В марте 2019 года появились правила проверок операторов персональных данных.
Если компания собирает персональные данные клиентов через сайт или отправляет данные сотрудников в банк для зарплатного проекта, она должна подать уведомление в Роскомнадзор и зарегистрироваться как оператор персональных данных. Но иногда компании думают, что лучше не привлекать внимание ведомства и не подавать уведомление. Они ведь и раньше собирали данные, а уведомление подают только сейчас. Точно придет проверка, и придется платить штраф.
Отсиживаться рискованнее, чем подать уведомление. Об этом рассказывает эксперт по персональным данным Максим Лагутин.
Кто относится к операторам персональных данных
152-ФЗ: закон о персональных данных на сайте Консультанта
Оператор персональных данных — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Например, собирают электронные адреса для рассылки или просят покупателей оставить имя и телефон для заказа в интернет-магазине. Дословно в законе так:
Збагойно: 152-ФЗ — в «Деле»
Персональные данные — это любые данные о человеке, по которым его можно определить. Например:
- электронная почта;
- телефон,
- имя и фамилия;
- дата рождения;
- адрес;
- ссылка на сайт.
Ник без других данных не считается персональными данными, по нему нельзя определить человека.
С геопозицией и куками ситуация спорная. Формально сами по себе они не считаются персональными данными. Например, только по геопозиции трудно определить, кто находится в этой точке. В реальности Роскомнадзор в 2016—2017 годах разработал рекомендации по обработке этих данных и начал проводить проверки.
«МГТС» продавала данные своих клиентов другим компаниям:
- временные метки;
- деперсонализированный идентификатор useid;
- адреса страниц, к которым было обращение;
- адреса, с которых был переход;
- информацию о браузере и устройстве, с которого был запрос;
- IP-адрес.
По сути это были куки — данные о том, какие страницы посещают клиенты. По этим данным компании показывали клиентам нужную рекламу. Согласия от клиентов у «МГТС» на обработку данных не было. Компания думала, что куки не считаются персональными данными, поэтому согласие на них не нужно.
Суд с компанией не согласился и назначил штраф 30 000 рублей.
Мы рекомендуем перестраховываться и считать куки и геопозицию персональными данными. Особенно если компания вместе с этими данными получает другую личную информацию о клиентах, например имя, телефон, электронную почту.
Роскомнадзор считает, что компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет. Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных. Такой же позиции придерживаются суды.
Данные из социальных сетей
152-ФЗ о персональных данных на сайте Консультанта
По закону компания не должна подавать уведомление в Роскомнадзор, если использует общедоступные данные. Например, если берет телефон и имя человека из телефонного справочника. Справочник уже получил согласие от человека разместить данные о нем, поэтому второй раз спрашивать не надо.
Оферта Вконтакте с пользователями
Номинально информацию с открытых страниц в социальных сетях можно считать общедоступной. Казалось бы, человек зарегистрировался в соцсети, сам открыл доступ к своим имени и телефону. Значит, данные можно брать. В оферте с пользователями Вконтакте есть пункт о том, что данные могут быть доступны другим пользователям интернета:
В реальности мало кто читает оферту. Поэтому Роскомнадзор говорит, что данные из соцсетей можно обрабатывать, если человек дал на это согласие.
В 2017 году ВКонтакте подал в суд на компанию «Double Data» и «Национальное бюро кредитных историй». Они брали информацию из открытых профилей пользователей, оценивали их кредитную историю и продавали информацию банкам.
Социальная сеть просила взыскать с компаний по одному рублю. «Вконтакте» выиграл суд.
Получается, данные в соцсетях не считаются общедоступными. Нельзя просто взять телефоны пользователей и начать им продавать пылесосы-роботы. В этом деле соцсеть хотела обратить внимание на проблему, поэтому иск был на рубль. Но в другом деле пользователь может подать в суд на компанию на миллион или два.
Наш совет — получать от клиентов разрешение, чтобы использовать открытые данные из социальных сетей. Например, при регистрации в интернет-магазине с данными Вконтакте можно показывать такое сообщение:
«Для регистрации мы будем использовать открытые данные с вашей страницы Вконтакте: имя, электронную почту, телефон. Если согласны с этим, нажмите на кнопку „Далее“».
Если пользователь согласится, то претензий к компании не будет.
Когда уведомление не нужно
По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:
- обрабатывает только данные сотрудников, которые нужны по закону и не передает их кому-то еще без согласия сотрудника. Например, заполняет приказ о приеме на работу и карточку сотрудника и хранит их в сейфе.
- обрабатывает персональные данные на бумаге. Чтобы выдать скидочную карту, продавец записывает имя и телефон клиента в тетрадке, но не заносит данные в компьютер;
- использует общедоступные сведения — те, которые человек сообщил о себе сам. Например, берет данные из телефонного справочника жителей Тулы.
Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника;
Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор. Исключение — парикмахерские в поселке или продавцы мяса на рынке.
Проверка Роскомнадзора
Мы знаем компании, которые обрабатывают персональные данные и боятся подавать уведомление. Они думают, что раз раньше обрабатывали данные без уведомления, то нарушали закон и получат штраф. Они и правда нарушали закон, но это не значит, что Роскомнадзор сразу придет с проверкой.
Реестр операторов персональных данных на сайте Роскомнадзора
В реестре Роскомнадзора 380 тысяч компаний, и цифра постоянно растет:
Проверить все компании из списка Роскомнадзор не может. По нашим наблюдениям проверки чаще всего приходят к компаниям, которые пытаются затаиться и не подают уведомление. Это Роскомнадзор подтвердил летом на Дне открытых дверей.
Проверка приходит не сразу. Сначала Роскомнадзор присылает письмо с просьбой объяснить, почему компания собирает данные и не регистрируетя как оператор. Не ответить на такое письмо — повод для проверки.
Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то еще способ. Был случай, когда в Астрахани оштрафовали все компании на букву А. которые обрабатывали персональные данные и не подали уведомление.
Роскомнадзор чаще всего обращает внимание на компании, которые используют персональные данные для:
- устройства сотрудников на работу и оформления им страховых полисов или зарплатных проектов;
- карт лояльности;
- рекламных рассылок;
- оказания услуг;
- регистрации на сайтах;
- звонков потенциальным клиентам.
Штрафы за нарушение закона о персональных данных в КоАП РФ на сайте Консультанта
Поэтому мы рекомендуем подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку. Штраф за обработку персональных данных без уведомления — 5000 рублей. Дополнительно к этому Роскомнадзор может заблокировать сайт или приостановить деятельность компании, но это редкие меры.
Если Роскомнадзор придет с проверкой, он может обнаружить, что компания неправильно обрабатывает персональные данные, штраф может быть до 75 000 рублей.
Короче
Что относится к персональным данным:
электронная почта;
телефон,
имя и фамилия;
дата рождения;
адрес;
ссылка на сайт;
геопозиция и «куки» вместе с другими данными.
Кому нужно подать уведомление в Роскомнадзор:
всем компаниям, которые собирают, хранят или обрабатывают персональные данные.
30 000 ₽
заплатила компания, потому что без спроса клиентов обрабатывала куки.
Сейчас читают:
На самом деле, мы не знаем точно, что сейчас читают. Это приемчик такой. Донт аск.
