4 ст. 9 Федерального закона № 152-ФЗ. Исключений из этого правила не так много. Например, не требуется письменного согласия при получении персональных данных в личных, семейных целях (ч. 2 ст. 1 Федерального закона № 152-ФЗ).

В большинстве же случаев дополнительно к основному договору стороны должны подписывать соглашение об обработке персональных данных. Это соглашение может включаться в текст основного договора, или выступать в качестве отдельного документа. Согласие должно поступить лично от гражданина. Без его ведома передавать данные нельзя.

Самый банальный пример злоупотреблений в этой части – когда, например, оператор мобильной связи передает контакты абонентов без их ведома сторонним компаниям, и на телефонные номера граждан начинает поступать всевозможный спам.

Если письменного соглашения на обработку данных у компании нет, на граждан (ИП) наложат штраф в размере от 3 до 5 тысяч рублей, на должностных лиц от 10 до 20 тысяч рублей, а на юрлиц – от 15 до 75 тысяч рублей (ч.2 ст.13.11 КоАП РФ). Судя по судебной практике, ИП первый раз штрафуют как физлиц, а если нарушение повторяется, то уже как должностных лиц — руководителей ИП, так как во втором случае штраф выше.

Последствия неполучения письменного согласия контролерам будут неважны, а важен будет сам факт наличия или отсутствия такого согласия в письменной форме.

3. Знакомить граждан с политикой обработки персональных данных.

Эта информация должна находиться в свободном доступе и с ней должен иметь возможность ознакомиться каждый. Например, сайты вывешивают информацию о порядке работы с персданными на отдельных своих страницах.

В противном случае наступит ответственность по ч. 3 ст. 13.11 КоАП РФ. ИП заплатят штраф в размере от 5 до 10 тысяч рублей, а организации в размере от 15 до 30 тысяч рублей.

4. Отвечать на вопросы граждан о том, каким образом используются их персональные данные.

На практике бывают случаи, когда данные «утекают» третьим лицам, и клиентам компании начинает поступать всевозможная реклама от магазинов, медицинских центров и кредитных организаций. В этом случае клиент может потребовать от оператора персональных данных предоставить информацию о том, как используются и хранятся его личные сведения.

За игнорирование обращений граждан операторы персданных несут ответственность по ч. 4 ст. 13.11 КоАП РФ. Штраф для ИП – от 10 до 15 тысяч рублей, а для юрлиц – от 20 до 40 тысяч рублей.

5. Выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении.

Это нужно делать в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Неисполнение этой обязанности грозит штрафом по ч. 5 ст. 13.11 КоАП РФ. Для ИП штраф составит от 10 до 20 тысяч рублей, для организаций – от 25 до 45 тысяч рублей.

6. Обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д.

Ответственность за необеспечение сохранности личных сведений установлена ч. 6 ст. 13.11 КоАП РФ. Для предпринимателей – от 10 до 20 тысяч рублей, для компаний – от 25 до 50 тысяч рублей.

Ответственность для государственных и муниципальных органов власти

Штрафная ответственность предусмотрена и для государственных и муниципальных органов власти (ч. 7 ст. 13.11 КоАП РФ).

В своих документах (протоколах, сводках, решениях и т.д.) они должны обезличивать персональные данные граждан, не допуская указания их места жительства и полных ФИО.

В противном случае придется заплатить штраф в размере от 3 до 6 тысяч рублей.

Регистрация операторов персональных данных в Роскомнадзоре

Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре. Для этого необходимо подать уведомление об обработке (о намерении осуществлять обработку) персональных данных (ч. 3 ст. 22 Федерального закона № 152-ФЗ).

Для подачи уведомления об обработке персональных данных необходимо заполнить электронную форму на Портале персональных данных Роскомнадзора. Электронная форма уведомления об обработке персональных данных и порядок его заполнения также размещены на Едином портале государственных и муниципальных услуг (функций).

После заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных ее следует отправить в информационную систему Уполномоченного органа по защите прав субъектов персональных данных. Затем заполненную форму нужно распечатать и заверить надлежащим образом, скрепив подписью и печатью организации, после чего направить в соответствующий территориальный орган Роскомнадзора по месту регистрации компании-оператора персональных данных.

Что делать сайтам

Что касается сайтов (а сейчас они есть практически у любой компании), то основная масса нарушений здесь связана именно с нецелевым сбором и использованием персональных данных (ч. 1 ст. 13.11 КоАП РФ).

Например, нередко в форме регистрации на сайте используются такие поля, как «дата рождения» и «телефон», а в форме профиля пользователя — «отчество», «дата рождения», «место жительства» (страна, область/край, город).

Следует понимать, что для регистрации пользователя на большинстве сетевых ресурсов не требуется знать такие данные, как телефон и место жительства/регистрации пользователя. Из формы регистрации эти сведения следует убрать.

А из формы личного профиля лучше убрать такие сведения, как «профессия», «www-страница», Skype (или другой мессенджер) и «дата рождения».

Посторонним лицам (а ваша компания и является таким лицом) знать эту информацию ни к чему. Форма подписки на новости сайта должна собирать информацию только об e-mail пользователей. Форма регистрации может собирать имя, фамилию, e-mail и пол пользователя.

Сбор лишней информации при проверке могут посчитать нарушением.

Выполнение вышеописанных правил и знание закона позволят избежать ответственности за его нарушение. При этом следует учитывать одно немаловажное обстоятельство. Если раньше закон о персональных данных обходил вашу компанию стороной и никакой ответственности за его нарушение вы не несли, то с 1 июля все может измениться кардинальным образом.

Дело в том, что с этой даты начинает действовать упрощенный порядок привлечения к административной ответственности. Раньше дела в этой сфере возбуждала прокуратура (ст. 28.1 КоАП РФ). По новым же правилам (п. 58 ч. 2 ст. 28.3 КоАП РФ) дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры. На практике это означает, что количество штрафов и доведенных до суда дел может значительно увеличиться, и уйти от ответственности станет значительно сложнее.

152-ФЗ: Что делать, когда пришло письмо из прокуратуры о нарушении закона о персональных данных

На текущий момент штраф 5000, а к лету вырастет до 30 000. Но даже 5 можно потратить лучше, чем оплатить штраф за невыполнение закона.

У Вас — Сайт (Интернет-магазин и не только) с формой обратной связи или корзиной и оформлением заказа онлайн. В общем, любая форма с контактами — это зона риска в разрезе 152ФЗ.

Важно понимать, что по закону (рекомендую его прочитать) есть четкий перечень того, что является персональными данными (ПД) и многие ошибочно думают, что указание Ф.И.О. без данных паспорта не попадает под действие закона. Важный момент — косвенные ПД. Исходя из их определения — любое сочетание данных о клиенте попадает под действие закона.

ВАЖНО! Заполнение ФИО и телефона в форме на сайте требует соблюдения 152-ФЗ.

На примере Интернет-магазина, что нужно сделать, чтобы 152-ФЗ выполнялся:

  1. Приготовить печатные версии документа с печатями и подписями и хранить папочку рядом с аналогичной папкой для пожарников. Перечень документов:
    1. Приказ о назначении ответственного за организацию обработки персональных данных [Образец приказа 152-ФЗ];
    2. ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ [Образец Должностная инструкция 152-ФЗ];
    3. ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ [Образец политики обработки ПД];
    4. ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ [Образец правил обработки ПД].
  2. Указать на сайте реквизиты Вашей организации (ИНН, ОГРН, Адрес);
  3. Разместить активную гиперссылку на политику организации в отношении обработки персональных данных;
  4. Под формой отправки заказа / формы обратной связи разместить:
    1. Согласие на использование ПД для выполнения запроса;
    2. Согласие на обработку / хранение ПД и уведомление о понимании процедуры отзыва своих ПД;
    3. Сервер вне РФ? Согласие на трансграничную передачу ПД.

Ни к чему совершенно регистрироваться в качестве оператора данных на сайте Роскомнадзора. Проверить свой случай можно по тексту закона, там подробно указано, кому надо. Остальным — НЕ НАДО.

Если всё это есть — бояться нечего и вопросов к Вам не будет. Если же про 152-ФЗ Вы озаботились по факту письма из прокуратуры, то надо:

  1. Бросить все дела, и разместить на сайте необходимые данные;
  2. Связаться с представителем прокуратуры и уведомить, что по факту нарушений нет (быстрее = лучше, тянуть смысла нет);
  3. Подготовить внутренние документы и заверить их печатью / подписью;
  4. Учитывая наличия скриншотов (умеют, практикуют) — заранее задуматься об объяснении, почему представитель Роскомнадзора не нашел согласия и политику на сайте (что ссылки доступны из личного кабинета / открывается из корзины и.т.д). Но при этом политику разместить на всех страницах и на всех формах поставить подтверждение согласие и сообщить, что как раз улучшили представление данных на сайте;
  5. [Лайфхак] Посмотрите, как указан в запросе адрес сайта. HTTP://сайт.ру ? Возможно, у Вас хороший повод совершить переезд на защищенное соединение HTTPS и получить плюсик к карме у гугл?

Когда погружался в тему, пригодились статьи:

Федеральный закон «Об ипотечных ценных бумагах» от 11.11.2003 N 152-ФЗ ст 18 (ред. от 25.11.2017)

Статья 18. Договор доверительного управления ипотечным покрытием

1. Условия договора доверительного управления ипотечным покрытием (далее — правила доверительного управления ипотечным покрытием) определяются лицом, осуществляющим выдачу ипотечных сертификатов участия (далее — управляющий ипотечным покрытием), в стандартных формах и могут быть приняты приобретателем ипотечных сертификатов участия — учредителем доверительного управления ипотечным покрытием, под которое выдаются ипотечные сертификаты участия, только путем присоединения к указанному договору в целом.

Присоединение к договору доверительного управления ипотечным покрытием осуществляется путем приобретения ипотечных сертификатов участия, выдаваемых управляющим ипотечным покрытием.

2. Требования и иное имущество, составляющие ипотечное покрытие, являются общим имуществом владельцев ипотечных сертификатов участия и принадлежат им на праве общей долевой собственности. Раздел имущества, составляющего ипотечное покрытие, и выдел из него доли в натуре не допускаются.

Условием договора доверительного управления ипотечным покрытием является отказ физического или юридического лица от осуществления преимущественного права приобретения доли в праве общей долевой собственности на имущество, составляющее ипотечное покрытие. При этом соответствующее право прекращается.

Владельцы ипотечных сертификатов участия несут риск неисполнения или ненадлежащего исполнения обязательств, требования по которым составляют ипотечное покрытие.

3. Управляющий ипотечным покрытием осуществляет доверительное управление ипотечным покрытием путем получения (приема) платежей по обязательствам, требования по которым составляют ипотечное покрытие, перечисления (выплаты) владельцам ипотечных сертификатов участия денежных средств за счет указанных платежей, обеспечения надлежащего исполнения обязательств, требования по которым составляют ипотечное покрытие, включая обращение взыскания на имущество должника, в том числе заложенное в обеспечение указанных обязательств, при неисполнении или ненадлежащем исполнении таких обязательств, а также путем совершения иных связанных с этим действий, не противоречащих настоящему Федеральному закону и правилам доверительного управления ипотечным покрытием.

Управляющий ипотечным покрытием вправе предъявлять иски и выступать ответчиком по искам в суде в связи с осуществлением деятельности по доверительному управлению ипотечным покрытием.

4. Помимо предусмотренных Гражданским кодексом Российской Федерации и настоящим Федеральным законом существенных условий договора доверительного управления ипотечным покрытием правила доверительного управления ипотечным покрытием должны содержать указание на отсутствие у владельца ипотечных сертификатов участия права требовать от управляющего ипотечным покрытием прекращения договора доверительного управления ипотечным покрытием до истечения срока его действия иначе, чем в случаях, предусмотренных настоящим Федеральным законом.

152-фз 18 статья

Не далее, как 1-го сентября Роскомнадзор опубликовал итоги реализации федерального закона о локализации баз персональных данных российских граждан на территории России. Полная версия статьи находится по адресу: https://rkn.gov.ru/news/rsoc/news49466.htm

С момента реализации Федерального закона №242-ФЗ сотрудниками Роскомнадзора проведено 2256 плановых проверок, 192 внеплановые проверки и более 3000 мероприятий систематического наблюдения, по итогам которых выявлено 56 нарушений требований, связанных с локализацией персональных данных, что составляет около 1 % от общего числа выявленных нарушений.

Итак, о чем пойдет речь? Да, про пресловутый ФЗ №242. Попытаемся ответить на наиболее типичные вопросы, и попытаемся ответить на вопрос: «А что делать, чтоб не попасть в эти проценты?»

Для тех, кто не в курсе — под катом краткий FAQ.

C 1 сентября 2015 года в Российской Федерации начало действовать положение о локализации хранения и отдельных процессов обработки персональных данных, определенное в Федеральном законе №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

242-м законом были внесены, в том числе, и изменения по интересующим нас вопросам. ФЗ №242 в статье 1 дополнил Федеральный закон от 27 июля 2006 г. №149 «Об информации, информационных технологиях и о защите информации» новой статьёй 15.5 «Порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных».

В соответствии с частью 1 статьи 1 была создана автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных», целью которой является ограничение доступа к информации в «Интернет», обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных. Основанием для внесения в «Реестр нарушителей» доменного имени, URL-адреса интернет-страницы, законодателем установлено вступившее в законную силу решение суда о признании деятельности по распространению информации, содержащей персональные данные, нарушающей требования ФЗ №152, а также права субъекта персональных данных на неприкосновенность частной жизни, личную и семейную тайну.

Как мы знаем, вся эта система уже работает. Как пример, приведем одно из множества подобных судебных решений.

Решением Симоновского районного суда г. Москвы от 02.06.2016 по делу № 2-5818/16 деятельность Интернет-ресурса http://zvonki.octo.net, предоставлявшего доступ неограниченного круга лиц к персональным данным граждан в объеме: ФИО, телефон, адрес, паспортные данные, без соответствующего согласия, признана незаконной. Также суд обязал Роскомнадзор принять меры по ограничению доступа к информации в сети Интернет, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, путем внесения указанного сайта в Реестр нарушителей.

Той же статьей, частью 3, Роскомнадзор определен в качестве органа, уполномоченного на создание, формирование и ведение Реестра нарушителей.

Статистика ведения «Реестра нарушителей» показывает, что 50% владельцев сайтов, включенных в «Реестр нарушителей», в добровольном порядке устраняют нарушения законодательства Российской Федерации в области персональных данных.

Второй же статьей вносятся изменения в две статьи (ст. 18, 22) главы 4 «Обязанности оператора» и одну статью (ст. 23) главы 5 «Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего федерального закона» (ФЗ № 152).

Так же, частью 1 второй статьи законодателем внесены изменения в статью 18 «Обязанности оператора при сборе персональных данных» ФЗ № 152, согласно которым для оператора устанавливается обязанность осуществлять при сборе персональных данных определенные виды обработки персональных данных в базах данных, которые находятся на территории России. Определенные виды обработки это: запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации. Т.е. фактически любые действия с ПД, оператор обязан осуществлять с использованием баз данных, находящихся на территории Российской Федерации.

Вот об этом требовании и пойдет далее речь.

Кого касается данная мера?

Ответим комментарием Минкомсвязи: «… обязанности по локализации отдельных процессов обработки персональных данных распространяются на иностранных операторов при условии осуществления ими направленной деятельности на территорию Российской Федерации и отсутствии исключений, прямо указанных в ч. 5 ст. 18 ФЗ «О персональных данных» (например, международного договора, для достижения целей которого осуществляется обработка).»
Да, в общем всех, кто работает с нашими согражданами, т.е. и наших и ваших.

А что же делать, если мы данные уже собрали и храним за рубежом?

Можете их там и хранить, но если у вас появится необходимость поработать с этими данными, то базу вместе с результатами обработки придется уже разместить в России. Так это сейчас трактуется.

Что если данные физически хранятся в России, но обработка осуществляется за рубежом?

Закон, с определенными оговорками, это позволяет (трансграничная передача и все такое). Но, главное при этом помнить, что результаты этой обработки так же должны сначала попасть в базу на нашей территории. Т.е., грубо говоря, база на нашей территории всегда должна быть «полнее, выше, сильнее»!

А как определят, что иностранный сайт работает с Россией?

На данном этапе определяют работу с Россией так:

1) использование делегированного доменного имени, связанного с Российской Федерацией (.ru,.рф., .su) и/или
2) наличие русскоязычной версии Интернет-сайта, созданной владельцем такого сайта или по его поручению иным лицом (использование на сайте или самим пользователем плагинов, предоставляющих функционал автоматизированных переводчиков с различных языков, не должно приниматься во внимание);
3) возможности исполнения заключенного на таком Интернет-сайте договора на территории Российской Федерации (доставки товара, оказания услуги или пользования цифровым контентом на территории России).

А вообще пока этот вопрос прорабатывается и ждите следующих версий! Как это похоже на наших законотворцев!)

Мы уже подавали уведомление в Роскомнадзор как оператор ПД, нам нужно что-то еще сделать?

… Операторы, сведения о которых уже внесены в Реестр операторов, в соответствии с частью 7 статьи 22 Федерального закона № 152-ФЗ должны направить Информационное письмо о внесении изменений в сведения об Операторе в Реестре операторов с указанием сведений о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации…

Так что же делать?

Если у вас базы хранятся в России, то в первую очередь, подать уведомление в Роскомнадзор и внести в дополнительные поля адреса нахождения этих баз. Только будьте внимательны. Множество ошибок из-за того, что наименование страны вводят, а подробный адрес забывают.

Ниже ссылка на электронную форму уведомления, чтоб долго не искали.

«Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных»: https://rkn.gov.ru/personal-data/forms/p333/

Если же базы пока зарубежом, то пора как минимум задуматься об их локализации, например, в облаке. Многие гиганты индустрии (Microsoft, Samsung, Lenovo, Aliexpress, Ebay, PayPal, Uber, Booking.com), как мы знаем из СМИ, это уже давно сделали. Не думаю, что пользователям приятно видеть эту надпись при доступе к любимому сайту.

Однако, не все зарубежные компании торопятся с этим. Ранее глава Роскомнадзора Александр Жаров сообщил журналистам, что Facebook прекратит работу в России по аналогии с социальной сетью Linkedin, если не исполнит закон о персональных данных, это может произойти в 2018 году. Позднее представитель ведомства Вадим Ампелонский добавил, что в 2017 году никаких контрольных мероприятий в отношении деятельности Facebook в России не запланировано.

«Facebook располагает в России значительной аудиторией, но при этом не является уникальным ресурсом. Роскомнадзор учитывает это при взаимодействии с компанией, оставляя приоритетом собственной деятельности неукоснительное соблюдение российского законодательства всеми без исключения участниками рынка» — отметил он в общении с ТАСС.

Также стоит помнить, что если персональные данные передаются за границу под конкретную задачу, то принимающая данные сторона (если она не находится в стране-участнице Конвенции Совета Европы №108 о защите персональных данных, принятой большинством европейских стран, включая Россию, и в частности, не ратифицированной со стороны США) должна предоставить письменное подтверждение, которое гарантирует безопасность и корректное использование получаемой информации. Причем в соответствии с комментарием директора правового департамента Минкомсвязи Романа Кузнецова, условия подтверждения безопасности полностью совпадают с условиями Конвенции.

Многие вопросы, возникающие у организаций по поводу 242-ФЗ. тесно связаны с конкретными условиями её дейтельности и осветить их в рамках статьи затруднительно. Задавайте интересующие вас вопросы в комментариях, мы постараемся ответить на них максимально подробно.

Учебные курсы по графическим программам

Анализ Закона «О персональных данных» 152-ФЗ

Подробности Категория: Главная Опубликовано 11.07.2017 06:36 Автор: Шитов В.Н. Просмотров: 2765

Анализ Закона «О персональных данных» 152-ФЗ

Первоначально я хотел упасть в обморок, вне себя от негодования, в связи с ужесточением Закона 152-ФЗ с 1 июля 2017 года. Читая комментарии и пути решения защиты своих сайтов разными владельцами сайтов, я пришел к выводу, что они тоже в панике и не могут реально понять того, что же нужно делать. К персональным данным Закон относит не только ФИО, адрес и другие данные, но и IP , куки ( cookies ). Поэтому даже если владелец сайта откажется от регистрации пользователей на своем сайте, он все равно будет являться оператором обработки персональных данных.

Пришлось сесть за чтение закона и анализировать его. Вот к каким выводам я пришел.

В статье 6 «Условия обработки персональных данных» перечисляются случаи, в которых можно обрабатывать персональные данные:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);

4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

(в ред. Федерального закона от 05.04.2013 N 43-ФЗ)

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

(в ред. Федеральных законов от 21.12.2013 N 363-ФЗ, от 03.07.2016 N 231-ФЗ)

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

(в ред. Федерального закона от 03.07.2016 N 231-ФЗ)

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Обратите внимание: согласие субъекта персональных данных на обработку его персональных данных требует только п.1. статьи 6. Во всех остальных случаях такого согласия не требуется. Обратите внимание на фразу «обработка персональных данных необходима для осуществления прав и законных интересов оператора» в п. 7. Например, это может быть сбор данных о пользователях с целью выявления атакующих IP . Во многих случаях сбор данных на сайте происходит именно с этими целями для защиты сайта, например, для блокирования IP . А значит, согласия пользователя для этого не требуется.

Следующий важный пункт 9 статьи 6: обратите внимание на фразу «обработка персональных данных осуществляется в статистических или иных исследовательских целях». Так как привязка выполняется к IP , то информация о пользователях является обезличенной. Закон считает информацию обезличенной, если для идентификации субъекта персональной информации необходимо использовать специальные программные или иные средства. В данном случае для идентификации субъекта персональной информации с помощью IP придется обращаться к провайдеру, выдавшему этот IP . Согласие пользователя для этого не требуется.

Исключение в пункте 9 составляет сбор статистики для коммерческой и рекламной деятельности (статья 15 настоящего Федерального закона). А вот здесь согласие субъекта необходимо.

В пункте 8 обратите внимание на фразу «обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных». Деятельность сайта как раз и является творческой деятельностью и даже научной, хотя кто-то может в это не поверить, но это так. А если кто-то, в том числе и многочисленные органы, считает, что при этом права и законные интересы субъекта персональной информации нарушаются, то пусть это докажут. Согласие субъекта персональной информации для научной и творческой деятельности также не требуется.

Все описанные выше случаи не требуют согласия субъекта персональных данных на обработку его персональных данных. Тем не менее, пользователь также может теоретически дать согласие на обработку своих персональных данных. Я пишу «теоретически» потому, что ни одного такого желающего ни разу в жизни не встречал и, наверное, не встречу. Тем не менее на сайте нужно предложить порядок такой регистрации. При этом набор персональных данных должен быть минимальным. В одном из ответов на запрос в соответствующие органы было дано разъяснение, что адрес электронной почты не раскрывает субъекта, а вот адрес электронной почты вместе с именем — раскрывают.

В принципе этот ответ ничего серьезного не имеет, так как запрос в другой соответствующий орган может дать совершенно другой ответ. Но адрес с ником вместо имени тоже ничего не дает, адрес с вымышленным именем тоже ничего не дает. Но если идти таким путем, то что же делать контролирующим органам? Поэтому каждый орган может трактовать Закон как хочет, поэтому набор параметров для регистрации должен быть минимальным и каждый параметр должен быть описан в Политике конфиденциальности.

В Законе особо подчеркивается полная добровольность такого согласия со стороны пользователя. Поэтому нежелательно отказывать пользователю сайта пользоваться сайтом только на том основании, что он не хочет добровольно соглашаться на обработку своих персональных данных. Тем более, тем самым нарушается Закон об информации, в котором говорится, что гражданин имеет право на информацию. На многих сайтах даже появились специальные всплывающие заставки с вопросом: «Ты записался добровольцем?», то есть простите: «Даешь согласие или нет?». Если посетитель согласия не дает, то его вышвыривают с сайта, а вот это уже нарушение другого Закона, а их у нас немеряно.

Каждый владелец сайта является оператором обработки персональных данных. Можно конечно назначить оператором другого человека, но на большинстве сайтов всего один человек. Он то и будет оператором. В связи с этим читаем Статью 18. «Обязанности оператора при сборе персональных данных»:

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона.

2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных;

5) источник получения персональных данных.

4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 настоящей статьи, в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

5) предоставление субъекту персональных данных сведений, предусмотренных частью 3 настоящей статьи, нарушает права и законные интересы третьих лиц.

5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

(часть 5 введена Федеральным законом от 21.07.2014 N 242-ФЗ)

Здесь необходимо обратить внимание на пункт 4, в котором говорится, что если на сайте имеется уведомление об осуществлении обработки персональных данных субъекта персональных данных соответствующим оператором, то каждому пользователю сайта лично указывать эту информацию не нужно.

Кстати, фраза «фамилия, имя, отчество и адрес оператора» явно нарушает этот же самый закон. Почему одних граждан Закон защищает, а других принуждает указывать личную персональную информацию? Сильно сомневаюсь в том, что, хотя бы какой-нибудь контролирующий орган это нарушение заинтересовало: с кого брать штрафы то, с депутатов, что ли?

Остановимся на адресе оператора. Так как большинство владельцев сайтов — это обычные граждане, то возникает вопрос, а какой адрес указывать? Адрес, это не обязательно домашний адрес, а, например, электронный адрес. В Законе конкретный вид адреса не прописан, а значит под адресом можно понимать все, что угодно. Если контролирующие органы все-таки потребуют указывать домашний адрес, то это будет явное нарушение этого же Закона.

Наконец, остановимся на статье 22 «Уведомление об обработке персональных данных»:

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) обрабатываемых в соответствии с трудовым законодательством;

(п. 1 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

4) сделанных субъектом персональных данных общедоступными;

(п. 4 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

(п. 9 введен Федеральным законом от 25.07.2011 N 261-ФЗ)

3. Уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

(п. 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

(п. 7.1 введен Федеральным законом от 25.07.2011 N 261-ФЗ)

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных;

10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

(п. 10 введен Федеральным законом от 25.07.2011 N 261-ФЗ)

10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;

(п. 10.1 введен Федеральным законом от 21.07.2014 N 242-ФЗ)

11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

(п. 11 введен Федеральным законом от 25.07.2011 N 261-ФЗ)

4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

(часть 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

Как видно из пункта 2, Закон вовсе не требует обязательной регистрации своего сайта и оператора (или лица, его заменяющего) в уполномоченном органе по защите прав субъектов персональных данных обработку персональных данных. Обратите внимание на пункт 6: «необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях». Пропуск на свой сайт субъекта персональных данных как раз и является аналогичной целью, так как сайт является «территорией» владельца сайта.

В соответствующих органах полный разброд и шатания: на какой сайт соответствующего органа не зайдешь, везде одни несоответствия Закону. То они обязывают всех, у кого имеется свидетельство о государственной регистрации налогоплательщика, проходить процедуру регистрации операторов персональных данных, а мы только что выяснили, что это не обязательно, то начинают IP и куки объявлять персональной информацией, хотя это является по этому же Закону обезличенной информацией (обезличенная информация, это информация, для идентификации которой необходимо специальное обеспечение и средства).

В заключение привожу соответствующую басню дедушки Крылова:

Басня Волк и Ягненок

У сильного всегда бессильный виноват:
Тому в истории мы тьму примеров слышим
Но мы истории не пишем,
А вот о том как в баснях говорят.

Ягненок в жаркий день зашел к ручью напиться:
И надобно ж беде случиться,
Что около тех мест голодный рыскал Волк.
Ягненка видит он, на добычу он стремится;
Но, делу дать хотя законный вид и толк,
Кричит: «Как смеешь ты, наглец, нечистым рылом
Здесь чистое мутить питье Мое
С песком и с илом?
За дерзость такову
Я голову с тебя сорву». —
«Когда светлейший Волк позволит,
Осмелюсь я донесть, что ниже по ручью
От Светлости его шагов я на сто пью;
И гневаться напрасно он изволит:
Питья мутить ему никак я не могу». —
«Поэтому я лгу!
Негодный! Слыхана ль такая дерзость в свете!
Да помнится, что ты еще в запрошлом лете
Мне здесь же как-то нагрубил;
Я этого, приятель, не забыл!» —
«Помилуй, мне еще и от роду нет году». —
Ягненок говорит. — «Так это был твой брат». —
«Нет братьев у меня». — «Так это кум иль сват.
И, словом, кто-нибудь из вашего же роду.
Вы сами, ваши псы и ваши пастухи,
Вы все мне зла хотите,
И если можете, то мне всегда вредите;
Но я с тобой за их разведаюсь грехи». —
«Ах, я чем виноват?» — «Молчи! Устал я слушать.
Досуг мне разбирать вины твои, щенок!
Ты виноват уж тем, что хочется мне кушать» .
Сказал и в темный лес Ягненка поволок.