Для ответа на вопрос — нужно ли получать согласие на обработку персональных данных (далее - ПД) при их отправке через сайт, в первую очередь нужно определить цель получения персональных данных.
Ответив на указанный вопрос можно будет понять — возникает ли у вас обязанность по уведомлению Роскомнадзора о начале обработки ПД и нужно ли вам получать согласие от субъекта ПД.
Почему так важно определить цель обработки?
В законе 152-ФЗ "О персональных данных" указано, что персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п.1, ст.3 Закона 152-ФЗ). Иными словами — это любая информация, позволяющая идентифицировать субъекта персональных данных.
Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п.3 ст.3 Закона 152-ФЗ).
Обработка ПД будет законной без получения согласия в случаях, прямо предусмотренных законом. В частности, предусмотренных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона 152-ФЗ.
В п.5 ч.1 ст.6 Закона 152-ФЗ предусмотрен случай без получения согласия на ПД, когда обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Обязанность по обоснованию правомерности неполучения согласия, возлагается на оператора (ч.3 ст.9 Закона 152-ФЗ).
Если обработка осуществляется с целью исполнения, либо заключения по инициативе субъекта, договора, стороной которого является субъект ПД, то получать согласие не нужно.
Кроме того, не нужно уведомлять Роскомнадзор о начале сбора ПД если их получение оператором связано с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных (п. 2 ч.2 ст.22 Закона 152-ФЗ).
Для примера:
Еще один немаловажный момент — форма обратной связи на сайте.
Если такая форма не имеет прямого отношения к заключению, либо исполнению договора, то необходимо получить согласие на обработку ПL и уведомить Роскомнадзор.
Но я полагаю, что здесь будет определяющим фактором возможность идентификации пользователя сайта, когда он заполняет такую форму. Если в этой форме предусмотрена только заполнение e-mail адреса и текста сообщения, то идентифицировать субъекта ПД будет вряд ли возможно.
Теперь о «горьком»
Как правило организации так или иначе сталкиваются с необходимостью обработки персональных данных. И несмотря на то, что возможно организация и не обязана получать согласие субъекта, либо уведомлять Роскомнадзор, требования Закона о персональных данных в любом случае она обязаны соблюдать. При чем, часть обязанностей, предусмотренных Законом 152-ФЗ для оператора, будут иметь прямое отношение и к вашей организации.
Для определения таких обязанностей, полагаю необходимым посмотреть, какая административная ответственность предусмотрена за нарушение Закона 152-ФЗ
С 01.07.2017 вступили в силу изменения в ст. 13.11 Кодекса РФ об административных правонарушениях, в соответствии с которыми расширяется перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных. Кроме того, существенно вырастают размеры штрафов. Если предусмотренный до вступления в силу штраф для юридических лиц не мог превышать 10 тыс. руб., то сейчас максимальный размер штрафа для них варьируется от 30 тыс. руб. до 75 тыс. руб.
В частности, владельцы интернет-сайтов (юридические лица) обязаны опубликовать документы, определяющие политику в отношении обработки персональных данных посетителей, на своем сайте и обеспечить доступ к таким документам неограниченного круга лиц. Статья 14 Закона 152-ФЗ закрепляет право субъекта ПД на получение доступа к указанным документам. Данному праву корреспондирует обязанность оператора предоставить их субъекту. За неисполнение данной обязанности предусмотрена ответственность - ч. 3-4 ст. 13.11 КоАП РФ (для юрлиц от 15 до 40 т.р.).
Обращает на себя внимание тот факт, что за нарушение ч.5 ст.18 Закона 152-ФЗ (хранение баз данных на территории РФ) административная ответственность по ст.13.11 КоАП не предусмотрена. Однако полагаю, что в подобной ситуации возможно блокирование сайта в случае поступления в Роскомнадзор информации о несоблюдении данного требования, в соответсвии с ч.6 ст.15.5 Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (на основании судебного решения, полученного пользователем ПД).
Пару слов о том, каким образом Роскомнадзор будет привлекать к административной ответсвенности
За каждое отдельное нарушение будет отдельная ответственность. При этом, не получение согласия на обработку ПД с нескольких лиц будет рассматриваться как одно нарушение. Т.е. главным фактором при определении количества нарушений будет его состав, предусмотренный отдельной частью ст.13.11 КоАП. Например, отсутсвие доступа к документам, определяющих политику в отношении обработки персональных данных — один состав, одно нарушение, а не предоставление субъекту персональных данных информации, касающейся обработки его персональных данных — второе правонарушение, не получение согласия об обработке ПНд — третье правонарушение.
Соответсвенно можно подсчитать какой в конечном итоге размер штрафа будет выписан (за одно нарушение — максимальный размер от 30 до 75 т.р.).
Учитывая изложенное, в каждом случае, в особенности касательно сайтов, требуется детальный юридический анализ информации, которую субъект ПД предоставляет через сайт, а также подготовка ряда локальных документов организации в отношении ПД.
Ответив на указанный вопрос можно будет понять — возникает ли у вас обязанность по уведомлению Роскомнадзора о начале обработки ПД и нужно ли вам получать согласие от субъекта ПД.
Почему так важно определить цель обработки?
В законе 152-ФЗ "О персональных данных" указано, что персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п.1, ст.3 Закона 152-ФЗ). Иными словами — это любая информация, позволяющая идентифицировать субъекта персональных данных.
Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п.3 ст.3 Закона 152-ФЗ).
Обработка ПД будет законной без получения согласия в случаях, прямо предусмотренных законом. В частности, предусмотренных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона 152-ФЗ.
В п.5 ч.1 ст.6 Закона 152-ФЗ предусмотрен случай без получения согласия на ПД, когда обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Обязанность по обоснованию правомерности неполучения согласия, возлагается на оператора (ч.3 ст.9 Закона 152-ФЗ).
Если обработка осуществляется с целью исполнения, либо заключения по инициативе субъекта, договора, стороной которого является субъект ПД, то получать согласие не нужно.
Кроме того, не нужно уведомлять Роскомнадзор о начале сбора ПД если их получение оператором связано с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных (п. 2 ч.2 ст.22 Закона 152-ФЗ).
Для примера:
Если ваш сайт создан с целью оказания услуг, продажи товаров и у вас в описании услуги, либо товара указано об их реализации на условиях публичной оферты ( cт.437 ГК РФ), то вы можете не получать согласие потенциального заказчика и не уведомлять Роскомнадзор.
При этом, необходимо помнить, что объем запрашиваемых данных должен быть необходимым только для заключения и для исполнения договора. Если будут запрошены данные не имеющие отношения к такому договору, то вышеназванные «льготы» не могут быть применены!!!
Во избежание возможных споров с Роскомнадзором, лучше предварительно согласовать объем таких данных с юристом.При этом, необходимо помнить, что объем запрашиваемых данных должен быть необходимым только для заключения и для исполнения договора. Если будут запрошены данные не имеющие отношения к такому договору, то вышеназванные «льготы» не могут быть применены!!!
Еще один немаловажный момент — форма обратной связи на сайте.
Если такая форма не имеет прямого отношения к заключению, либо исполнению договора, то необходимо получить согласие на обработку ПL и уведомить Роскомнадзор.
Но я полагаю, что здесь будет определяющим фактором возможность идентификации пользователя сайта, когда он заполняет такую форму. Если в этой форме предусмотрена только заполнение e-mail адреса и текста сообщения, то идентифицировать субъекта ПД будет вряд ли возможно.
Теперь о «горьком»
Как правило организации так или иначе сталкиваются с необходимостью обработки персональных данных. И несмотря на то, что возможно организация и не обязана получать согласие субъекта, либо уведомлять Роскомнадзор, требования Закона о персональных данных в любом случае она обязаны соблюдать. При чем, часть обязанностей, предусмотренных Законом 152-ФЗ для оператора, будут иметь прямое отношение и к вашей организации.
Для определения таких обязанностей, полагаю необходимым посмотреть, какая административная ответственность предусмотрена за нарушение Закона 152-ФЗ
С 01.07.2017 вступили в силу изменения в ст. 13.11 Кодекса РФ об административных правонарушениях, в соответствии с которыми расширяется перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных. Кроме того, существенно вырастают размеры штрафов. Если предусмотренный до вступления в силу штраф для юридических лиц не мог превышать 10 тыс. руб., то сейчас максимальный размер штрафа для них варьируется от 30 тыс. руб. до 75 тыс. руб.
В частности, владельцы интернет-сайтов (юридические лица) обязаны опубликовать документы, определяющие политику в отношении обработки персональных данных посетителей, на своем сайте и обеспечить доступ к таким документам неограниченного круга лиц. Статья 14 Закона 152-ФЗ закрепляет право субъекта ПД на получение доступа к указанным документам. Данному праву корреспондирует обязанность оператора предоставить их субъекту. За неисполнение данной обязанности предусмотрена ответственность - ч. 3-4 ст. 13.11 КоАП РФ (для юрлиц от 15 до 40 т.р.).
Обращает на себя внимание тот факт, что за нарушение ч.5 ст.18 Закона 152-ФЗ (хранение баз данных на территории РФ) административная ответственность по ст.13.11 КоАП не предусмотрена. Однако полагаю, что в подобной ситуации возможно блокирование сайта в случае поступления в Роскомнадзор информации о несоблюдении данного требования, в соответсвии с ч.6 ст.15.5 Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (на основании судебного решения, полученного пользователем ПД).
Пару слов о том, каким образом Роскомнадзор будет привлекать к административной ответсвенности
За каждое отдельное нарушение будет отдельная ответственность. При этом, не получение согласия на обработку ПД с нескольких лиц будет рассматриваться как одно нарушение. Т.е. главным фактором при определении количества нарушений будет его состав, предусмотренный отдельной частью ст.13.11 КоАП. Например, отсутсвие доступа к документам, определяющих политику в отношении обработки персональных данных — один состав, одно нарушение, а не предоставление субъекту персональных данных информации, касающейся обработки его персональных данных — второе правонарушение, не получение согласия об обработке ПНд — третье правонарушение.
Соответсвенно можно подсчитать какой в конечном итоге размер штрафа будет выписан (за одно нарушение — максимальный размер от 30 до 75 т.р.).
Учитывая изложенное, в каждом случае, в особенности касательно сайтов, требуется детальный юридический анализ информации, которую субъект ПД предоставляет через сайт, а также подготовка ряда локальных документов организации в отношении ПД.
Комментариев нет:
Отправить комментарий