i
×

Издание для бизнеса.

Пишем о важном, разбираемся с ежедневными задачами предпринимателей, исследуем законы, транслируем опыт.

Меньше хайпа, больше пользы!

Объявляю вас оператором персональных данных

Объявляю вас оператором персональных данных

Нет уведомления в Роскомнадзор — нет проблем. Это частое заблуждение о законе о персональных данных.
9 октября 2018
24198
37
19

Если компания собирает персональные данные клиентов через сайт или отправляет данные сотрудников в банк для зарплатного проекта, она должна подать уведомление в Роскомнадзор и зарегистрироваться как оператор персональных данных. Но иногда компании думают, что лучше не привлекать внимание ведомства и не подавать уведомление. Они ведь и раньше собирали данные, а уведомление подают только сейчас. Точно придет проверка, и придется платить штраф.

Отсиживаться рискованнее, чем подать уведомление. Об этом рассказывает эксперт по персональным данным Максим Лагутин.

Эксперт — Максим Лагутин, специалист по информационной безопасности и персональным данным и основатель компании по защите персональных данных «Б-152». Записалa Ирина Усиченко, шеф-редактор.

Кто относится к операторам персональных данных

152-ФЗ: закон о персональных данных на сайте Консультанта

Оператор персональных данных — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Например, собирают электронные адреса для рассылки или просят покупателей оставить имя и телефон для заказа в интернет-магазине. Дословно в законе так:

Збагойно: 152-ФЗ — в «Деле»

Персональные данные — это любые данные о человеке, по которым его можно определить. Например:

  • электронная почта;
  • телефон,
  • имя и фамилия;
  • дата рождения;
  • адрес;
  • ссылка на сайт.

Ник без других данных не считается персональными данными, по нему нельзя определить человека.

С геопозицией и куками ситуация спорная. Формально сами по себе они не считаются персональными данными. Например, только по геопозиции трудно определить, кто находится в этой точке. В реальности Роскомнадзор в 2016—2017 годах разработал рекомендации по обработке этих данных и начал проводить проверки.

«МГТС» продавала данные своих клиентов другим компаниям:

  • временные метки;
  • деперсонализированный идентификатор useid;
  • адреса страниц, к которым было обращение;
  • адреса, с которых был переход;
  • информацию о браузере и устройстве, с которого был запрос;
  • IP-адрес.

По сути это были куки — данные о том, какие страницы посещают клиенты. По этим данным компании показывали клиентам нужную рекламу. Согласия от клиентов у «МГТС» на обработку данных не было. Компания думала, что куки не считаются персональными данными, поэтому согласие на них не нужно.

Суд с компанией не согласился и назначил штраф 30 000 рублей.

Судебное решение

Мы рекомендуем перестраховываться и считать куки и геопозицию персональными данными. Особенно если компания вместе с этими данными получает другую личную информацию о клиентах, например имя, телефон, электронную почту.

Роскомнадзор считает, что компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет. Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных. Такой же позиции придерживаются суды.

Данные из социальных сетей

152-ФЗ о персональных данных на сайте Консультанта

По закону компания не должна подавать уведомление в Роскомнадзор, если использует общедоступные данные. Например, если берет телефон и имя человека из телефонного справочника. Справочник уже получил согласие от человека разместить данные о нем, поэтому второй раз спрашивать не надо.

Оферта Вконтакте с пользователями

Номинально информацию с открытых страниц в социальных сетях можно считать общедоступной. Казалось бы, человек зарегистрировался в соцсети, сам открыл доступ к своим имени и телефону. Значит, данные можно брать. В оферте с пользователями Вконтакте есть пункт о том, что данные могут быть доступны другим пользователям интернета:

В реальности мало кто читает оферту. Поэтому Роскомнадзор говорит, что данные из соцсетей можно обрабатывать, если человек дал на это согласие.

В 2017 году ВКонтакте подал в суд на компанию «Double Data» и «Национальное бюро кредитных историй». Они брали информацию из открытых профилей пользователей, оценивали их кредитную историю и продавали информацию банкам.

Социальная сеть просила взыскать с компаний по одному рублю. «Вконтакте» выиграл суд.

Судебное дело

Получается, данные в соцсетях не считаются общедоступными. Нельзя просто взять телефоны пользователей и начать им продавать пылесосы-роботы. В этом деле соцсеть хотела обратить внимание на проблему, поэтому иск был на рубль. Но в другом деле пользователь может подать в суд на компанию на миллион или два.

Наш совет — получать от клиентов разрешение, чтобы использовать открытые данные из социальных сетей. Например, при регистрации в интернет-магазине с данными Вконтакте можно показывать такое сообщение:

«Для регистрации мы будем использовать открытые данные с вашей страницы Вконтакте: имя, электронную почту, телефон. Если согласны с этим, нажмите на кнопку „Далее“».

Если пользователь согласится, то претензий к компании не будет.

Когда уведомление не нужно

По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:

  • обрабатывает только данные сотрудников, которые нужны по закону и не передает их кому-то еще без согласия сотрудника. Например, заполняет приказ о приеме на работу и карточку сотрудника и хранит их в сейфе.
  • Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника;

  • обрабатывает персональные данные на бумаге. Чтобы выдать скидочную карту, продавец записывает имя и телефон клиента в тетрадке, но не заносит данные в компьютер;
  • использует общедоступные сведения — те, которые человек сообщил о себе сам. Например, берет данные из телефонного справочника жителей Тулы.

Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор. Исключение — парикмахерские в поселке или продавцы мяса на рынке.

Проверка Роскомнадзора

Мы знаем компании, которые обрабатывают персональные данные и боятся подавать уведомление. Они думают, что раз раньше обрабатывали данные без уведомления, то нарушали закон и получат штраф. Они и правда нарушали закон, но это не значит, что Роскомнадзор сразу придет с проверкой.

Реестр операторов персональных данных на сайте Роскомнадзора

В реестре Роскомнадзора 380 тысяч компаний, и цифра постоянно растет:

Проверить все компании из списка Роскомнадзор не может. По нашим наблюдениям проверки чаще всего приходят к компаниям, которые пытаются затаиться и не подают уведомление. Это Роскомнадзор подтвердил летом на Дне открытых дверей.

Проверка приходит не сразу. Сначала Роскомнадзор присылает письмо с просьбой объяснить, почему компания собирает данные и не регистрируетя как оператор. Не ответить на такое письмо — повод для проверки.

Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то еще способ. Был случай, когда в Астрахани оштрафовали все компании на букву А. которые обрабатывали персональные данные и не подали уведомление.

Роскомнадзор чаще всего обращает внимание на компании, которые используют персональные данные для:

  • устройства сотрудников на работу и оформления им страховых полисов или зарплатных проектов;
  • карт лояльности;
  • рекламных рассылок;
  • оказания услуг;
  • регистрации на сайтах;
  • звонков потенциальным клиентам.

Штрафы за нарушение закона о персональных данных в КоАП РФ на сайте Консультанта

Поэтому мы рекомендуем подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку. Штраф за обработку персональных данных без уведомления — 5000 рублей. Дополнительно к этому Роскомнадзор может заблокировать сайт или приостановить деятельность компании, но это редкие меры.

Если Роскомнадзор придет с проверкой, он может обнаружить, что компания неправильно обрабатывает персональные данные, штраф может быть до 75 000 рублей.

Полезные ссылки:
какая бывает форма собственности организации индивидуальное предпринимательство плюсы и минусы таблица заявление на представительские расходы заблокировали счет по 115 дисквалификация руководителя за нарушение трудового законодательства выбрать победителя случайным образом в каких случаях открывают ип что входит в расходы при усн 15 fl ru удаленная работа в сфере it смена директора сколько дней сведения о закрытии ип самозанятые патент 2021 продажа товара без разрешения правообладателя товарного знака пример организации претензия о неправомерном использовании товарного знака представительские цели это плюсы и минусы индивидуального предпринимательства таблица открыть валютный счет в банке юридическому лицу оплата за обучение сотрудника за счет организации обслуживание ккт 2021 нужна ли лицензия для открытия детского развивающего центра нужна ли лицензия для детского развивающего центра нормированные расходы по налогу на прибыль таблица нарушение законодательства о предпринимательской деятельности можно ли торговать на улице без разрешения крупные сделки примеры кооперативные организации контрагент проверка информации как узнать выдали ли лицензию на алкоголь как привлечь генерального директора к уголовной ответственности как должны выплачивать зарплату цели делегирования полномочий проверить есть ли лицензия на алкоголь проверить лицензию на алкоголь по адресу деньги от государства дробление бизнеса статья использование бренда без согласия договор материальной ответственности курьера делегировать права
Свежак

Оформить инвойс

Рассказываем, чем отличается договор от счета-договора и как оформить инвойс, чтобы у банка не возникло вопросов.
25 октября
37632
42
5

Как ничего не пропустить

Подпишитесь в соцсетях

Публикуем ссылку на статью, как только она выходит. Отдельно даём знать о важных изменениях в законах. Шутим, но не слишком смешно.

Получайте статьи почтой

Присылаем статьи пару раз в неделю, а ещё новостной дайджест и приветы от Модульбанка. Подписываясь, вы соглашаетесь с политикой конфиденциальности.

Момент...
Готово!
Проверьте почту, пожалуйста
Не получилось отправить :-|

А если не хотите подписываться почтой и дружить в соцсетях — ну что ж! Вы можете набирать наш адрес руками в браузере, как в двухтысячном.