Кто такой оператор персональных данных, кто может и должен им стать
Всем знакома ситуация, когда мы оставляем электронную почту, телефон и другие личные данные на сайте или в анкете в офлайне. Всё это — персональные данные или данные о нашей частной жизни, право на неприкосновенность которой регулируется международными конвенциями, конституцией и федеральными законами. Поэтому все, кто берёт эти сведения, обязаны гарантировать использование персональных данных исключительно в целях, разрешённых законодательством. О том, кому следует официально оформить статус оператора персональных данных, как это сделать и что будет, если Роскомнадзор обнаружит нарушения, рассказывает медиаюрист Маргарита Ледовских.
Оператором персональных данных по закону может быть лицо с любым юридическим статусом, которое собирает персональные данные, — физическое лицо, юридическое лицо или индивидуальный предприниматель. Все операторы персональных данных (далее — ОПД) должны быть внесены в реестр ОПД, который ведёт Рокомнадзор.
Если вы хотите узнать, внесла ли себя в этот реестр организация, где вы только что оставили свой телефон, внесите её данные в строки поиска на сайте Роскомнадзора.
Для чего нужно регулировать работу операторов персональных данных
Ваши данные — это элемент частной жизни, и первоначально их необходимо было защищать от государства. Но сейчас угроза для нашей частной жизни исходит не только от государства, но и со стороны компаний и частных лиц. В связи с быстрым распространением баз данных, развитием Интернета, технических возможностей для сбора и обработки больших объёмов информации угроза эта с каждым днём растёт.
Кому не нужно входить в этот реестр операторов персональных данных
Как говорилось выше, если вы обрабатываете персональные данные, вы уже оператор. Но не все обязаны уведомлять Роскомнадзор об этом и входить в реестр.
Не требуется внесения в реестр ОПД, когда персональные данные обрабатываются вами в рамках договорных отношений и только в целях выполнения обязательств по договору. Например, для оказания услуги вам нужно взять телефон, электронную почту клиента, скайп-ник и так далее. В этом случае Роскомнадзор можно не уведомлять.
Сложности, связанные с этим вариантом:
- трудности с идентификацией ситуаций, когда обработка производиться только для договорных отношений;
- использование персональных данных оператором не только в договорных отношениях, даже если они первоначально собирались и использовались с этой целью;
- если сайт идёт по этому пути, пытается закрыть публичной офертой все возможные варианты взаимодействия с клиентами — это некий эксперимент для владельца сайта, так как сейчас нет сложившейся практики применения этого варианта.
Если владелец сайта всё-таки на это идёт, он должен разместить на сайте публичную оферту, где указано, как те или иные персональные данные собираются и используются в рамках договорных отношений.
Например, возможность оставить комментарий может трактоваться как безвозмездная услуга, но это должно быть прописано в пользовательском соглашении, которое также является публичной офертой. Тогда в случае проверки можно апеллировать к тому, что персональные данные собирались в рамках договорных отношений.
Кто должен вступать в реестр операторов персональных данных
Закон говорит о том, что до начала обработки персональных данных должно быть направлено уведомление в Роскомнадзор.
В обязательном порядке направляют уведомление юридические лица, поскольку они всегда являются ОПД — как минимум, в части сбора персональных данных работников и соискателей на вакантные должности.
Все остальные — физические лица и индивидуальные предприниматели — направляют уведомление, когда сами считают, что они начали обработку персональных данных.
Роскомнадзор достаточно лояльно относится к тем, кто уже какое-то время обрабатывает данные, а в реестр решил встать сильно позже. Дату начала обработки данных ставят реальную. Наказывать за это никто не будет, если, конечно, встать в реестр до того, как Роскомнадзор предъявил какие-то претензии.
Как оформиться в качестве оператора персональных данных
Чтобы вступить в реестр операторов персональных данных, на сайте Роскомнадзора заполняется онлайн-форма. После этого генерируется файл, который надо распечатать и по почте отправить в Роскомнадзор заказным письмом с описью вложения.
Как оформить согласие на обработку персональных данных
Каждый ОПД обязан взять у пользователя согласие на обработку персональных данных. Для этого разрабатывает форма, позволяющая это согласие зафиксировать.
Согласие не обязательно публиковать на сайте, так чтобы оно было доступно на каждой странице, но его необходимо брать в тот момент, когда персональные данные собираются.
В форме должно быть чётко прописано, кому и для чего даётся это согласие. Можно это оформить в виде кнопки, например, с надписью “Нажимая на кнопку, вы даёте согласие на обработку персональных данных”. При этом со слов “согласие на обрабоку персональных данных” должна идти гиперссылка на сам текст согласия. Но предпочтительнее использовать чек-бокс — возможность поставить галочку и таким образом своё согласие подтвердить.
Когда персональные данные собираются без заполнения форм
Роскомнадзор относит к сбору персональных данных и те случаи, когда данные собираются с помощью сервисов аналитики. Здесь согласие тоже необходимо. Обычно это делается с помощью всплывающих окон с уведомлением о том, что используются файлы cookies.
Технически невозможно запустить сервисы аналитики одним только нажатием на кнопку согласия со стороны пользователя: они либо работают с самого начала, либо вообще отключены. Поэтому пользователя просто уведомляют, хотя он уже находится на сайте, а значит его данные уже какое-то время собираются.
Офлайн-сбор персональных данных
Бывают ситуации, когда, например, магазин просит клиента заполнить анкету для выдачи персональной бонусной карты. В этой анкете также должно быть взято согласие на обработку персональных данных с помощью заранее разработанной шаблонной формы.
Политика конфиденциальности
Роскомнадзор следит, чтобы ваши данные использовались только в целях, для которых вы их предоставили, поэтому ОПД обязательно прописывает цели сбора данных в политике конфиденциальности — положении, которое обосновывает сбор и обработку персональных данных.
Политика конфиденциальности на сайте должна быть обязательно опубликована, даже если оператор не направлял уведомление в Роскомнадзор.
Посетителю сайта предоставляется возможность с любой страницы сайта зайти на страницу с политикой. Чаще всего ссылку на политику конфиденциальности размещают в подвале сайта.
Частые ошибки при составлении политики конфиденциальности
- Не прописаны чётко цели обработки персональных данных или прописаны не полностью.
- Не проработаны и не указаны все возможные варианты сбора и обработки данных, которые ОПД планирует делать.
- Не указаны в каких случаях и кому ОПД передает персональные данные.
Основные нарушения при обработке персональных данных
- Персональные данные обрабатываются совсем не для тех целей, которые заявлены в политике конфиденциальности.
Часто предприниматели берут в сети шаблоны политик и не вникают в цели, которые прописывают, а на практике выходят за эти границы.
- Отсутствует согласие пользователя или клиента на ОПД.
- Отсутствует или не опубликована политика конфиденциальности.
Наказания за нарушение обработки персональных данных
Нарушения ОПД получают в виде штрафов: от 700 до 5 000 рублей — для физических лиц, от 3 000 до 20 000 рублей — для должностных лиц, от 5 000 до 20 000 рублей — для индивидуальных предпринимателей и от 15 000 до 75 000 рублей — для юридических лиц.
Размер штрафов зависит от вида нарушения и определяется ст. 13.11 КоАП РФ.
Итак, мы должны заботиться о защите данные, которые берём у клиентов, — за этим строго следят государственные органы. Остались вопросы? Задавайте в комментариях.
Маргарита Ледовских, медиаюрист, руководитель проекта о правовом регулировании медиа и Интернета «Право в сети»
* В случае упоминания в тексте социальных сетей Facebook, Instagram, уведомляем: деятельность компании Meta (Facebook, Instagram) признана экстремистской и на территории РФ запрещена.
Здравствуйте!
А как быть с сервисами авторизации от социальных сетей на сайте?
Например, пользователю предлагается авторизоваться на сайте через виджет Вконтакте, вместо ввода вручную персональной информации в различные поля регистрации личного кабинета (имя, фамилия, емайл, пароль).
Виталий, всё то же самое. Не важно, как мы собираем персональные данные.