как узнать где есть мои персональные данные
Как узнать, кому вы дали согласие на обработку персональных данных
Договор с банком, страховой, отделением мобильной связи предполагает передачу им персональных данных.
Что такое персональные данные
К ним относят сведения, которые могут идентифицировать гражданина: Ф.И.О., пол, возраст, серия и номер паспорта или иных удостоверяющих личность документов.
Что не относится к персональным данным. К ним не относятся файлы cookies (отслеживают поисковые запросы в интернете) и номер мобильного телефона.
Судебная практика. Эксперт компании Гарант Юлия Беляева указывает, что номер мобильника однозначно к неперсональным данным отнести сложно. Она приводит два взаимоисключающих примера. В Белгороде житель обратился в суд, так как его номер разместили на сайте справочной службы. Роскомнадзор посчитал, что в этой ситуации нарушений нет, так как сайт не идентифицировал ФИО владельца телефона.
С другой стороны, столичный суд принял иное решение по такому же вопросу. Гражданин получал постоянные звонки коллекторов. Ему это не понравилось, так как согласия на обзвон он не давал. Суд посчитал, что в этом случае обработка сведений о номере телефона является нарушением закона.
Какие персональные данные обычно обрабатываются
Список обрабатываемых персональных данных различен, все зависит от фирмы, с которой сотрудничает человек.
Сбербанк, например, в список обрабатываемых сведений вносит не только базовые данные о клиенте, но и информацию о действиях на сайте и в мобильном приложении, биометрию и так далее.
«ВКонтакте» собирает сведения о сервисах, которые использовал клиент, местоположение, регистрационную информацию, случаи обращения в техподдержку. Также обрабатываются данные из описания профиля; история посещений профиля; внутренняя активность на сайте: вступления в сообщества, добавления или удаления друзей, размещение фотографий и видео, «лайки», сообщения, банковские карты.
Зачем нужна обработка персональных данных
Фирмы используют персональные данные сразу для нескольких целей:
Как узнать, кому вы дали согласие на обработку персональных данных
1️⃣ Если данные предоставлялись коммерческой организации, можно обратиться в эту компанию и запросить сведения об объеме обрабатываемых данных, их хранении, предоставлении третьим лицам.
2️⃣ Если согласие предоставлялась органам государственной власти через систему ЕСИА (портал государственных услуг, а также личные кабинеты на сайтах профильных служб и ведомств). В этом случае проверить список субъектов, которые работают с персональными данными, можно на странице «Выданные разрешения» в личном кабинете. При этом человек может в любой момент отозвать их.
Есть ли прямое взаимодействие между «Госуслугами» и коммерческими организациями?
Пока сотрудничество государства и юрлиц одностороннее: при наличии оформленного договора в одном из коммерческих банков (Сбербанк, Тинькофф, ПочтаБанк, ВТБ, Банк Санкт-Петербург, АК Барс, Дело Банк, СКБ Банк, Газэнергобанк) возможна авторизация на сайте «Госуслуги» без удостоверения личности субъекта в МФЦ. При этом сами «Госуслуги» не передают собранные сведения.
Ситуация может измениться в ближайшее время. В октябре 2020 года Ассоциация больших данных (включает 10 крупнейших российских IT-компаний) попросила у Правительства РФ доступ к государственным информационным системам и реестрам. В федеральном органе исполнительной власти заявили, что заинтересованы в тесном сотрудничестве с корпорациями по этому вопросу.
Опасности обработки персональных данных
1. Коммерческая организация, занимаясь сбором сведений, не всегда обрабатывает их самостоятельно: может быть заключен контракт со сторонней компанией. Чем больше в цепочке юридических лиц — тем больше вероятность утечки сведений.
2. При использовании биометрических персональных данных правонарушителями доказать свою непричастность к содеянному крайне затруднительно.
3. Штрафы за утечку персональных данных в РФ, к сожалению, минимальны. Компания InfoWatch указывает, что в 2019 году компании, виновные в нарушении конфиденциальности, получили общие штрафы всего на 180 тысяч рублей. Для сравнения: в ЕС аналогичные нарушения караются миллионными санкциями.
Как запретить использование персональных данных
В любой момент можно отозвать согласие на обработку и использование персональных данных.
Сделать это можно двумя способами:
Как посмотреть, кому вы дали согласие о персональных данных
Обработка и хранение персональных данных регулируется Федеральным законом «О персональных данных» от 27.07.2006 N 152-ФЗ, согласно которому субъект персональных данных, принимает решение о предоставлении его персональных данных и дает согласие на их обработку по своей воле. Иначе говоря, в некоторых случаях, например при трудоустройстве, потребуется дать свое согласие на обработку работодателем персональных данных. В то же время закон оставляет право за субъектом отозвать такое согласие.
Персональные данные обрабатываются государственными и частными компаниями, а также интернет-сервисами. В некоторых случаях, чаще в интернете, мы даем согласие не задумываясь, а впоследствии и вовсе забываем об этом. Доступ к данным остается у тех, чьими услугами даже не пользуемся.
На портале «Госуслуги» можно проверить, кому и к каким именно данным вы давали доступ. К сожалению, у способа есть один существенный недостаток. Если согласие было предоставлено на бумаге или в электронном виде на сайте, который не использует «Единую систему идентификации и аутентификации» (ЕСИА), такое согласие можно отозвать, только написав заявление. Тем не менее даже в этом случае организаций, которые используют ваши данные может быть гораздо больше, чем вы думаете. Однозначно стоит проверить.
Как отозвать согласие об обработке персональных данных
Вы должны быть зарегистрированы на портале «Госуслуги». В противном случае придется зарегистрироваться и подтвердить учетную запись.
Как посмотреть, кому вы дали согласие о персональных данных и как это согласие отозвать
Обработка и хранение персональных данных регулируется Федеральным законом «О персональных данных» от 27.07.2006 N 152-ФЗ, согласно которому субъект персональных данных, принимает решение о предоставлении его персональных данных и дает согласие на их обработку по своей воле. Иначе говоря, в некоторых случаях, например при трудоустройстве, потребуется дать свое согласие на обработку работодателем персональных данных. В то же время закон оставляет право за субъектом отозвать такое согласие.
Персональные данные обрабатываются государственными и частными компаниями, а также интернет-сервисами. В некоторых случаях, чаще в интернете, мы даем согласие не задумываясь, а впоследствии и вовсе забываем об этом. Доступ к данным остается у тех, чьими услугами мы даже не пользуемся.
На портале «Госуслуги» можно проверить, кому и к каким именно данным вы давали доступ. К сожалению, у способа есть один существенный минус. Если согласие было предоставлено на бумаге или в электронном виде на сайте, который не использует «Единую систему идентификации и аутентификации» (ЕСИА), такое согласие можно отозвать, только написав заявление. Тем не менее даже в этом случае организаций, которые используют ваши данные может быть гораздо больше, чем вы думаете.
Как посмотреть и отозвать.
Чтобы отозвать согласие, нужно нажать на крестик, который есть напротив каждого из них.
Проверяем сервисы, которые проверяют нас
В интернете много сервисов, которые предлагают узнать информацию о человеке по его фамилии, имени, отчеству и другим данным. Например, сайт Checkperson: там можно выяснить, судим ли человек, какие юрлица на него зарегистрированы и многое другое. Есть и другие сервисы — в основном анонимные, в виде групп в соцсетях и каналов в «Телеграме». Там, если верить продавцам, можно заказать даже детализацию телефонных переговоров и имена любовниц.
Какими из этих сервисов законно пользоваться, а какими нет? Связаны ли эти сервисы с государством? Насколько высок риск столкнуться с мошенниками?
С уважением, Евгений
Евгений, проверять информацию о людях с помощью государственных сервисов — это законно. При условии, что эти сервисы работают в соответствии с ФЗ «О персональных данных». Нельзя выложить все данные о человеке: объем предоставляемой информации строго прописан в законе.
Некоторые сервисы в интернете предлагают купить сведения о человеке, которые относятся к личным данным. И продавать, и покупать их — незаконно, за такое можно лишиться свободы. А еще в этой сфере действуют мошенники — есть риск потерять деньги.
Расскажу, как отличить законные сервисы от незаконных, и проверю себя в сервисе Checkperson. А еще покажу, как такие проверки сделать бесплатно самому и ничего не нарушить.
Если коротко: проверяйте, что вам предлагают
👍 Если сервис предоставляет общедоступные данные — все законно. Информация берется из открытых государственных баз данных.
👍 Checkperson предоставляет как раз общедоступные данные. По сути, деньги берут не за доступ к чему-то секретному, а за экономию времени: сервис делает запросы в разные базы данных за вас.
👎 Если сервис предлагает что-то связанное с личной жизнью, например детализацию телефонных переговоров, интимные фотографии или сведения о банковских счетах, — это незаконно.
👎 Большинство телеграм-каналов предлагают купить незаконные данные. В лучшем случае вам просто нарисуют информацию, в худшем — вы лишитесь денег или даже свободы.
Какие данные можно разглашать, а какие нельзя
Любая информация, относящаяся к конкретному физическому лицу, — это персональные данные. По закону к таким данным может относиться все что угодно — от номеров телефонов до семейного фотоархива.
Один из основных принципов закона о персональных данных — человек сам решает, кому и какие данные предоставлять. Познакомился с девушкой, назвал имя и фамилию, обменялся телефонами — с точки зрения закона это передача персональных данных. Отправил работодателю копию диплома — тоже передал данные. Если такая передача происходит с согласия владельца, ничего страшного в этом нет.
У того, кто такие данные получает, возникает обязанность: не раскрывать эти данные третьим лицам. За разглашение придется отвечать.
Но из этого правила есть исключения. Если по закону сведения отнесены к общедоступным, их можно раскрывать третьим лицам. Обычно это сведения о юрлицах: какой деятельностью занимаются, где зарегистрированы.
Еще исключение — если персональные данные нужны, чтобы поймать рецидивиста. В такой ситуации считается, что интересы окружающих важнее, чем интересы преступника. Поэтому его фотографию можно размещать на досках объявлений и показывать по телевизору — согласие самого разыскиваемого при этом не понадобится.
Самозащита от мошенников
Что и где можно законно проверить
Официальные сервисы не работают как Википедия: не получится узнать, где человек родился, вырос, с кем дружил, где работал и на ком женился. Это только в кино достаточно ввести фамилию — и становится известно о человеке все. В жизни дело обстоит иначе.
Денег за поиск официальные сервисы не берут.
Вот что можно узнать из официальных источников. Это неполный список, но он дает представление о характере данных, которые вам предоставят.
Действительны ли паспортные данные. Сервисы разработали специалисты Главного управления по вопросам миграции МВД России. Эти данные пригодятся, чтобы проверить человека, которому вы даете в долг или сдаете имущество в аренду. Узнать фамилию, имя или отчество по номеру паспорта не получится: сервисы лишь покажут, правильные ли у вас данные.
Что получится проверить:
Данные о машине и водителе. Проверки по базам данных ГИБДД покажут, есть ли у человека неуплаченные штрафы, лишался ли он водительского удостоверения, участвовал ли автомобиль в ДТП, которые оформлялись сотрудниками ГИБДД, прекращена ли регистрация автомобиля.
Что получится проверить:
Практически все, что касается судебных процессов и долгов. Можно узнать, банкрот ли человек, участвовал ли он в судебных заседаниях и в какой роли, ограничен ли в праве занимать какую-то должность, находится ли в розыске за совершение преступления или неуплату алиментов, есть ли у него задолженность по исполнительным производствам.
Информация разбросана по многочисленным базам данных МВД, службы судебных приставов, банка судебных решений, федеральной нотариальной палаты, налоговой.
Что получится проверить:
Многие ресурсы находятся в разработке: например, к весне 2021 года обещают запустить базу данных нарушителей ПДД. Если эта база заработает, любителям нарушать правила станет сложнее устроиться водителем такси или взять в аренду автомобиль.
В любом случае сервисы, предоставляющие законные возможности проверки физических лиц, должны пользоваться именно общедоступными ресурсами. Если вам обещают по имени или номеру паспорта узнать фамилию любовника или любовницы, номер счета в банке и сколько на нем осталось денег — сервис нарушает закон о персональных данных или пытается вас обмануть.
Проверяю себя через Checkperson
Сайт предлагает проверить физлицо по общедоступным базам данных: находится ли человек в розыске, регистрировал ли юрлица, есть ли у него долги. Никаких рассказов про секретные источники, знакомого майора и сотрудников спецслужб, подрабатывающих по ночам нелегальным пробивом данных. Это хороший признак.
Отчет платный — и чем больше хочется узнать, тем больше придется заплатить. Это тоже понятно, ведь информация о людях разбросана по разным базам данных.
Чтобы проверить сервис, я заказал отчет на самого себя: указал свою фамилию, имя, отчество, дату рождения — и попросил сервис пробить меня по базе юридических лиц. Еще пришлось указать электронный адрес — после уплаты 300 Р на него и прислали отчет.
Документ получился объемным, на 60 листах. Но это потому, что поиск по юридическим лицам не учитывает дату рождения. В списке нашлись 78 однофамильцев — учредителей юрлиц, 71 руководитель и два индивидуальных предпринимателя. Но сервис предупредил меня о том, что все работает именно так, поэтому без обид.
При желании я мог получить эту информацию бесплатно — вручную вбивая данные на различных сайтах. По сути, я заплатил за экономию времени.
Насколько достоверны такие данные
Гарантий, что данные актуальны, нет ни при проверке по открытым источникам, ни при покупке в различных сервисах. Даже МВД, предоставляя доступ к открытым ресурсам, честно признается, что все предоставленные сведения носят исключительно справочный характер.
Причина в том, что сведения попадают в базы данных с задержкой. А в некоторых случаях они вообще могут не попасть в открытые источники. Например, для держателя залога размещение такой информации в реестре залогов — это не обязанность, а право. О том, что может произойти в результате, мы рассказывали в другой статье. Если коротко — покупатель может проверить имущество по реестру залогов, а потом ему придется защищать свои права в суде.
С какими сервисами связываться не стоит
Я решил проверить, что конкретно предлагают в телеграм-каналах. В одном из них продавец откровенно сообщил, что получает информацию напрямую от работников банка. За отдельную плату можно даже заблокировать чей-нибудь банковский счет.
ст. 317 УК РФ — нарушение неприкосновенности частной жизни
Что в итоге
Связываться с нелегальными источниками информации я не рекомендую. Если продавец информации будет гарантировать точность и рассказывать про свои коррупционные связи в банках, правоохранительных органах и органах власти, то перед вами точно мошенник.
При покупке информации на черном рынке никогда нет никаких гарантий. Закон о защите прав потребителей там не работает. Человек может рассказывать, что покупает информацию у работников ведущих банков, — а потом получить деньги и скрыться. А может продать вымышленные данные — и у покупателя не будет никакой возможности проверить их достоверность.
Покупка информации из открытых источников — это не нарушение закона. Но если не жалко времени, то проверку можно сделать и бесплатно. Другое дело, что в любом случае нет гарантии достоверности и актуальности данных. Если от них многое зависит, лучше посоветоваться с юристом — он подскажет, как лучше поступить в вашей ситуации.
Мнение редакции может не совпадать с мнением автора.
Если сталкивались с подозрительными предложениями, пишите. Прищуримся.
Всё, что нужно знать о персональных данных
Формы обратной связи, соцсети, иностранные сервера и рога оленя
Статья про закон о персональных данных неожиданно для нас вызвала много вопросов у читателей. Неожиданно, потому что закону уже больше десяти лет. За нарушение этого закона и сейчас могут штрафовать: его нужно было соблюдать и год назад, и сегодня. Просто с 1 июля 2017 года всё станет серьезнее.
Вот что вы спрашивали о персональных данных.
Консультируйтесь с юристом
Статья в Тинькофф-журнале не заменяет помощь квалифицированного юриста. Если вы не знаете, что делать с персональными данными и как всё оформить, обратитесь за профессиональной помощью.
Объясните вкратце для тех, кто не в курсе
В России есть закон о персональных данных. Чтобы собирать, обрабатывать и хранить данные о сотрудниках, подписчиках на рассылку и посетителях сайта, нужно почти всегда получать их согласие, а сами данные хранить в России.
За нарушение закона штрафуют. С 1 июля штрафы увеличатся до 75 тысяч рублей, а у Роскомнадзора будет побольше полномочий.
Зачем придумали этот закон? Это очередной способ пополнить кормушку. Теперь и сайт нет смысла делать, будут еще штрафовать каждый месяц
Закон о персональных данных нужен тем, чьи данные собирают, обрабатывают и хранят. Цель закона — защитить интересы и права этих людей.
Нормы защиты персданных придумали не в России. Правила их обработки ООН описала еще в 1948 году во Всеобщей декларации прав человека. В 1981 году Совет Европы принял конвенцию по обработке персональных данных. А Россия ее ратифицировала и в 2006 году разработала свой закон.
В Европе паранойя по поводу персданных уже давно
Конституция гарантирует каждому человеку неприкосновенность частной жизни, тайну переписки и телефонных переговоров. Даже без закона о персональных данных нельзя обрабатывать, хранить и распространять информацию о человеке без его согласия.
Отдельная глава про персональные данные есть в трудовом кодексе: работодатели не могут свободно распоряжаться информацией о сотрудниках.
Однако персональные данные оставляют постоянно: чтобы оформить заказ в интернет-магазине, взять кредит в банке, устроить ребенка в детский сад, зарегистрироваться в соцсети или подписаться на рассылку. Когда человек оставляет свои данные, он должен быть уверен, что его адрес не разместят в открытом доступе, а телефон не передадут кому-то без разрешения. А тот, кто обрабатывает персональные данные, хочет гарантий, что на него не подадут в суд за рекламную рассылку.
Недавно мы рассказывали, как мошенники смогли получить чужой НДФЛ. Это произошло в том числе из-за того, что кто-то нарушил правила обработки персональных данных.
Закон о персональных данных прописывает для всех правила игры. Он заставляет всех принимать дополнительные предосторожности, но и защищает он тоже всех.
У меня есть сайт. Я не ИП и не юрлицо — просто человек. Нужно ли соблюдать закон о персональных данных в таком случае?
Например, девушка создала форум для беременных, чтобы потом размещать там рекламу. При регистрации участники указывают информацию о себе. Эта девушка — оператор персональных данных. Она получает сведения о других людях и что-то с этими данными делает: систематизирует по возрасту и интересам, проверяет активность пользователей, использует для рассылки, приглашений или просто хранит.
Любое из этих действий — это обработка персональных данных. Любой, кто это действие производит, — оператор.
У меня есть электронные почты друзей, список контактов в телефоне, аккаунты разных людей в соцсетях. Получается, я тоже оператор и должен получать согласие этих людей на то, чтобы хранить и удалять их данные?
Это исключение действует, только если не нарушаются права этих людей. Например, их данные не оставляют в банке как контакты для связи при оформлении кредита, не публикуют в общем доступе без разрешения или не передают рекламодателям.
Форма обратной связи тоже попадает под действие закона?
Если в ней человек может ввести свои персональные данные — то да, попадает.
Если посетитель сайта указывает в форме свое имя, фамилию, телефон и электронную почту — это персональные данные. Тот, кто эти данные получает, обрабатывает и хранит, считается оператором персональных данных и должен соблюдать закон.
А если получаешь только имя без фамилии и номер телефона, это тоже попадает под персональные данные? А если только номер телефона?
По закону персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Это определение ничего не дает и не проясняет.
Если понимать буквально, то персональными данными можно считать что угодно. Юристы спорят по этому поводу уже много лет.
Сам по себе логин — это вроде бы не персональные данные. По набору символов нельзя понять, что это за человек и даже какого он пола.
Но если на аватарку человек поставит свою настоящую фотографию или при регистрации укажет почту, где в названии будет его фамилия с инициалами, а в доменном имени — название компании, то в совокупности это уже персональные данные.
Никто толком не знает, какие данные персональные
В законе нет никаких исключений по теме сайта, организационно-правовой форме и набору данных.
Чтобы не рисковать, лучше сделать так.
Я делаю сайт для клиента, обрабатываю и храню данные на своей стороне. При этом владелец сайта не обязан быть оператором персональных данных?
Владелец сайта обязан быть оператором персональных данных и соблюдать закон. По закону можно собирать персональные данные и передавать их кому-то на обработку. Владелец сайта может передать данные клиентов вебмастеру, интернет-магазин — сервису рассылки.
Чтобы так делать, владелец сайта должен получить у посетителей разрешение и объяснить им, кому и зачем он передаст их данные.
Тот, кому он передаст данные на обработку, отдельное разрешение получать не должен, а соблюдать закон — должен.
Отвечать за соблюдение закона перед посетителями сайта будет его владелец.
А как они поймут, что я храню и обрабатываю данные, чтобы выписать штраф? Это в российском дата-центре можно маски-шоу устроить и вынести сервер, а за границей такие номера не проходят
Роскомнадзор узнает о нарушениях двумя способами:
Например, вы получили рассылку, на которую не подписывались, или вам звонят менеджеры из интернет-магазина, хотя вы не соглашались на рекламный обзвон. Или автосалон без разрешения передал ваш телефон страховому агенту, и теперь вам пытаются впарить каско. Можно потребовать удалить данные из базы, пожаловаться в Роскомнадзор и возместить ущерб через суд. Для этого нужно быть уверенным, что согласия не было, а данные передали незаконно. Иногда согласие получают через договор присоединения или законно передают данные, чтобы выполнить условия договора.
Сначала читать, потом подписывать
Если Роскомнадзор обнаружит нарушения, сайт могут заблокировать, а компанию оштрафуют.
По закону операторы обязаны хранить персональные данные на российских серверах. Есть несколько исключений, но это частности. Любой интернет-магазин или сервис по подписке должен хранить базу с персональными данными граждан в России.
Потом можно передавать эти данные за границу. Это законно, но при определенных условиях. Иначе нельзя было бы бронировать гостиницы и покупать билеты на самолет за границей.
Роскомнадзор может потребовать предоставить подтверждение по поводу места хранения баз данных. Например, договор с дата-центром, хостингом или документы на собственный сервер. Если выяснится, что персональные данные хранятся с нарушениями и не в России, будут проблемы.
А если у нас сайт на английском?
Вот какие признаки используют, чтобы это понять:
Как определять гражданство посетителя, закон не объяснил. Операторам предложили решать эту проблему самостоятельно. А если четкой позиции и инструментов нет, стоит соблюдать закон в отношении всех персональных данных, которые собрали на территории России.
Дублировать те же документы на иностранных языках для россиян нет смысла. Но эти правила придумали не в России. Есть конвенция Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера. Так что, если собираете данные иностранцев, подумайте, как соблюдаете закон той страны, резидентами которой они являются.
В Европе за однократное нарушение правил обработки персональных данных штрафуют на сотни тысяч евро. В России максимальный штраф с 1 июля 2017 года — 75 тысяч рублей.
Могу ли я не регистрироваться в Роскомнадзоре, если поменяю поле в форме обратной связи с «Ваше имя» на «Ваша компания»?
Если это на самом деле название компании и телефон офиса, такая информация не попадает под действие закона. Но если сайт собирает почтовые адреса и телефоны сотрудников компаний, чтобы потом делать по ним рассылку или передавать их третьим лицам, могут быть проблемы как со стороны этих сотрудников, так и от Роскомнадзора.
В Роскомнадзоре должны зарегистрироваться все операторы персональных данных. Исключения только для случаев, перечисленных в п. 2 ст. 22 закона о персональных данных.
Вот публикую я пост в Фейсбуке и упоминаю своего друга — значит, я данные обрабатываю? Кэш поста хранится на телефоне, значит, я данные храню? А если сделаю репост в Твиттер, то я их еще и предоставляю третьей стороне. И как с этим жить?
Это не нарушение закона. В этом случае оператором персональных данных выступает социальная сеть. Каждый, кто там зарегистрировался, дал согласие на публикацию, обработку и использование его данных.
Все пользователи Фейсбука согласились на обработку данных о своем местоположении, используемых устройствах, друзьях, интересах, платежах, посещенных сайтах и связях с другими людьми. И даже на то, что Фейсбук может получить доступ к адресной книге на любом устройстве и потом использовать эти данные.
Вы уже разрешили Фейсбуку делать с вашими персданными что угодно
Все согласились на то, что эти данные Фейсбук передает своим партнерам и рекламодателям. И на то, что любой пользователь может ссылаться, упоминать и отмечать на фотографиях кого захочет в рамках их настроек безопасности. Это законно и за это отвечает Фейсбук, а не пользователи.
Так устроена любая соцсеть и общедоступные справочники.
Если на столбе объявление «Куплю рога оленя, 8 800…, Геннадий», то этот столб можно оштрафовать?
Нет, столб оштрафовать нельзя. Юридическим лицом он тоже не является. А люди, которые читают такие объявления и записывают номера телефонов, чтобы продать рога, не операторы персональных данных и не попадают под действие закона.
Если телефон Геннадия запишет микрофинансовая организация и начнет присылать ему рекламу быстрых займов, то ее можно привлечь к ответственности. Геннадий не давал ей согласия на обработку персональных данных для рассылки рекламы.
Человека, который случайно увидел телефон Геннадия, записал его в телефонную книгу или даже позвонил Геннадию с предложением купить рога, привлечь к ответственности нельзя.
То есть если человек специально опубликовался для каких-то рекламных целей, то это не считается персональными данными? На «Авито», например
Если человек передает свои персональные данные какому-то ресурсу, даже с рекламной целью, этот ресурс должен соблюдать закон. Он должен предупредить пользователя, зачем собирает персональные данные, что будет с ними делать, где публиковать, кому передавать.
Чтобы подать объявление на «Авито», нужно зарегистрироваться и подтвердить номер телефона. Без регистрации объявление подать нельзя.
«Авито» объясняет, что использует данные, чтобы размещать их на сайте, информационных ресурсах, передавать своим партнерам, проводить конкурсы и проверять личность пользователя. Еще «Авито» может передавать данные пользователей за границу и отдавать их на обработку каким-то третьим лицам и честно об этом пишет. Это законно.
Нет такого правила, что если человек сам разместил данные в общем доступе на каком-то ресурсе, то с ними можно делать что угодно: распространять, обрабатывать и хранить у себя без разрешения.
Единственное исключение для общедоступных данных: оператор таких данных может не подавать уведомление в Роскомнадзор. Но получать согласие, обеспечивать безопасность и удалять данные по требованию их владельца он обязан.
Как правильно получить согласие на обработку персональных данных на сайте? Можно взять шаблон с сайта какой-то крупной компании?
Нельзя брать любое соглашение и использовать его на своем сайте, но можно посмотреть, как сделали другие, и использовать этот опыт.
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Молчание или отсутствие возражений на обработку персональных данных — это не согласие.
Конкретной формы, в которой его нужно получать от посетителя и клиента, нет. Это может быть ссылка на пользовательское соглашение в ответном письме или галочка в форме регистрации.
Согласие должно быть осознанным и информированным
Главное, чтобы можно было доказать, что это согласие получено и посетитель понимал, на что он соглашается.
У каждого оператора должны быть цели. Интернет-магазин собирает данные об адресах, чтобы доставить товар; сервис по подписке просит указать электронную почту, чтобы отправлять письма; медицинский центр систематизирует данные о состоянии здоровья; школа — данные о семье.
Собирать, обрабатывать и хранить можно только те персональные данные, которые соответствуют цели. У «Ламоды», «Главреда», «Библио-глобуса» и детского сада цели не могут быть одинаковыми. А если собирать лишние данные, за это могут оштрафовать.
Получить согласие на обработку персональных данных недостаточно. Нужно соблюдать семь принципов обработки и правильно оформлять внутренние документы.
Лучше сделать это один раз и с помощью юриста, чем платить штрафы государству и возмещать моральный вред.
Ясно. Судя по всему, я оператор персданных. Что мне конкретно делать?
Изучите закон. Он сложный, там много непонятного, а какие-то вопросы вообще не объясняются. Если не можете разобраться сами, попросите юриста, которому доверяете.
На некоторые вопросы отвечает Минкомсвязи — эти разъяснения тоже лучше изучить лично. Можно там же задать вопрос по своей ситуации или написать в Роскомнадзор.
Разместите на сайте пользовательское соглашение, политику конфиденциальности, оферту или еще какой-то документ, откуда посетитель поймет, какие данные вы собираете, что с ними делаете, куда передаете, как храните и когда удаляете. Внимательно относитесь к формулировкам: они пригодятся в суде.
Формируйте базу с персональными данными на российских серверах. Потом можете передавать данные за границу, если это законно, обоснованно и безопасно.
Обеспечьте техническую безопасность данных и защитите их от утечки.
Оформите внутренние документы. Их много. Это приказы, распоряжения, инструкции и подписки. Это нужно сделать один раз, но правильно. При проверке Роскомнадзор имеет право их потребовать и проверить.
Подайте уведомление в Роскомнадзор, если не попадаете под исключения из ст. 22 закона о персональных данных. Если попадаете под исключения, оформите документы так, чтобы это было понятно при визуальной проверке и к вам не придрались.
Заверьте страницы сайта с документами по поводу персональных данных у нотариуса, чтобы вас не обвинили в их отсутствии или изменении формулировок.
Если у вас нет сайта, вы тоже можете быть оператором персональных данных. Необязательно собирать их автоматизированным способом и через интернет. Когда вы берете на работу сотрудника, вы тоже обрабатываете персональные данные. Правильно оформляйте документы.
Закон о персональных данных — это не страшно
Это нормальная мировая практика. Чтобы его соблюдать, не нужно тратить много денег. И бояться штрафов тоже не нужно. Если один раз всё правильно оформить и аккуратно относиться к информации о других людях, вам ничего не грозит.
Каждый из нас — субъект персональных данных. Этот закон защищает и наши данные тоже. И если кто-то его нарушит, можно подать в суд, заблокировать сайт-нарушитель, потребовать удалить информацию о себе и даже получить компенсацию.