В современном цифровом мире данные являются одним из самых ценных активов.
Компании собирают и обрабатывают персональную информацию клиентов для различных целей — от маркетинга до улучшения продуктов и услуг.
Однако обработка таких данных жестко регулируется Федеральным законом «О персональных данных».
Согласно закону, персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) .
Это могут быть ФИО, дата рождения, контактные данные, сведения о доходах, семейном положении и многое другое.
Кто такие операторы персональных данных?
Это лица, которые организуют и осуществляют обработку персональных данных, а также определяют цели, содержание и действия по их обработке.
На операторов возлагается ряд важных обязанностей:
Во-первых, они должны иметь законные основания для сбора и использования персданных, например, получить прямое согласие субъекта.
Во-вторых, обработка может осуществляться только в заранее определенных и заявленных целях.
В-третьих, операторы обязаны предоставлять субъектам исчерпывающую информацию о том, какие данные собираются, у кого, с какими целями и кому могут быть переданы.
Сбор персданных должен ограничиваться только теми сведениями, которые необходимы для заявленных целей. Излишние, устаревшие или недостоверные данные подлежат удалению или исправлению.
Операторы также обязаны принимать меры по обеспечению безопасности персданных при их обработке, хранении и передаче, в том числе защите от неправомерного доступа, уничтожения, модификации и других незаконных действий.
В свою очередь, субъекты персональных данных, чью информацию обрабатывают операторы, имеют ряд прав. В их числе — право на доступ к информации о собранных данных, на исправление этих данных, их блокирование или уничтожение, а также право отозвать согласие на обработку персональных сведений. Операторы обязаны рассматривать любые соответствующие запросы от субъектов в течение 10 дней.
Таким образом, закон регламентирует как обязанности операторов по защите персональных данных, так и права граждан в отношении своей личной информации.
При этом за нарушение требований закона предусмотрены серьезные санкции— до 75 тысяч рублей для должностных лиц и до 300 тысяч для юридических лиц. Также возможны административная и даже уголовная ответственность при причинении крупного ущерба субъектам персданных.
Для того чтобы владельцы сайтов не нарушали закон об обработке персональных данных и избежали штрафов, им необходимо предпринять ряд важных шагов.
Прежде всего, на сайте, где собираются данные пользователей, обязательно должна быть размещена политика обработки персональных данных.
Этот документ обязан содержать ссылку на сайт, к которому она применяется, наименование организации, получающей согласие посетителей, и четко сформулированные цели обработки персональных данных.
Кроме того, ссылка на политику должна быть размещена в футере сайта, а под каждой формой сбора данных — предупреждающий текст о том, что вводимая информация относится к персональным данным.
Новым пользователям сайта также нужно показывать предупреждение о сборе файлов cookie.
Владельцы сайтов, выступающие в качестве операторов персональных данных, обязаны подать уведомление в Роскомнадзор для внесения в реестр операторов. Это можно сделать через портал персональных данных.
Если уведомление уже подавалось ранее, необходимо повторить процедуру по новой форме согласно Приказу Роскомнадзора от 28.10.2022 № 180.
Также очень важно создать четкий регламент ответов на запросы посетителей сайта, касающиеся их персональных данных. Игнорирование таких запросов или ответ по истечении 10 дней грозит компании серьезным штрафом в размере от 40 до 80 тысяч рублей.
Соблюдение всех этих требований и процедур является обязательным для операторов персональных данных.
И становится понятно, что для компаний, которые производят продукты и продают товары, соблюдение всех требований закона может быть сопряжено со значительными трудностями и рисками.
Именно поэтому мы в Bafsy создали альтернативное решение.
Наша новая разработка — центр управления персональными данными (ЦУПД) , позволяет участникам акции вернуть свою личную информацию, а также подписаться на рассылку и получать информацию о новых промо-акциях.
Она отвечает на все условия по безопасной обработке персональных данных в соответствии с законодательством РФ.
Наличие обширной базы пользователей, подписанных на рассылку, позволяет оперативно увеличивать количество участников промо-акций и охватывать лояльную аудиторию.
Благодаря этому компании могут сосредоточиться на развитии своего основного бизнеса, одновременно эффективно взаимодействуя с целевой аудиторией.
Десятки наших клиентов, среди которых Heineken и Hochland, уже оценили преимущества ЦУПД.
Если вы хотите узнать больше о нашей разработке ЦУПД и о том, как она может помочь вашей компании, свяжитесь с нами почте [email protected] или через telegram.
Сливы яндексов, почтросий и прочих попадают под определение крупного ущерба? Как там с уголовной ответственностью? Кого-то посадили?
Уголовная ответственность за утечку и кражу персональных данных может наступить по нескольким статьям УК РФ, в зависимости от конкретных обстоятельств дела.
По статье 137 УК РФ "Нарушение неприкосновенности частной жизни" к ответственности могут быть привлечены физические лица, которые умышленно собирали или распространяли сведения о частной жизни лица, составляющие его личную или семейную тайну, без его согласия. То есть, речь идет о данных, которые сам человек предпочитает не разглашать публично.
Если же персональные данные были похищены из информационных систем, то помимо статьи 137, действия злоумышленника могут быть квалифицированы по статье 272 УК РФ "Неправомерный доступ к компьютерной информации". А если для получения данных использовались вредоносные программы - то и по статье 273 УК РФ.
Сотрудники организаций, нарушившие правила обработки персональных данных или эксплуатации информационных систем, если это привело к утечке, могут быть привлечены по статье 274 УК РФ. Но на практике эта статья применяется редко, так как требует доказать причинение крупного ущерба свыше 1 млн рублей. Поэтому чаще такие дела квалифицируют по статье 272 УК РФ.
На практике были случаи возбуждения уголовных дел по фактам краж и утечек персональных данных. Например, в 2019 году МВД задержало подозреваемого (https://www.vedomosti.ru/finance/articles/2019/10/24/814645-zaderzhan-podozrevaemii) в хищении персональных данных клиентов нескольких банков, в том числе Сбербанка. Им оказался сотрудник коллекторского агентства «Национальная служба взысканий». Против него возбудили уголовное дело по ч. 3 ст. 183 УК РФ (Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну), предусматривающей до пяти лет лишения свободы. Сбербанк расторг договор с агентством и пообещал провести аудит систем защиты персональных данных своих подрядчиков.
Другой случай произошел в 2022 году, когда произошла утечка данных пользователей сервиса «Яндекс.Еда» (https://www.rbc.ru/society/06/08/2022/62ed82249a79476795ab9b0e). По факту инцидента Следственный комитет возбудил уголовное дело по трем статьям: ч. 1 ст. 137 (нарушение неприкосновенности частной жизни), ч. 3 ст. 272 (неправомерный доступ к компьютерной информации) и ч. 2 ст. 273 (создание, использование и распространение вредоносных программ). Компания подала заявление о незаконном доступе к данным сразу после обнаружения утечки, принесла извинения клиентам и приняла меры для предотвращения подобных инцидентов. Тем не менее, Роскомнадзор оштрафовал «Яндекс.Еду» на 60 тыс. рублей, а ряд клиентов подал коллективный иск о компенсации морального вреда.
Таким образом, уголовная ответственность за утечки персональных данных в каждом случае будет определяться исходя из конкретных обстоятельств - умысла виновных лиц, их статуса (обычные граждане или сотрудники оператора данных), способа завладения информацией и масштаба ущерба.
У вас сложно читаемый заголовок статьи.
спасибо, что заметили)
Мемчик прикрутили, уже плюс, но с заголовком нужно что-то делать)