Как посмотреть, кому вы дали согласие о персональных данных
Обработка и хранение персональных данных регулируется Федеральным законом «О персональных данных» от 27.07.2006 N 152-ФЗ, согласно которому субъект персональных данных, принимает решение о предоставлении его персональных данных и дает согласие на их обработку по своей воле. Иначе говоря, в некоторых случаях, например при трудоустройстве, потребуется дать свое согласие на обработку работодателем персональных данных. В то же время закон оставляет право за субъектом отозвать такое согласие.
Персональные данные обрабатываются государственными и частными компаниями, а также интернет-сервисами. В некоторых случаях, чаще в интернете, мы даем согласие не задумываясь, а впоследствии и вовсе забываем об этом. Доступ к данным остается у тех, чьими услугами даже не пользуемся.
На портале «Госуслуги» можно проверить, кому и к каким именно данным вы давали доступ. К сожалению, у способа есть один существенный недостаток. Если согласие было предоставлено на бумаге или в электронном виде на сайте, который не использует «Единую систему идентификации и аутентификации» (ЕСИА), такое согласие можно отозвать, только написав заявление. Тем не менее даже в этом случае организаций, которые используют ваши данные может быть гораздо больше, чем вы думаете. Однозначно стоит проверить.
Как отозвать согласие об обработке персональных данных
Вы должны быть зарегистрированы на портале «Госуслуги». В противном случае придется зарегистрироваться и подтвердить учетную запись.
Объявляю вас оператором персональных данных
Если компания собирает персональные данные клиентов через сайт или отправляет данные сотрудников в банк для зарплатного проекта, она должна подать уведомление в Роскомнадзор и зарегистрироваться как оператор персональных данных. Но иногда компании думают, что лучше не привлекать внимание ведомства и не подавать уведомление. Они ведь и раньше собирали данные, а уведомление подают только сейчас. Точно придет проверка, и придется платить штраф.
Отсиживаться рискованнее, чем подать уведомление. Об этом рассказывает эксперт по персональным данным Максим Лагутин.
Кто относится к операторам персональных данных
Оператор персональных данных — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Например, собирают электронные адреса для рассылки или просят покупателей оставить имя и телефон для заказа в интернет-магазине. Дословно в законе так:
Збагойно: 152-ФЗ — в «Деле»
Персональные данные — это любые данные о человеке, по которым его можно определить. Например:
Ник без других данных не считается персональными данными, по нему нельзя определить человека.
С геопозицией и куками ситуация спорная. Формально сами по себе они не считаются персональными данными. Например, только по геопозиции трудно определить, кто находится в этой точке. В реальности Роскомнадзор в 2016—2017 годах разработал рекомендации по обработке этих данных и начал проводить проверки.
«МГТС» продавала данные своих клиентов другим компаниям:
По сути это были куки — данные о том, какие страницы посещают клиенты. По этим данным компании показывали клиентам нужную рекламу. Согласия от клиентов у «МГТС» на обработку данных не было. Компания думала, что куки не считаются персональными данными, поэтому согласие на них не нужно.
Суд с компанией не согласился и назначил штраф 30 000 рублей.
Мы рекомендуем перестраховываться и считать куки и геопозицию персональными данными. Особенно если компания вместе с этими данными получает другую личную информацию о клиентах, например имя, телефон, электронную почту.
Роскомнадзор считает, что компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет. Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных. Такой же позиции придерживаются суды.
Данные из социальных сетей
По закону компания не должна подавать уведомление в Роскомнадзор, если использует общедоступные данные. Например, если берет телефон и имя человека из телефонного справочника. Справочник уже получил согласие от человека разместить данные о нем, поэтому второй раз спрашивать не надо.
Номинально информацию с открытых страниц в социальных сетях можно считать общедоступной. Казалось бы, человек зарегистрировался в соцсети, сам открыл доступ к своим имени и телефону. Значит, данные можно брать. В оферте с пользователями Вконтакте есть пункт о том, что данные могут быть доступны другим пользователям интернета:
В реальности мало кто читает оферту. Поэтому Роскомнадзор говорит, что данные из соцсетей можно обрабатывать, если человек дал на это согласие.
В 2017 году ВКонтакте подал в суд на компанию «Double Data» и «Национальное бюро кредитных историй». Они брали информацию из открытых профилей пользователей, оценивали их кредитную историю и продавали информацию банкам.
Социальная сеть просила взыскать с компаний по одному рублю. «Вконтакте» выиграл суд.
Получается, данные в соцсетях не считаются общедоступными. Нельзя просто взять телефоны пользователей и начать им продавать пылесосы-роботы. В этом деле соцсеть хотела обратить внимание на проблему, поэтому иск был на рубль. Но в другом деле пользователь может подать в суд на компанию на миллион или два.
Наш совет — получать от клиентов разрешение, чтобы использовать открытые данные из социальных сетей. Например, при регистрации в интернет-магазине с данными Вконтакте можно показывать такое сообщение:
«Для регистрации мы будем использовать открытые данные с вашей страницы Вконтакте: имя, электронную почту, телефон. Если согласны с этим, нажмите на кнопку „Далее“».
Если пользователь согласится, то претензий к компании не будет.
Когда уведомление не нужно
По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:
Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника;
Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор. Исключение — парикмахерские в поселке или продавцы мяса на рынке.
Проверка Роскомнадзора
Мы знаем компании, которые обрабатывают персональные данные и боятся подавать уведомление. Они думают, что раз раньше обрабатывали данные без уведомления, то нарушали закон и получат штраф. Они и правда нарушали закон, но это не значит, что Роскомнадзор сразу придет с проверкой.
В реестре Роскомнадзора 380 тысяч компаний, и цифра постоянно растет:
Проверить все компании из списка Роскомнадзор не может. По нашим наблюдениям проверки чаще всего приходят к компаниям, которые пытаются затаиться и не подают уведомление. Это Роскомнадзор подтвердил летом на Дне открытых дверей.
Проверка приходит не сразу. Сначала Роскомнадзор присылает письмо с просьбой объяснить, почему компания собирает данные и не регистрируетя как оператор. Не ответить на такое письмо — повод для проверки.
Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то еще способ. Был случай, когда в Астрахани оштрафовали все компании на букву А. которые обрабатывали персональные данные и не подали уведомление.
Роскомнадзор чаще всего обращает внимание на компании, которые используют персональные данные для:
Поэтому мы рекомендуем подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку. Штраф за обработку персональных данных без уведомления — 5000 рублей. Дополнительно к этому Роскомнадзор может заблокировать сайт или приостановить деятельность компании, но это редкие меры.
Если Роскомнадзор придет с проверкой, он может обнаружить, что компания неправильно обрабатывает персональные данные, штраф может быть до 75 000 рублей.
Всё, что нужно знать о персональных данных
Формы обратной связи, соцсети, иностранные сервера и рога оленя
Статья про закон о персональных данных неожиданно для нас вызвала много вопросов у читателей. Неожиданно, потому что закону уже больше десяти лет. За нарушение этого закона и сейчас могут штрафовать: его нужно было соблюдать и год назад, и сегодня. Просто с 1 июля 2017 года всё станет серьезнее.
Вот что вы спрашивали о персональных данных.
Консультируйтесь с юристом
Статья в Тинькофф-журнале не заменяет помощь квалифицированного юриста. Если вы не знаете, что делать с персональными данными и как всё оформить, обратитесь за профессиональной помощью.
Объясните вкратце для тех, кто не в курсе
В России есть закон о персональных данных. Чтобы собирать, обрабатывать и хранить данные о сотрудниках, подписчиках на рассылку и посетителях сайта, нужно почти всегда получать их согласие, а сами данные хранить в России.
За нарушение закона штрафуют. С 1 июля штрафы увеличатся до 75 тысяч рублей, а у Роскомнадзора будет побольше полномочий.
Зачем придумали этот закон? Это очередной способ пополнить кормушку. Теперь и сайт нет смысла делать, будут еще штрафовать каждый месяц
Закон о персональных данных нужен тем, чьи данные собирают, обрабатывают и хранят. Цель закона — защитить интересы и права этих людей.
Нормы защиты персданных придумали не в России. Правила их обработки ООН описала еще в 1948 году во Всеобщей декларации прав человека. В 1981 году Совет Европы принял конвенцию по обработке персональных данных. А Россия ее ратифицировала и в 2006 году разработала свой закон.
В Европе паранойя по поводу персданных уже давно
Конституция гарантирует каждому человеку неприкосновенность частной жизни, тайну переписки и телефонных переговоров. Даже без закона о персональных данных нельзя обрабатывать, хранить и распространять информацию о человеке без его согласия.
Отдельная глава про персональные данные есть в трудовом кодексе: работодатели не могут свободно распоряжаться информацией о сотрудниках.
Однако персональные данные оставляют постоянно: чтобы оформить заказ в интернет-магазине, взять кредит в банке, устроить ребенка в детский сад, зарегистрироваться в соцсети или подписаться на рассылку. Когда человек оставляет свои данные, он должен быть уверен, что его адрес не разместят в открытом доступе, а телефон не передадут кому-то без разрешения. А тот, кто обрабатывает персональные данные, хочет гарантий, что на него не подадут в суд за рекламную рассылку.
Недавно мы рассказывали, как мошенники смогли получить чужой НДФЛ. Это произошло в том числе из-за того, что кто-то нарушил правила обработки персональных данных.
Закон о персональных данных прописывает для всех правила игры. Он заставляет всех принимать дополнительные предосторожности, но и защищает он тоже всех.
У меня есть сайт. Я не ИП и не юрлицо — просто человек. Нужно ли соблюдать закон о персональных данных в таком случае?
Например, девушка создала форум для беременных, чтобы потом размещать там рекламу. При регистрации участники указывают информацию о себе. Эта девушка — оператор персональных данных. Она получает сведения о других людях и что-то с этими данными делает: систематизирует по возрасту и интересам, проверяет активность пользователей, использует для рассылки, приглашений или просто хранит.
Любое из этих действий — это обработка персональных данных. Любой, кто это действие производит, — оператор.
У меня есть электронные почты друзей, список контактов в телефоне, аккаунты разных людей в соцсетях. Получается, я тоже оператор и должен получать согласие этих людей на то, чтобы хранить и удалять их данные?
Это исключение действует, только если не нарушаются права этих людей. Например, их данные не оставляют в банке как контакты для связи при оформлении кредита, не публикуют в общем доступе без разрешения или не передают рекламодателям.
Форма обратной связи тоже попадает под действие закона?
Если в ней человек может ввести свои персональные данные — то да, попадает.
Если посетитель сайта указывает в форме свое имя, фамилию, телефон и электронную почту — это персональные данные. Тот, кто эти данные получает, обрабатывает и хранит, считается оператором персональных данных и должен соблюдать закон.
А если получаешь только имя без фамилии и номер телефона, это тоже попадает под персональные данные? А если только номер телефона?
По закону персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Это определение ничего не дает и не проясняет.
Если понимать буквально, то персональными данными можно считать что угодно. Юристы спорят по этому поводу уже много лет.
Сам по себе логин — это вроде бы не персональные данные. По набору символов нельзя понять, что это за человек и даже какого он пола.
Но если на аватарку человек поставит свою настоящую фотографию или при регистрации укажет почту, где в названии будет его фамилия с инициалами, а в доменном имени — название компании, то в совокупности это уже персональные данные.
Никто толком не знает, какие данные персональные
В законе нет никаких исключений по теме сайта, организационно-правовой форме и набору данных.
Чтобы не рисковать, лучше сделать так.
Я делаю сайт для клиента, обрабатываю и храню данные на своей стороне. При этом владелец сайта не обязан быть оператором персональных данных?
Владелец сайта обязан быть оператором персональных данных и соблюдать закон. По закону можно собирать персональные данные и передавать их кому-то на обработку. Владелец сайта может передать данные клиентов вебмастеру, интернет-магазин — сервису рассылки.
Чтобы так делать, владелец сайта должен получить у посетителей разрешение и объяснить им, кому и зачем он передаст их данные.
Тот, кому он передаст данные на обработку, отдельное разрешение получать не должен, а соблюдать закон — должен.
Отвечать за соблюдение закона перед посетителями сайта будет его владелец.
А как они поймут, что я храню и обрабатываю данные, чтобы выписать штраф? Это в российском дата-центре можно маски-шоу устроить и вынести сервер, а за границей такие номера не проходят
Роскомнадзор узнает о нарушениях двумя способами:
Например, вы получили рассылку, на которую не подписывались, или вам звонят менеджеры из интернет-магазина, хотя вы не соглашались на рекламный обзвон. Или автосалон без разрешения передал ваш телефон страховому агенту, и теперь вам пытаются впарить каско. Можно потребовать удалить данные из базы, пожаловаться в Роскомнадзор и возместить ущерб через суд. Для этого нужно быть уверенным, что согласия не было, а данные передали незаконно. Иногда согласие получают через договор присоединения или законно передают данные, чтобы выполнить условия договора.
Сначала читать, потом подписывать
Если Роскомнадзор обнаружит нарушения, сайт могут заблокировать, а компанию оштрафуют.
По закону операторы обязаны хранить персональные данные на российских серверах. Есть несколько исключений, но это частности. Любой интернет-магазин или сервис по подписке должен хранить базу с персональными данными граждан в России.
Потом можно передавать эти данные за границу. Это законно, но при определенных условиях. Иначе нельзя было бы бронировать гостиницы и покупать билеты на самолет за границей.
Роскомнадзор может потребовать предоставить подтверждение по поводу места хранения баз данных. Например, договор с дата-центром, хостингом или документы на собственный сервер. Если выяснится, что персональные данные хранятся с нарушениями и не в России, будут проблемы.
А если у нас сайт на английском?
Вот какие признаки используют, чтобы это понять:
Как определять гражданство посетителя, закон не объяснил. Операторам предложили решать эту проблему самостоятельно. А если четкой позиции и инструментов нет, стоит соблюдать закон в отношении всех персональных данных, которые собрали на территории России.
Дублировать те же документы на иностранных языках для россиян нет смысла. Но эти правила придумали не в России. Есть конвенция Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера. Так что, если собираете данные иностранцев, подумайте, как соблюдаете закон той страны, резидентами которой они являются.
В Европе за однократное нарушение правил обработки персональных данных штрафуют на сотни тысяч евро. В России максимальный штраф с 1 июля 2017 года — 75 тысяч рублей.
Могу ли я не регистрироваться в Роскомнадзоре, если поменяю поле в форме обратной связи с «Ваше имя» на «Ваша компания»?
Если это на самом деле название компании и телефон офиса, такая информация не попадает под действие закона. Но если сайт собирает почтовые адреса и телефоны сотрудников компаний, чтобы потом делать по ним рассылку или передавать их третьим лицам, могут быть проблемы как со стороны этих сотрудников, так и от Роскомнадзора.
В Роскомнадзоре должны зарегистрироваться все операторы персональных данных. Исключения только для случаев, перечисленных в п. 2 ст. 22 закона о персональных данных.
Вот публикую я пост в Фейсбуке и упоминаю своего друга — значит, я данные обрабатываю? Кэш поста хранится на телефоне, значит, я данные храню? А если сделаю репост в Твиттер, то я их еще и предоставляю третьей стороне. И как с этим жить?
Это не нарушение закона. В этом случае оператором персональных данных выступает социальная сеть. Каждый, кто там зарегистрировался, дал согласие на публикацию, обработку и использование его данных.
Все пользователи Фейсбука согласились на обработку данных о своем местоположении, используемых устройствах, друзьях, интересах, платежах, посещенных сайтах и связях с другими людьми. И даже на то, что Фейсбук может получить доступ к адресной книге на любом устройстве и потом использовать эти данные.
Вы уже разрешили Фейсбуку делать с вашими персданными что угодно
Все согласились на то, что эти данные Фейсбук передает своим партнерам и рекламодателям. И на то, что любой пользователь может ссылаться, упоминать и отмечать на фотографиях кого захочет в рамках их настроек безопасности. Это законно и за это отвечает Фейсбук, а не пользователи.
Так устроена любая соцсеть и общедоступные справочники.
Если на столбе объявление «Куплю рога оленя, 8 800…, Геннадий», то этот столб можно оштрафовать?
Нет, столб оштрафовать нельзя. Юридическим лицом он тоже не является. А люди, которые читают такие объявления и записывают номера телефонов, чтобы продать рога, не операторы персональных данных и не попадают под действие закона.
Если телефон Геннадия запишет микрофинансовая организация и начнет присылать ему рекламу быстрых займов, то ее можно привлечь к ответственности. Геннадий не давал ей согласия на обработку персональных данных для рассылки рекламы.
Человека, который случайно увидел телефон Геннадия, записал его в телефонную книгу или даже позвонил Геннадию с предложением купить рога, привлечь к ответственности нельзя.
То есть если человек специально опубликовался для каких-то рекламных целей, то это не считается персональными данными? На «Авито», например
Если человек передает свои персональные данные какому-то ресурсу, даже с рекламной целью, этот ресурс должен соблюдать закон. Он должен предупредить пользователя, зачем собирает персональные данные, что будет с ними делать, где публиковать, кому передавать.
Чтобы подать объявление на «Авито», нужно зарегистрироваться и подтвердить номер телефона. Без регистрации объявление подать нельзя.
«Авито» объясняет, что использует данные, чтобы размещать их на сайте, информационных ресурсах, передавать своим партнерам, проводить конкурсы и проверять личность пользователя. Еще «Авито» может передавать данные пользователей за границу и отдавать их на обработку каким-то третьим лицам и честно об этом пишет. Это законно.
Нет такого правила, что если человек сам разместил данные в общем доступе на каком-то ресурсе, то с ними можно делать что угодно: распространять, обрабатывать и хранить у себя без разрешения.
Единственное исключение для общедоступных данных: оператор таких данных может не подавать уведомление в Роскомнадзор. Но получать согласие, обеспечивать безопасность и удалять данные по требованию их владельца он обязан.
Как правильно получить согласие на обработку персональных данных на сайте? Можно взять шаблон с сайта какой-то крупной компании?
Нельзя брать любое соглашение и использовать его на своем сайте, но можно посмотреть, как сделали другие, и использовать этот опыт.
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Молчание или отсутствие возражений на обработку персональных данных — это не согласие.
Конкретной формы, в которой его нужно получать от посетителя и клиента, нет. Это может быть ссылка на пользовательское соглашение в ответном письме или галочка в форме регистрации.
Согласие должно быть осознанным и информированным
Главное, чтобы можно было доказать, что это согласие получено и посетитель понимал, на что он соглашается.
У каждого оператора должны быть цели. Интернет-магазин собирает данные об адресах, чтобы доставить товар; сервис по подписке просит указать электронную почту, чтобы отправлять письма; медицинский центр систематизирует данные о состоянии здоровья; школа — данные о семье.
Собирать, обрабатывать и хранить можно только те персональные данные, которые соответствуют цели. У «Ламоды», «Главреда», «Библио-глобуса» и детского сада цели не могут быть одинаковыми. А если собирать лишние данные, за это могут оштрафовать.
Получить согласие на обработку персональных данных недостаточно. Нужно соблюдать семь принципов обработки и правильно оформлять внутренние документы.
Лучше сделать это один раз и с помощью юриста, чем платить штрафы государству и возмещать моральный вред.
Ясно. Судя по всему, я оператор персданных. Что мне конкретно делать?
Изучите закон. Он сложный, там много непонятного, а какие-то вопросы вообще не объясняются. Если не можете разобраться сами, попросите юриста, которому доверяете.
На некоторые вопросы отвечает Минкомсвязи — эти разъяснения тоже лучше изучить лично. Можно там же задать вопрос по своей ситуации или написать в Роскомнадзор.
Разместите на сайте пользовательское соглашение, политику конфиденциальности, оферту или еще какой-то документ, откуда посетитель поймет, какие данные вы собираете, что с ними делаете, куда передаете, как храните и когда удаляете. Внимательно относитесь к формулировкам: они пригодятся в суде.
Формируйте базу с персональными данными на российских серверах. Потом можете передавать данные за границу, если это законно, обоснованно и безопасно.
Обеспечьте техническую безопасность данных и защитите их от утечки.
Оформите внутренние документы. Их много. Это приказы, распоряжения, инструкции и подписки. Это нужно сделать один раз, но правильно. При проверке Роскомнадзор имеет право их потребовать и проверить.
Подайте уведомление в Роскомнадзор, если не попадаете под исключения из ст. 22 закона о персональных данных. Если попадаете под исключения, оформите документы так, чтобы это было понятно при визуальной проверке и к вам не придрались.
Заверьте страницы сайта с документами по поводу персональных данных у нотариуса, чтобы вас не обвинили в их отсутствии или изменении формулировок.
Если у вас нет сайта, вы тоже можете быть оператором персональных данных. Необязательно собирать их автоматизированным способом и через интернет. Когда вы берете на работу сотрудника, вы тоже обрабатываете персональные данные. Правильно оформляйте документы.
Закон о персональных данных — это не страшно
Это нормальная мировая практика. Чтобы его соблюдать, не нужно тратить много денег. И бояться штрафов тоже не нужно. Если один раз всё правильно оформить и аккуратно относиться к информации о других людях, вам ничего не грозит.
Каждый из нас — субъект персональных данных. Этот закон защищает и наши данные тоже. И если кто-то его нарушит, можно подать в суд, заблокировать сайт-нарушитель, потребовать удалить информацию о себе и даже получить компенсацию.
Как будут проверять операторов персональных данных
23 февраля вступили в силу правила проверки операторов персональных данных. Раньше правил вообще не было, только регламент Роскомнадзора. Теперь всем владельцам сайтов, рассылок, магазинов с программами лояльности, форумов и любого бизнеса с наемными работниками станет понятно, как их будут проверять.
В правилах описаны плановые и внеплановые проверки: когда могут прийти, что попросят, сколько времени займут и чем это закончится. За одно нарушение закона о персональных данных можно получить штраф до 75 тысяч рублей. Если нарушений несколько, есть риск потерять сотни тысяч. И это касается всех, у кого есть даже небольшая рассылка или интернет-магазин.
Мы изучили правила, чтобы вам не пришлось читать 17 страниц постановления. Вот как это работает.
Коротко о правилах проверок
Основные изменения для операторов персональных данных:
Кого это касается?
В постановлении написано, как будут проверять операторов персональных данных. Операторы персональных данных — это люди, предприниматели и компании, которые получают, хранят и обрабатывают информацию о других людях. Например, о своих клиентах и работниках. Для них есть специальный закон. А теперь еще и правила проверок.
Вот примеры, которые попадают под действие этих документов:
Все эти владельцы сайтов, магазинов, бизнес-центров, форумов, рассылок и обычные работодатели — операторы персональных данных. Они должны соблюдать закон, оформлять документы и, когда положено, — уведомлять Роскомнадзор.
Любого из них могут проверить — по плану или внезапно. И оштрафовать, если найдут нарушения. А может, даже закрыть магазин и заблокировать сайт.
Что такое персональные данные
Персональные данные — это любая информация, которая прямо или косвенно относится к конкретному человеку и позволяет его идентифицировать.
Точного списка таких данных нет, но в методичке Роскомнадзора есть примеры:
На что имеют право проверяющие
Чтобы операторы персональных данных не раздавали информацию о своих клиентах всем подряд, надежно ее хранили и удаляли по требованию, Роскомнадзор проводит проверки, находит нарушения, выносит предупреждения и штрафует.
Права представителей Роскомнадзора строго регламентированы, но их немало. Вот что они могут делать во время проверки операторов персональных данных:
Эти права у проверяющих есть не только в ходе выездной проверки, но и при наблюдении за тем, как оператор персональных данных работает, что публикует и как собирает информацию. При этом оператор может об этом даже не знать. Дальше расскажем, что такое наблюдение и чем оно грозит операторам.
Какие обязанности у проверяющих
При проверке операторов персональных данных должностные лица из Роскомнадзора обязаны:
Любое нарушение — повод обжаловать результаты проверки, ее продление и даже сам факт проведения. Если что-то идет вразрез с правилами, фиксируйте детали и отправляйте жалобу руководству управления Роскомнадзора.
Плановые проверки — раз в три года
Плановая проверка — это когда Роскомнадзор заранее, на год вперед, составляет план проверок и размещает его в открытом доступе. Кто угодно может проверить, придут к нему в этом году или нет. В плане указана дата проверки, так что можно подготовиться.
Как предупредят. О плановой проверке предупредят за три рабочих дня любым доступным способом: отправят копию приказа по почте, пришлют электронное уведомление или как-то еще.
Когда могут прийти. Раньше было три основания для таких проверок, теперь только эти:
График плановых проверок нужно искать в реестре Генпрокуратуры.
Как часто. Плановые проверки проводят раз в три года. Но теперь могут приходить и каждые два года. Это особые случаи: например, обработка биометрических данных или передача информации за границу.
Сколько длится. Плановые проверки проводят максимум 20 дней. Так было и раньше. Один раз проверку могут продлить.
Внеплановые проверки — на основании жалоб и наблюдений
Внеплановая проверка — это когда визита проверяющих нет в графике и за три дня об этом не сообщают. То есть проверка внезапная, повод может возникнуть в любое время, а причина заранее неизвестна.
Как предупредят. О внеплановой проверке предупредят за сутки.
Когда могут прийти. Для внеплановой проверки все равно нужны основания. Все они перечислены в постановлении правительства, но список теперь новый — не такой, как был в регламенте.
Последний пункт самый интересный. Смотрите: за вашим сайтом и бизнесом могут просто тихонько наблюдать. Вам при этом ничего не присылают, ничего не запрашивают. Читают ваши пользовательские соглашения, проверяют галочки на формах подписки — эта процедура называется наблюдением, она предусмотрена правилами. И если есть подозрения, что вы что-то нарушаете: не спрашиваете согласия, плохо защищаете данные или не предупреждаете об их сборе, — докладная на стол и встречайте внеплановую проверку. По правилам должны согласовать эту проверку с прокуратурой, но для вас будет сюрприз.
Как часто. У внеплановых проверок нет периодичности. К нарушителям могут приходить хоть каждый месяц.
Сколько длится. Внеплановая проверка длится максимум 10 рабочих дней. Срок сократили в два раза, но один раз могут продлить.
Внеплановые проверки могут быть только выездными
Раньше внеплановая проверка могла быть документарной. Это когда просят документы. Больше документарных внеплановых проверок не будет. Значит, если вынесут решение о выездной проверке, нужно ждать гостей с удостоверениями: придут по месту регистрации или фактической работы.
Документы для проверки нужно приготовить за пять дней
Если проверка документарная, бумаги должны быть готовы в течение пяти рабочих дней. То есть и этот срок сократили в два раза. С оригиналов документов нужно сделать заверенные печатью и подписью копии и передать в Роскомнадзор. Можно отправить через интернет с усиленной подписью. Дата представления документов — это не дата отправки, а дата штампа о приемке Роскомнадзором.
Если в документах найдутся противоречия, Роскомнадзор запросит пояснения. Их придется представить в течение трех рабочих дней. Раньше для уточнения давали 10 дней.
Запрос из-за обращений граждан — это не проверка
Любой человек, которому кажется, что его данные неправильно обрабатывают, передают кому-то без разрешения или не удаляют по требованию, может написать обращение в Роскомнадзор. Каждое такое обращение обязаны рассмотреть и дать на него ответ.
Для ответа Роскомнадзору могут понадобиться пояснения интернет-магазина, банка, автора рассылки или службы доставки. Тогда им пришлют запрос: тут к вам претензии, поясните ситуацию. Этот запрос не считается документарной проверкой. Для него не нужен приказ и график на год вперед.
Как проводят выездную проверку
Выездную проверку проводят по месту работы или регистрации бизнеса. Если оператор персональных данных — физлицо без регистрации ИП, выездной проверки у него быть не может.
Когда начинается выездная проверка, представитель Роскомнадзора показывает удостоверение и приказ с информацией о сроках, основаниях и целях проверки. Еще до того как начнут проверять, оператору вручат запрос о представлении документов. Раньше такого не было. На подготовку документов дадут минимум два дня.
Во время проверки нужно предоставить проверяющим доступ в помещения и к компьютерам. Если мешать проверке, составят акт и пригласят полицию.
Если проверка придет и никого не застанет по указанному адресу, сроки приостановят. Если и потом никто не объявится, с внеплановой проверкой смогут прийти в любое другое время вообще без предупреждения.
Когда проверку могут продлить
Для каждой проверки есть сроки ее проведения. Проверяющие не могут дольше изучать документы, осматривать компьютеры и опрашивать сотрудников. Но есть причины продлить проверку. Раньше была только одна и в исключительном случае: когда объем работы очень большой. Теперь причин для продления больше:
Проверку могут продлить только на основании приказа. С ним обязательно знакомят оператора в течение трех дней после того, как приняли решение увеличить срок.
Как оформляют результаты проверки
Когда проверка закончится, составят акт в двух экземплярах. В нем напишут, что нарушений нет или что их нашли. Представитель оператора должен подписать акт. Если отказаться, от штрафов это не спасет: в акте сделают пометку об отказе и пришлют его по почте.
Если не согласны с актом, пишите возражения и обжалуйте результаты проверки.
Если находят нарушения
Если оператор персональных данных что-то нарушил, ему выдадут предписание: устраните нарушения в такой-то срок. Максимальное время для устранения — 6 месяцев. Но конкретному оператору могут дать и меньше. Раньше этот период регламент не ограничивал.
Когда нарушение устранят, об этом нужно сообщить в Роскомнадзор. Если предписание не исполнено или не все нарушения устранили, может прийти внеплановая выездная проверка. А если в результате нарушаются права тех, чьи данные обрабатывают, Роскомнадзор может вообще запретить обработку, пока все не исправят. Для бизнеса это может означать приостановление деятельности.
За нарушения при обработке персональных данных могут вынести предупреждение, а могут оштрафовать: юрлицо — отдельно, директора — дополнительно.
Что такое контроль без взаимодействия с оператором
Чтобы находить нарушения, Роскомнадзор проводит специальные мероприятия, в которых сами операторы никак не задействованы и о которых они вообще не знают. Это наблюдение двух видов:
Это не проверка, а просто наблюдение, о котором вы даже не подозреваете. Но его результаты могут стать основанием для внеплановой проверки.
Для наблюдения должно быть задание. А для задания нужны причины:
Если по итогам наблюдения найдутся нарушения или покажется, что они есть, проверяющий пишет докладную записку. Ее рассмотрит руководитель отделения Роскомнадзора и может назначить проверку. А может без проверки попросить устранить нарушения, заблокировать или уничтожить данные. Если не выполнить это требование, составят протокол и оштрафуют: фирму — на сумму до 45 тысяч рублей, ИП — на сумму до 20 тысяч.
Я самозанятый и работаю с физлицами. Мне что, тоже регистрироваться в Роскомнадзоре и получать согласие на обработку данных?
Быть оператором персональных данных — это не значит обязательно регистрироваться в реестре и всегда запрашивать согласие. Если вы получаете и храните чьи-то данные, вы уже оператор. ИП и юрлиц могут проверить планово и внезапно, вам нужно оформлять документы и соблюдать закон.
При этом не все операторы должны регистрироваться в реестре Роскомнадзора. И не всегда нужно получать согласие: по закону обрабатывать данные можно и без согласия.
Например, если вы запрашиваете электронную почту для отправки чека, согласие не нужно. Если просите адрес для доставки пиццы, согласие тоже не нужно. Так же и с уведомлением Роскомнадзора: если арендатор квартиры или покупатель торта передал вам данные для договора или доставки, это не повод регистрироваться в реестре. Но при этом вы оператор персональных данных и должны соблюдать остальные требования закона. Вас могут проверять, штрафовать и блокировать.
