Заказать звонок

Спасибо!

Ваше сообщение успешно отправлено!

Юридическое сопровождение
цифровых проектов

Персональные данные. Общие понятия и требования.

Автор статьи: Людмила Харитонова

С персональными данными работают практически любые компании. Интернет-магазин собирает данные покупателей через форму заказа, информационный сервис получает данные через форму подписки на рассылку. Но важно помнить, что работать с персональными данными нужно очень аккуратно, в противном случае компанию могут привлечь к ответственности. На текущий момент штрафы за нарушение ФЗ «О персональных данных» существенно выросли.

Что такое персональные данные?

Закон содержит очень общую формулировку персональных данных. Под этим термином понимаются данные, которые позволяют прямо или косвенно идентифицировать физическое лицо.

Чаше всего к персональным данным относятся такие сочетания:

  • ФИО и электронная почта;
  • ФИО и телефон,
  • ФИО и адрес,
  • паспортные данные,
  • Дата и место рождения.

В судебных актах дается такое пояснение «…К персональным данным лица следует относить его фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы, а также другую информацию, по которой возможно идентифицировать конкретное лицо» (см. Апелляционное определение СК по гражданским делам Омского областного суда от 31 августа 2016 г. по делу № 33-8592/2016).

Также к персональным данным Роскомнадзор относит и IP-адрес, хотя это вопрос очень спорный. Суды, например, часто придерживаются другой позиции «… сведения об IP-адресе не являются персональными данными, не относятся к информации, содержащейся в сообщении, то есть не являются тайной связи. Следовательно, информация об IP-адресе может являться доказательством по антимонопольному делу и использоваться в рамках рассмотрения антимонопольного дела» (см. Постановление Восемнадцатого арбитражного апелляционного суда от 5 апреля 2017 г. № 18АП-2210/17).

Обрабатываете или нет

Любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными, признается обработкой.

Несколько заблуждений относительно обработки:

  • «Мы только храним, это еще не значит, что мы обрабатываем». – Нет, если вы что-то делаете с персональными данными – значит, обрабатываете их.

  • «Нас нет в реестр РКН, значит, мы не операторы». – Нет, обязанность уведомить Роскомнадзор, во-первых, имеет ряд исключений, а во-вторых – смотрите выше: если начали работать с персональными данными, значит, вы оператор.

Соблюдаем правила

Обрабатывая персональные данные, нужно соблюдать определенные правила:

  • Получить согласие от субъекта персональных данных, если данные вы получаете непосредственно от пользователя.
  • Использовать данные только в целях, указанных в согласии на обработку.
  • Разместить на сайте Политику обработки персональных данных.
  • Уведомить Роскомнадзор о начале обработки, если вы не попадаете под исключения, предусмотренные законом.
  • Выполнить необходимые организационные и технические меры по защите персональных данных.

Согласие на обработку персональных данных – один из самых важных документов в обеспечении правомерной обработки персональных данных.

Согласие субъекта персональных данных на их обработку, составленное в письменной форме, должно содержать сведения, которые прямо предусмотрены законом.

Помимо всего прочего должна быть указана цель обработки, полный перечень данных, способы обработки ПДн, а также срок, в течение которого будет обрабатываться массив данных.

Одной из распространенных ошибок является использование усеченной формы согласия на обработку ПДн. Например: «Я даю согласие на обработку личных данных». Кем, каких данных и на сколько – непонятно, а значит, такая форма не соответствует законодательству.

Согласие может быть составлено в письменной форме, но для онлайн-бизнеса такой вариант не подходит.

В этом случае возможно получение согласия путем использования простой электронно-цифровой подписи. К ней можно отнести проставление чек-бокса либо введение кода, полученного по SMS.

Стоит обратить внимание, что наличие автоматически проставленной галочки запрещено, так как в этом случае пользователь не совершает никаких действий и его согласие доказать не удастся.

А вот получения согласия на обработку ПДн по телефону закон не предусматривает (это подтвердил и Роскомнадзор в одном из своих разъяснений).

Если ваша организация получает ПДн не от субъекта, а от третьего лица (как, например, во взаимоотношениях курьерской компании и интернет-магазина, который передает данные покупателя для доставки товара), необходимо получить от третьего лица подтверждение правомерности передачи данных.

Если у вас остались вопросы, вы всегда можете написать нам, и мы обязательно ответим.


Читайте также:

Реклама. Как продвинуть проект и не получить штраф?

Судебная практика. Дело о защите патентных прав

Спасибо!

Пожалуйста, подтвердите подписку. Письмо отправлено вам на почту.

Ошибка!

Возможно, Вы подписаны на нашу рассылку.

Следите за нашими новостями

Только полезные материалы.
Без спама.

+7 499 550-94-94 info@zarlaw.ru
Консультант доступен в будни, 10:00–19:00 по Москве
Заказать звонок