ФЗ-152 о защите персональных данных на сайте
С активным развитием информационных технологий, повсеместным внедрением сети Интернет появилась серьезная проблема, связанная с сохранением персональных данных, защитой от третьих лиц.
При этом каких-то четких норм, правил не существовало вплоть до 27 июля 2006 года, когда свет увидел закон о персональных данных. Казалось бы, уж в этой ситуации у бизнесменов, владельцев разнообразных интернет-ресурсов вопросов возникать не должно. На практике все оказалось гораздо сложнее.
Что такое персональные данные, как понимать термин «обработка»?
Во-первых, люди не всегда четко понимают, что подразумевается под самим термином. Под таким определением как персональные данные на сайте стоит понимать некоторую информацию, которая позволяет идентифицировать человека, посетителя – фамилия, имя, отчество, номер телефона или сведения из паспорта. Многие забывают, что сюда же относятся непрямые идентификаторы, такие как логин, пароль.
Во-вторых, под обработкой ПДн некоторые владельцы ресурсов понимают исключительно передачу информации посторонним, использование для ведения коммерческой деятельности, как вариант, рассылки E-mail, спамовых СМС. Но даже банальное хранение информации подпадает под действие ФЗ-152 «О персональных данных». Как только сайт получает сведения о первом зарегистрировавшемся, даже в том случае, когда вся информация вымышленная, начинается обработка информации со всеми вытекающими последствиями.
Зачем внедрили?
Необходимо отметить, что Федеральный закон «О защите персональных данных» не появился из ниоткуда, не стал «блажью» законотворцев, этаким развлекательным аспектом «усложним жизнь бизнесу». Он долго формировался, вынашивался, в том числе на многочисленных примерах из жизни.
Причинами появления подобного законотворческого решения стали участившиеся мошеннические действия со стороны преступных элементов, начиная с незначительных по опасности спамовых рассылок, звонков, заканчивая оформлением крупных кредитов, открытием липовых фирм. Все это потребовало серьезного вмешательства со стороны государства.
С другой стороны, полностью запретить негосударственным структурам собирать ПДн, даже с согласия на обработку, невозможно. Дело в том, что сегодня слишком большой сегмент рыночных отношений перенесен в сеть Интернет. Процесс идентификации в таком ракурсе неизбежен.
Какие данные могут обрабатывать?
Как уже отмечалось, персональные данные могут быть самые разные, даже просто одно имя, телефон или(и) электронная почта, если их просят внести в форму обратной связи. Но это не значит, что операторам разрешается собирать любые сведения о личности посетителя. Любая информация должна быть обоснована и необходима для работы сервиса. Пример:
- имя – для вежливого обращения;
- номер телефона – для организации звонка за счет компании;
- электронная почта – чтобы отправить прайс;
- паспортные данные для заключения договора:
- и так далее.
Что из этого следует? Если сайт не заключает договор о сотрудничестве, то и паспортные данные ему с высокой долей вероятности не потребуется. И их сбор будет однозначно расценен как нарушение.
Бизнесменов в первую очередь должны интересовать не сама защит облаков или дата-центров, где хранится база данных, а документальное, основанное на правовых аспектах, обоснование следующих позиций:
- Цель сбора, хранения, последующего использования сведений о клиентах.
- Обоснованность сбора конкретных позиций, нет ли среди них лишних, ненужных в работе?
- Время хранения.
- Наличие, структура политики обработки.
- Наличие необходимости сбора разрешений на передачу базы сторонним людям, организациям?
Именно эти моменты, а не установленные антивирусные программы, иные технические и программные средства защиты, будут интересовать представителей Роскомнадзора. Вы можете поставить самый мощный «антивирусник», но не сформировать какой-нибудь Регламент расследования инцидентов, получить, в конечном счете, крупный штраф.
Отсюда напрашивается промежуточный вывод: не старайтесь полностью организовать соответствие практической деятельности закону об обработке персональных данных на сайте самостоятельно. Для этих целей существуют аутсорсинговые компании.
Как должны уведомлять порталы об обработке данных?
Любой интернет-ресурс, который занимается обработкой личной информации людей, обязан разместить на своей отдельной странице политику обработки данных. В противном случае последуют штрафные санкции. При этом данная политика отправляется в контролирующие государственные органы. Любое отклонение или изменение должно быть в дальнейшем согласовано.
Интернет-магазины, компании далеко не всегда должны озаботиться вопросами получения согласия. Если речь идет, например, о публичной оферте, то такого согласия не требуется.
Сама процедура получения согласия на обработку личных данных на сайте может быть оформлена в виде маленькой галочки среди других при выполнении определенных действий. Таким образом, будьте предельно внимательны в своих действиях, особенно на сомнительных или ненадежных ресурсах. Помните, это не ФЗ защищает личные данные, а ваша осторожность, бдительность.
Если не дал согласие на обработку данных?
Пользователь может отказаться «ставить галочку» под согласием – это его суверенное, более того, конституционное право. Однако это существенно ограничит в возможностях владельцев порталов. На выходе они банально отказывают в оказании услуг или реализации товаров. Если это связано с необходимостью задействования третьих лиц для обработки информации, как вариант, с проверкой кредитной истории, то такие действия (отказ) оправданы.
В обязанности оператора при сборе персональных данных не входит обязательное убеждение контрагента в необходимости тех или иных действий, но он обязан предоставить полную, подробную информацию о том, как эти ПДн будут использованы.
Как Федеральный закон ФЗ-54 взаимодействует с ФЗ-152?
На первый взгляд эти законы связаны между собой, причем, напрямую. Если через ККТ электронный чек отправляется на телефонный номер покупателя или на его электронный адрес, то имеет смысл говорить о том, что имеет место быть обработка персональных данных.
Однако здесь существует обратная сторона медали.
- Потребитель товаров, услуг сам просит (фактически это выглядит именно так) отправить чек по указанному адресу или номеру.
- Параллельно действует ФЗ-54, который обязывает такую просьбу удовлетворить.
В результате ФЗ-152 свою юридическую силу утрачивает. Вывод владельцам онлайн ККТ беспокоиться по данному поводу не стоит, если, безусловно, нет иных предпосылок для действия закона «О защите ПДн». Мы рекомендуем указывать на сайте что вы передаете информацию вашему оператору.
152 ФЗ – штрафы за нарушение закона
Начать волноваться по поводу исполнения всех пунктов действующего в данной области законодательства стоит. Штрафы за отклонение от установленных норм достаточно серьезные.
Ответственность бывает уголовной – 300 тысяч штрафа, общественные работы, срок до 4 лет. Наступает за разглашение информации о частной жизни или семейной тайны. В иных случаях штраф составит минимум 10 тысяч рублей для физических лиц, максимум – 75 тысяч для юридических.
Количество показов: 2