Зачем нужно согласие на обработку персональных данных

Хотите иметь дело с проверкой Роскомнадзором своего ИТ-продукта или сайта? А потом ещё платить штраф, нести ответственность?

Думаю, что нет. Поэтому, давайте, начнём разбирать что надо делать с персональными данными в Российской Федерации и как не попасть под санкции госорганов.

Немного теории

Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

1) нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:

- Физическое лицо: предупреждение или штраф в размере 1 000 - 3 000 рублей;

- Должностное лицо: штраф в размере от 5 000 - 10 000 рублей;

- Юридическое лицо: штраф в размере 30 000 - 50 000 рублей;

2) Обработка персональных данных без согласия гражданина приведет:

- Физическое лицо: штраф в размере 3 000 - 5 000 рублей;

- Должностное лицо: штраф в размере от 10 000 - 20 000 рублей;

- Юридическое лицо: штраф в размере 15 000 - 75 000 рублей;

3) В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:

- Физическое лицо: штраф в размере 700 - 1 500 рублей;

- Должностное лицо: штраф в размере от 3 000 - 6 000 рублей;

- Индивидуальный предприниматель: штраф в размере от 5 000 - 10 000 рублей

- Юридическое лицо: штраф в размере 15 000 - 30 000 рублей;

Первоначально определимся с основными понятиями и поймём, что же они значат (неформальное объяснение по тексту будет обозначаться “Д”, это от слова description):

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Д: это любая совокупность информации, через которую можно определить определенного человека. К примеру, абстрактная электронная почта, допустим [email protected] - не относится к ПД, однако электронная почта с рабочим адресом допустим, [email protected] с подписью в письме “Главный инженер” - относятся к персональным данным, т.к. мы можем однозначно определить, что это Иван Иванов, работающий главным инженером в организации “Ромашка”.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Д: это вы, собирающий персональные данные. Любой контакт с физическим лицом, в том числе в пространстве Интернет, позволяющий однозначно определить человека - и вот вы уже владелец персональных данных в лице оператора.

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Д: это любые действия, которые вы совершаете как оператор.

Самый большой штраф как вы видите - это за сбор ПД гражданина без согласия, поэтому в статье будем говорить в основном об этом.

Определим сразу случаи, когда согласие на обработку ПД не надо собирать в соответствии с законодательством Российской Федерации:

1. Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.

Д: когда законодательством установлено, что физическое лицо должно предоставить персональные данные и иначе никак.

2. Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Д: когда вы заключили с физическим лицом договор и в рамках этого (только этого) договора вам нужны персональные данные. Сюда подходит и оферты (публичный договор) на сайте и его акцепт, но до покупки товара или услуг, заказа с сайта (к примеру) ещё надо довести пользователя, а значит момент когда собираете ПД - наступает раньше.

3. Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.

Д: вы обезличиваете данные физического лица и “размываете” их в море других данных, соответственно определить кому что принадлежит - невозможно даже вам.

4. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

Д: данный пункт не относится к интернет-проектам, но для понимания ситуации, пример, когда приезжает частная медицинская бригада и оказывает помощь.

5. Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.

Д: если вы организуете почтовую связь, то лицу, которому фактически оказываете услуги - нет необходимости требовать согласия на обработку ПД.

6. Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

7. Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Д: не требуется согласие при использовании ПД, если это данные чиновников, предоставленные в соответствии с законодательством Российской Российской Федерации.

Во всех остальных случаях, при контакте и сборе ПД от физического лица - вы должны получать его согласие и иначе никак - закон есть закон!

Что делать

Теперь разберём как собирать ПД и получать согласие.

Шаг 1.

Вам требуется подготовить текст политики обработки и защиты персональных данных, а также согласие на обработку персональных данных. Если у вас юридическое лицо или вы - индивидуальный предприниматель - вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии. Хочу обратить внимание, что данная политика как в Российской Федерации, так и в зарубежных странах - относится не только к работе с потребителями, но и с работниками.

Шаг 2.

Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.

Шаг 3.

Самое главное по теме. Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.

При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!

Немного юридического обоснования чекбоксов, а как называет Роскомнадзор - “галочек”:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” устанавливает обязательство собирать персональные данные:

“4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью...”.

Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:

“Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.

Вариативно, ещё шаг 4.

Подать уведомление об обработке ПДн в Роскомнадзор.

В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).

Итого, чтобы минимально привести в порядок работу с персональными данными вам потребуется:

- политика обработки персональных данных;

- приказ об утверждении вышеуказанной политики;

- согласие на обработку персональных данных;

- чекбокс с гиперссылкой на вышеуказанное согласие.

Всё это требуется опубликовать на сайте и / или в приложении.

И зачем всё это вообще?

Для чего же это вообще нужно? Зачем нужно беспокоиться о персональных данных и о получении согласия пользователя на их обработку?

Конечно, это прежде всего административная (штрафы, блокировка) и гражданская (причинение вреда) ответственность - такие вещи могут очень серьёзно повлиять на бизнес. Но есть ещё такая штука как частная жизнь граждан, как злоупотребление правом и недобросовестная реклама продавцов. Я на 100% уверен, что каждый из нас не любит, когда на телефон приходит спам, реклама, а посередине ночи будит смс или звонок с просьбой “срочно перевести деньги, а то в тюрьму посадят”. А всё это происходит из-за ненадлежащего исполнения лицами, осуществляющими сбор персональных данных, своих обязательств. И согласие на обработку ПД - всего лишь часть механизма, который должен обеспечивать нашу с вами защиту как граждан и повышать социальную ответственность. К сожалению, такие полезные институты и механизмы могут превратиться в инструмент для давления… И мы как юристы должны эффективно использовать законы и максимально обезопасить бизнес от этого.

Так что, если вы выполнили все условия и шаги из настоящей статьи, то поздравляем - вы не только уменьшили вероятность быть оштрафованным и привлеченным к ответственности (работа с ПД физических лиц лишь небольшая часть правовой политики ИТ-продукта), но и сделали шаг к социально-ориентированному Интернет-пространству, уважающему личные данные пользователей!

Спасибо за внимание!

0
49 комментариев
Написать комментарий...
Татьяна Сидорова

Нужно ли отдельно выносить галочки "Я соглашаюсь на обработку своих персональных данных и прочитал пользовательское соглашение" и "Да, я хочу получать информацию о новинках и быть в курсе акций и новостей".

То есть можно ли объединить в одну галочку обработку перс.данных и согласие на рассылку?

Ответить
Развернуть ветку
Nikita Zhurlov
Автор

Добрый день!
Если речь идёт сугубо про РФ, то Вы можете это прописать в тексте самого согласия на обработку персональных данных, что одна из целей сбора - получение информационных материалов. Но, в любом случае, у пользователя должна быть возможность отказаться от этой рассылки.

В ЕС и США так уже нельзя, должен быть отдельный чек-бокс и каждое письмо долдно предлагать отписаться.

Ответить
Развернуть ветку
Татьяна Сидорова

Спасибо!

Ответить
Развернуть ветку
Алексей Сеовектор

Считаю, что все эти "согласия" не более, чем зарегулировать интернет. Передать 3-м лицам информацию по пользователям ничего не мешает с этим согласием и без него!

Ответить
Развернуть ветку
Nikita Zhurlov
Автор

Недавно надо было найти подходящий кредитный продукт, но так как я совсем не ориентируюсь в этом и бегать по банкам или проверять каждый сайт по подходящим условиям не удобно - хотел через один известный агрегатор проанализировать рынок.
Зашёл, вбил характеристики, попросили оставить свои данные. Окей, не проблема, но так как последние 4 года занимаюсь юриспруденцией для ИТ - решил посмотреть как же они организовали все правовые документы... ох, в каком же я шоке был посл открытия согласия на обработку персональных данных!... они впихнули туда десяток документов, с которыми пользователь соглашается, отправляя данные, в том числе на предоставление своей кредитной истории для микрофинансовых организаций, разрешение им присылать сообщения, звонить, найм как агента одного страховщика и передача данных или оказание услуг ещё несколькими организациями.
При этом, все эти документы есть только в одном месте на сайте - в согласии на обработку ПД, которое появляется при заполнении формы!
На лицо злоупотребление правом и недобросовестное поведение оператора, когда под видом одного подаётся совершенно иное. И это очень было неприятно, не скажу, что я уж очень чувствительный человек, но не люблю когда хотят обмануть.

Поэтому, не только для того, чтобы устроить тотальный контроль за интернетом... хотя, как я и написал в посте - идея обеспечить защиту данных отличная, но, она не должна становиться инструментом давления на бизнес.

Ответить
Развернуть ветку
Алексис Второй

Согласен с тем, что ничего не стоит передать информацию, но не согласен с тем, что это для регуляции интернета.

Много работаю с разного рода документами в оффлайне, бюджетными организация, гос. органами, региональными структурами. Данные нормы активно внедряются в работу и почти повсеместно (если говорить про сферу, где я нахожусь) находятся в работе. Например, Федеральное казначейство РФ собирает согласия на обработку ПД достаточно давно как обязательный элемент пакета документов.

Гораздо сложнее выглядит процесс разработки регламентов по работе с ПД в самой организации. Но, по-факту, как вы и сказали, даже в оффлайне и в зарегулированной по всем нормам и правилам структуре/организации ничто и никто не мешает получить доступ к этой информации и тем более передать информацию 3-м лицам.

Ответить
Развернуть ветку
Георгий Панков
Если у вас юридическое лицо или вы - индивидуальный предприниматель - вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии.

Как насчет этого:

На сайте не всегда должна быть опубликована «Политика конфиденциальности». Обязанность издания документов, определяющих политику оператора в отношении обработки Пдн, возлагается только на ЮЛ (пп. 2 части первой ст.18.1 ФЗ от 27.07.2006 № 152-ФЗ). http://про-боно.рф/2018/05/18/personal-dannye/

Или тут подход "Лучше перебдеть, чем недобдеть"? ;)

Ответить
Развернуть ветку
Nikita Zhurlov
Автор

Хороший вопрос.
Разъясню про ИП. Несмотря на то, что в законе оператор определен как юридическое или физическое лицо - Роскомнадзор даёт разъяснение "В соответствии с требованиями пункта 2 статьи 3 Федерального закона от 27.06.2006 г. № 152-ФЗ «О персональных данных» Оператор – это государственный орган, муниципальный орган, юридическое и физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных (т.е. имеющие персональный ИНН/КПП, ОГРН или ОГРНИП — для индивидуальных предпринимателей)".
Пункт 2 статьи 18.1. Федерального закона от 27.06.2006 г. № 152-ФЗ «О персональных данных» говорит про то что любой оператор должен публиковать информацию.
Если исходить просто из логики - ИП ведёт хозяйственную деятельность, ведёт внутриорганизационную деятельность (издаёт приказы, к примеру), нанимает сотрудников, контактирует с потребителями и таким образом собирает персональные данные. Соответственно, ему требуется утверждённая политика как же он это делает, для чего и как защищает.
Плюс к тому же в части 3 статьи 13.11. КоАП РФ прямо выделены индивидуальные предприниматели за отсутствие опубликованных документов.

Так что, вопрос не в том, чтобы "перебдеть", а просто соответствовать закону.

P.s. Скажу ещё, что если прямо не сказано, все санкции для индивидуального предпринимателя по КоАП РФ, УК РФ - определяются в графе "должностные лица".

Ответить
Развернуть ветку
Георгий Панков
Пункт 2 статьи 18.1. Федерального закона от 27.06.2006 г. № 152-ФЗ «О персональных данных» говорит про то что любой оператор должен публиковать информацию.

На самом деле правовая норма гласит:

...издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных...

http://www.consultant.ru/document/cons_doc_LAW_61801/eeeebe22bf738fd65bb66b95cc278911ae2525ee/
Хотя, в общем-то, особых причин для дебатов нет: если ИП, или просто ФЛ, опубликует Политику конфиденциальности на сайте, возможно хуже не будет.

Ответить
Развернуть ветку
Николай Курылев

Ч. 3 ст. 13.11 КоАП РФ предусматривает ответственность за невыполнение оператором обязанности по опубликованию или предоставлению доступа к документу, определяющему политику обработки ПД. И там наказывают не только ЮЛ, но и граждан, ИП, должностных лиц.

Ответить
Развернуть ветку
Георгий Панков

Есть практика, когда наказали ИП?

Ответить
Развернуть ветку
Николай Курылев

Не нашел. Но ведь отсутствие судебной практики не снимает ответственность? :)

Ответить
Развернуть ветку
Георгий Панков

Главное не доводить все до абсурда.
Некоторых мнительных людей до такой степени напугали этими штрафами за персональные данные, что у них с головой стало не в порядке - как адепты тоталитарной секты какой-то.
Бесконечное "А что если...". И никак их не разубедишь.

Ответить
Развернуть ветку
Truba Shatal

Если на сайте написать, что используя сайт вы соглашаетесь с обработкой ПД, галочка обязательна?

Ответить
Развернуть ветку
Nikita Zhurlov
Автор

Да, галочка обязательна, причём нельзя, чтоб она была предустановлена - таковы разъяснения Роскомнадзора и требования закона.
Обращаю внимание, что согласие надо собирать, только если собираете ПД, то есть, на сайте есть форма.

Ответить
Развернуть ветку
Sergei Timofeyev

А эта галочка должна напрямую идентифицировать (ассоциирована) человека, который разрешил или же запретил обработку своих данных? РКН об этом скромно умалчивает, так как в данном случае его необходимо полностью идентифицировать. :)

Ответить
Развернуть ветку
Nikita Zhurlov
Автор

Вот смотрите, разберём на ситуации.
Есть сайт, на нём что-то продают. Есть форма "задать вопрос" или "заказать" с указанием ФИО, электронки и номера телефона. Мы можем однозначно определить человека по этим данным? Да, можем. Значит, надо получать согласие на обработку ПД. Это согласие выражается через отметку в чекбоксе (галочку) о том, что покупатель прочитал с чем же он соглашается и как всё это будет обрабатываться и защищаться.

Если такие данные, которые могут идентифицировать человека не собираются - галочка и не нужна.

Ответить
Развернуть ветку
Георгий Панков

Когда "продают", то согласия не нужно (см. пп. 5 части первой ст. 6 ФЗ от 27.07.2006 № 152-ФЗ).

... обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем ...
Ответить
Развернуть ветку
Nikita Zhurlov
Автор

Конечно, когда заключается договор и физическое лицо приобретает товары или услуги - согласие в таком случае не требуется, но если собираются данные для согласования товара или услуги будущей продажи - уже требуется.

В онлайне ничего не меняется - на сайте есть оферта, в соответствии с которой продаётся товар и действуют стороны. Однако, пока потребитель не акцептировал данную оферту - договор не считается заключенным, а значит собранные персональные данные до того момента не попадают под статью "исполнение договора". Если же акцепт - предоставление данных - то нет необходимости. Роскомнадзор в свой информационном письме так и сказал: "Согласно закону, персональные данные граждан России должны обрабатываться только с их согласия, если иное не установлено другими нормами законодательства. Интернет-магазины такое согласие получать должны, если правоотношения с пользователем не оформлены в виде акцепта публичной оферты либо в виде иных форм договорных отношений".

Ответить
Развернуть ветку
Sergei Timofeyev

Этот вопрос мы обасывали на Хабре. Закон не устанавливает рамки или полноту данных, которые можно считать персональными. Закон прямо говорит о том, что это любая информация прямо или косвенно относящаяся к человеку. Речь не о совокупности и не возможности определения человека. Однако, для получения согласия обработки ПДн одного чекбокса недостаточно. :)

Ответить
Развернуть ветку
Nikita Zhurlov
Автор

Тоже согласен, что не всегда чекбокса достаточно. Это лишь часть мер, которые надо принимать. Да, и не в отношении всех видов ПД. К примеру, в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме.

Ответить
Развернуть ветку
Truba Shatal

Можно сделать как у них, что нажимая на кнопку вы соглашаетесь?
Если запрашивается только телефонный номер, это ПД?

Ответить
Развернуть ветку
Nikita Zhurlov
Автор

1. Только номер телефона - нет, это не ПД, поэтому можно сделать.
2. Но если туда добавить ФИО или запрос ещё данных, по которым можно идентифицировать человека - этого уже будет недостаточно. Надо именно чекбокс и гиперссылка на согласие с которым человек соглашается.

Ответить
Развернуть ветку
Truba Shatal

Никита, спасибо за ответы, если вас не затруднит, можете дать ссылку на документ в котором прописан обязательный чекбокс, я когда читал закон видел надпись "например галочку".

Ответить
Развернуть ветку
Nikita Zhurlov
Автор

Документа, где дословно сказано про обязательный чекбокс - нет, как и понятия такого в отечественном праве. На самом деле, универсального подхода нет и надо исходить индивидуально из каждого IT-продукта какие документы составлять и как формировать правовую политику.

1. Статья 9 Федерального закона от 27.06.2006 г. № 152-ФЗ «О персональных данных» говорит, что:
"1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом...".
2. Есть официальное разъяснение Роскомнадзора (https://rkn.gov.ru/news/rsoc/news51712.htm) , где сказано:
"Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме".

Ответить
Развернуть ветку
Truba Shatal

Еще раз спасибо за ваше время и ответы.

Ответить
Развернуть ветку
Truba Shatal

Форма регистрации почты на Яндексе например, галочка стоит по умолчанию.

Ответить
Развернуть ветку
Nikita Zhurlov
Автор

Если кто-то, пусть даже и крупные корпорации используют какое-то решение - это не значит, что оно является априори правильным.
На самом деле, предустановленные флажки в чекбоксе - нарушение, т.к. это не позволяет определить волеизъявление субъекта ПД и факт его ознакомления с согласием, политикой и прочим. Теоретически, Роскомнадзор может обратить на это внимание при проверке и даже выписать штраф, но, насколько мне известно - между Роскомнадзором и Яндексом более серьёзные прения по сервису Яндекс.Видео и наличие предустановленной галочки сильно не повлияет на их отношения)

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Андрей Чуринов
Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Андрей Чуринов

Эта форма не собирает данные и не хранит их - она просто конструктор - составляет документ и отдает вам. Кроме вас их никто не видит.
А так на сайте есть политика

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Nikita Zhurlov
Автор

Этот вопрос решило бы пользовательское соглашение, где было бы всё рассказано и объяснено как пользоваться сайтом, сервисом и конструктором, какие права и обязанности у вас, у пользователя и т.д.
И не согласен полностью про то, что форма не собирает данные. Пользователь ввёл данные - они куда-то ушли, сервер их принял, обработал и выдал результат. Это если грубо говорить. Или я ошибаюсь?
По поводу политики придираться не буду - лучше даже сформированная генератором любая политика, чем никакая.

Ответить
Развернуть ветку
Андрей Чуринов

Спорный вопрос. Как суд решит видимо)
Данный скрипт, да, отправляет данные на сервер (php).
Но можно сделать, чтобы не отправлял, а генерировал на стороне клиента (js). Тогда как?) Уже однозначно будет?)

Ответить
Развернуть ветку
Тёма Томилин

Есть ли возможность узнать, кому я дал разрешение на обработку ПД и на основании этого списка отозвать какие-либо разрешения? Спасибо!

Ответить
Развернуть ветку
Георгий Панков

Только покопаться в своей памяти - на каких сайтах регистрировались, где работали, какие договоры подписывали и т.д. и т.п.
Какого-то единого реестра, где учитывалось бы кому гражданин давал согласие на обработку ПДн, не существует.

Ответить
Развернуть ветку
Тёма Томилин

Ок, спасибо! А отозвать согласие можно? Есть какая-то закрепленная процедура, которую все должны исполнять?

Ответить
Развернуть ветку
Nikita Zhurlov
Автор

Полностью согласен с комментариями Георгия.
Дополню, что если вспомните кому предоставляли свои ПД - Вы всегда можете запросить предоставить Вам все свои ПД, которые есть у оператора и как он их обрабатывал, распоряжался (статья 14 ФЗ-152 "О персональных данных").

Отозвать согласие и прекратить обработку всегда можно - это Ваше право.
В частности как это делается определяет сам оператор. Мы, к примеру, сделали и утвердили отзыв через форму на сайте и обращение через электронную почту. Когда развивали один медицинский стартап с консультациями специалистов - ко мне на электронку неоднократно обращались люди с просьбой прекратить обработку их ПД, что мы и делали - всё удаляли, чистили БД от их записей. Выглядело это крайне просто - "Прошу прекратить обработку моих персональных данных" и мы направляли уведомление, что всё прекращено. Получение от оператора уведомления о предпринятых мерах - важный элемент правоотношений.

Прилагаю образец более серьезного заявления об отзыве согласия, которым сами мы пользовались:

Кому: __________
Куда: __________

От: гражданина Российской Федерации __________

Адрес регистрации: __________

Корреспонденцию прошу направлять по адресу: __________

ЗАЯВЛЕНИЕ ОБ ОТЗЫВЕ СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Я, __________, паспортные данные: № ____________, выдан _____ года ______, заключил кредитный договор № _________ от «___» ____________ 2014 года. Мной было предоставлено согласие на обработку персональных данных, что регламентируется Федеральным законом от 27.06.2006 г. № 152-ФЗ «О персональных данных».

Указанный закон призван обеспечить защиту прав и свобод гражданина при обработке его персональных данных, в том числе защиту права на неприкосновенность частной жизни, личную и семейную тайну. В связи с этим данный закон в статье 9 закрепляет за мной возможность отозвать согласие на обработку персональных данных.

Настоящим заявлением я осуществляю отзыв согласия на обработку всех персональных данных, предоставленных мной и в отношении меня.

В соответствии с 152-ФЗ «О персональных данных» в случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку. Также он должен обеспечить прекращение такой обработки, если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора. В случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, оператор должен уничтожить персональные данные или обеспечить их уничтожение, если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора.

Кроме того, в случае, если после отзыва моего согласия нарушение моих прав продолжится, оставляю за собой право обратиться в правоохранительные органы с заявлением о правонарушении, определенном статьей 13.11. Кодекса Российской Федерации об административных правонарушениях, а также в Роскомнадзор Российской Федерации.

Руководствуясь указанными выше обстоятельствами и положением Федерального закона от 27.06.2006 г. № 152-ФЗ «О персональных данных»,

ПРОШУ:

1. С момента получения данного заявления в трехдневный срок прекратить обработку и передачу моих персональных данных.

2. Уведомить меня о результатах рассмотрения данного заявления письменно в установленный законом срок.

В случае отсутствия реакции на данное заявление в указанный срок, мною будут поданы жалобы: в Прокуратуру Российской Федерации, в Роскомнадзор Российской Федерации, в суд.

Ответ прошу направить на указанный адрес для корреспонденции в письменном виде и на адрес электронной почты: ______ в электронном виде.

Ответить
Развернуть ветку
Лена Хатмуллина

Как по Вашему? Если медицинский стартап ( что- то типа медицинского поисковика) регистрирует пользователя через e-mail или социальную сеть. И принимает от зарегистрированного пользователя через форму список введенных им симптомов (для анализа на сервере). То это случай обработки персональных данных? Или нет? Ведь когда ищут "почему болит горло" в поисковике - поисковик это запоминает и по своему использует, но согласия на обработку персональных данных никто не спрашивает?

Ответить
Развернуть ветку
Nikita Zhurlov
Автор

1. Если собираются данные, позволяющие определить человека, то да, это обработка ПД. Так, e-mail + социальная сеть позволят однозначно идентифицировать пользователя, поэтому надо получать его согласие.
Так как я не знаю о каком проекте идёт речь, то хочу ещё напомнить, что информация о состоянии здоровья пациента относится к специальным категориям персональных данных, обработка которых не допускается, за исключением случаев, когда (в соответствии со статьей 10 Закона № 152-ФЗ):
– пациент дал согласие в письменной форме на обработку своих персональных данных;
– пациент сам сделал персональные данные общедоступными;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов пациента либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия пациента невозможно;
– обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.
Информация, являющаяся врачебной тайной, — это отдельный подвид персональных данных. Она представляет собой сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья, диагнозе и иные сведения, полученные при его медицинском обследовании и лечении (п. 1 ст. 13 Закона № 323-ФЗ). Ее разглашение не допускается (п. 2 ст. 13 Закона № 323-ФЗ), за исключением отдельных случаев.

2. В случае поиска "почему болит горло" - это является обезличенной информацией и не относится к ПД, поэтому согласие не требуется и поисковик его использует соответственно.

Ответить
Развернуть ветку
Лена Хатмуллина

Благодарю, за ответ. Очень, беспощадная статья закона для медицинского стартапа получается. Нет ли возможности узаконить обработку медицинских данных, без письменного согласия пользователя (откуда ему в онлайне взяться?) и в случае если стартап не зарегистрирован как медицинское учреждение? Поможет ли ограничиться при регистрации просто e-mail (без соцсетей)?

Ответить
Развернуть ветку
Nikita Zhurlov
Автор

Аналог письменной формы - электронная форма с ЭЦП.

У нас с друзьями у самих небольшой медицинский стартап, поэтому я знаю, что законодательством очень сильно ограничены возможности. Несмотря на то, что сейчас приняли закон о телемедицине - это, к сожалению, не облегчило участь ИТ-стартапов.

Да, если не собирать ПД, то согласие не требуется. Но при этом надо чётко понимать какие данные вам надо собрать, какие цели преследует и не пересекать черту когда возможно однозначно идентифицировать человека.

Если надо будет что-то небольшое подсказать по организации и правовому статусу медицинского ИТ-продукта, обращайтесь в личку где-нибудь в соцсетях.

Ответить
Развернуть ветку
Лена Хатмуллина

Да, телемедицина, у нас в таком же состоянии как и обычная медицина. Спасибо, за Ваши развернутые ответы и помощь.

Ответить
Развернуть ветку
Тёма Томилин

Никита, спасибо за подробный ответ!

Ответить
Развернуть ветку
Георгий Панков

Да. Это закреплено в п. 2 ст. 9 ФЗ от 27.06.2006 № 152-ФЗ.
Нужно подать заявление, а оператор должен принять по нему меры и уведомить заявителя. Процедура более детально расписывается в Политике об обработке ПДн, которую разрабатывает и утверждает оператор.
Какой-то единой формы для заявления об отзыве согласия на обработку ПДн нет, поэтому общие требования для всех заявлений - данные адресата, данные заявителя, требования, дата, подпись, расшифровка подписи.

Ответить
Развернуть ветку
Илья Зайцев

А я вот не хочу, чтобы весь мой трафик хранился у провайдеров, и при желании кто-то этими данными воспользовался бы, но меня об этом никто не спрашивает.

Ответить
Развернуть ветку
Николай Курылев

Выбрав провайдера, вы сами соглашаетесь с его условиями игры. Это правила публичного договора. Не нравится? Выбирайте другого провайдера. Поэтому слова типа «меня не спросили», «я так не хотел» - это все необоснованно. Читайте договор, за чем подписались - то и получаете.

А про пакет яровой - отдельная тема. Тут уже иное регулирование.

Ответить
Развернуть ветку
Дамир Саяпов

Меня больше интересует следующий момент:
152фз, 19ст. пункт 2

организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

Как защитить данные на сервере без переезда на хостинг испдн за какие-то неадекватные деньги? И чтобы все было по закону.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
46 комментариев
Раскрывать всегда