На сайт банка

Статья обновлена 17 июня 2022 года.

Если компания собирает персональные данные клиентов через сайт онлайн или отправляет данные сотрудников в банк для зарплатного проекта, она должна подать уведомление в Роскомнадзор и зарегистрироваться как оператор персональных данных. Но иногда компании думают, что лучше не привлекать внимания ведомства и не подавать уведомление. Они ведь и раньше собирали данные, а уведомление подают только сейчас. Точно через какое-то время придет проверка, и придется платить штраф.

Отсиживаться рискованнее, чем подать уведомление. Об этом рассказывает эксперт по персональным данным Максим Лагутин.

Эксперт — Максим Лагутин, специалист по информационной безопасности и персональным данным и основатель компании по защите персональных данных «Б-152». Записали Анна Моисеенко и Ирина Усиченко, редактор.

Кто относится к операторам персональных данных

Оператор персональных данных — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Например, собирают электронные адреса для рассылки или просят покупателей отправить имя и телефон для заказа в интернет-магазине. Дословно в законе так:

Персональные данные — это любые данные о человеке, по которым можно определить его личность. Например:

  • электронная почта;
  • телефон;
  • имя и фамилия;
  • дата рождения;
  • данные паспорта;
  • адрес;
  • ссылка на сайт.

При этом ни в одном законе нет точного списка, что считается персональными данными. Дело в том, что в разных ситуациях одни и те же данные могут быть или не быть персональной информацией.

Ник, ФИО и любая другая информация без дополнительных данных не считаются персональными данными, если по ним нельзя определить конкретного человека.

На листочке в кафе написано «Иванов Иван Иванович» — это не персональные данные. Для регистрации на сайте вы оставляете свою электронную почту — это уже будет считаться персональными данными.

С геопозицией и куками (файлы cookies — многие сайты просят у вас согласие на сохранение куки, чтобы вы могли пользоваться ими дальше) ситуация спорная. Формально сами по себе они не считаются персональными данными. Например, только по геопозиции трудно определить, кто находится в этой точке. В реальности Роскомнадзор в 2016—2017 годах разработал рекомендации по обработке этих данных и начал проводить проверки.

«МГТС» продавала данные своих клиентов другим компаниям:

  • временные метки;
  • деперсонализированный идентификатор user ID;
  • адреса страниц, к которым было обращение;
  • адреса, с которых был переход;
  • информацию о браузере и устройстве, с которого был запрос;
  • IP-адрес.
Модульюрист

Юридическая поддержка вашего бизнеса по подписке. Безлимитные консультации, составление договоров, досудебных претензий, защита интересов в суде. От 2990 рублей в месяц

По сути, это были куки — данные о том, какие страницы посещают клиенты. По этим данным компании показывали клиентам нужную рекламу. Согласия от клиентов у «МГТС» на обработку данных не было. Компания думала, что куки не считаются персональными данными, поэтому согласие на них не нужно.

Суд с компанией не согласился и назначил штраф 30 000 рублей.

Судебное решение

Мы рекомендуем перестраховываться и считать куки и геопозицию персональными данными. Особенно если компания вместе с этими данными получает другую личную информацию о клиентах, например, имя, телефон, электронную почту.

Роскомнадзор считает, что компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет. Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных. Такой же позиции придерживаются суды.

Данные из социальных сетей

По закону компания не должна подавать уведомление в Роскомнадзор, если использует общедоступные данные. Например, если берет телефон и имя человека из телефонного справочника. Справочник уже получил согласие от человека разместить данные о нем, поэтому второй раз спрашивать не надо.

Номинально информацию с открытых страниц в социальных сетях можно считать общедоступной. Казалось бы, гражданин зарегистрировался в соцсети, сам открыл доступ к своим имени и телефону. Значит, данные можно брать. В оферте с пользователями ВКонтакте есть пункт о том, что данные могут быть доступны другим пользователям интернета:

В реальности мало кто читает оферту. Поэтому Роскомнадзор говорит, что данные из соцсетей можно обрабатывать, если человек дал на это согласие.

В 2017 году ВКонтакте подал в суд на компанию Double Data и «Национальное бюро кредитных историй». Они брали информацию из открытых профилей пользователей, оценивали их кредитную историю и продавали информацию банкам.

Социальная сеть просила взыскать с компаний по одному рублю. «ВКонтакте» выиграл суд.

Судебное дело

Получается, данные в соцсетях не считаются общедоступными. Нельзя просто взять телефоны пользователей и начать им продавать пылесосы-роботы. В этом деле соцсеть хотела обратить внимание на проблему, поэтому иск был на рубль. Но в другом деле пользователь может подать в суд на компанию на миллион или два.

Наш совет в этом отношении — получать от клиентов разрешение, чтобы использовать открытые данные из социальных сетей. Например, при регистрации в интернет-магазине с данными ВКонтакте можно показывать такое сообщение:

«Для регистрации мы будем использовать открытые данные с вашей страницы ВКонтакте: имя, электронную почту, телефон. Если согласны с этим, нажмите на кнопку "Далее"».

Если пользователь согласится, то претензий к компании не будет.

Когда уведомление не нужно

По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:

  • Обрабатывает только данные сотрудников, которые нужны по закону и не передает их кому-то еще без согласия сотрудника. Например, заполняет приказ о приеме на работу и карточку сотрудника и хранит их в сейфе.

    Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника.

  • Получает персональные данные по договору с контрагентом, использует их только для исполнения указанного договора и не передает их третьим лицам. Например, компания по договору получила номер расчетного счета ИП и перечисляет на него деньги за выполнение работ по договору подряда;
  • использует только ФИО, которые сами по себе не указывают на конкретного человека. Например, компания в своем блоге опубликовала статью с примерами, где упоминается Иванов Иван, при этом нет информации, из какого он города, сколько ему лет и т. д.;
  • получает персональные данные для разового пропуска на свою территорию. Например, Марина записала свои ФИО и серию с номером паспорта в журнал на стойке охранника предприятия, чтобы занести своему мужу контейнер с обедом;
  • обрабатывает персональные данные на бумаге. Чтобы выдать скидочную карту, продавец записывает имя и телефон клиента в тетрадке, но не заносит данные в компьютер;
  • использует общедоступные сведения — те, которые человек сообщил о себе сам. Например, берет данные из телефонного справочника жителей Тулы.

Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор, но есть некоторые исключения.

Проверка Роскомнадзора

Мы знаем компании, которые обрабатывают персональные данные и боятся подавать уведомление. Они думают, что раз раньше обрабатывали данные без необходимого уведомления, то нарушали закон и получат штраф. Они и правда нарушали российское законодательство, но это не значит, что Роскомнадзор сразу придет с проверкой.

В реестре Роскомнадзора 439 тыс. компаний, и цифра постоянно растет:

Проверить все компании из списка Роскомнадзор не может. Проверки чаще всего приходят к компаниям, которые пытаются затаиться и не подают уведомление или на которые часто поступают жалобы от пользователей о нарушениях.

Проверка приходит не сразу. Сначала Роскомнадзор присылает письмо с просьбой объяснить, почему компания собирает данные и не регистрируется как оператор. Не ответить на такое письмо — повод для проверки. Роскомнадзор на Дне открытых дверей в 2021 году уточнил, что большинство нарушений компании устраняют в срок и в итоге не привлекаются к административной ответственности.

Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то иной способ. Был случай, когда в Астрахани оштрафовали все компании на букву «А», которые обрабатывали персональные данные и не подали уведомление.

По-настоящему бесплатный тариф для бизнеса!

Бесплатная бухгалтерия, перевод до 250 тыс. руб. на личную карту без комиссии и бесплатные платежки контрагентам

Узнать

Роскомнадзор чаще всего обращает внимание на компании, которые используют персональные данные для:

  • устройства сотрудников на работу и оформления им страховых полисов или зарплатных проектов;
  • карт лояльности;
  • рекламных рассылок;
  • оказания услуг;
  • регистрации на сайтах;
  • звонков потенциальным клиентам.

Все компании Роскомнадзор делит по степени риска от низкого до высокого. Для компаний с высоким риском профилактические проверки проводятся каждые 2 года, с умеренным риском — каждые 3 года, со средним — каждые 4, с умеренным — каждые 6, а для компаний с низким риском регулярные проверки не проводятся.

К компаниям с высоким риском относятся те, которые обрабатывают биометрические данные, передают данные за границу или хранят их на иностранном сервере. В категорию компаний с умеренным риском попадают те, которые обрабатывают данные для целей, отличных от заявленных, хранят данные более 20 000 человек и собирают данные с помощью иностранных сервисов.

Если Роскомнадзор заметит какие-то нарушения в области персональных данных, то он может вынести предостережение, а если ничего не поменяется, то компания рискует получить штраф.

Поэтому мы рекомендуем подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку. Штраф за обработку персональных данных без письменного согласия — от 6000 до 150 000 руб. Дополнительно к этому Роскомнадзор может заблокировать сайт или приостановить деятельность компании, но это редкие меры.

Если Роскомнадзор придет с проверкой, он может обнаружить, что компания неправильно обрабатывает персональные данные, штраф может быть до 80 000 руб.

Какие ожидаются изменения

В апреле 2022 года был внесен законопроект, который может заметно ограничить возможности компаний по передаче и использованию персональных данных. Сейчас он проходит рассмотрение во втором чтении.

  1. Авторы предлагают ввести понятие трансграничной передачи данных (то есть за рубеж) и ограничить возможность передавать такие, а в некоторых случаях даже запретить. Компании будут обязаны уведомлять Роскомнадзор о том, что они собираются передать любые данные за рубеж, а в течение месяца получают ответ, можно ли передавать такую информацию и в каком объеме.
  2. Если лицо, которое предоставило данные, сообщит, что они были получены незаконным путем или необязательны для заявленной цели компании, то оно может потребовать их удалить, а при отказе — обратиться в суд, а организация получит штраф. А еще компании будут обязаны объяснять клиентам, для чего именно нужны конкретные персональные данные, а если клиент попросит прекратить их обработку, то это надо будет сделать в течение 30 дней.
  3. Компании будут обязаны сообщать в государственные органы о каждом случае утечки персональных данных в течение 24 часов после инцидента, а Роскомнадзор будет вести реестр таких случаев. Если законопроект вступит в силу, то компании будут рисковать получить штраф за несвоевременное сообщение об утечке данных.

Открыть счет для бизнеса в Модульбанке

Бесплатный тариф, защита от блокировок, вывод прибыли на личную карту без ограничений и специальные условия для маркетплейсов

Открыть счет бесплатно
Еще какие-то статьи
Все отрасли Как общепиту работать с ХАССП
Как общепиту работать с ХАССП
Большая инструкция, как снизить риск массовых отравлений, для всех, кто работает с едой
22 февраля
14 мин
Инструкция Как малому бизнесу получить кредитные каникулы
Как малому бизнесу получить кредитные каникулы
9 вопросов юристу
15 мая 2023
28 мин
Подписаться в Телеграме
Перейти на канал
Подпишитесь на нас в Телеграме
Топчик
Не пошли за всеми и выиграли: семь концептуальных брендов украшений из России
Рынок

Не пошли за всеми и выиграли: семь концептуальных брендов украшений из России

Предприниматели, превратившие творчество в бизнес
«Мы продаем не просто мед, а опыт владения ульем»
Интервью

«Мы продаем не просто мед, а опыт владения ульем»

История онлайн-сервиса «Пчелошеринг»
Как сдать заведение в аренду под праздник
Советы

Как сдать заведение в аренду под праздник

Что предложить кроме меню, где рекламироваться и что указать в договоре
Как общепиту работать с ХАССП
Советы

Как общепиту работать с ХАССП

Большая инструкция, как снизить риск массовых отравлений, для всех, кто работает с едой
Сотрудник получил травму на работе. Как провести расследование?
Советы

Сотрудник получил травму на работе. Как провести расследование?

И что грозит работодателю, который этого не сделает
Как устроен рынок крафтовых сыроварен
Рынок

Как устроен рынок крафтовых сыроварен

Сколько стоит ошибка сыровара при отборе молока и как туризм влияет на продажи сыра
Не пошли за всеми и выиграли: семь концептуальных брендов украшений из России
Рынок

Не пошли за всеми и выиграли: семь концептуальных брендов украшений из России

Предприниматели, превратившие творчество в бизнес
Актуальное

Когда сотрудникам нужен медосмотр

Понятно, что медосмотр проходят все, кто работает с людьми или едой. И совсем неожиданно, что он нужен тем, кто печатает на компьютере, но это так.
23 ноября 2018
19748
3

Как ничего не пропустить

Подпишитесь
в соцсетях

Публикуем ссылку на статью,
как только она выходит. Отдельно даём знать о важных изменениях в законах.

Получайте статьи почтой

Присылаем статьи пару раз в неделю, а ещё новостной дайджест и приветы от Модульбанка.

Подписываясь, вы соглашаетесь с политикой конфиденциальности.

А если не хотите подписываться почтой и дружить в соцсетях —
ну что ж!
Вы можете набирать наш адрес руками в браузере, как в двухтысячном.