Пару месяцев назад поднялся хайп по поводу изменения законодательства о персональных данных. Находчивые юристы стали наперебой убеждать, что любая форма обратной связи или виджет заказа обратного звонка на сайте свидетельствует об обработке персональных данных пользователей, Роскомнадзор уже штрафует за нарушения и нужно срочно вставать на учет.
Вся эта шумиха основана на мифах о персональных данных. Давайте разберемся, что произошло на самом деле, чем это грозит и как этого избежать.
Правила обработки персональных данных не изменились. В июле 2017 года вступили в силу поправки в КоАП РФ, ужесточающие ответственность за нарушение законодательства о персональных данных. Введены новые составы правонарушений и суммы штрафов повышены до 75 000 рублей. Это правда.
Но нужно понимать, что суммы штрафов для физических лиц на порядок, а для предпринимателей в разы ниже штрафов для юридических лиц. Максимальный штраф в 75 тыс. руб. установлен для юридических лиц по одному их 7 составов. В остальных случаях максимальный штраф колеблется от 30 до 50 тыс. руб.
Из неприятного – штрафы по различным составам частично могут складываться. Среди возможных нарушений в частности перечислены:
- обработка персональных данных в случаях, не предусмотренных законом, или несовместимая с целями сбора персональных данных;
- обработка персональных данных при отсутствии письменного согласия субъекта;
- неисполнение обязанности по опубликованию политики по обработке персональных данных.
Однако беспокойство по данному поводу в большинстве случаев вызвано поверхностным пониманием закона о персональных данных. Чтоб оценить риски привлечения к ответственности рассмотрим 5 наиболее популярных мифов о персональных данных, блуждающих в умах интернет-сообщества.
1. Персональные данные — это любые сведения о физическом лице
На первый взгляд так и есть.
«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (ч.1 ст.3 ФЗ «О персональных данных»).Однако если переложить данную норму на обычный язык, персональными данными являются только те сведения, на основе которых можно установить личность человека или которые относятся к человеку, личность которого бесспорно известна.
Проверим тезис на информации о номере телефона или адресе электронной почты. У вас нет легального доступа к абонентской базе или базе пользователей почтового сервиса. Следовательно, сами по себе данные сведения не позволяют установить личность человека, который ими пользуется.
Поэтому данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо.
Если у вас остались сомнения в такой трактовке нормы, можно ознакомиться с первоисточником на сайте Роскомнадзора. Дословно норма Конвенции о защите физических лиц при автоматизированной обработке персональных данных звучит так:
«Персональные данные означают информацию, касающуюся конкретного или могущего быть идентифицированным лица (»субъекта данных")" (ст.2 Конвенции).Другими словами пока мистер «Х» вам не известен вы можете хранить о нем данные без нарушений. Например, по поводу телефонного номера «инкогнито» есть прямые ответы региональных отделений Роскомнадзора:
«Абонентский номер (номер телефона) служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца».
Выводы
Если форма обратной связи не предполагает предоставление помимо номера телефона или электронного адреса дополнительных сведений, идентифицирующих пользователя, такая информация не относится к персональных данным. Запрос имени совместно с номером телефона или email пользователя также не делает данные персональными, т.к. имя не идентифицирует гражданина.
«Гражданин приобретает и осуществляет права и обязанности под своим именем, включающим фамилию и собственно имя, а также отчество, если иное не вытекает из закона или национального обычая (ч.1 ст.19 ГК РФ)».Поэтому с точки зрения гражданского законодательства просто имени не достаточно для возникновения юридических последствий. Как минимум, необходимы еще отчество и фамилия.
Аналогичным образом не относятся к ПДн сведения об IP, cookie, и прочие данные, собираемые в автоматическом режиме в связи с активностью на сайте или в приложении пользователя, не прошедшего полную идентификацию.
2. Оператор по обработке персональных – это лицо, осуществляющее их обработку
«Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными» (ч.2 ст.3).Однако из данного правила есть исключение.
«Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора» (ч.3 ст.6).Указанные лица не определяют «цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными», а потому не считаются операторами персональных данных.
На практике к таким лицам могут относиться любые консалтинговые и сервисные компании, включая облачные сервисы. Персональные данные предоставляются клиентами, они же и несут ответственность за легальность их обработки.
Аналогично любые сервисы не должны отвечать за обработку ПДн сотрудников клиентов, которые последние самостоятельно загружают в сервис. Именно клиент должен получить согласие субъекта персональных данных на передачу сервису и их обработку соответствующими способами.
Выводы
Не спешите
3. Все сайты должны опубликовать Политику конфиденциальности
Действительно, в ФЗ «О персональных данных» есть норма о публикации Политики конфиденциальности:
«Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети» (ч.2 ст.18.1).Однако не забывайте о возможных исключениях из данного правила.
Во-первых, не все сведения о физическом лице относятся к персональным данным (см. миф 1).
Во-вторых, такие правила не возлагаются на лицо, осуществляющее обработку персональных данных по поручению оператора (см. миф 2 выше).
В-третьих, сам ФЗ «О персональных данных» не возлагает на физических лиц (в том числе ИП) обязанность издания документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных. Такие документы должны издаваться только юридическими лицами (пп.2 ч.1 ст.18.1).
4. На обработку персональных данных требуется письменное согласие
Действительно, в качестве первого условия обработки ПДн названо согласие субъекта персональных данных на обработку его персональных данных (пп.1 ч.1 ст.6 ФЗ «О ПДн»).Но при этом не всегда обязательно оформлять согласие на бумаге за собственноручной подписью субъекта ПДн. Есть ряд дополнительных или взаимоисключающих правил.
1. Согласие на обработку ПДн не требуется лицу, действующему по поручению оператора (ч.4 ст.6)
2. Отдельное согласие не требуется в случаях, когда оператором выполняется обработка ПДн:
- в целях заключения или исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (пп.5 ч.1 ст.6);
- к которым предоставлен доступ неограниченного круга лиц субъектом персональных данных либо по его просьбе (пп.10 ч.1 ст.6).
Таким образом в случае принятия пользовательского соглашения достаточно уведомить пользователя об обработке его персональных данных.
3. Согласие может быть дано оператору в иной форме
«Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом» (ч.1 ст.9).
Другими словами, если федеральный закон не требует получения согласия строго в письменной форме, оно может быть дано любым иным способом, в том числе путем совершения запрашиваемых действий. Например, такими действиями могут признаваться направление проверочного кода, указанного в СМС, переход по ссылке, направленной на электронную почту пользователя при регистрации в аккаунте и т.п.
4. Согласие в письменной форме может быть подписано электронной подписью
«Согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью признается равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе» (ч.4 ст.9)Здесь следует принимать во внимание, что под электронной подписью понимается усиленная квалифицированная электронная подпись (см. ч.3 ст.18 Федерального закона от 06.04.2011 N 63-ФЗ «Об электронной подписи»).
5. Каждый оператор ПДн должен быть включен в реестр Роскомнадзора
Многие консультанты рекомендуют подать уведомление в Роскомнадзор для включения в реестр операторов персональных данных, ссылаясь на данную норму:
«Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных» (ч.1 ст.22).Однако при этом забывают, что в той же статье закона предусмотрены исключения из данного правила. К рассматриваемой ситуации обработки ПДн частным интернет-сервисом относятся минимум два основания освобождения от обязанности подачи уведомления.
В частности оператор вправе осуществлять без уведомления Роскомнадзора обработку следующих персональных данных:
«полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных» (пп.2 ч.2 ст.22)
«сделанных субъектом персональных данных общедоступными» (пп.4 ч.2 ст.22)
Выводы
1) В первом случае для обработки ПДн без уведомления Роскомнадзора достаточно предложить пользователю принять пользовательское соглашение, которое по сути является договором. Для получения сообщений на номер телефона и адрес электронной почты в любом случае необходимо получать согласие пользователя, поэтому принятие пользовательского соглашение решает две задачи одновременно: с одной стороны вы легально используете данные без уведомления Роскомнадзора, с другой – получаете согласие на обращение к пользователю по указанным номерам и адресам, включая при необходимости рекламную рассылку.
2) Второе исключение из правил касается общедоступных данных. Это основание может пригодиться социальной сети, доске объявлений или сайту поиска работы, где пользователи самостоятельно делают доступной информацию о себе. В таком случае нет необходимости не только уведомлять Роскомнадзор об обработки данной категории ПДн, но и получать дополнительное согласие пользователя на их обработку.
3) Помимо этого вспомните, что не все лица, осуществляющие обработку ПДн считаются операторами. Некоторые из них действуют по поручению оператора (см. миф 2 выше). Поэтому им не нужно направлять уведомление в Роскомнадзор об обработке ПДн, предоставленных оператором.
4) Отдельного упоминания заслуживает регомендация встать на учет «как бы чего не вышло». Это во всех отношениях вредный совет, т.к. Роскомнадзор должен проводить плановые проверки операторов, включенных в реестр. И тогда вам простая политика конфиденциальности не поможет: спросят все внутренние регламенты по информационной безопасности и проверят фактическое выполнение!
Обращайте внимание на детали – в них кроется
Источник
Комментарии (52)
Temmokan
07.09.2017 11:17Это всё тоже теория. Если придётся доказывать свою правоту в суде, вот там сразу станет видно, как именно участники разбирательства трактуют упомянутый закон. Он настолько расплывчат, что поди докажи, если чиновник «с той стороны» считает иначе.
К слову, я делал официальный запрос в РКН о том, что и как считать персональными данными, что делать в случае использования сторонних сервисов обработки вида Google Forms, Disqus и т.д. — так вот, в официальном ответе от РКН (храню присланный ими скан заверенного печатью ответа, при необходимости покажу) сказано: мы-де не уполномочены трактовать закон, обращайтесь вСпортлотоМинкомсвязи.
Так что самостоятельно трактовать закон можно сколько угодно, пока вас не станут проверять компетентные органы.ictlawyer Автор
07.09.2017 11:43Согласен, мифы выгодны РКН, юристам и фирмам, продающим решения по информационной безопасности
kirillaristov
08.09.2017 08:05И что ответило Минкомсвязи?
Temmokan
08.09.2017 08:54Ждём-с. Будет ответ, напишу.
Akuma
10.09.2017 22:43Подписался на вас. Жду статью :)
Temmokan
11.09.2017 05:19Статья «о том, как запрашивал РКН и Спортлото о персональных данных»?
Скучновато было бы. Я вам отвечу, как только министерство ответит. Набираемся терпения, это может занять многие недели.Akuma
11.09.2017 10:09Не совсем. Статья с ответами и тех и других и вашим мнением на этот счет. Может и скучновато, зато полезно.
teecat
07.09.2017 16:01+1Персональные данные — это любые сведения о физическом лице
1. Рассуждения упускают момент, что возможность определения лица зависит от возможностей атакующего
2. Роскомнадзор не имеет права комментировать закон. Поэтому все эти цитаты — личные мнения. В случае чего на это опираться нельзя. Увы. Помнится один раз пересекся с депутатом госдумы, так он аж подскочил от сведений, что какой-то роскомнадзор комментирует законы
Другими словами пока мистер «Х» вам не известен вы можете хранить о нем данные без нарушений.
Чего? Чистое нарушение закона
Запрос имени совместно с номером телефона или email пользователя также не делает данные персональными
Вспоминаем, что персональные данные или нет — зависит от атакующего
Аналогичным образом не относятся к ПДн сведения об IP
В Европе — относятся
Дальше комментировать не стал
ictlawyer Автор
07.09.2017 18:221. Рассуждения упускают момент, что возможность определения лица зависит от возможностей атакующего
На первом курсе юрфака учат, что норма устанавливает права и обязанности сторон, участвующих определенных отношениях.
По ФЗ 152 обязанным может быть только лицо, обрабатывающее персональные данные. Поэтому и то, являются ли данные «персональными» определяется не с позиции «атакующего», как вы выразились, а с точки зрения лица, которое их обрабатывает.
Если последнее не может идентифицировать физ лицо на основе обрабатываемых данных, то они и не считаются для него «персональными». Следовательно, нет обязанности по ФЗ 152.
Мало ли что другое лицо может узнав номер телефона сразу определить, что им пользуется Иванов Иван Иванович.
В Европе — относятся
Мы про российский закон говорим или вообще?
Дальше комментировать не стал
И правильно. Учите мат. часть.teecat
07.09.2017 18:33Вопрос о том что есть, а что нет персональные данные — достаточны они или нет — спорный. Оператор может посчитать что недостаточно и не являются персональными, а проверяющий, что достаточно и персональные. Типичный пример — имя. В общем имя — не ПДн, но если родители крайние оригиналы имя редчайшее, то оно идентифицировать будет точно. Аналогично и айпишник. Статический айпишник в сочетании с ФИО даст возможность идентифицировать точно
Основная проблема закона — решать что есть ПДн, а что нет — будете не вы, а проверяющая организация.ictlawyer Автор
07.09.2017 18:39Разумеется, не я. Статья дает повод задуматься, что не все так прямолинейно и однозначно, как это подается лобби от бизнеса информационной безопасности.
teecat
08.09.2017 10:39Лобби. я бы не сказал что оно есть. Безграмотность законописателей пиарящих горячие темы, безденежье регуляторов, которые не имеют возможности написать подзаконные акты чуть не десятилетиями и нежелание пользователей (скажем так) читать законы, подзаконные акты и документы регуляторов.
Если бы было лобби, то его представители давали бы думцам своих экспертов для написания документов. Вон закон яровой — все — от регуляторов до правительства пытаются год от него отвертеться. 152-ФЗ приняли, поскольку мы тогда по моему в совет европы вошли. Число проверок копеешное по отношению к числу компаний. Запросов от боящихся его как бы года два нету в товарных количествах
Бардак к наличии. Бессмысленный и беспощадныйictlawyer Автор
08.09.2017 12:28Был у меня комичный опыт еще в 2008. На семинаре по 152 ФЗ сидели бок о бок представитель РКН и куратор по информационной безопасности. РКН гнул линию, что далеко не всякая обработка выполняется с использованием средств автоматизации. На что куратор чуть его не локтем толкал, мол ты что, родной, всех мимо кассы отправляешь?
teecat
08.09.2017 12:39Ну ясен пень, что желание заработать на наличии закона никто не отменял. Бизнес и ничего личного. Маркетинговых материалов, описывающих пользователям, как выполнять тот или иной закон именно с их ПО/железом/помощью — вагон и немаленькая тележка.
Почему я и говорю всегда — чтение нормативки и документации лично — это рулез
pvp
07.09.2017 17:56"… персональными данными являются только те сведения, на основе которых можно установить личность человека или которые относятся к человеку, личность которого бесспорно известна."
Ничего подобного. Любая информация, которая может быть использована при идентификации и отнесена к конкретному лицу — ПД. Закон как раз не требует, чтобы ПД относились к прямо определенному лицу, они могут относиться и к «определяемому», т.е. такому, идентификаиця которого не произведена, а только может быть произведена. О том же самом — и в Конвенции.ictlawyer Автор
07.09.2017 18:29Смотрите комментарий выше. Если у обязанного лица нет возможности прямо или косвенно определить физ. лицо на основании обрабатываемых данных, то такие данные не считаются «персональными» со всеми вытекающими последствиями.
Компетентные органы могут по IP определить абонента, который написал данный пост, а вы не можете. Поэтому для компетентных органов — это персональные данные, а для вас нет. В результате закон не может возлагать на вас обязанность получать у меня согласие на обработку IP и хранить его в тайне.
vozhd99
07.09.2017 23:41Если честно, то, на мой дилетантский взгляд, в законе не раскрыто определение «идентификация физического лица», что позволяет трактовать «персональные данные» в очень широком диапазоне.
Пару лет назад, когда мы создавали небольшую адресную книгу нашей компании, доступную только для сотрудников, в ней указывались следующие данные: фамилия, имя и личный мобильный телефон. Этих данных вполне достаточно для идентификации пользователя или сотрудника, в том числе любому другому лицу. Со своей стороны попросил наш отдел кадров собрать заявления о том, что сотрудники не возражают о том, что их данные будут размещены на портале. При приёме на работу подобные заявления не предоставлялись на подпись. Один рьяный защитник пытался доказать, что ничего не будет и это не является ПД, но подтвердить статьями законов или судебной практикой он не смог. Портал создали, но с оговоркой, что все проблемы с законом, если возникнут, целиком и полностью лежат на отделе кадров. Криков было много… :)
ИМХО, имени, фамилии и телефонного номера, зачастую достаточно для точной идентификации человека в интернете и жизни. Всё делается по запросам к открытым источникам. Буквально сегодня, имея в распоряжении только дату рождения, имя и фамилию, разыскал телефонный номер, адрес постоянного пребывания человека и помог вернуть документы. Но это, повторюсь, исключительно ИМХО, так как закон не предлагает нам чёткого определения того, что считать персональными данными, а также требуемую их полноту.ictlawyer Автор
08.09.2017 06:48Пару лет назад, когда мы создавали небольшую адресную книгу нашей компании, доступную только для сотрудников, в ней указывались следующие данные: фамилия, имя и личный мобильный телефон. Этих данных вполне достаточно для идентификации пользователя или сотрудника, в том числе любому другому лицу.
В вашем конкретном случае указанные в справочнике данные, безусловно, относятся к персональным, поскольку работодатель знает кому они принадлежат. Квалифицировать данные нужно всегда с точки зрения лица, которое их обрабатывает.vozhd99
08.09.2017 10:50Квалифицировать данные нужно всегда с точки зрения лица, которое их обрабатывает.
Не могу с Вами согласиться, так как квалифицировать надо по закону, а он не даёт этого определения.
Исходя из Вашего толкования, иногда даже ник человека может его точно идентифицировать. Необходимо ли и на это оформлять бумажку? :)ictlawyer Автор
08.09.2017 13:02Исходя из Вашего толкования, иногда даже ник человека может его точно идентифицировать. Необходимо ли и на это оформлять бумажку? :)
Где вы это у меня увидели? Человека идентифицирует в достаточной мере паспорт.vozhd99
08.09.2017 14:04Вы писали об этом выше:
Квалифицировать данные нужно всегда с точки зрения лица, которое их обрабатывает.
И с этим я не согласился. Закон нуждается в серьёзной доработке, в части уточнения определения субъекта закона.
pvp
08.09.2017 10:52«Если у обязанного лица нет возможности прямо или косвенно определить физ. лицо на основании обрабатываемых данных, то такие данные не считаются «персональными» со всеми вытекающими последствиями.»
Каким образом это отражено в законе?ictlawyer Автор
08.09.2017 13:04См. определение персональных данных.
pvp
08.09.2017 13:15Да, я уже понял, что ответить на этот вопрос вам будет нечего.
ictlawyer Автор
08.09.2017 13:26Не понял выпад. Ответ на ваш вопрос дан в определении ПДн. Если данные не соответствуют требованиям к ПДн с позиции лица, которое их обрабатывает, то для него такие данные не ПДн. Например, ПДн были обезличены оператором и переданы в обезличенном виде для обработки третьему лицу. Такое лицо не может установить субъекта ПДн по обезличенным данным. Поэтому на него по определению не распространяется ФЗ 152.
pvp
08.09.2017 13:43Критерий ПД — он только один — можно или нельзя отнести данные к конкретному человеку. Кто является «лицом, которое их обрабатывает» — в определении не отражено никак. Обезличивание — это как раз действие, которое приводит к тому, что данные отнести к лицу становится нельзя, но даже и в его определении нет никакого «лица» и его «позиции». Поэтому если оператор «обезличил» данные так, что сам может установить по ним личность — данные не являются обезличенными, даже в том случае, когда «третье лицо» этого сделать не может. И у третьего лица все равно в полный рост наступают все требования 152-ФЗ.
ictlawyer Автор
08.09.2017 13:53С такой позиции любые данные о физ лице являются персональными, вам не кажется?
pvp
08.09.2017 14:03Я в этом уверен.
ictlawyer Автор
08.09.2017 14:31Вы не правы. Это делает невыполнимым требования ФЗ 152.
pvp
08.09.2017 15:27О, наконец-то вы поняли. Вообще весь разговор про выполнимость закона надо начинать с того, что он основан на конвенции 1980 какого-то там года, когда компьютеры были большими. Все те принципы, которые в нем сформулированы — они оттуда, из восьмидесятых. Сейчас, когда данные передаются по сетям и кешируются на неизвестном количестве компьютеров, выполнить то же удаление ПД, будет, мягко говоря, трудно. Как и кучу других требований.
Хотя многие «требования ФЗ» на законе не основаны, а выдуманы мудрецами из РКН. Начиная с требования регулировать законом вообще любое упоминание персданных. Именно с этого, кстати, стоило начать статью: с первой статьи ФЗ с описанием сферы его действия и вопроса о том, что такое «автоматизированная обработка».ictlawyer Автор
08.09.2017 18:42Пошел разговор «за жизнь». Все право строится на определенных допущениях, которые называются «правовые конструкции». Иногда они далеки от описываемой реальности, но ответственность за их нарушение вполне реальная. Ваш предыдущий аргумент, что все данные о физ лице суть персональные не верен хотя бы потому, что в законе упомянуты также обезличенные данные. Они тоже относятся к физ лицу, но установить его не представляется возможным.
ictlawyer Автор
08.09.2017 18:43Пошел разговор «за жизнь». Все право строится на определенных допущениях, которые называются «правовые конструкции». Иногда они далеки от описываемой реальности, но ответственность за их нарушение вполне реальная. Ваш предыдущий аргумент, что все данные о физ лице суть персональные не верен хотя бы потому, что в законе упомянуты также обезличенные данные. Они тоже относятся к физ лицу, но установить его не представляется возможным.
Temmokan
09.09.2017 01:48> Ответ на ваш вопрос дан в определении ПДн.
Читаем ФЗ 152, статья 3, пункт 1:
персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Поясните, пожалуйста, где тут ссылка на лицо, которое их обрабатывает.
Все приседания из-за того, что нет чёткого определения. Сетевой псевдоним — персональные данные? IP адрес сам по себе? Адрес email? Сочетание всех трёх, указанных выше?
Повторюсь, сами вы можете трактовать как хотите. Вопрос в том, что, когда вас возьмут за жабры компетентные органы, будут ли они трактовать ровно так же, и сумеете ли вы в суде отстоять именно свою трактовку.
wertex15
08.09.2017 19:31Я купил два телефонных номера. Один отдал супруге/подруге/маме/etc. Кто то из них оставил его на сайте с именем и фамилией. ОПСОС идентифицирует меня, а не Екатерину Васильевну, которая по факту и оставила данные на сайте. По вашему это перс данные, а по факту…
prolis
08.09.2017 05:421. Как быстро в статье ушли от определения информации, относящейся к физлицу к термину идентификация физлица. Конечно, по емейл лицо не идентифицируешь, а по электронному адресу ivanov.petr@company.ru вполне определяется кто это. И в момент запроса емейла еще неизвестно, будет он (адрес емейл) подходить под ПД или нет, а после — его хранение без согласия будет нарушением.
2. Почему соцсети и сайты поиска работы вы отнесли к источикам общедоступных сведений? Вряд ли в их соглашениях с пользователем есть пункт о том, что после публикации имени и телефона кто угодно в мире имеет право воспользоваться ими для любых целей. Вы не имеете права распарсить авто.ру и хранить у себя всех автовладельцев, например.ictlawyer Автор
08.09.2017 06:54Как быстро в статье ушли от определения информации, относящейся к физлицу к термину идентификация физлица.
Потому что первое следует из второго, а не наоборот.
Почему соцсети и сайты поиска работы вы отнесли к источикам общедоступных сведений? Вряд ли в их соглашениях с пользователем есть пункт о том, что после публикации имени и телефона кто угодно в мире имеет право воспользоваться ими для любых целей.
У них есть такая возможность. Если не включили соответствующее условие, их промах. Об этом статья.
Вы не имеете права распарсить авто.ру и хранить у себя всех автовладельцев, например.
Вы путаете режим общедоступных персональных данных со смежным правом изготовителя базы данных запрещать извлечение материалов из его базы данных и осуществлять их последующее использование.
kirillaristov
08.09.2017 08:17Было такое — заключали договор с ИП, а он отказался указывать адрес регистрации ИП в реквизитах, мотивируя тем, что это ПД, а согласие на обработку он не давал. Но выходит, что согласно пп.5 ч.1 ст.6 о ПДн, нет никаких препятствий указанию адреса регистрации и это не будет считаться обработкой ПДн. Правильно?
ictlawyer Автор
08.09.2017 08:32Почему не будет считаться «обработкой»? В указанном пункте как раз идет речь об одном из оснований для обработки ПДн наряду с прямым согласием субъекта. В данном случае отдельное согласие не требуется и уведомлять РКН не требуется об обработке.
Если ИП вам не дает свой адрес, то легально вам его взять просто не от куда. Обязать предоставить адрес вы не можете. Просто договор не заключайте.kirillaristov
08.09.2017 09:00То есть да, это конечно же обработка, только для нее не требуется брать согласие.
Помнится, диалог был такой:
- у вас адрес не указан в договоре
- адрес относится к персональным данным, я не желаю его разглашать. Если вы хотите, чтобы я его все же указал, то я должен вам перед заключением договора предоставить согласие на обработку ПДн.
ictlawyer Автор
08.09.2017 13:06Можно и не перед подписанием, а одновременно в тексте договора. Это обычная практика. Пример даже исключением сложно назвать. Интересно на что живет этот ИП?
kirillaristov
08.09.2017 08:54Уточню. Выходит, что абсолютно законны следующие ситуации:
1) Чекбокс "даю согласие на обработку ПДн" при заказе в интернет-магазине, так как "обработка совершается в целях исполнения договора", но при этом нужно отправлять запросы для подтверждения номера телефона/email. Договор при этой процедуре считается заключенным "устно". Однако обычно под формой заказа не ставят чекбокс "отмечая, подтверждаю договор на поставку заключенным" или этот текст можно включить в email/sms?
2) Не нужно спрашивать дополнительное разрешение у клиента на обработку его ПДн для добавления их в общую клиентску базу внутреннего использования, так как с ним уже заключен договор.
ictlawyer Автор
08.09.2017 11:591) Как минимум необходимо уведомить об обработке ПДн. Сделать это можно путем размещения под формой заказа прямой ссылки на Политику конфиденциальности или Оферту на дистанционную продажу товара (второй способ слабее первого), которая должна содержать ссылку на Политику конфиденциальности.
Сделки на основе оферты на сайте интернет-магазина заключаются в письменной форме. Письменная форма считается соблюденной в случае, когда условия сделки изложены письменно, а не проговариваются устно.
Включение в СМС или имэйл не верно, т.к. уведомление должно предшествовать обработке.
2) Нужно, если данные цели выходят за рамки исполнения договора.
kirillaristov
08.09.2017 09:46По поводу письменного подтверждения.
Основная проблема чекбоксов и запросов на email/sms в том, что ни email, ни sms не могут быть однозначно привязаны к субъекту персональных данных. Лишь ЭЦП или собственноручная подпись под лично подписанным согласием однозначно идентифицируют гражданина и позволяют подтверждать какие-либо действия от его имени.
Иначе мы будем иметь согласия не от субъектов, а от номера телефона или email, которые могут принадлежать кому угодно.
Вот и выходит, что однозначное согласие на обработку ПДн можно получить либо опосредованно в ходе заключения договора, либо при личном подписании согласия на обработку (или удаленно с помощью ЭЦП).
kirillaristov
08.09.2017 09:55Дополнение:
в квалифицированном сертификате электронной подписи для физического лица есть данные о email, так что на мой взгляд, если отправить с этого email подписанное согласие, то это более чем верный способ удостоверить свою личность и свое действие.
А все остальное — временный суррогат.
ictlawyer Автор
08.09.2017 12:21Есть определенные допущения, которые учитываются при оформлении сделок. Поэтому идентификация по СМС используется повсеместно.
Temmokan
09.09.2017 02:02Эти допущения отражены в подзаконных актах? Если нет, то оператору обработки ПД не позавидуешь, когда и если найдётся умник, который оспорит подобное подтверждение. Это просто вопрос времени.
helb
Рассуждать можно сколько угодно, докажите это всё регулятору при проведении проверки. Столько нервов и сил потратите, что легче согласиться и написать на пару-тройку документов больше. Сталкивался ни раз. Ни логика ни ссылки на нормативку не помогает ))
ictlawyer Автор
По такому принципу можно и налоги приплачивать сверху «кабы чего не вышло». Если есть лишние деньги на разработку «пары-тройки» документов, welcome!