- 1. Персональные данные — это любые сведения о физическом лице
- 2. Оператор по обработке персональных – это лицо, осуществляющее их обработку
- 3. Все сайты должны опубликовать Политику конфиденциальности
- 4. На обработку персональных данных требуется письменное согласие
- 5. Каждый оператор ПДн должен быть включен в реестр Роскомнадзора
- Подробно о том, является ли номер телефона персональными данными
- Сведения из закона
- Что это такое – личная информация на мобильном?
- Относится ли сотовый к сведениям о гражданине или нет?
- Правомерно ли использовать для рассылки?
- Что говорит закон о персональных данных?
- Для чего было необходимо принять этот закон?
- Что относится к личной информации на устройстве мобильного телефона?
- Можно ли номер телефона отнести к сведениям о человеке?
- Навязчивая реклама и СМС рассылка
Пару месяцев назад поднялся хайп по поводу изменения законодательства о персональных данных. Находчивые юристы стали наперебой убеждать, что любая форма обратной связи или виджет заказа обратного звонка на сайте свидетельствует об обработке персональных данных пользователей, Роскомнадзор уже штрафует за нарушения и нужно срочно вставать на учет.
Вся эта шумиха основана на мифах о персональных данных. Давайте разберемся, что произошло на самом деле, чем это грозит и как этого избежать.
Правила обработки персональных данных не изменились. В июле 2017 года вступили в силу поправки в КоАП РФ, ужесточающие ответственность за нарушение законодательства о персональных данных. Введены новые составы правонарушений и суммы штрафов повышены до 75 000 рублей. Это правда.
Но нужно понимать, что суммы штрафов для физических лиц на порядок, а для предпринимателей в разы ниже штрафов для юридических лиц. Максимальный штраф в 75 тыс. руб. установлен для юридических лиц по одному их 7 составов. В остальных случаях максимальный штраф колеблется от 30 до 50 тыс. руб.
Из неприятного – штрафы по различным составам частично могут складываться. Среди возможных нарушений в частности перечислены:
- обработка персональных данных в случаях, не предусмотренных законом, или несовместимая с целями сбора персональных данных;
- обработка персональных данных при отсутствии письменного согласия субъекта;
- неисполнение обязанности по опубликованию политики по обработке персональных данных.
1. Персональные данные — это любые сведения о физическом лице
«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (ч.1 ст.3 ФЗ «О персональных данных»).
Однако если переложить данную норму на обычный язык, персональными данными являются только те сведения, на основе которых можно установить личность человека или которые относятся к человеку, личность которого бесспорно известна.
Проверим тезис на информации о номере телефона или адресе электронной почты. У вас нет легального доступа к абонентской базе или базе пользователей почтового сервиса. Следовательно, сами по себе данные сведения не позволяют установить личность человека, который ими пользуется.
Поэтому данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо.
Если у вас остались сомнения в такой трактовке нормы, можно ознакомиться с первоисточником на сайте Роскомнадзора. Дословно норма Конвенции о защите физических лиц при автоматизированной обработке персональных данных звучит так:
«Персональные данные означают информацию, касающуюся конкретного или могущего быть идентифицированным лица (»субъекта данных»)» (ст.2 Конвенции).
Другими словами пока мистер «Х» вам не известен вы можете хранить о нем данные без нарушений. Например, по поводу телефонного номера «инкогнито» есть прямые ответы региональных отделений Роскомнадзора:
«Абонентский номер (номер телефона) служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца».
«Гражданин приобретает и осуществляет права и обязанности под своим именем, включающим фамилию и собственно имя, а также отчество, если иное не вытекает из закона или национального обычая (ч.1 ст.19 ГК РФ)».
Поэтому с точки зрения гражданского законодательства просто имени не достаточно для возникновения юридических последствий. Как минимум, необходимы еще отчество и фамилия.
Аналогичным образом не относятся к ПДн сведения об IP, cookie, и прочие данные, собираемые в автоматическом режиме в связи с активностью на сайте или в приложении пользователя, не прошедшего полную идентификацию.
2. Оператор по обработке персональных – это лицо, осуществляющее их обработку
«Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными» (ч.2 ст.3).
«Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора» (ч.3 ст.6).
Указанные лица не определяют «цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными», а потому не считаются операторами персональных данных.
На практике к таким лицам могут относиться любые консалтинговые и сервисные компании, включая облачные сервисы. Персональные данные предоставляются клиентами, они же и несут ответственность за легальность их обработки.
Аналогично любые сервисы не должны отвечать за обработку ПДн сотрудников клиентов, которые последние самостоятельно загружают в сервис. Именно клиент должен получить согласие субъекта персональных данных на передачу сервису и их обработку соответствующими способами.
Не спешите хоронить считать себя оператором. Возможно, вы получили персональные данные для обработки от оператора, а не субъекта персональных данных.
3. Все сайты должны опубликовать Политику конфиденциальности
«Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети» (ч.2 ст.18.1).
Однако не забывайте о возможных исключениях из данного правила.
Во-первых, не все сведения о физическом лице относятся к персональным данным (см. миф 1).
Во-вторых, такие правила не возлагаются на лицо, осуществляющее обработку персональных данных по поручению оператора (см. миф 2 выше).
В-третьих, сам ФЗ «О персональных данных» не возлагает на физических лиц (в том числе ИП) обязанность издания документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных. Такие документы должны издаваться только юридическими лицами (пп.2 ч.1 ст.18.1).
4. На обработку персональных данных требуется письменное согласие
Действительно, в качестве первого условия обработки ПДн названо согласие субъекта персональных данных на обработку его персональных данных (пп.1 ч.1 ст.6 ФЗ «О ПДн»).Но при этом не всегда обязательно оформлять согласие на бумаге за собственноручной подписью субъекта ПДн. Есть ряд дополнительных или взаимоисключающих правил.
1. Согласие на обработку ПДн не требуется лицу, действующему по поручению оператора (ч.4 ст.6)
2. Отдельное согласие не требуется в случаях, когда оператором выполняется обработка ПДн:
- в целях заключения или исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (пп.5 ч.1 ст.6);
- к которым предоставлен доступ неограниченного круга лиц субъектом персональных данных либо по его просьбе (пп.10 ч.1 ст.6).
3. Согласие может быть дано оператору в иной форме
«Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом» (ч.1 ст.9).
Другими словами, если федеральный закон не требует получения согласия строго в письменной форме, оно может быть дано любым иным способом, в том числе путем совершения запрашиваемых действий. Например, такими действиями могут признаваться направление проверочного кода, указанного в СМС, переход по ссылке, направленной на электронную почту пользователя при регистрации в аккаунте и т.п.
4. Согласие в письменной форме может быть подписано электронной подписью
«Согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью признается равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе» (ч.4 ст.9)
Здесь следует принимать во внимание, что под электронной подписью понимается усиленная квалифицированная электронная подпись (см. ч.3 ст.18 Федерального закона от 06.04.2011 N 63-ФЗ «Об электронной подписи»).
5. Каждый оператор ПДн должен быть включен в реестр Роскомнадзора
Многие консультанты рекомендуют подать уведомление в Роскомнадзор для включения в реестр операторов персональных данных, ссылаясь на данную норму:
«Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных» (ч.1 ст.22).
Однако при этом забывают, что в той же статье закона предусмотрены исключения из данного правила. К рассматриваемой ситуации обработки ПДн частным интернет-сервисом относятся минимум два основания освобождения от обязанности подачи уведомления.
В частности оператор вправе осуществлять без уведомления Роскомнадзора обработку следующих персональных данных:
«полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных» (пп.2 ч.2 ст.22)
«сделанных субъектом персональных данных общедоступными» (пп.4 ч.2 ст.22)
1) В первом случае для обработки ПДн без уведомления Роскомнадзора достаточно предложить пользователю принять пользовательское соглашение, которое по сути является договором. Для получения сообщений на номер телефона и адрес электронной почты в любом случае необходимо получать согласие пользователя, поэтому принятие пользовательского соглашение решает две задачи одновременно: с одной стороны вы легально используете данные без уведомления Роскомнадзора, с другой – получаете согласие на обращение к пользователю по указанным номерам и адресам, включая при необходимости рекламную рассылку.
2) Второе исключение из правил касается общедоступных данных. Это основание может пригодиться социальной сети, доске объявлений или сайту поиска работы, где пользователи самостоятельно делают доступной информацию о себе. В таком случае нет необходимости не только уведомлять Роскомнадзор об обработки данной категории ПДн, но и получать дополнительное согласие пользователя на их обработку.
3) Помимо этого вспомните, что не все лица, осуществляющие обработку ПДн считаются операторами. Некоторые из них действуют по поручению оператора (см. миф 2 выше). Поэтому им не нужно направлять уведомление в Роскомнадзор об обработке ПДн, предоставленных оператором.
4) Отдельного упоминания заслуживает регомендация встать на учет «как бы чего не вышло». Это во всех отношениях вредный совет, т.к. Роскомнадзор должен проводить плановые проверки операторов, включенных в реестр.
И тогда вам простая политика конфиденциальности не поможет: спросят все внутренние регламенты по информационной безопасности и проверят фактическое выполнение!
Подробно о том, является ли номер телефона персональными данными
Все мы пользуемся гаджетами и смартфонами, обмениваемся телефонными номерами и не всегда задумываемся о их значении.
Являются ли телефонные номера нашими персональными данными? Может ли посторонний человек или фирма обрабатывать их по своему усмотрению: отправлять нам СМС-рассылки с навязчивой рекламой и беспокоить звонками? Ответы на эти вопросы читайте далее.
Сведения из закона
Согласно Федеральному закону № 152-ФЗ “О персональных данных” от 27.06.2006 г. (далее упоминается как Закон), лица, указанные в статье 7:
“Третьи лица или органы получившие доступ к персональным сведениям, обязаны соблюдать конфиденциальность во время их обработки. Запрещается распространение и использование в личных целях любых персональных данных без личного согласия на то субъекта персональной информации”.
Персональные данные — это любые сведения, которые прямо или косвенно относятся к конкретному или определяемому на основе предоставленной информации физическому лицу. Сюда относят:
- ;
- год;
- месторасположение;
- месяц и день рождения человека;
- адрес проживания;
- сведения о членах семьи;
- социальном и финансовом положении;
- образовании;
- данные о сфере деятельности;
- другая информация.
Подробнее о том, какая информация относится к ПД, читайте тут, а в этом материале приведены примеры персональных данных.
Что это такое – личная информация на мобильном?
В телефоне могут хранится ваши личные данные:
- логины и пароли от социальных сетей;
- рабочих профилей;
- автозаполнение полей при входе в личный онлайн кабинет банка.
Ко всем примерам требуется привязка номера телефона. В телефоне также хранятся контакты других абонентов:
- друзей;
- родственников;
- рабочие номера;
- и так далее.
И хотя по одним только цифрам идентифицировать личность кажется невозможным, стоит добавить другие сведения и ситуация меняется.
Важно! Не стоит забывать, что номер может быть привязан за определенным физическим лицом по договору с оператором связи.
Относится ли сотовый к сведениям о гражданине или нет?
Абонентский номер (номер телефона) ㅡ это сочетание цифровых знаков, который определяется клиенту мобильной связи во время заключения с ним договора о предоставлении услуг сотовой связи. Набор цифрового кода обеспечивает возможность выделить и идентифицировать устройство в сети связи для соединения с абонентом.
Таким образом код состоящий из цифр не может быть достаточной информацией, чтобы иметь возможность обозначить и идентифицировать абонента (субъекта персональных данных). Использование номера не может быть расценено как обработка ПД его конечного пользователя.
Стоит разделять просто номер телефона и номер телефона в дополнении с другими сведениями владельца. В сочетании с фамилией, именем и отчеством, по которым можно определить пользователя, ситуация несколько меняется. Хранение и использование контактов с ФИО абонента будет считаться как обработка ПД человека.
Правомерно ли использовать для рассылки?
В Законе №126-ФЗ “О связи” от 7 июля 2003 года, в статье 44.1 (изменения которого вступили в силу 21 октября 2014 года), говорится, что на номер, по которому можно определить личность пользователя при наличии доп. сведений, требуется согласие на обработку и рассылку рекламной информации.
Осуществление операций с мобильными номерами в рекламных целях или во время опроса жителей является безличным набором цифр и не может быть определителем субъекта ПД, если осуществляется без указания:
- фамилии;
- имени;
- отчества;
- (ФИО) даты рождения и адреса проживания владельца.
Так как, сохраняется полная анонимность при проведении данной процедуры ㅡ это не считается обработкой личной информации конкретного субъекта ПД.
Бизнес по СМС-рассылкам основывается на трех главных законах:
По Закону есть дополнительные ограничения на использование личной информации во время продвижения услуг и товаров посредством телефонных звонков и СМС-рассылок. Наличие базы контактов и адресов почты разрешается с согласия клиентов.
Субъект ПД может в любой момент отозвать соглашение, и оператор по обработке контактов должен удалить все данные. Вопросы возникающие касательно входящих звонков/сообщений рекламного характера (предоставления услуг), входит в полномочия органа Федеральной Антимонопольной Службы (ФАС).
Справка. Для проведения рассылок СМС-сообщений в рекламых целях абонентам при помощи средств связи обязательно наличие согласия субъекта.
Список требований на согласие о получении СМС-сообщений:
- Форма согласия в письменном или устном виде.
- Указанные ФИО человека, который будет получать рассылку.
- Прописанный номер телефона абонента для рассылки.
- Подтверждающий фактор (например сообщение с одноразовым кодом безопасности).
- Указанные ФИО/наименование человека, которому выдается разрешение на обработку данных и рассылку рекламных сообщений.
- Четко прописанные даты начала и окончания действия договора о согласии.
- Наличие данных для подтверждения согласия абонента.
Что говорит закон о персональных данных?
Федеральный закон встает на защиту граждан. В пункте закона о персональных данных есть четкие указания в отношении распространения конфиденциальной информации о человеке. В нем сказано, что третьи лица (частные компании или органы, получившие доступ к персональным данным), не имеют права распространять полученную информацию без личного согласия.
Теперь надо выяснить, что относится к персональным данным о конкретной личности. К ним относится любые сведения, которые как-либо идентифицирует человека как личность. К этим сведениям относятся:
- инициалы человека;
- дата рождения, а также месторождения;
- сведения о его или ее семье;
- общее социальное положение личности;
- место работы, а также занимаемая должность.
Для чего было необходимо принять этот закон?
Поводом для принятия этого закона послужила необходимость устранить барьеры между Евросоюзом в международной торговле. Сбор и хранение персональных данных необходим для совершения сделок, которая будет проходить скорее всего исключительно между государствами, и обеспечивать их соответствующей защитой. К примеру, в странах Евросоюза данные законы принимались еще в девятнадцатом веке, как пример, между странами Норвегии и Франции.
Осенью 2005 года закон о персональных данных был заключен и в России.
Согласно этому же закону, каждой системе, которая носит информационный характер, необходимо присваивать класс безопасности для обеспечения защиты. А также, информативные системы могут быть типовыми и специальными. Специальные требуют обязательного лицензирования.
Под специальными подразумеваются системы, которые располагают сведениями о здоровье. То есть, если информационные системы могут влиять на жизнь и здоровье субъекта обязаны иметь самую высокую защиту. Класс защиты информационных систем определяется на основе существующих угроз безопасности в соответствии нормативными документами.
Что относится к личной информации на устройстве мобильного телефона?
В телефоне по неосторожности может находится самая разная информация:
- логины и пароли от социальных сетей;
- пароль от рабочего личного кабинета;
- банковские данные и пароли от карт и разного рода его услуг, как, например, интернет-банкинг.
Во всех случаях требуется привязка мобильного номера. В телефоне также хранится информация о других людях-родственников и близких людей, контактные данные коллег по работе, а также их должности, ну и так далее. Можно только в кошмарных снах представлять, что может произойти, если эта информации окажется в чужих руках.
И хотя только одни цифры ничего конкретного не представляют, стоит лишь добавить некоторые персональные сведения, так ситуация в корне поменяется. Тем более на данный момент есть достаточное количество пиратских платформ, которые предоставляют по номеру телефона инициалы его владельца. Поэтому стоит все-таки осторожнее относится к своим данным.
Можно ли номер телефона отнести к сведениям о человеке?
Номер абонента — это лишь сочетание цифр, заранее определенный оператором для предоставления услуг сотовой связи при заключении договора. Этот цифровой код помогает выделить и определить устройство сотового телефона в диапазоне сотовой сети для связи с абонентом. Поэтому лишь цифровой код не будет достаточной информацией для идентификации человека как личности и его персонализации.
Никто не предоставит информацию о человеке без веских на то причин: ни государственные органы, ни операторы сотовой связи. Для того чтобы получить информацию о владельце должны быть веские на то причины. К примеру, если с контактного номера был произведен ложный вызов об организованном теракте в ТЦ, либо наоборот, организация теракта.
Только лишь среди недобросовестных пользователей интернеты можно получить информацию о пользователе. И то, не факт, что она будет актуальной. То есть, формально наличие цифрового кода, не означает владение персональными данными о субъекте.
Стоит поделить цифровой код и цифровой код с имеющимися знаниями о владельце. При наличии помимо телефонного номера сведения о владельце, таких как, фамилия, имя и отчество будет считаться как хранение и использование контактов как обработка его персональных данных.
Навязчивая реклама и СМС рассылка
В постановлении закона о связи также говорится о том, что СМС рассылки и звонки, в виде предлагаемых услуг акций и скидок может активирована только при согласованности пользователя. Если же рассылаемая рекламная информация в СМС или при звонке не указывается ваши персональные данные, то владельцу нельзя расценивать данное действие как сбор персональных данных. Сбором персональных данных нельзя считать, если во время разговора или переписки по СМС в рекламных целях, или при проведении массового опроса населения указывается данные такие, как: фамилия, имя, отчество; дата рождения и место прописки.
Если сохранена анонимность и конфиденциальность при проведении данных, процедур-то это действие нельзя назвать сбором данных о субъекте.
Прежде чем начинать СМС-рассылку, компания должны изучить три ключевые статьи закона: “О рекламе”, “О связи”, “О персональных данных”. Есть ряд ограничений на использование личной информации во время рекламных компаний по СМС-рассылке или во время телефонных звонков. Наличие базы контактов и также их эмэйлы разрешается только при получении согласия клиента.
Личность, о которой собиралась персональные данные, в любой момент имеет права отозвать соглашения по СМС-рассылкам и звонкам с предложениями предоставления услуг, и по этому требованию компания обязана удалить все данные о субъекте.
Консультация относительно вопросов, которые могут возникнуть при входящих СМС-рассылок и входящих звонков предоставления рекламных услуг занимается служба ФАС, Федеральная Антимонопольная Служба.
При заключении договора о предоставлении рекламных сообщений должны быть соблюдены следующие требования:
- фамилия, имя и отчество абонента получателя рассылки;
- обозначенный в письменном виде номер абонента;
- факт подтверждения в виде сообщения с одноразовым кодом;
- необходимо указать полное ФИО, котором было разрешено на сбор и обработку персональных данных;
- в договоре обязаны указать срок его начала действия и окончания;
- подтверждающие данные о согласии абонента.