Персональные данные клиентов – словосочетание, которое пугает многих владельцев интернет-магазинов своей официозностью и той тревожной аурой, которую навевает на него 152-ФЗ «О персональных данных». Так, за неправильное хранение, за разглашение, передачу положены грабительские штрафы.
Штрафы действительно предусмотрены, но не вся та информация, которая хранится на сайтах интернет-магазинов, является персональными данными клиентов. О заблуждениях, правилах обработки и хранения ПД мы поговорим далее.
Что нужно знать о персональных данных клиентов организации
152-ФЗ «О персональных данных» от 27 июля 2006 г.— это основной документ, регламентирующий все отношения, связанные с обработкой персональных данных.
Для более глубокого понимания давайте рассмотрим конкретную ситуацию. У интернет-магазина есть свои клиенты, ПД которых хранятся в «облаке» сторонней организации. Также эту базу использует в работе маркетинговое агентство. Здесь всего один оператор ПД. Им является непосредственно интернет-магазин, который ставит конкретную задачу исполнителю, то есть агентству. А вот обработчиков ПД в данном случае будет два: это организация, в облаке которой находится база данных интернет-магазина, и маркетинговое агентство.
Так как сейчас мы не представляем своей жизни без интернета, то свои ПД (электронные адреса, ФИО, номера телефонов, ИНН и др.) мы оставляем, посещая различные сайты. Также во всех организациях, с которыми нам приходится взаимодействовать в течение жизни, ведется обработка наших ПД (образовательные учреждения, банки и пр.). Но как и где именно это происходит?
Важное о защите персональных данных клиентов
Существуют различные методы, с помощью которых можно обеспечить защиту данных:
- Сигнализация в помещении банка, система видеонаблюдения и пропускной режим в кабинете, где стоят компьютеры — все это является физическими методами;
- К техническим методам относятся специализированные средства защиты информации;
- Различные нормативные документы (положения, правила и инструкции), регламентирующие обработку ПД в организации, считаются административными методами.
Защитить ПД конкретного человека можно с помощью его обезличивания. То есть когда человек, например, обращается в банк с заявкой на выдачу кредита, ему присваивается идентификационный номер. За счет того, что сам по себе набор цифр не является информацией, относящейся к ПД, лицо, которое таким образом зашифровано, невозможно определить.
Так ли страшны штрафы за нарушение обязательств о неразглашении персональных данных клиентов
Данная тема давно обросла слухами, и эта информация, к сожалению, не всегда оказывается достоверной.
Основные правила, регулирующие обработку ПД, остаются без изменений с момента вступления в силу поправок в КоАП РФ, которыми была ужесточена ответственность за нарушение законодательных норм. Суммы штрафов стали более существенными — до 75 000 руб., кроме этого введены новые составы правонарушений.
Конечно, штрафы, предусмотренные для юридических лиц, гораздо серьезнее, чем для физических. 75 000 руб. — это максимальный размер штрафа, установленный для компаний за совершение одного из семи нарушений. В других случаях он составляет от 30 000 до 50 000 руб.
Штрафные санкции, определенные законом за совершение нескольких составов правонарушений, частично могут суммироваться. К возможным нарушениям отнесены:
- Обработка ПД без письменного согласия субъекта;
- Обработка ПД в непредусмотренных законом случаях или противоречащая целям сбора ПД;
- Лицо не исполнило свою обязанность по публикации политики по обработке ПД.
Те, кто не вникает в суть данного вопроса и делает заключения на основании поверхностных знаний, как правило, заблуждаются сами и дезинформируют других. Давайте более серьезно подойдем к данной теме и ознакомимся с самыми распространенными мифами о ПД.
5 заблуждений об обработке и хранении персональных данных клиентов
Заблуждение № 1: Любые сведения о физическом лице считаются ПД
Если не вникать в суть вопроса, то так оно и есть.
Обратимся к норме Закона (ч.1 ст.3 ФЗ «О ПД»): «Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».
Но если перенести эту формулировку в реалии жизни, то персональными будут признаны только те данные, по которым легко можно идентифицировать человека.
Например, по адресу электронной почты или телефонному номеру вам вряд ли удастся установить конкретное лицо.
Отсюда и вывод: если по имеющимся сведениям нельзя вычислить безошибочно гражданина, то они не являются ПД.
В случае если анкета обратной связи не предусматривает указание кроме телефонного номера и адреса электронной почты иных сведений, по которым можно без труда определить конкретного пользователя, то данная информация не считается ПД. Даже если в ней указывается имя человека, это также не превратит ее в ПД, так как по нему нельзя идентифицировать физическое лицо.
В соответствии с ч.1 ст. 19 Гражданского кодекса РФ «Гражданин приобретает и осуществляет права и обязанности под своим именем, включающим фамилию и собственно имя, а также отчество, если иное не вытекает из закона или национального обычая».
Для наступления юридических последствий на основании нормы закона не достаточно указание имени. Кроме него необходимы фамилия и отчество.
Та же ситуация и с данными об IP адресе, cookie и др., которые автоматически собираются во время посещения нами различных сайтов. Все это не относится к ПД без прохождения полной идентификации личности.
Заблуждение № 2: Оператором по обработке ПД считается лицо, осуществляющее их обработку
Вновь обратимся к ФЗ «О персональных данных». На основании ч.2 ст.3 «Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».
Но имеются исключения из этого правила, о чем свидетельствует норма, прописанная в ч.3 ст.6 вышеуказанного закона: «Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора».
Их мы не считаем операторами ПД по причине того, что они не устанавливают цель, состав и действия, совершаемые с ПД.
К ним в реальности относятся организации, которые получают определенный заказ от клиента на обработку, хранение ПД или выполнение иной задачи. Ими могут быть, к примеру, консалтинговые или сервисные компании.
Обязанностью непосредственно самого клиента является получение разрешения от субъекта ПД на их обработку и совершение иных действий с ними.
Не торопитесь сразу относить себя к числу операторов ПД. Может быть такое, что вы получили эти данные от оператора, а не от самого субъекта ПД.
Заблуждение № 3: Обязанностью всех сайтов является размещение Политики конфиденциальности
На самом деле в ФЗ «О Персональных данных» мы можем увидеть норму, которая вводит обязанность публикации Политики конфиденциальности. А именно, это прописано в ч.2 ст.18.1.: «Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети».
Но опять же стоит помнить о некоторых исключениях:
- Как уже было оговорено в заблуждении № 1, не все данные о физ. лице относятся к персональным.
- Эти правила распространяются исключительно на лицо, которое выполняет обработку ПД по поручению оператора (вернитесь к заблуждению № 2).
- В ФЗ «О Персональных данных» нет норм, закрепляющих за частными лицами или ИП обязанность издавать документы и локальные нормативные акты, регулирующие вопросы обработки ПД. Пп.2 ч.1 ст.18.1 гласит, что это должны выполнять только юридические лица.
Заблуждение № 4: Для обработки ПД необходимо получить письменное согласие
Несомненно, первым и обязательным условием для обработки ПД является согласие на это самого субъекта ПД. Об этом четко говорится в пп.1 ч.1 ст.6 ФЗ «О Персональных данных». Но всегда ли для его получения стоит оформлять письменное разрешение с подписью субъекта ПД? Существует несколько правил:
- Согласие не требуется лицу, выполняющему свои действия на основании поручения оператора ПД.
- Получение отдельного согласия не потребуется, если оператор производит свои действия по обработке ПД;
- В рамках исполнения договора с субъектом ПД;
- Самим субъектом ПД либо по его просьбе доступ к ПД открыт неограниченному кругу лиц.
То есть если вы заключаете пользовательское соглашение, то вам будет достаточно уведомить пользователя об обработке его ПД.
- Согласие может быть предоставлено оператору в другой форме.
Иными словами, если ФЗ не содержит ссылки на получение только письменного согласия, то существует несколько альтернативных форм, в которых оно может быть дано: переход по ссылке, направленной пользователю на электронную почту в момент регистрации в аккаунте, введение специального кода, отправленного в смс-сообщении.
- Письменное согласие может быть подписано электронной подписью в случае наличия последней.
Заблуждение № 5: Все без исключения операторы ПД должны быть внесены в реестр Роскомнадзора
Исходя из этой нормы, большинство консультантов рекомендуют все же информировать Роскомнадзор.
Как указано в ч.1 ст.22 ФЗ, «Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных».
Но не стоит забывать про исключения, прописанные в той же статье. Существуют основания, наличие которых освобождает оператора от необходимости информировать Роскомнадзор.
Не уведомляя соответствующие органы, оператор может совершить обработку следующих ПД:
- «Полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных» (пп.2 ч.2 ст.22);
- «Сделанных субъектом персональных данных общедоступными» (пп.4 ч.2 ст.22).
Если вы все же встали на учет в Роскомнадзор, то будьте готовы к детальному анализу всех внутренних нормативных документов вашей компании и постарайтесь обеспечить их фактическое выполнение, иначе привлечения к административной или даже уголовной ответственности вам не избежать!