Обработка персональных данных работника и его родственников

Работодатель требует дать персональные данные на всех близких родственников (паспорт, ИНН и т.д.). Имеет ли он право требовать их? И для каких целей данная информация используется работодателем?

Ответы юристов (1)

Как следует из ст. 65 Трудового кодекса РФ,
При заключении трудового договора лицо, поступающее на работу, предъявляет работодателю:
паспорт или иной документ, удостоверяющий личность;
трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;
страховое свидетельство государственного пенсионного страхования;
документы воинского учета — для военнообязанных и лиц, подлежащих призыву на военную службу;
документ об образовании и (или) о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки;
справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, выданную в порядке и по форме, которые устанавливаются федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, — при поступлении на работу, связанную с деятельностью, к осуществлению которой в соответствии с настоящим Кодексом, иным федеральным законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию.
В отдельных случаях с учетом специфики работы настоящим Кодексом, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации может предусматриваться необходимость предъявления при заключении трудового договора дополнительных документов.
Из этой нормы следует, что работодатели не могут требовать в обязательном порядке от новых сотрудников при трудоустройстве персональные данные их близких родственников, за исключением случаев, когда специфика и особенности работы требуют предъявления при заключении трудового договора дополнительных документов.

Предоставлять такие данные, если Вам необходима работа, желательно, при этом, право работодателей обрабатывать персональные данные работников нормами ст.86 ТК РФ ограничено, а права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя, определены нормами ст.89 ТК РФ.

Ищете ответ?
Спросить юриста проще!

Задайте вопрос нашим юристам — это намного быстрее, чем искать решение.

Кто имеет право собирать персональные данные?

жилец нашего многоквартирного дома решила создать базу данных. объяснив-для чистки группы в ВК..она требует ФИ +№кв+№ личного телефона+№ авто+ данные о проживающих родственников..Группу в ВК она не создавала,в какой кв. живёт я не знаю, является ли собственником-не знаю,я ни чего о ней не знаю..хотя,как председатель совета дома,я могу поинтересоваться у директора УК о праве собственности,но не в коем случае № её личного телефона. да и директор УК мне его просто не даст!

обязана ли я давать свои данные? если нет,то на какой закон мне сослаться и как правильно ответить на её ТРЕБОВАНИЕ написать ей свои персональные данные?

Ответы юристов (2)

Здравствуйте. Согласно ст. 3 ФЗ «О персональных данных»

2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обязана ли я давать свои данные? если нет, то на какой закон мне сослаться и как правильно ответить на её ТРЕБОВАНИЕ написать ей свои персональные данные?

Не обязаны. Ст. 9 ФЗ «О персональных данных»:

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

Согласие на обработку персональных данных — добровольное.

Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 01.07.2017)
«О персональных данных»

Ищете ответ?
Спросить юриста проще!

Задайте вопрос нашим юристам — это намного быстрее, чем искать решение.

Имею ли я право переписывать паспортные данные посетителей прокуратуры?

Работаю в частной охранной организации охраняю прокуратуру города Краснодара,при входе в здание записываю входящих в здание граждан в журнал , одна женщина сказала, что я не имею право переписывать в журнал серию и номер паспорта,так вот вопрос имею ли я право переписывать серию и номер паспорта в журнал?

Ответы юристов (3)

Согласно ст. 5 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.Например, работодатель обрабатывает персональные данные работников, состоящих с ним в трудовых отношениях, а также лиц, состоящих с ним в гражданско-правовых отношениях.

Если запись персональных данных, как основание, является обязательным для пропуска посетителя и это закреплено в положении о пропускном режиме прокуратуры, то соответственно Вы обязаны соблюдать данное положение, исходя из требований договора с ЧООП. При этом Ваша организация выступает обладателем и обработчиком персональных данных.

Согласно п. 2 ст. 3 указанного закона оператор — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Соответственно, если от Вас требует работодатель фиксировать паспортные данные посетителей, то ЧООП целиком несет ответственность за их обработку.

Есть вопрос к юристу?

Здравствуйте, Вы просто обязаны это делать. Пусть жалуюется, если хочет.

Статья 12.1. Обеспечение внутриобъектового и пропускного режимов на объектах охраны
(введена Федеральным законом от 15.11.2010 N 298-ФЗ)

В соответствии с договором на оказание охранных услуг, заключенным охранной организацией с клиентом или заказчиком, частные охранники при обеспечении внутриобъектового и пропускного режимов в пределах объекта охраны, а также при транспортировке охраняемых грузов, денежных средств и иного имущества имеют право:
1) требовать от персонала и посетителей объектов охраны соблюдения внутриобъектового и пропускного режимов. Правила соблюдения внутриобъектового и пропускного режимов, устанавливаемые клиентом или заказчиком, не должны противоречить законодательству Российской Федерации;

2) осуществлять допуск лиц на объекты охраны, на которых установлен пропускной режим, при предъявлении ими документов, дающих право на вход (выход) лиц, въезд (выезд) транспортных средств, внос (вынос), ввоз (вывоз) имущества на объекты охраны (с объектов охраны);

Вызывает сомнение такое право, хотя подобная практика широко применяется. Регистрация персональных данных в журнале явно не эквивалентно проверке документов. Проверка документов не подразумевает ни копирование этих документов, ни выполнение записи из этих документов.

Как только из документа производят запись идентифицирующих лицо сведений (ФИО, серия и № паспорта, некоторые еще и адрес регистрации или дату и место выдачи) — немедленно речь идет об обработке персональных данных.

Раз это так — то требуется письменное согласие на обработку ПД. По факту письменное согласие никто не оформляет.

Каким нормативным актом это предусмотрено (обработка ПД охранником)? Да еще в журнальчике, на котором он бутерброды раскладывает.

Смотрите так же:  Ка оформить машину

Разумеется, этот журнал — не опечатан, не сдается на хранение, не уничтожается по акту и т.п.

В общем, хоть практика такая и есть, но она вызывает много вопросов. Ждем утечки этих данных и прямого запрета на эту самодеятельность.

Ищете ответ?
Спросить юриста проще!

Задайте вопрос нашим юристам — это намного быстрее, чем искать решение.

Полиция записала мои данные без какой-либо причины

Сегодня сидели в парке, курили, подошла полиция в составе 4х человек и попросили нас документы (естественно нам всем есть 18 и более лет), я показал студенческий билет (в нем нет года рождения) девушка переписала мои данные(имя,фамилию, отчество и год рождения).

Вопрос таков, для чего они это сделали?

Официально ли это?

Ответы юристов (3)

Согласно статьи 13 Закона «О полиции»

полиция имеет право — проверять документы, удостоверяющие личность граждан, если имеются данные, дающие основания подозревать их в совершении преступления или полагать, что они находятся в розыске, либо если имеется повод к возбуждению в отношении этих граждан дела об административном правонарушении, а равно если имеются основания для их задержания в случаях, предусмотренных федеральным законом

Уточнение клиента

То есть если они просто переписали мои данные (я не ставил подписи своей) они могут составить какой-то протокол (административный, уже потом, без моего присутствия, и прислать его мне)?

21 Мая 2014, 18:11

Есть вопрос к юристу?

Нет, протокол без Вас составить не могут, поскольку Вы должны расписаться в таком протоколе об ознакомлении, либо должны поставить отметку о Вашем отказе в подписи протокола.

Скорее всего, сотрудники полиции просто немного превысили полномочия, проверив Ваши документы без достаточных на то оснований. Никаких последствий, я думаю это не повлечет. Если только за Вами нет все же какого-нибудь мелкого «грешка».

Если честно, то в данной ситуации можно гадать очень долго. Может быть действия полиции были и законны. Допустим у них была какая-то ориентировка на человека, по описанию похожего на Вас (Ф.И.О. этого человека, допустим, им известны), поэтому они просто проверили ваши документы, как у человека внешне похожего, убедившись, что у Вас другое Ф.И.О. они конечно же к Вам претензий не имели, документы вернули и ушли.

Еще раз повторюсь, вариантов может быть множество. Определенного ответа в Вашей ситуации дать нельзя.

Уточнение клиента

Благодарю, все прекрасно объяснили 🙂

21 Мая 2014, 18:24

Без вашего участия никакой протокол не составят. Возможно кто-то из четверых был похож на подозреваемого по делу, вот и переписали ваши данные себе на случай, если действительно кто-то им окажется.

Ищете ответ?
Спросить юриста проще!

Задайте вопрос нашим юристам — это намного быстрее, чем искать решение.

Обязан ли я предоставлять личные данные сотрудникам полиции

Стояли с другом около жилого дома,время было около 21 : 00,подъезжает полицейская машина,нас спрашивают,что мы здесь делаем и т.п.Просят предоставить личные данные,imei номера телефонов,нас пробивают по базе,оказывается все нормально.

Обязаны ли мы предоставлять им свои личные данные?

Ответы юристов (2)

Никита! Кроме паспорта, т.е документа, удостоверяющего Вашу личность Вы ничего предъявлять не обязаны.

Если у полицейских имеется ориентировка на преступников и если вы хоть слегка похоже, вас могут даже увести в отдел для разбирательства. Так же могут посмотреть ваш телефон на имей, не краденный ли. Но любой досмотр одежды должен сопровождаться протоколом личного досмотра.

Но в любом случае если вы считаете, что ваши права были хоть как-то ущемлены, вы можете подать жалобу в прокуратуру на действия полицейских, подробно указав когда всё случилось, чтобы можно было установить, что за наряд был.

Ищете ответ?
Спросить юриста проще!

Задайте вопрос нашим юристам — это намного быстрее, чем искать решение.

Продавцам хотят запретить требовать у покупателей паспортные данные без необходимости

Продавцов товаров и услуг хотят штрафовать за необоснованные требования персональных данных покупателей и клиентов. Роспотребнадзор высказал такую идею в докладе за 2016 год, сообщают «Известия».

Сейчас гражданина могут попросить предъявить паспорт, при оформлении билета на концерт или заказе товара через интернет, тогда как по закону спрашивать документы необходимо только при продаже билета на самолет или поезд. Начальник управления защиты прав потребителей Роспотребнадзора Олег Прусаков подтвердил, что запрос данных при любых других покупках не предусмотрен законом, но существует. «Некоторое время назад паспорта спрашивали на входе в Третьяковскую галерею», – привел он пример.

Строго говоря, законом установлены случаи, когда личные данные запрашивать обязательно, а вот запрета для остальных не установлено, чем и пользуются продавцы. «Вопрос с обработкой персональных данных в последнее время набирает актуальность, это коснулось не только сферы оказания услуг и покупки товаров для личных нужд, но и любого общения с физическими лицами на сайтах компаний путем сервисов обратной связи и тому подобное», – добавляет советник DS Law Екатерина Ильина. Теперь государство хочет ввести запрет на запрос личной информации для всех видов сделок, кроме строго установленных.

Пока неизвестно, какой штраф ждет компанию-нарушителя, соответствующий законопроект еще не внесен в Госдуму.

Всё, что нужно знать о персональных данных

Формы обратной связи, соцсети, иностранные сервера и рога оленя

Статья про закон о персональных данных неожиданно для нас вызвала много вопросов у читателей. Неожиданно, потому что закону уже больше десяти лет. За нарушение этого закона и сейчас могут штрафовать: его нужно было соблюдать и год назад, и сегодня. Просто с 1 июля 2017 года всё станет серьезнее.

Вот что вы спрашивали о персональных данных.

Консультируйтесь с юристом

Статья в Тинькофф-журнале не заменяет помощь квалифицированного юриста. Если вы не знаете, что делать с персональными данными и как всё оформить, обратитесь за профессиональной помощью.

Объясните вкратце для тех, кто не в курсе

В России есть закон о персональных данных. Чтобы собирать, обрабатывать и хранить данные о сотрудниках, подписчиках на рассылку и посетителях сайта, нужно почти всегда получать их согласие, а сами данные хранить в России.

За нарушение закона штрафуют. С 1 июля штрафы увеличатся до 75 тысяч рублей, а у Роскомнадзора будет побольше полномочий.

Зачем придумали этот закон? Это очередной способ пополнить кормушку. Теперь и сайт нет смысла делать, будут еще штрафовать каждый месяц.

Закон о персональных данных нужен тем, чьи данные собирают, обрабатывают и хранят. Цель закона — защитить интересы и права этих людей.

Нормы защиты персданных придумали не в России. Правила их обработки ООН описала еще в 1948 году во Всеобщей декларации прав человека. В 1981 году Совет Европы принял конвенцию по обработке персональных данных. А Россия ее ратифицировала и в 2006 году разработала свой закон.

В Европе паранойя по поводу персданных уже давно

Конституция гарантирует каждому человеку неприкосновенность частной жизни, тайну переписки и телефонных переговоров. Даже без закона о персональных данных нельзя обрабатывать, хранить и распространять информацию о человеке без его согласия.

Отдельная глава про персональные данные есть в трудовом кодексе: работодатели не могут свободно распоряжаться информацией о сотрудниках.

Однако персональные данные оставляют постоянно: чтобы оформить заказ в интернет-магазине, взять кредит в банке, устроить ребенка в детский сад, зарегистрироваться в соцсети или подписаться на рассылку. Когда человек оставляет свои данные, он должен быть уверен, что его адрес не разместят в открытом доступе, а телефон не передадут кому-то без разрешения. А тот, кто обрабатывает персональные данные, хочет гарантий, что на него не подадут в суд за рекламную рассылку.

Недавно мы рассказывали, как мошенники смогли получить чужой НДФЛ. Это произошло в том числе из-за того, что кто-то нарушил правила обработки персональных данных.

Закон о персональных данных прописывает для всех правила игры. Он заставляет всех принимать дополнительные предосторожности, но и защищает он тоже всех.

У меня есть сайт. Я не ИП и не юрлицо — просто человек. Нужно ли соблюдать закон о персональных данных в таком случае?

Да, закон нужно соблюдать всем, кто обрабатывает чьи-то персональные данные. Оператором может быть юридическое лицо, ИП , государственный орган или обычный человек, который создал и администрирует форум по интересам. Точное определение, кто является оператором и что такое обработка персональных данных, есть в 3 статье закона.

Смотрите так же:  Исковое заявление о признании гражданина безвестно отсутствующим

Например, девушка создала форум для беременных, чтобы потом размещать там рекламу. При регистрации участники указывают информацию о себе. Эта девушка — оператор персональных данных. Она получает сведения о других людях и что-то с этими данными делает: систематизирует по возрасту и интересам, проверяет активность пользователей, использует для рассылки, приглашений или просто хранит.

Любое из этих действий — это обработка персональных данных. Любой, кто это действие производит, — оператор.

У меня есть электронные почты друзей, список контактов в телефоне, аккаунты разных людей в соцсетях. Получается, я тоже оператор и должен получать согласие этих людей на то, чтобы хранить и удалять их данные?

Нет, в таких случаях согласие не нужно. Под действие закона не попадают персональные данные, которые обрабатывают для личных и семейных нужд . Это могут быть контакты нужных людей в телефонном справочнике, визитки коллег и партнеров, профили друзей на фейсбуке.

Это исключение действует, только если не нарушаются права этих людей. Например, их данные не оставляют в банке как контакты для связи при оформлении кредита, не публикуют в общем доступе без разрешения или не передают рекламодателям.

Форма обратной связи тоже попадает под действие закона?

Если в ней человек может ввести свои персональные данные — то да, попадает.

В законе нет исключений по поводу формы и способа сбора персональных данных. И уточнения, что именно является сбором, тоже нет. Минкомсвязи считает, что сбор — это какая-то документально оформленная процедура получения данных о человеке. Форма обратной связи подходит под это определение .

Сама по себе форма обратной связи не попадает под действие закона только потому, что она есть. Важно, какие данные передает посетитель через эту форму , можно ли по ним прямо или косвенно идентифицировать человека и нанести ему вред в случае утечки и распространения.

Если посетитель сайта указывает в форме свое имя, фамилию, телефон и электронную почту — это персональные данные. Тот, кто эти данные получает, обрабатывает и хранит, считается оператором персональных данных и должен соблюдать закон.

А если получаешь только имя без фамилии и номер телефона, это тоже попадает под персональные данные? А если только номер телефона?

По закону персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Это определение ничего не дает и не проясняет.

Если понимать буквально, то персональными данными можно считать что угодно. Юристы спорят по этому поводу уже много лет.

Минкомсвязи конкретики не дает и говорит так: более точно определить состав персональных данных, в том числе привести их перечень, представляется нереализуемым . Никаких четких пояснений от других ведомств по этому поводу тоже нет.

Если будет спор по поводу принадлежности почты или логина к персональным данным, всё решит суд. Несколько решений по поводу персональных данных суды уже вынесли. Из них следует очевидное: персональными данными считаются ФИО , паспортные данные, адрес, номера телефонов, информация о членах семьи, из пенсионного дела и трудового договора. Еще из них следует неочевидное: ИНН сам по себе не является персональными данными, а данные о факте пересечения границы — являются.

Сам по себе логин — это вроде бы не персональные данные. По набору символов нельзя понять, что это за человек и даже какого он пола.

Но если на аватарку человек поставит свою настоящую фотографию или при регистрации укажет почту, где в названии будет его фамилия с инициалами, а в доменном имени — название компании, то в совокупности это уже персональные данные.

Никто толком не знает, какие данные персональные

В законе нет никаких исключений по теме сайта, организационно-правовой форме и набору данных.

Чтобы не рисковать, лучше сделать так.

Если вы где-нибудь с какой-нибудь целью собираете любую информацию о каких-то физических лицах, нужно зафиксировать их согласие и подготовить документы . Если это сделать для страховки, даже когда не надо, ничего страшного не будет. А если этого не сделать, могут быть претензии от пользователей и Роскомнадзора.

Я делаю сайт для клиента, обрабатываю и храню данные на своей стороне. При этом владелец сайта не обязан быть оператором персональных данных?

Владелец сайта обязан быть оператором персональных данных и соблюдать закон. По закону можно собирать персональные данные и передавать их кому-то на обработку. Владелец сайта может передать данные клиентов вебмастеру, интернет-магазин — сервису рассылки.

Чтобы так делать, владелец сайта должен получить у посетителей разрешение и объяснить им, кому и зачем он передаст их данные.

Ответственность на владельце

Тот, кому он передаст данные на обработку, отдельное разрешение получать не должен, а соблюдать закон — должен.

Отвечать за соблюдение закона перед посетителями сайта будет его владелец.

Владельца сайта Роскомнадзор и суд будут определять по совокупности данных. Если на сайте размещена информация о конкретном юридическом лице или ИП , спросят с него. Если таких данных нет, спросят с администратора домена.

А как они поймут, что я храню и обрабатываю данные, чтобы выписать штраф? Это в российском дата-центре можно маски-шоу устроить и вынести сервер, а за границей такие номера не проходят.

Роскомнадзор узнает о нарушениях двумя способами:

  • сам проведет проверку;
  • отреагирует на чью-то жалобу.

Например, вы получили рассылку, на которую не подписывались, или вам звонят менеджеры из интернет-магазина, хотя вы не соглашались на рекламный обзвон. Или автосалон без разрешения передал ваш телефон страховому агенту, и теперь вам пытаются впарить каско. Можно потребовать удалить данные из базы, пожаловаться в Роскомнадзор и возместить ущерб через суд. Для этого нужно быть уверенным, что согласия не было, а данные передали незаконно. Иногда согласие получают через договор присоединения или законно передают данные, чтобы выполнить условия договора.

Сначала читать, потом подписывать

Если Роскомнадзор обнаружит нарушения, сайт могут заблокировать, а компанию оштрафуют.

По закону операторы обязаны хранить персональные данные на российских серверах. Есть несколько исключений, но это частности. Любой интернет-магазин или сервис по подписке должен хранить базу с персональными данными граждан в России.

Потом можно передавать эти данные за границу. Это законно, но при определенных условиях. Иначе нельзя было бы бронировать гостиницы и покупать билеты на самолет за границей.

Роскомнадзор может потребовать предоставить подтверждение по поводу места хранения баз данных. Например, договор с дата-центром, хостингом или документы на собственный сервер. Если выяснится, что персональные данные хранятся с нарушениями и не в России, будут проблемы.

Кроме закона о персональных данных есть требования Федеральной службы по техническому и экспортному контролю и ФСБ. Еще к проверке может подключиться прокуратура. Им хватит полномочий, чтобы узнать, где на самом деле хранятся данные, и разобраться с нарушениями.

А если у нас сайт на английском?

Закон о персональных данных нужно соблюдать, если сайт используется для работы на территории РФ . Теоретически Роскомнадзор имеет право и может его заблокировать.

Вот какие признаки используют, чтобы это понять:

  • доменное имя связано с РФ или субъектом;
  • есть русскоязычная версия сайта;
  • расчет за товары или услуги происходит в рублях, доставка возможна на территорию РФ ;
  • потребители содержимого сайта — россияне;
  • есть реклама на русском, которая ведет на этот сайт.

Если есть какое-то сочетание этих факторов, оператор персональных данных должен соблюдать закон, даже если это иностранная компания. А это значит, что документы должны быть доступны и понятны в РФ . Достаточно иметь их на русском языке, чтобы их понимал Роскомнадзор и граждане России. На нерезидентов за пределами страны наш закон о персональных данных не распространяется.

Как определять гражданство посетителя, закон не объяснил. Операторам предложили решать эту проблему самостоятельно. А если четкой позиции и инструментов нет, стоит соблюдать закон в отношении всех персональных данных, которые собрали на территории России.

Дублировать те же документы на иностранных языках для россиян нет смысла. Но эти правила придумали не в России. Есть конвенция Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера. Так что, если собираете данные иностранцев, подумайте, как соблюдаете закон той страны, резидентами которой они являются.

Смотрите так же:  Кассационная жалоба на решение арбитражного суда рассматривается в срок

В Европе за однократное нарушение правил обработки персональных данных штрафуют на сотни тысяч евро. В России максимальный штраф с 1 июля 2017 года — 75 тысяч рублей.

Могу ли я не регистрироваться в Роскомнадзоре, если поменяю поле в форме обратной связи с «Ваше имя» на «Ваша компания»?

Закон о персональных данных защищает данные только физических лиц . Он не распространяется на данные о компаниях. Но то, что указано в форме обратной связи, — это формальность. Важно, какие именно данные и с какой целью собирает владелец сайта.

Если это на самом деле название компании и телефон офиса, такая информация не попадает под действие закона. Но если сайт собирает почтовые адреса и телефоны сотрудников компаний, чтобы потом делать по ним рассылку или передавать их третьим лицам, могут быть проблемы как со стороны этих сотрудников, так и от Роскомнадзора.

В Роскомнадзоре должны зарегистрироваться все операторы персональных данных. Исключения только для случаев, перечисленных в п. 2 ст. 22 закона о персональных данных.

Вот публикую я пост в фейсбуке и упоминаю своего друга — значит, я данные обрабатываю? Кэш поста хранится на телефоне, значит, я данные храню? А если сделаю репост в твиттер, то я их еще и предоставляю третьей стороне. И как с этим жить?

Это не нарушение закона. В этом случае оператором персональных данных выступает социальная сеть. Каждый, кто там зарегистрировался, дал согласие на публикацию, обработку и использование его данных.

Все пользователи фейсбука согласились на обработку данных о своем местоположении, используемых устройствах, друзьях, интересах, платежах, посещенных сайтах и связях с другими людьми. И даже на то, что фейсбук может получить доступ к адресной книге на любом устройстве и потом использовать эти данные.

Вы уже разрешили фейсбуку делать с вашими персданными что угодно

Все согласились на то, что эти данные фейсбук передает своим партнерам и рекламодателям. И на то, что любой пользователь может ссылаться, упоминать и отмечать на фотографиях кого захочет в рамках их настроек безопасности. Это законно и за это отвечает фейсбук, а не пользователи.

Так устроена любая соцсеть и общедоступные справочники.

Если на столбе объявление «Куплю рога оленя, 8 800…, Геннадий», то этот столб можно оштрафовать?

Нет, столб оштрафовать нельзя. Юридическим лицом он тоже не является. А люди, которые читают такие объявления и записывают номера телефонов, чтобы продать рога, не операторы персональных данных и не попадают под действие закона.

Геннадий сам сделал свои данные общедоступными , чтобы купить рога оленя. А те, кто позвонит ему по поводу покупки рогов, используют телефон в личных целях.

Если телефон Геннадия запишет микрофинансовая организация и начнет присылать ему рекламу быстрых займов, то ее можно привлечь к ответственности. Геннадий не давал ей согласия на обработку персональных данных для рассылки рекламы.

Человека, который случайно увидел телефон Геннадия, записал его в телефонную книгу или даже позвонил Геннадию с предложением купить рога, привлечь к ответственности нельзя.

То есть если человек специально опубликовался для каких-то рекламных целей, то это не считается персональными данными? На «Авито», например.

Если человек передает свои персональные данные какому-то ресурсу, даже с рекламной целью, этот ресурс должен соблюдать закон. Он должен предупредить пользователя, зачем собирает персональные данные, что будет с ними делать, где публиковать, кому передавать.

Чтобы подать объявление на «Авито», нужно зарегистрироваться и подтвердить номер телефона. Без регистрации объявление подать нельзя.

«Авито» объясняет, что использует данные, чтобы размещать их на сайте, информационных ресурсах, передавать своим партнерам, проводить конкурсы и проверять личность пользователя. Еще «Авито» может передавать данные пользователей за границу и отдавать их на обработку каким-то третьим лицам и честно об этом пишет. Это законно.

Нет такого правила, что если человек сам разместил данные в общем доступе на каком-то ресурсе, то с ними можно делать что угодно: распространять, обрабатывать и хранить у себя без разрешения.

Единственное исключение для общедоступных данных: оператор таких данных может не подавать уведомление в Роскомнадзор. Но получать согласие, обеспечивать безопасность и удалять данные по требованию их владельца он обязан.

Как правильно получить согласие на обработку персональных данных на сайте? Можно взять шаблон с сайта какой-то крупной компании?

Нельзя брать любое соглашение и использовать его на своем сайте, но можно посмотреть, как сделали другие, и использовать этот опыт.

Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Молчание или отсутствие возражений на обработку персональных данных — это не согласие.

Конкретной формы, в которой его нужно получать от посетителя и клиента, нет. Это может быть ссылка на пользовательское соглашение в ответном письме или галочка в форме регистрации.

Согласие должно быть осознанным и информированным

Главное, чтобы можно было доказать, что это согласие получено и посетитель понимал, на что он соглашается.

У каждого оператора должны быть цели. Интернет-магазин собирает данные об адресах, чтобы доставить товар; сервис по подписке просит указать электронную почту, чтобы отправлять письма; медицинский центр систематизирует данные о состоянии здоровья; школа — данные о семье.

Собирать, обрабатывать и хранить можно только те персональные данные, которые соответствуют цели. У «Ламоды», «Главреда», «Библио-глобуса» и детского сада цели не могут быть одинаковыми. А если собирать лишние данные, за это могут оштрафовать.

Получить согласие на обработку персональных данных недостаточно. Нужно соблюдать семь принципов обработки и правильно оформлять внутренние документы.

Лучше сделать это один раз и с помощью юриста, чем платить штрафы государству и возмещать моральный вред.

Ясно. Судя по всему, я оператор персданных. Что мне конкретно делать?

Изучите закон. Он сложный, там много непонятного, а какие-то вопросы вообще не объясняются. Если не можете разобраться сами, попросите юриста, которому доверяете.

На некоторые вопросы отвечает Минкомсвязи — эти разъяснения тоже лучше изучить лично. Можно там же задать вопрос по своей ситуации или написать в Роскомнадзор.

Разместите на сайте пользовательское соглашение, политику конфиденциальности, оферту или еще какой-то документ, откуда посетитель поймет, какие данные вы собираете, что с ними делаете, куда передаете, как храните и когда удаляете. Внимательно относитесь к формулировкам: они пригодятся в суде.

Формируйте базу с персональными данными на российских серверах. Потом можете передавать данные за границу, если это законно, обоснованно и безопасно.

Обеспечьте техническую безопасность данных и защитите их от утечки.

Оформите внутренние документы. Их много. Это приказы, распоряжения, инструкции и подписки. Это нужно сделать один раз, но правильно. При проверке Роскомнадзор имеет право их потребовать и проверить.

Подайте уведомление в Роскомнадзор, если не попадаете под исключения из ст. 22 закона о персональных данных. Если попадаете под исключения, оформите документы так, чтобы это было понятно при визуальной проверке и к вам не придрались.

Заверьте страницы сайта с документами по поводу персональных данных у нотариуса, чтобы вас не обвинили в их отсутствии или изменении формулировок.

Если у вас нет сайта, вы тоже можете быть оператором персональных данных. Необязательно собирать их автоматизированным способом и через интернет. Когда вы берете на работу сотрудника, вы тоже обрабатываете персональные данные. Правильно оформляйте документы.

Закон о персональных данных — это не страшно

Это нормальная мировая практика. Чтобы его соблюдать, не нужно тратить много денег. И бояться штрафов тоже не нужно. Если один раз всё правильно оформить и аккуратно относиться к информации о других людях, вам ничего не грозит.

Каждый из нас — субъект персональных данных. Этот закон защищает и наши данные тоже. И если кто-то его нарушит, можно подать в суд, заблокировать сайт-нарушитель, потребовать удалить информацию о себе и даже получить компенсацию.

Кто имеет право спрашивать личные данные