IP-адресе, геопозиция и всеми любимые cookies, которые всякий раз снова и снова нервируют практически на каждом сайте… То есть даже если пользователь не указал, как его зовут, но вы собрали на лендинге любые данные о нем, то это незаконно. Законно – с его согласия. А это согласие можно получить только тогда, когда сайт содержит документы, с которыми пользователь ознакомился и проставил «галочку согласия». Самое интересное, что иногда Роскомнадзор отказывает недовольным субъектам персональных данных (читай: гражданам) в блокировке какого-либо сайта. Но те неугомонно добиваются своего и успешно такие отказы оспаривают.
Правовое сердце для онлайн-бизнеса – это, конечно, договор оферты. Но согласие на обработку персональных данных (вкупе с Политикой обработки персональных данных) – еще один кит, на котором зиждется правовое оформление онлайн-проекта. И игнорировать их важность – порочный путь.
А если я физлицо, являюсь ли я оператором персональных данных?
Да! Цитирую п. 2 ст. 3 ФЗ «О персональных данных»: «Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных». При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.
Всегда ли я должен регистрироваться в качестве оператора, обрабатывающего персональные данные?
По общему правилу, если вы намерены собирать персональные данные, то предварительно нужно уведомить об этом Роскомнадзор (ст. 22 ФЗ «О персональных данных»). Отправить сообщение в Роскомнадзор можно в электронной форме на официальном сайте[32]. В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.
Однако, как и в любом правиле, здесь есть исключения. И вот когда онлайн-бизнесмену не нужно уведомлять Роскомнадзор о том, что он обрабатывает персональные данные:
• при сборе и обработке сведений, которые само физическое лицо сделало общедоступными (п. 4 ч. 2 ст. 22 ФЗ «О персональных данных»);
• при сборе персональных данных, которые включают только имя, отчество и фамилию физического лица (п. 5 ч. 2 ст. 22 ФЗ «О персональных данных»);
• при сборе личных сведений сотрудников в рамках трудовых отношений. Это касается только тех данных, которые необходимо предоставить работодателю при оформлении трудового и коллективного договора. Но! Нужно уведомлять Роскомнадзор о сборе и обработке сведений, которые не касаются трудовых отношений, а также если работодатель собирается обрабатывать данные уволенных сотрудников (п. 1 ч. 2 ст. 22 ФЗ «О персональных данных»);
• при сборе персональных данных клиентов исключительно с целью исполнения заключенного с ними договора. В этом случае уведомлять Роскомнадзор не нужно, если исполнитель/продавец/поставщик не собирается передавать персональные данные третьим лицам (п. 2 ч. 2 ст. 22 ФЗ «О персональных данных»).
Бывают ли случаи, когда оператор не должен обеспечивать конфиденциальность персональных данных?
Да! И ч. 2 ст. 7 ФЗ «О персональных данных» гласит, что обеспечение конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.
Один только нюанс: перед тем как обезличить персональные данные, вы их собираете и обрабатываете. Поэтому согласие на эти операции нужно взять у субъекта персональных данных.
Производите ли вы обработку персональных данных, если собрали (получили) эти данные, но ничего с ними не делаете?
Да! Потому что хранение – это тоже обработка персональных данных. Статья 3 ФЗ «О персональных данных» под обработкой персональных данных понимает любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая:
• сбор,
• запись,
• систематизацию,
• накопление,
• хранение,
• уточнение (обновление, изменение),
• извлечение,
• использование,
• передачу (распространение, предоставление, доступ),
• обезличивание,
• блокирование,
• удаление,
• уничтожение персональных данных.
Пользователи вашего сайта могут не стать вашими покупателями, но пользоваться вашим сайтом, подписаться и получать вашу рассылку. При этом вы собираете их данные?
Да! Не забудьте разместить на сайте пользовательское соглашение (оно акцептуется и начинает действовать, как только человек получает контент). При этом не забудьте внести в пользовательское соглашение условия, принимая которые ваш пользователь дает согласие на обработку персональных данных. Пользователь может как акцептовать условия пользовательского соглашения, так и давать согласие на обработку своих персональных данных отдельно.
Является ли передача персональных данных учеников онлайн-школы на обучающую платформу поводом, из-за которого надо уведомлять Роскомнадзор об их сборе и передаче?
Да – в том случае, если вы сами (!) предоставляете эти данные платформе.
Когда ученик самостоятельно регистрирует личный кабинет и вносит всю информацию о себе, можно не уведомлять Роскомназдор об обработке персональных данных, если вы обрабатываете эти данные только с целью исполнения договора между вами и учеником (п. 2 ч. 2 ст. 22 ФЗ «О персональных данных»).
Я собрался обменяться базами данных учеников с моим коллегой из смежной ниши. Должен ли я зарегистрироваться в Роскомнадзоре?
Да, непременно! Ведь вы собираетесь передать персональные данные третьему лицу, а не платить штраф.
На лендинге «висят» отзывы с персональными данными оставивших их людей. Нужно ли уведомлять Роскомнадзор?
Да, поскольку в данном случае всякий раз, когда кто-то смотрит или читает отзыв, он получает доступ к таким данным и при этом является третьим лицом.
Лайфхаки: убрать из отзыва все персональные данные – закрасить фото и ФИО на скриншоте письменного отзыва; не подписывать видеоотзыв; дать возможность человеку самому разместить свой отзыв.
Можно ли брать согласие на обработку персональных данных по телефону?
Нет! Получение согласия на обработку персональных данных по телефону либо посредством sms действующим законодательством РФ не установлено.
Как быть, если ученики моих онлайн-курсов – несовершеннолетние? (Рисование, иностранные языки, кондитерские курсы и т. п.) Они сами дают согласие?
По закону согласие на обработку персональных данных несовершеннолетних дают их родители или законные представители. Также возможно предоставление (оператору) персональных данных своих других близких родственников – при наличии письменного согласия от указанных лиц. Оператор, конечно же, не может проверить наличие или отсутствие такого согласия. Поэтому в Политике обработки персональных данных рекомендую указывать, что за достоверность данных и правомерность их предоставления несет ответственность лицо, которое их предоставило.
Какая ответственность предусмотрена за нарушение ФЗ «О персональных данных»?
Самая разная! Уголовная, административная, дисциплинарная и иная (см. ст. 24 ФЗ «О персональных данных»).
Уголовная наступает за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации (ст. 137, 272 УК РФ).
Административная ответственность предусмотрена за следующее:
• неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП РФ – накладывается штраф от 5 до 10 тыс. руб. на должностное лицо);
• обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных (ч. 1 ст. 13.11 КоАП РФ – предупреждение или штраф 1–3 тыс. руб. на гражданина, 30–50 тыс. руб. – на юрлицо);
• обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие (ч. 2 ст. 13.11 КоАП РФ – штраф на граждан от 3 до 5 тыс. руб., на юридических лиц – от 15 до 75 тыс. руб.);
• иные нарушения установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ч. 3–9 ст. 13.11 КоАП РФ), среди которых особенно неприятна ответственность за невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, предусмотренной законодательством РФ в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ (ч. 8 ст. 13.11 КоАП РФ), – поскольку за такое правонарушение следует штраф на граждан в размере от 30 до 50 тыс. руб., а на юридических лиц – от 1 до 6 миллионов рублей. Впечатляет, не правда ли? За повторное такое нарушение (ч. 9 ст. 13.11 КоАП РФ) штраф составит от 50 до 100 тыс. руб. на граждан и от 6 до 18 (!) миллионов (!) рублей на юридических лиц. И самое неприятное в этом моменте то, что за эти административные правонарушения (по ч. 8 или 9 ст. 13.11 КоАП РФ) лица, осуществляющие предпринимательскую деятельность без образования юридического лица,