Мы уже начинали говорить о персональных данных, их сборе и обработке. Но, об этом можно говорить бесконечно и мы продолжим. В прошлый раз мы говорили об изменениях в законе, но не учли самого главного — САМ ЗАКОН ВЫ НЕ ЧИТАЛИ!.. И, судя по обратной связи, информация требует более детальной проработки.
Поэтому мы несколько раз перечитали все законы и дополнения к ним. Сделали из него эдакую выжимку. Четко по пунктам расписав основные его нормы и требования.



Основы основ


«Обработка персональных данных базируется на принципах законности и справедливости» — гласит ФЗ-152 «О персональных данных». Из этих понятиях зиждятся остальные принципы, отражающие суть обработки персональных данных как процесса. И вот что вам необходимо запомнить:

1. Обработка персональных данных должна отвечать целям сбора персональных данных;
Это значит, что Субъект обработки ПДн (покупатель, клиент, работник и т.д.) должен быть уведомлен о целях обработки. Поэтому цели должны быть отражены в форме письменного согласия на обработку персональных данных.

2. Не должны объединяться базы данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях;
Тут все очевидно: не должны быть объединены базы персональных данных, содержащие, например, фискальную информацию о работниках компании, и базы персональных данных клиентов компании.

3. Обрабатываемый объем персональных данных не должен быть избыточным по отношению к целям их обработки;
Получается, что интернет-магазин продающий носки может обрабатывать персональные данные покупателей, которые могут содержать информацию о предпочтениях, о маркетинговой активности, но персональные данные покупателя, говорящие о наличии у него, скажем, заболеваний, будут явно избыточными.

4. При обработке персональных данных должны быть обеспечены их точность, достаточность и актуальность по отношению к целям обработки;
Это необходимо в первую очередь для качественного и своевременного выполнения какого-либо юридически значимого действия, при котором используются персональные данные. Например, для непосредственной покупки товара.

5. Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей. То есть если интернет-магазин закрывается, то базу персональных данных его покупателей нельзя оставлять «врагам», необходимо ее хотябы обезличить.

Этапы работы с персональными данными


1. Сбор
При сборе персональных данных с посетителей сайта мы рекомендуем в любом случае указывать:
  • наименование оператора;
  • цель обработки персональных данных и ее правовое основание;
  • предполагаемые пользователи персональных данных;
  • установленные законом права субъекта персональных данных;
  • источник получения персональных данных.

Кроме того, по запросу гражданина оператор по обработке персональных должен предоставить:
  • Подтверждение факта обработки персональных данных оператором;
  • Наименование и место нахождения оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  • Сроки обработки персональных данных;
  • Информацию об осуществленной или о предполагаемой трансграничной передаче данных;

2. Хранение
Хранение и запись, систематизация, накопление, уточнение, должны осуществляться на территории РФ – это уже все знают. Хранение персональных данных может осуществляться в любой форме, в том числе бумажной.
Обработка персональных данных может осуществляться за границей, если база данных в РФ содержит равный или больший объем персональных данных.

3. Использование
Помните! Действия, совершаемые с собранными персональными данными должны осуществляться строго согласно целям, для которых они были предоставлены.
То есть, если данные собраны при покупке носков в интернет магазине «А», то и использоваться они должны только для продаж магазина «А», которому эти данные оставили. Если эти данные использовать для продажи квартир на другом ресурсе, то это уже будет считаться неправомерным использованием персональных данных.

4. Блокирование
Если субъект обнаружил что его данные используют неправомерно и обратился к вам с претензией (или его представитель/ соответствующий орган), то вы обязаны блокировать его персональные данные и проверить правомерность их использования. Если данные эти обрабатывает подрядчик, то вы обязаны сделать все для блокировки и проверки данных обратившегося.
Все тоже самое вы обязаны провернуть в том случае, если субъект обнаружил неточности в своих данных.
Блокировка должна осуществляться с момента такого обращения или получения запроса на время проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

5. Уничтожение
А вот уничтожить данные или обеспечить прекращение использования вы обязаны в случае отзыва согласия. Также, если сохранение персональных данных более не требуется для целей обработки персональных данных.
Произвести все это необходимо в срок не более тридцати дней с даты поступления отзыва, если иное не предусмотрено договором.

Напомним, что нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах влечет предупреждение или наложение административного штрафа:
  • на граждан в размере от трехсот до пятисот рублей;
  • на должностных лиц — от пятисот до одной тысячи рублей;
  • на юридических лиц — от пяти тысяч до десяти тысяч рублей.

Суммы сами по себе небольшие, но сам факт привлечения внимания надзорных органов может повлечь гораздо более серьезные проблемы.

БОНУС


Трансграничная передача данных возможна, ее никто не запрещал.
НО, вы обязаны
  • хранить и актуализировать все данные на серверах в РФ (первичная БД)
  • указать в «Соглашении на обработку ПДн» то, что вы планируете передавать эти данные в другую страну и для каких конкретных целей (писать ли конкретную страну в законе не указано)

Ответственность за использование переданных данных несет тот Оператор, которому переданы эти базы данных.

Предоставление удаленного доступа к базам данных, находящихся на территории РФ, с территории другого государства ФЗ-242 не запрещается.

На этом все, коллеги. Да прибудет с вами милость Эру!

Комментарии (26)


  1. zarlaw
    24.02.2016 19:12

    Здорово, что наши статьи вызывают такие бурные реакции. Но тем не менее закон мы читали и на практике его применяли.
    Теперь, что касается согласия.
    В процитированной Вами статье указано, что страна должна указываться если не обеспечивается адекватная защита ПДн в этой стране.
    Список подобных стран меняется — поэтому, чтобы не было проблем проще указать страну передачи и получить на это согласие. Иначе Вам придется доказывать, что ДО передачи вы убедились в адекватности защиты — как будете доказывать?
    Более того, с учетом новых требований по локализации ПДн такое указание также имеет смысл, чтобы подтвердить что и где Вы делаете с ПДн.


  1. 007913
    25.02.2016 01:01

    Читая закон когда-то так и не понял что на практике нужно считать ПД а что нет. Все размыто в части определения понятия персональных данных, как по мне.


  1. zarlaw
    25.02.2016 01:02

    Согласны, это одна из проблем закона. Точного перечня сведений, которые относятся к ПДн закон не содержит. Следующим постом мы сделаем конкретный обзор с примерами, что считать или не считать ПДн


    1. FreeMind2000
      03.03.2016 15:46

      x-------x
      (в ред. Федерального «закона» от 25.07.2011 N 261-ФЗ)
      В целях настоящего Федерального закона используются следующие основные понятия:
      1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
      x-------x

      Взглянуть бы в глаза тому человеку, который придумывает такие определения понятий. Реально, за такой маразм нужно сразу увольнять с должности.

      Если расшифровать этот бред, то получается несколько тезисов:
      1)персональные данные — любая информация, относящаяся к [прямо] определенному физическому лицу (субъекту персональных данных);
      2)персональные данные — любая информация, относящаяся к [косвенно] определенному физическому лицу (субъекту персональных данных);
      3) персональные данные — любая информация, относящаяся к [прямо определяемому] физическому лицу (субъекту персональных данных);
      4) персональные данные — любая информация, относящаяся к [косвенно определяемому] физическому лицу (субъекту персональных данных);

      Т.е. физическое лицо может быть:
      прямо/косвенно [определенным]
      прямо/косвенно [определяемым]
      Видимо этим пытаются ввести прошлое, будущее и настоящее время на момент [определения] физ.лица… либо вложить сакральный смысл в бессмысленный набор слов. Особенно интересно использование слова [косвенно] — под которым можно подразумевать всё что угодно.

      Если же относится серьезно к понятию «персональные данные» данному в законе, а по другому нельзя, т.к. суд будет оперировать именно этим. То, со 100% уверенностью можно сказать, что по закону «персональные данные» — это любые данные связанные с человеком.
      Например, если ко мне на дачу пришли гости, и оставили след от обуви на земле, значит я собираю о них информацию без их ведома и какого-либо разрешения, т.к. по следу можно косвенно определить человека, который этот след оставил, и узнать размер его ноги. Даже по комментарию, оставленному на форуме под ником «анонимка», можно [косвенно] определить человека, который этот комментарий написал. А значит любой анонимный форум/чат не требующий регистрации — все-равно собирает персональные данные без согласия пользователей и его владельца можно при желании «привлечь к ответственности» за незаконный сбор ПД.

      Вывод:
      Приведенное в законе определение «персональные данные» и его дальнейшее употребление по тексту закона — противоречит здравому смыслу. Надо создавать на roi.ru общественную инициативу и голосовать за отмену/изменение данного закона, а не пытаться объяснить смысл бессмыслицы ;)


      1. 007913
        05.03.2016 06:44

        Проблема в том что лишь немногие осознают ужас такой размытой формулировки… Программисты бюджетных организаций плачут кровавыми слезами от неясных требований и того что начальники тоже ничего не говорят конкретно — все прикрывают свою ж*пу. Опять в нашем законодательстве все дается на откуп независимых суда и судей :(…


  1. shurupkirov
    25.02.2016 08:06

    Зачем интернет-магазину регистрироваться ОПД?
    Запрашиваемые персональные данные необходимы для исполнения договора-оферты, которую принимает пользователь в момент создания заказа. Целью которого является продажа одним лицом другому лицу покупателю — товара. Все запрашиваемые данные необходимы для исполнения данного договора


    1. zarlaw
      25.02.2016 11:53

      ИМ будем оператором в любом случае так как обрабатывает ПДн (если он их собирает). Если мы говорим об уведомлении Роскомнадзора, то его уведомлять нужно не всегда.


      1. shurupkirov
        25.02.2016 12:09

        Возможно некорректно выразился. Я имел ввиду, что регистрироваться в качестве оператора персональных данных в этом случае в Роскомнадзоре не требуется


  1. AxianLTD
    25.02.2016 10:41

    Да, только Интернет-магазин не требует достоверности и не может проверить и обеспечить это самую достоверность. Особенно в случае электронных продуктов и услуг. А не подтвержденные данные не могут считаться персональными ИМХО. Если мое ИМХО верно, то большая часть данных в Интернет, не подтвержденная номером паспорта, ИНН, электронной подписью или номером мобильного (на худой конец) телефона — персональными данными не является. Тогда зачем было городить огород?


    1. zarlaw
      25.02.2016 12:10

      Закон не содержит процедуры подтверждения ПДн.
      Например, если ИМ собирает ФИО/Телефон (что относится к ПДн), то никакого их подтверждения не нужно и ИМ будет их обрабатывать


      1. AxianLTD
        25.02.2016 17:10

        Т.е. закон регулирует обработку мусора, который по факту (не доказуемо что это персональные данные) не является персональными данными? Я проанализировал телефоны в базе своего магазина — >70% это не настоящие номера. Так я собираю персональные данные или нет? Спросить не значит получить. Или это уже стало эквивалентом?


  1. vak0
    25.02.2016 14:56

    В качестве первого комментария от read-only пользователя со стажем :-) позволю себе задать наивный, быть может, вопрос: как с точки зрения данного закона выглядит работа CRM-системы, в которую вносятся данные о потенциальных контрагентах? Т.е. получить от них разрешение на использование их ПД возможности нет, т.к. с ними еще не было даже первичного контакта, а данные о них взяты из открытых источников. Данные при этом минимальные: ФИО, предприятие, должность, телефон, мыло. Правильно ли я понимаю, что ведение такой БД уже нарушает ЗПД?
    И если это так, тогда второй вопрос: получается, что завести себе визитницу и складывать туда визитки — это тоже незаконно? :-)


  1. D01
    25.02.2016 14:57

    Если клиент отзывает свои персональные данные, но при этом ему уже была оказана какая-то услуга. То у этой услуги тоже необходимо чистить все поля с ПД?


    1. RomanPyr
      25.02.2016 17:37

      У услуги должен быть идентификатор на ПД в базе. База для ПД должна быть отдельная. Чистите данные в базе ПД, идентификатор у услуги остаётся.
      И потом, если услуга оказана, договор закрыт, зачем вы храните ПД? Вы и без заявления должны их уничтожать.


      1. D01
        25.02.2016 22:18

        Например заказ-наряд на ремонт автомобиля. История работ, рекомендации и т.д. Да и всегда может потребоваться копия того-же заказ-наряда, а в печатной форме должны выводиться и данные клиента.


      1. 007913
        26.02.2016 00:30

        Вот вы так просто говорите "ПД" — вы читали закон чтоб так вот легко определить что с точки зрения надзора будет ПД а что нет?
        Вот если захотят вам скажут что "услуга которую заказал" и т.п. — это тоже ПД вы возразить не сможете потому что в законе помимо всего прочего есть замечательная формулировка "… и иные данные.." — решит суд что это ПД и все :(, может конкретно в примере с услугами утрирую но думаю ход мыслей понятно выразил.
        Кроме того — говорится что должны быть "отдельные БАЗЫ" для ПД — и как вы будете на практике делать множество сложных join запросов в своих приложениях и связанную с этим логику приложения- всяко медленннее чем если бы строили базу с точки срения системы вашего приложения вцелом..


  1. RomanPyr
    25.02.2016 17:38

    В последнее время многие фитнес-центры стали собирать фотографии и даже отпечатки пальцев своих клиентов для идентификации.
    Чтобы по клубной карте только сам клиент мог придти.
    Вот где раздолье-то :)


    1. lakegull
      25.02.2016 17:40

      Правильно ведут бизнес


    1. zarlaw
      26.02.2016 00:38

      из комментариев мы поняли, что очень много вопросов относительно самих ПДн (что к ним относится).
      На след неделе опубликуем отдельный пост с примерами и практикой на эту тему


  1. lakegull
    25.02.2016 17:40

    "2. Не должны объединяться базы данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях;"
    This is bullshit! Всегда так сегментировал клиентов, поскольку никогда не знаешь, на что будет спрос в будущем и что предлагать. Покупатели разных товаров и услуг это одни и те же люди. Это ценнейшая информация, знать где пересекаются клиенты.
    Пускай второй пункт исполняет какой-нибудь Иванушка-дурачёк. К тому же выявить нарушение закона по этому пункту невозможно пока не поступит жалоба от людей, которых спамят непонятными предложениями, на которые они не подписывались. А пока с клиентами построены правильные взаимоотношения — этого не наступит никогда.


    1. 007913
      26.02.2016 00:18

      Это вообще такой тупой пункт закона который говорит разработчику как проектировать базу данных не с точки зрения программирования и эффективного хранения данных а "с точки зрения размытого закона — сделайте размытую базу данных".

      Вообще на этом законе очень заметно минимальное участие в его составлении фактических разработчиков баз данных и программистов.


      1. zarlaw
        29.02.2016 22:20

        да, это факт к сожалению, но вполне возможно закон менять с учетом реалий


  1. Tsvetik
    27.02.2016 01:30

    Стоит еще почитать статью 22. В ней перечислены случаи, когда субъекта можно не уведомлять об обработке ПДн.

    Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

    1) обрабатываемых в соответствии с трудовым законодательством;

    2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

    3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

    4) сделанных субъектом персональных данных общедоступными;

    5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

    6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

    7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

    8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

    9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

    Пункт 2 — это как раз для интернет-магазинов.

    А пункт 6 позволяет любому человеку в куртке с надписью «охрана» делать с вашими ПД все что угодно


    1. zarlaw
      29.02.2016 22:19

      не совсем все, что угодно
      это должно соответствовать целям обработки


      1. RuslanRom
        04.03.2016 22:29

        Простите, а разве в ст. 22 речь об уведомлении субъекта? Как я понял при чтении ФЗ, в ч. 2 ст.22 перечислены случаи, в которых не нужно оповещать Роскомнадзор о выполнении функции оператора.


  1. lakegull
    27.02.2016 12:14

    "6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;"

    Замечательный пункт. Я считаю, что КПП нужно поставить везде, по всей стране и на каждом перекрёстке! И собирать, собирать, собирать данные!