Персональные данные: положения закона о защите личной информации

На территории РФ действует закон о персональных данных. Поэтому сбор, обработка и хранения информации о посетителях сайта, подписчиках или сотрудниках организации, требуют предварительного согласия граждан. За нарушение данного закона предусмотрен административный штраф. Сегодня его размер составляет до 75 тысяч рублей. Ниже мы разберемся в нюансах закона о персональных данных и поговорим о том, как не получить штраф.

Зачем был придуман этот закон

Закон о персональных данных защищает права тех лиц, информация о которых собирается, обрабатывается и хранится. Эта норма была придумана не в РФ. Правила обработки данных были описаны ООН в 1948 году во Всеобщей декларации прав человека.

Советом Европы конвенция по обработке персональных данных была принята в 1981 году. С 2006 года РФ ратифицировала ее, разработав свой закон.

Конституция Российской Федерации гарантирует каждому жителю неприкосновенность частной жизни, тайну телефонных разговоров и переписки. Таким образом, хранение и распространение информации о человеке без его согласия запрещено.

В Трудовом кодексе РФ имеется отдельная глава, посвященная персональным данным. Так, работодателям запрещено свободно распоряжаться данными сотрудников.

Тем не менее, граждане РФ постоянно оставляют свои персональные данные, чтобы выполнить следующие действия:

  • оформить кредит в банке;
  • заказать товар в интернет-магазине;
  • зарегистрироваться в социальной сети;
  • устроить ребенка в детский сад;
  • подписаться на рассылку.

Оставляя свои личные данные, гражданин должен быть уверен в том, что его адрес и номер телефона не будут размещены в открытом доступе. В свою очередь, человек, обрабатывающий персональные данные, хочет гарантий того, что на него не подадут в суд за рекламную рассылку.

Нарушение правил обработки персональных данных может привести к тому, что мошенники получат доступ к конфиденциальной информации, используя ее незаконно. Например, недавно аферисты получили чужой НДФЛ.Персональные данные: положения закона о защите личной информации

Понятие сбора персональных данных

В действующем законодательстве нет пояснений по поводу способа и формы сбора персональных данных. Здесь также отсутствуют уточнения касательно того, что именно следует считать сбором.

По мнению представителей Минкомсвязи, сбор – это документально оформленная процедура, направленная на получение сведений о человеке. В таком случае форма обратной связи также попадает под действие закона, если пользователь обязан указать в ней свои персональные данные. Однако здесь важно различать, какие именно сведения посетитель сайта передает через подобную форму, и можно ли по ним идентифицировать человека и нанести ему вред в случае утечки информации.

Персональными данными являются:

  • ФИО;
  • номер телефона;
  • адрес электронной почты;
  • адрес проживания.

По закону к категории персональных данных относится любая информация, которая прямо или косвенно относится к определенному физлицу. Соответственно, даже номер телефона без ФИО уже сам по себе относится к персональным данным и не подлежит огласке без разрешения. Таким образом, если понимать буквально, то к данной категории может относиться что угодно, о чем юристы спорят уже не первый год.

Минкомсвязи никакой конкретики не дает, считая, что точно привести перечень и состав персональных данных не представляется возможным. Поэтому все спорные ситуации необходимо решать в судебном порядке.

Нужно ли соблюдать закон о персональных данных владельцам сайтов

Если человек владеет сайтом, не являясь при этом ИП или юрлицом, он все равно должен соблюдать нормы закона. Они распространяются на всех, кто занимается обработкой чьих-либо персональных данных. В качестве оператора может выступать ИП, юрлицо, физическое лицо, госорган. Обычный человек может создать форум по интересам и заниматься его администрированием. В этом случае он автоматически становится оператором персональных данных.

Например, женщина создала форум для беременных, участники которого должны проходить регистрацию, указывая информацию о себе. Владельца ресурса является оператором персональных данных, поскольку она получает информацию о других людях, систематизируя их по интересам и по возрасту, проверяет активность пользователей, использует сведения для рассылки или же просто хранит их.

Любое из вышеперечисленных действий является обработкой персональных данных. Любой человек, который производит подобные действия, автоматически становится оператором.коллективный иск

Списки контактов в телефоне и друзья в соцсетях

Из всего вышесказанного можно сделать вывод, что оператором персональных данных становится и тот человек, который хранит список контактов в телефоне или имеет друзей в социальных сетях. По логике, он также имеет доступ к персональным данным этих людей, которые хранит и использует на свое усмотрение.

Однако под действие закона не попадают те данные, которые обрабатываются для личных и семейных нужд. Поэтому контакты абонентов в телефонном справочнике, визитки партнеров и профили друзей на Фейсбуке не делают человека оператором. Он может хранить и использовать их в личных нуждах без получения соответствующего разрешения. Однако гражданин не вправе публиковать контакты друзей и знакомых в общем доступе без разрешения, передавать их рекламодателям или же оставлять в банке при оформлении кредита.

Если сайт на английском

Требование соблюдать закон о персональных данных относится ко всем ресурсам, работающим на территории РФ. Язык сайта при этом значения не имеет. Нарушителей может заблокировать Роскомнадзор.

О том, что сайт работает на территории РФ, свидетельствуют следующие признаки:

Есть вопрос к юристу? Спросите прямо сейчас, позвоните и получите бесплатную консультацию от ведущих юристов вашего города. Мы ответим на ваши вопросы быстро и постараемся помочь именно с вашим конкретным случаем.

Телефон в Москве и Московской области:
+7 (495) 266-02-45

Телефон в Санкт-Петербурге и Ленинградская области:
+7 (812) 603-78-25

Бесплатная горячая линия по всей России:
8 (800) 301-39-20

  • у интернет-ресурса имеется русскоязычная версия;
  • доменное имя связано с РФ;
  • товары или услуги оплачиваются в рублях;
  • клиенты могут заказать доставку на территорию РФ;
  • потребителями содержимого – граждане России;
  • на сайт ведет русскоязычная реклама.

При наличии хотя бы одного из вышеперечисленных признаков, оператор персональных данных обязан соблюдать закон, даже если речь идет об иностранной компании. Соответственно, документы должны быть понятны и доступны на территории РФ.

Российские законы не распространяются на нерезидентов, ведущих деятельность за пределами нашей страны. Однако если операторы РФ собирают данные иностранцев, им следует задуматься о соблюдении законов той страны, резидентами которой являются посетители их сайтов.

Штраф в 75 тысяч рублей, установленный в России в 2017 году, не является суровым наказанием по европейским меркам. В странах ЕС размер взыскания за нарушение правил обработки персональных данных может достигать сотен тысяч евро.

Персональные данные и соцсети

Допустим, человек решил опубликовать пост в Фейсбуке, упомянув в нем своего друга. При этом кэш поста будет храниться в его телефоне. Через время автор публикации репостнул ее в Твиттер. На первый взгляд может показаться, что человек трижды нарушил закон, ведь он не только хранит и обрабатывает личную информацию, но и занимается ее распространением. Однако это не так.

Подобное не является нарушением закона, поскольку в данном случае оператор персональных данных – это не отдельно взятый пользователь, а социальная сеть. И каждый человек при регистрации дает согласие на обработку, использование и публикацию данных.

Свое согласие на обработку информации о друзьях, интересах, местоположении, устройствах, платежах, посещенных сайтах давали все пользователи Фейсбука, ставя галочку в соответствующем поле. Кроме того, пользователи согласились на то, что Фейсбук в любой момент может получить доступ к контактам на любом устройства с последующим использованием этих сведений.

Причем всем известно, что эти данные передаются рекламодателям и партнерам Фейсбука. Каждый пользователь может упоминать, ссылаться и отмечать на фото кого захочет в рамках настроек безопасности данной соцсети. За эти действия несет ответственность Фейсбук, а не его пользователи. Подобным образом устроены все социальные сети и общедоступные справочники.составление иска

О самостоятельном распространении своих данных

Любой пользователь может сделать свои данные общедоступными. При этом к нему не будет применено никаких санкций. Например, гражданин может расклеить объявления о скупке старых часов по городу, указав в них свои контактные данные. Все лица, которые позвонят этому человеку, используют его данные в личных целях.

Если телефон гражданина внесет в свою базу микрофинансовая организация, начав присылать ему рекламу, то подобные действия будут считаться незаконными. Соответственно, компанию можно будет привлечь к ответственности, ведь человек не давал согласия на обработку личных данных для рассылки рекламы.

Даже если гражданин самостоятельно разместил свои данные в общем доступе, то их нельзя использовать в коммерческих целях без разрешения.

Сайты для размещения объявлений

Такие порталы, как Авито, также занимаются сбором персональных данных пользователей. Проходя регистрацию, пользователь передает администрации свои личные сведения, пусть даже и в рекламных целях. Соответственно, ресурс должен соблюдать нормы действующего законодательства. В частности, компания должна предупредить пользователя о том, что она занимается сбором его персональных данных. Также человек уведомляется о том, как будет использована эта информация, кому ее будут передавать и где могут опубликовать.

Для подачи объявления на Авито, гражданин в обязательно порядке должен пройти регистрацию, подтвердив свой номер телефона. Эти данные сайт использует для проверки личности пользователя и проведения конкурсов. Кроме того, Авито может передать информацию на обработку третьим лицам, в том числе и за границу – это не скрывается. И регистрируясь на сайте, пользователь автоматически дает свое разрешение на осуществление подобных действий.

Как получить согласие на обработку персональных данных

Создатель сайта не может брать любое соглашение и публиковать его на своем ресурсе. Здесь важно соблюсти все юридические тонкости, иначе можно получить штраф. Согласие на обработку персональных данных должно быть информированным, конкретным и сознательным. Если человек промолчал или не выразил возражений, то это не значит, что он дал разрешение на обработку информации.

Действующее законодательство не устанавливает конкретной формы, в которой следует получать разрешение от клиента и посетителя. Речь может идти о галочке в форме регистрации или ссылке на пользовательское соглашение в ответном письме. Первое встречается чаще.

Главное в данном случае – возможность доказать, что согласие посетителя было получено, а сам клиент понимал, что конкретно он разрешает. Компания может собирать только ту информацию, которая соответствует целям ее работы. Например, медицинский центр занимается систематизацией данных о состоянии здоровья, а сервис по подписке просит своих клиентов указать электронную почту. За сбор лишних сведений можно получить штраф.

Сегодня недостаточно получить согласие на обработку персональных данных, нужно еще и соблюдать принципы обработки, правильно оформляя внутренние документы. Поэтому лучше привлечь к данному процессу профильного юриста, который поможет правильно подать информацию клиентам, не платя впоследствии штрафы и не возмещая моральный вред.

Зайдя на сайт, пользователь должен понять две вещи:

  • ресурс занимается сбором персональных данных;
  • как именно используется полученная информация.

Для этого следует разместить на сайте пользовательское соглашение, оферту, политику конфиденциальности или еще какой-либо документ, ознакомившись с которым, гражданин сможет понять, с чем он имеет дело. При этом следует внимательно относиться к формулировкам, что пригодится на случай суда.