Главная Новости отрасли Как быть операторам персональных данных

Как быть операторам персональных данных

23.06.2022 в 16.21 311Просмотров: 311 0Комментариев: 0
Разбор

 

Как только кто-то заполнил форму обратной связи на сайте — компания стала оператором персональных данных.

В июле 2021 года изменились правила проверок операторов персональных данных.  Если компания собирает персональные данные клиентов через сайт или отправляет данные сотрудников в банк для зарплатного проекта, она должна подать уведомление в Роскомнадзор и зарегистрироваться как оператор персональных данных.

Отсиживаться рискованнее, чем подать уведомление, рассказал эксперт Максим Лагутин, специалист по информационной безопасности и персональным данным и основатель компании по защите персональных данных «Б-152».

Кто относится к операторам персональных данных

Оператор персональных данных (ПД) — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Дословно в законе сказано так: персональные данные — это любые данные о человеке, по которым можно определить его личность.

Примеры ПД:

  • электронная почта;  
  • телефон;  
  • имя и фамилия;  
  • дата рождения;  
  • данные паспорта;  
  • адрес;  
  • ссылка на сайт.

При этом ни в одном законе нет точного списка, что считается персональными данными. Дело в том, что в разных ситуациях одни и те же данные могут быть или не быть персональной информацией.

Интернет-псевдоним (ник), ФИО и любая другая информация без дополнительных данных не считаются ПД, если по ним нельзя определить конкретного человека.

На листочке в кафе написано «Иванов Иван Иванович» — это не персональные данные. Для регистрации на сайте вы оставляете свою электронную почту — это уже будет считаться ПД.

С геопозицией и файлами cookies (куки), про которые многие сайты просят согласие на сохранение, ситуация спорная. Формально сами по себе они не считаются ПД. Например, только по геопозиции трудно определить, кто находится в этой точке. В реальности Роскомнадзор в 2016–2017 годах разработал рекомендации по обработке этих данных и начал проводить проверки.

«МГТС» продавала данные клиентов:

  • временные метки;  
  • деперсонализированный идентификатор user ID;  
  • адреса страниц, к которым было обращение;  
  • адреса, с которых был переход;  
  • информацию о браузере и устройстве, с которого был запрос;  
  • IP-адрес.

По сути, это были куки — данные о том, какие страницы посещают клиенты. По этим данным компании-покупатели показывали клиентам нужную рекламу. Согласия от клиентов у «МГТС» на обработку данных не было. Компания думала, что куки не считаются персональными данными, поэтому согласие на них не нужно. Суд с компанией не согласился и назначил штраф 30 тыс. ₽.

Эксперты рекомендуют перестраховываться и считать куки и геопозицию персональными данными. Особенно если компания вместе с этими данными получает другую личную информацию о клиентах, например, имя, телефон, электронную почту.

Роскомнадзор считает, что как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных. Такой же позиции придерживаются суды.

Про общедоступные данные

По закону компания не должна подавать уведомление в Роскомнадзор, если использует общедоступные данные. Например, если берёт телефон и имя человека из телефонного справочника. Справочник уже получил согласие от человека разместить данные о нём, поэтому второй раз спрашивать не надо.

Номинально информацию с открытых страниц в социальных сетях можно считать общедоступной. Казалось бы, человек зарегистрировался в соцсети, сам открыл доступ к своим имени и телефону. Значит, данные можно брать. 

В реальности мало кто читает оферту. Поэтому Роскомнадзор говорит, что данные из соцсетей можно обрабатывать, если человек дал на это согласие.

В 2017 году «ВКонтакте» подала в суд на компанию Double Data и «Национальное бюро кредитных историй». Они брали информацию из открытых профилей пользователей, оценивали их кредитную историю и продавали информацию банкам.

Социальная сеть просила взыскать с компаний по одному рублю и выиграла суд.

Получается, данные в соцсетях не считаются общедоступными. Совет эксперта — получать от клиентов разрешение, например: «Для регистрации мы будем использовать открытые данные с вашей страницы „ВКонтакте“: имя, электронную почту, телефон. Если согласны с этим, нажмите на кнопку „Далее“».

По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных, об этом — ч. 2 ст. 22 ФЗ «О персональных данных».

Когда уведомление не нужно

  • Компания обрабатывает только данные сотрудников, которые нужны по закону и не передаёт их кому-то ещё без согласия сотрудника. Например, заполняет приказ о приёме на работу и карточку сотрудника и хранит их в сейфе.    
  • Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника.    
  • Получает персональные данные по договору с контрагентом, использует их только для исполнения этого договора и не передаёт их никому другому. Например, компания по договору получила номер расчётного счёта ИП и перечисляет на него деньги за выполнение работ по договору подряда.    
  • Использует только ФИО, которые сами по себе не указывают на конкретного человека. Например, компания в своём блоге опубликовала статью с примерами, где упоминается Иванов Иван, при этом нет информации, из какого он города, сколько ему лет и т. д.    
  • Получает персональные данные для разового пропуска на свою территорию. Например, Марина записала свои ФИО и серию с номером паспорта в журнал на стойке охранника предприятия, чтобы занести своему мужу контейнер с обедом.   
  • Обрабатывает персональные данные на бумаге. Чтобы выдать скидочную карту, продавец записывает имя и телефон клиента в тетрадке, но не заносит данные в компьютер.   
  • Использует общедоступные сведения — те, которые человек сообщил о себе сам. Например, берёт данные из телефонного справочника жителей Тулы.

Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор, но есть некоторые исключения.

Проверка приходит не сразу

Есть компании, которые обрабатывают персональные данные и боятся подавать уведомление, избегая штрафа. Они и правда нарушали закон, но это не значит, что Роскомнадзор сразу придёт с проверкой.

В реестре Роскомнадзора 439 тыс. компаний, и цифра постоянно растёт. Проверить все компании из списка Роскомнадзор не может.

Проверки чаще всего приходят к компаниям:

  • которые пытаются затаиться и не подают уведомление;  
  • на которые часто поступают жалобы от пользователей о нарушениях.

Проверка приходит не сразу. Сначала Роскомнадзор присылает письмо с просьбой объяснить, почему компания собирает данные и не регистрируется как оператор. Не ответить на такое письмо — повод для проверки.

В Роскомнадзоре в 2021 году уточнили, что большинство нарушений компании устраняют в срок и в итоге их не штрафуют.

Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то ещё способ. Был случай, когда в Астрахани оштрафовали все компании на букву «А», которые обрабатывали персональные данные и не подали уведомление.

Роскомнадзор чаще всего обращает на использующих ПД для:

  • устройства сотрудников на работу;
  • для оформления работникам страховых полисов или зарплатных проектов;  
  • карт лояльности;  
  • рекламных рассылок;  
  • оказания услуг;  
  • регистрации на сайтах;  
  • звонков потенциальным клиентам.

Роскомнадзор делит компании по степени риска:

  • для компаний с высоким риском профилактические проверки проводятся каждые 2 года; 
  • с умеренным риском — каждые 3 года; 
  • со средним — каждые 4; 
  • с умеренным — каждые 6; 
  • а для компаний с низким риском регулярные проверки не проводятся.

К компаниям с высоким риском относятся те, которые:

  • обрабатывают биометрические данные; 
  • передают данные за границу; 
  • хранят данные на иностранном сервере.

В категорию компаний с умеренным риском попадают:

  • если обрабатывают данные для целей, отличных от заявленных; 
  • хранят данные более 20 тыс. человек; 
  • собирают данные с помощью иностранных сервисов.

Если Роскомнадзор заметит какие-то нарушения в области персональных данных, то он может вынести предостережение. А если ничего не поменяется, то компания рискует получить штраф.

Эксперты рекомендуют подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку.

Как наказывают

  • Штраф за обработку персональных данных без письменного согласия — от 6 тыс. ₽ до 150 тыс. ₽. 
  • Также Роскомнадзор может заблокировать сайт или приостановить деятельность компании, но это редкие меры. 
  • Если Роскомнадзор обнаружит, что компания неправильно обрабатывает персональные данные, штраф может быть до 80 тыс. ₽.

В апреле 2022 года был внесён законопроект, который может заметно ограничить возможности компаний по передаче и использованию персональных данных. Сейчас он проходит рассмотрение во втором чтении.

Какие ожидаются изменения

  • Авторы инициативы предлагают ввести понятие трансграничной передачи данных и ограничить возможность передавать ПД, а в некоторых случаях даже запретить. 
  • Компании будут обязаны уведомлять Роскомнадзор о том, что они собираются передать любые данные за рубеж, а в течение месяца получают ответ, можно ли передавать такую информацию и в каком объёме. 
  • Если предоставивший данные сообщит, что их получили незаконным путём или они были необязательны для заявленной цели компании, то он может потребовать их удалить, а при отказе — обратиться в суд, и организация получит штраф.   
  • А ещё компании будут обязаны объяснять клиентам, для чего именно нужны конкретные персональные данные. 
  • Если клиент попросит прекратить их обработку, то это надо будет сделать в течение 30 дней. 
  • Компании будут обязаны сообщать в государственные органы о каждом случае утечки персональных данных в течение 24 часов после инцидента, а Роскомнадзор будет вести реестр таких случаев. 
  • Если законопроект вступит в силу, то компании будут рисковать получить штраф за несвоевременное сообщение об утечке данных.
 
Источник  clc.to  Источник фото  www.pexels.com
Нравится
Лента тематических новостей, в которой размещаются новости о сувенирной отрасли со всего света. Подбором информации для этой рубрики занимается редакция Сувенир.Сегмент.Ру.
В это поле Вы можете ввести, что угодно: свой номер телефона, кличку собаки или прозвище начальника. Единственное условие - запомните введенный код, потому что без него Вы уже не сможете снова воспользоваться выбранным ником. Зачем это нужно? Гостевой код не позволяет посторонним людям оставлять комментарии от Вашего имени. Сегмент.Ру заботится о своих пользователях и их репутации!
Необходимо пройти авторизацию на сайте!
Регистрация
Войти через loginza