Главное — помнить, что именно к ним относится и за что можно получить штраф.
С точки зрения закона персональные данные (ПД) — это любая информация, относящаяся к физлицу, которого в таком случае следует называть субъектом ПД. Об этом — статья 3 152-ФЗ «О персональных данных». Формулировка оказалась расплывчатой, и с 2021 года её попытались конкретизировать через ещё одно понятие — «ПД, разрешённые субъектом персональных данных для распространения». Это те ПД, доступ к которым субъектом этих данных разрешён для неограниченного круга лиц в результате полученного согласия.
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
В общем, ПД — это буквально почти вся информация о сотрудниках и клиентах. Особенно, если у предпринимателя есть интернет-магазин.
При покупках в интернете продавцу становятся известны имя покупателя, сведения о его банковской карте, место его проживания или пребывания при доставке курьером. А иногда и более личные данные: в магазине одежды — физические параметры человека, а при покупке в магазине для взрослых — нечто большее.
И любой покупатель хочет быть уверен, что эти сведения не утекут. Поэтому законодательства большинства стран предусматривают порядки и границы обработки ПД. В РФ это ФЗ «О персональных данных». При этом функция по контролю и надзору в этой сфере возложена на Роскомнадзор.
Судебная практика по вопросу защиты ПД уже достаточно разработана, однако до сей поры некоторые вопросы вызывают споры. Причём ответственность оператора обработки данных достаточно велика.
- фамилию;
- имя;
- отчество;
- год;
- месяц;
- дату и место рождения;
- адрес;
- семейное, социальное,имущественное положение;
- образование;
- профессию;
- доходы;
- место жительства;
- номера телефона;
- номер паспорта;
- ИНН;
- номер банковской карты;
- медицинские и биометрические данные.
Закон к тому же выделяет среди всех ПД группу общедоступных.
Общедоступные ПД — ПД, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. Говоря простым языком, это те данные, которые человек сам предоставил для широкого круга лиц.
- сведения на открытой странице в соцсети;
- оставленный в интернет-магазине персонализированный отзыв;
- те данные, публиковать которые органы власти и учреждения, организации обязаны во исполнение закона.
Притом нужно понимать, что если человек желает эти данные отозвать, то вы обязаны подчиниться — например, удалить отзыв этого покупателя, сведения о его покупке или статью о том, что он, скажем, выиграл приз в вашем розыгрыше и так далее При неисполнении этих требований покупатель вполне может направить иск в суд и выиграть дело.
С другой стороны, далеко не всегда суд встаёт на сторону истца в определении того, что является персональными данными.
Так, постановлением Арбитражного суда Северо-Западного округа от 6 мая 2015 года по делу N А21-4273/2014 признано, что голос гражданина в понятие ПД не включается. Поэтому при ведении аудиозаписи разговора и предоставлении её в качестве доказательства ссылаться на защиту ПД нельзя.
При этом, к примеру, по общему правилу фотографии людей относятся к охраняемым персональным данным, однако нельзя пожаловаться на фотографию, сделанную за плату (например, рекламная съёмка) или в общественных местах, если человек попал в кадр случайно.
Отдельная группа споров связана с размещением на страницах сайтов-агрегаторов сведений о профессионалах, выполняющих какую-либо работу.
Так, медработник требовал удалить его личный профиль с сайта, а сервис отказывался на том основании, что информация об исполнителе медицинской услуги должна быть общедоступной в соответствии с законом, и была взята с официального сайта медицинской организации, поэтому любой имеет право оставить об услуге работника отзыв.
Конституционный суд разъяснил границы распространения ПД о людях, информация о деятельности которых размещена в интернете. На основании закона такие данные сайты размещать («репостить») могут, однако запрещено наряду с персональными данными о человеке размещать порочащую честь и достоинство информацию. Если речь идёт об отзывах на услуги конкретного человека, то ему в обязательном порядке следует дать право на опровержение порочащей его информации, если таковая размещена третьими лицами.
Для начала следует разобраться с термином «оператор обработки ПД». Ими считаются не только органы государственной власти, но и физлица и юрлица, собственно осуществляющие обработку данных. Для операторов, осуществляющих эту деятельность на постоянной основе и/или с предоставлением данных третьим лицам, предусмотрен специальный реестр. Подать уведомление об обработке ПД такой оператор должен до начала обработки, в уведомлении указать цели и объёмы работы с данными.
При этом с 2023 года требования к обращению с персональными данными ужесточились, поэтому операторами могут считаться и интернет-магазины, если они собирают клиентские базы данных, обрабатывают данные клиентов, содержат на сайтах их «личные кабинеты». Роскомнадзор даже создал памятку о том, как определить, являетесь ли вы оператором обработки ПД.
Если вам нужно внести изменения в данные уведомления об обработке ПД, то обо всех изменениях, которые произошли в течение месяца, нужно сообщить не позднее 15-го числа следующего месяца — эта норма начала действовать с 1 марта 2023 года.
- если совершается с согласия субъекта;
- соответствует целям обработки;
- не выходит за рамки целей.
Если для покупки покупатель должен платить картой онлайн, очевидно, что требовать сведения о его поле, возрасте, национальности, вероисповедании излишне.
Кроме того, пользование данными не может производиться во вред покупателю, а сведения (кроме специально оговорённых) — предоставляться в свободный доступ. Запрещено при обработке данных нарушать закон, что, в общем, само собой разумеется.
Обработка данных с точки зрения закона делится на две категории: обработка «вручную», то есть конкретными лицами (например, отдел кадров, отдел по работе с клиентами) и автоматизированная обработка, то есть с помощью компьютерных программ и систем. например, создание автоматизированной базы данных клиентов, хранение в «личных кабинетах клиентов» сведений об их заказах, автоматическая привязка номеров карт к профилю и так далее).
В любом из этих случаев информирование клиента о том, какая информация и зачем будет храниться в магазине — обязательно. При этом следует понимать, что с точки зрения закона оператор ПД в любом случае предприниматель, а его сайт, который автоматизирует обработку данных, будет считаться «информационной системой ПД» и на него будут распространяться соответствующие требования закона о таких системах.
Кроме того, с 2022 года разрешено осуществлять обработку ПД своих клиентов не самостоятельно, а поручить её третьим лицам. На такую обработку нужно будет получить разрешение клиента. Третье лицо обрабатывает ПД на основании поручения оператора и получать согласие субъектов данных не обязано.
- перечень ПД;
- перечень действий (операций) с персональными данными;
- цели обработки;
- должна быть установлена обязанность третьего лица соблюдать конфиденциальность ПД;
- обязанность по запросу оператора подтвердить, что процесс обработки данных соответствует закону и их безопасность обеспечена.
При этом ответственность за обработку данных нести будет всё равно оператор обработки, а не третье лицо, которому дано поручение.
- расовой, национальной принадлежности;
- политических взглядов;
- религиозных или философских убеждений;
- состояния здоровья;
- интимной жизни.
Исключения составляют те случаи, когда сам человек в письменной форме дал согласие на такую обработку или сам сделал эти данные общедоступными.
После вступления в действия новых «Правил продажи по договору розничной купли-продажи» покупатель больше не обязан предоставлять продавцу свои фамилию, имя, отчество и адрес доставки товара, как это было раньше. Теперь продавец обязан заключить договор с любым, кто выразит такое желание на условиях оферты продавца. При этом договор будет считаться заключённым именно с момента выражения желания (и/или оплаты товара), а не в момент предоставления этих данных.
Покупатель может при заказе указать свой адрес для доставки, но может предпочесть и конкретный пункт выдачи. ФИО ему указывать тоже не нужно — согласно норме доставленный товар передаётся потребителю по указанному им адресу, а при отсутствии потребителя — любому лицу, предъявившему информацию о номере заказа, либо иное (в том числе электронное) подтверждение заключения договора розничной купли-продажи или оформление заказа.
Однако, если товар маркирован как имеющий ограничения по возрасту, то на сайте он должен быть скрыт до момента фактического подтверждения возраста покупателя. Например, покупатель должен нажать кнопку «Мне есть 18 лет».
В любом случае перед совершением договора покупатель должен согласиться предоставить продавцу свои данные в тех рамках, которые действительно нужны для заключения договора. Такое согласие разрешено получать в любой форме, однако оно должно быть конкретным, предметным, информированным, сознательным и однозначным. То есть потребитель должен понимать, какие данные обрабатываются и с какой целью.
Кроме того, появился ещё один вид согласия — согласие на распространение ПД. Согласие на обработку ПД, разрешённых субъектом ПД для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его ПД. В этом согласии нужно дать возможность субъекту самостоятельно определить перечень ПД по каждой категории ПД, указанной в согласии на обработку ПД, разрешённых субъектом ПД для распространения.
Следует помнить, что при хранении ПД предприниматель обязан создать условия, при которых эти данные не смогут получить третьи лица. Например, он распечатывает некие сведения — доступ к ним могут иметь только те, кто непосредственно уполномочен их обрабатывать.
В связи с этим при обработке ПД вы должны оценить вред, который может быть причинён субъектам данных в случае нарушения условий их использования: утечка, разглашение и так далее.
Роскомнадзор определил три степени вреда — высокую, среднюю и низкую. Притом самая высокая степень возможного вреда присваивается при обработке биометрических и аналогичных данных. Оцениваете степень вы сами, если являетесь оператором, результаты оценки закрепляете соответствующим актом оценки вреда.
- наименование или фамилия, имя, отчество (при наличии) и адрес оператора;
- дата издания акта оценки вреда;
- дата проведения оценки вреда;
- фамилия, имя, отчество (при наличии), должность лиц (лица) (при наличии), проводивших оценку вреда, а также их (его) подпись;
- степень вреда, которая может быть причинена субъекту ПД.
Подписать акт можно традиционно, на бумаге, а можно с помощью электронной подписи.
Соответственно, при возникновении утечки ПД руководствоваться нужно будет Приказом Роскомнадзора от 14.11.2022 N 187. Приказ предусматривает направление Роскомнадзору уведомления об инциденте в электронной и бумажной форме. Требования к такому уведомлению, порядку его направления и рассмотрения закреплены указанным приказом.
Наконец, если прекратить обрабатывать ПД, их необходимо уничтожить. С 1 марта 2023 года при уничтожении данных необходимо будет составить соответствующий акт, согласно приказу Роскомнадзора № 179.
- если обработка ПД осуществляется оператором без использования средств автоматизации, то подтверждающим уничтожение ПД документом является акт об уничтожении ПД;
- если обработка ПД осуществляется оператором с использованием средств автоматизации, то подтверждающими уничтожение ПД документами являются акт об уничтожении ПД и выгрузка из журнала регистрации событий в информационной системе ПД.
Считающий, что его права в области защиты ПД нарушены, может обратиться с жалобами в суд, полицию, иные правоохранительные органы и Роскомнадзор. Соответственно, нарушителя заставят компенсировать вред, причинённый неправомерным использованием ПД, в том числе моральный.
Кроме того, интернет-магазину придётся выплатить солидный штраф, границы которого определены статьёй 13.11 КоАП РФ.
- для граждан — от 2 тыс. ₽ до 6 тыс. ₽;
- для должностных лиц — от 10 тыс. ₽ до 20 тыс. ₽;
- для юридических лиц — от 60 тыс. ₽ до 100 тыс. ₽.
- для граждан — от 4 тыс. ₽ до 12 тыс. ₽;
- для должностных лиц — от 20 тыс. ₽ до 50 тыс. ₽;
- для индивидуальных предпринимателей — от 50 тыс. ₽ до 100 тыс. ₽;
- для юридических лиц — от 100 тыс. ₽ до 300 тыс. ₽.
Отсутствие согласия субъекта персданных на их обработку влечёт за собой штраф на те же суммы. Кроме того, наказуемо и отсутствие на сайте в доступном для ознакомления и скачивания формате политики или иного документа оператора в отношении обработки ПД — это грозит наложением штрафов.
- на граждан — от 1,5 тысячи рублей до 3 тыс. ₽;
- на должностных лиц — от 6 тыс. ₽ до 12 тыс. ₽;
- на индивидуальных предпринимателей — от 10 тыс. ₽ до 20 тыс. ₽;
- на юридических лиц — от 30 тысяч до 60 тыс. ₽.
- невыполнение в установленные законом сроки требования субъекта ПД об уточнении ПД, их блокировании или уничтожении в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- невыполнение обязанности по предоставлению субъекту ПД информации, касающейся обработки его ПД.