Объявляю вас оператором персональных данных

Кто относится к операторам персональных данных

Оператор персональных данных — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Например, собирают электронные адреса для рассылки или просят покупателей оставить имя и телефон для заказа в интернет-магазине. Дословно в законе так:

Персональные данные — это любые данные о человеке, по которым можно определить его личность. Например:

• электронная почта;
• телефон;
• имя и фамилия;
• дата рождения;
• данные паспорта;
• адрес;
• ссылка на сайт.

По-настоящему бесплатный тариф для бизнеса!

При этом ни в одном законе нет точного списка, что считается персональными данными. Дело в том, что в разных ситуациях одни и те же данные могут быть или не быть персональной информацией.

Ник, ФИО и любая другая информация без дополнительных данных не считаются персональными данными, если по ним нельзя определить конкретного человека.

На листочке в кафе написано «Иванов Иван Иванович» — это не персональные данные. Для регистрации на сайте вы оставляете свою электронную почту — это уже будет считаться персональными данными.

С геопозицией и куками (файлы cookies — многие сайты просят у вас согласие на сохранение куки, чтобы вы могли пользоваться ими дальше) ситуация спорная. Формально сами по себе они не считаются персональными данными. Например, только по геопозиции трудно определить, кто находится в этой точке. В реальности Роскомнадзор в 2016—2017 годах разработал рекомендации по обработке этих данных и начал проводить проверки.

Мы рекомендуем перестраховываться и считать куки и геопозицию персональными данными. Особенно если компания вместе с этими данными получает другую личную информацию о клиентах, например, имя, телефон, электронную почту.

Роскомнадзор считает, что компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет. Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных. Такой же позиции придерживаются суды.

Данные из социальных сетей

По закону компания не должна подавать уведомление в Роскомнадзор, если использует общедоступные данные. Например, если берет телефон и имя человека из телефонного справочника. Справочник уже получил согласие от человека разместить данные о нем, поэтому второй раз спрашивать не надо.

Номинально информацию с открытых страниц в социальных сетях можно считать общедоступной. Казалось бы, человек зарегистрировался в соцсети, сам открыл доступ к своим имени и телефону. Значит, данные можно брать. В оферте с пользователями ВКонтакте есть пункт о том, что данные могут быть доступны другим пользователям интернета:

В реальности мало кто читает оферту. Поэтому Роскомнадзор говорит, что данные из соцсетей можно обрабатывать, если человек дал на это согласие.

Получается, данные в соцсетях не считаются общедоступными. Нельзя просто взять телефоны пользователей и начать им продавать пылесосы-роботы. В этом деле соцсеть хотела обратить внимание на проблему, поэтому иск был на рубль. Но в другом деле пользователь может подать в суд на компанию на миллион или два.

Наш совет — получать от клиентов разрешение, чтобы использовать открытые данные из социальных сетей. Например, при регистрации в интернет-магазине с данными ВКонтакте можно показывать такое сообщение:

Если пользователь согласится, то претензий к компании не будет.

Когда уведомление не нужно

По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:

• Обрабатывает только данные сотрудников, которые нужны по закону и не передает их кому-то еще без согласия сотрудника. Например, заполняет приказ о приеме на работу и карточку сотрудника и хранит их в сейфе.

  Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника.

Какие персональные данные и в каком порядке может запросить компания у работника

• Получает персональные данные по договору с контрагентом, использует их только для исполнения этого договора и не передает их никому другому. Например, компания по договору получила номер расчетного счета ИП и перечисляет на него деньги за выполнение работ по договору подряда;
• использует только ФИО, которые сами по себе не указывают на конкретного человека. Например, компания в своем блоге опубликовала статью с примерами, где упоминается Иванов Иван, при этом нет информации, из какого он города, сколько ему лет и т. д.;
• получает персональные данные для разового пропуска на свою территорию. Например, Марина записала свои ФИО и серию с номером паспорта в журнал на стойке охранника предприятия, чтобы занести своему мужу контейнер с обедом;
• обрабатывает персональные данные на бумаге. Чтобы выдать скидочную карту, продавец записывает имя и телефон клиента в тетрадке, но не заносит данные в компьютер;
• использует общедоступные сведения — те, которые человек сообщил о себе сам. Например, берет данные из телефонного справочника жителей Тулы.

Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор, но есть некоторые исключения.

Проверка Роскомнадзора

Мы знаем компании, которые обрабатывают персональные данные и боятся подавать уведомление. Они думают, что раз раньше обрабатывали данные без уведомления, то нарушали закон и получат штраф. Они и правда нарушали закон, но это не значит, что Роскомнадзор сразу придет с проверкой.

В реестре Роскомнадзора 439 тыс. компаний, и цифра постоянно растет:

Проверить все компании из списка Роскомнадзор не может. Проверки чаще всего приходят к компаниям, которые пытаются затаиться и не подают уведомление или на которые часто поступают жалобы от пользователей о нарушениях.

Проверка приходит не сразу. Сначала Роскомнадзор присылает письмо с просьбой объяснить, почему компания собирает данные и не регистрируется как оператор. Не ответить на такое письмо — повод для проверки. Роскомнадзор на Дне открытых дверей в 2021 году уточнил, что большинство нарушений компании устраняют в срок и в итоге не привлекаются к административной ответственности.

Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то еще способ. Был случай, когда в Астрахани оштрафовали все компании на букву «А», которые обрабатывали персональные данные и не подали уведомление.

Роскомнадзор чаще всего обращает внимание на компании, которые используют персональные данные для:

• устройства сотрудников на работу и оформления им страховых полисов или зарплатных проектов;
• карт лояльности;
• рекламных рассылок;
• оказания услуг;
• регистрации на сайтах;
• звонков потенциальным клиентам.

Все компании Роскомнадзор делит по степени риска от низкого до высокого. Для компаний с высоким риском профилактические проверки проводятся каждые 2 года, с умеренным риском — каждые 3 года, со средним — каждые 4, с умеренным — каждые 6, а для компаний с низким риском регулярные проверки не проводятся.

К компаниям с высоким риском относятся те, которые обрабатывают биометрические данные, передают данные за границу или хранят их на иностранном сервере. В категорию компаний с умеренным риском попадают те, которые обрабатывают данные для целей, отличных от заявленных, хранят данные более 20 000 человек и собирают данные с помощью иностранных сервисов.

Если Роскомнадзор заметит какие-то нарушения в области персональных данных, то он может вынести предостережение, а если ничего не поменяется, то компания рискует получить штраф.

Поэтому мы рекомендуем подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку. Штраф за обработку персональных данных без письменного согласия — от 6000 до 150 000 руб. Дополнительно к этому Роскомнадзор может заблокировать сайт или приостановить деятельность компании, но это редкие меры.

Если Роскомнадзор придет с проверкой, он может обнаружить, что компания неправильно обрабатывает персональные данные, штраф может быть до 80 000 руб.

Какие ожидаются изменения

В апреле 2022 года был внесен законопроект, который может заметно ограничить возможности компаний по передаче и использованию персональных данных. Сейчас он проходит рассмотрение во втором чтении.

1. Авторы предлагают ввести понятие трансграничной передачи данных (то есть за рубеж) и ограничить возможность передавать такие, а в некоторых случаях даже запретить. Компании будут обязаны уведомлять Роскомнадзор о том, что они собираются передать любые данные за рубеж, а в течение месяца получают ответ, можно ли передавать такую информацию и в каком объеме.
2. Если лицо, которое предоставило данные, сообщит, что они были получены незаконным путем или необязательны для заявленной цели компании, то оно может потребовать их удалить, а при отказе — обратиться в суд, а организация получит штраф. А еще компании будут обязаны объяснять клиентам, для чего именно нужны конкретные персональные данные, а если клиент попросит прекратить их обработку, то это надо будет сделать в течение 30 дней.
3. Компании будут обязаны сообщать в государственные органы о каждом случае утечки персональных данных в течение 24 часов после инцидента, а Роскомнадзор будет вести реестр таких случаев. Если законопроект вступит в силу, то компании будут рисковать получить штраф за несвоевременное сообщение об утечке данных.

По-настоящему бесплатный тариф для бизнеса!

Бесплатная бухгалтерия, перевод до 250 тыс. руб. на личную карту без комиссии и бесплатные платежки контрагентам

Узнать