Закон о персональных данных: выжимка из самого важного

Персональные данные или ПД — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (сноска: субъекту персональных данных).

Такое определение прописано в федеральном законе 152-ФЗ «О персональных данных» от 27 июля 2006 года. Проще говоря, персональные данные — это данные о человеке, по которым можно определить его личность.

Итак, рассказываем, кто такие операторы персональных данных (спойлер: если вы самозанятый, ИП или компания, то 99% что вы — он), какие данные считаются персональными и как их правильно обрабатывать.

Что именно входит в список «персональных данных» в законе не сказано. А раз точного перечня нет, всё несколько туманно.

Например, на сайте Госдумы заявляют, что «идентифицирующих данных огромное множество», к ним относятся:

• фамилия, имя и отчество
• дата и место рождения
• место жительства 
• номер телефона
• адрес электронной почты
• фотография и пр.

Как видите, в Госдуме ограничиваются многозначительным «пр.». 

При этом одни и те же данные могут быть или не быть «персональными». Всё зависит от того, можно ли по ним определить личность человека. Например, просто ник или имя с фамилией в соцсетях — это не персональные данные, потому как только по ним нельзя определить личность. А вот почта, введенная в поле для регистрации на сайте, — уже персональные данные. 

Что ещё не относится к персональным данным: информация, которая находится в открытых источниках. Например, если вы нашли номер телефона в справочнике и позвонили по нему, это не считается правонарушением. А вот если вы получили номер  через форму обратной связи на сайте и без согласия обработали его, уже считается.

Ещё важное про соцсети

По идее информация в соцсетях считается общедоступной: пользователи сами делятся ей. Например, в оферте ВКонтакте сказано, что «пользователь признаёт и соглашается с тем, что указанная информация может быть доступна другим пользователям сети». 

Но на практике оферту мало кто читает. При этом суд в таком случае встаёт на сторону пользователей. Тут можно вспомнить кейс 2017 года, когда ВКонтакте подал в суд на Double Data и «Национальное бюро кредитных историй» за то, что те брали данные из открытых профилей. Если быть точнее, они оценивали кредитную историю пользователей и продавали информацию банкам. 

В итоге соцсеть суд выиграла. В первый раз ВКонтакте ограничился символическим жестом и попросил взыскать с каждой из компаний по рублю. Но — в другой раз сумма может быть в разы выше. 

Коротко: да. Геопозиция и куки (данные о том, какие страницы посещают пользователи) тоже считаются персональными данными.

В законе конкретно это не прописано — но на практике выходит так. Например, в 2016 году суд оштрафовал «МГТС» за продажу данных клиентов другим компаниям. Тогда речь шла о временных метках, деперсонализированном идентификатором user ID, информацию о браузере и устройстве, с которого был запрос, IP-адресе и т.д. То есть по сути «МГТС» продавали куки.

Коротко: если вы компания или предприниматель, то вы — оператор персональных данных. Шанс, что вы попадёте под исключение — стремится к нулю. Давайте разберем, на кого распространяется законы, регулирующие персональные данные, и кто им соответствует.

Согласно закону, к операторам персональных данных относятся все, кто сами (или через уполномоченных лиц) собирают, хранят и обрабатывают персональные данные. А именно: 

• юридические лица
• физические лица
• муниципальные органы
• госорганы

Вы оператор персональных данных, если: 

• у вас есть хотя бы один сотрудник
• вы ИП или самозанятый, который работает по договору (даже если вы не передаёте информацию третьим лицам)
• если вы запрашиваете ФИО для пропуска на территорию 
• у вас есть форма регистрации на сайте
• у вас есть форма авторизации через аккаунты в соцсетях (или другие сайты)
• у вас есть форма заказа обратного звонка 
• у вас есть форма обратной связи 
• у вас есть форма заказа товара или услуги  
• у вас есть форма подписки на рассылку
• у вас есть форма для отзывов 
• вы просите заполнить печатную анкету
• вы запрашиваете персональные данные устно (например, в магазине) или по телефону и т.д.

По сути для закона о персональных данных каждый работодатель или предприниматель, работающий легально, — оператор данных. Потому что он собирает информацию, хранит её, а также скорее всего передаёт данные в банк (для перечисления зарплаты). Выходит, что он обязан отвечать за сохранность данных.

Список того, что оператор обязан делать, занимает целую главу в перечне законов о персональных данных — так что здесь нужно быть особенно внимательными. Итак, первое правило — компания обязана уведомить Роскомнадзор о том, что планирует обрабатывать персональные данные. Без этого любые действия с ПД будут считаться незаконными: так что сначала уведомляем, а только потом собираем информацию. 

Как отправить уведомление в Роскомнадзор

Уведомление можно отправить по почте или через форму на сайте. После этого Роскомнадзор должен внести компанию или физлицо в Реестр операторов (в течение 30 дней). 

Подавать заявление нужно один раз. Штраф за неуведомление: до 5 000 ₽ (19.7 КоАП РФ). 

А можно просто не уведомлять Роскомнадзор, чтобы не становиться оператором персональных данных?

Вы все равно будете считаться оператором персональных данных, только уже нарушившим закон. Потому что компания становится оператором ПД в тот момент, когда начинает обрабатывать данные — и не важно успела она подать уведомление или нет. Такой позиции придерживаются и Роскомнадзор, и суды. 

Приводим официальное разъяснение Роскомнадзора: «Обязанности оператора установлены гл. 4 Федерального закона «О персональных данных», которые операторы исполняют независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор».

Что нужно подготовить перед началом работы с персональными данными (помимо уведомления)

• форму согласия на обработку персональных данных  (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ)
• приказ о назначении ответственного сотрудника за организацию обработки персональных данных. Он будет проводить внутренний аудит, рассматривать обращения, связанные с персональными данными, а также знакомить работников с нормативными требованиями федерального закона о персональных данных.
• правила внутреннего контроля и/или аудита
• инструкции по работе с персональными данными в информационных системах
• модель угроз для каждой ИСПДн
• поручение (при передаче полномочий сторонней организации)

Исключения есть, но их всего три (ч. 2 ст. 22 152-ФЗ). Раньше список был больше: к примеру, до 2022 года не нужно было уведомлять об обработке ПД штатных сотрудников — сейчас такой возможности нет. 

Подавать уведомление не нужно, если вы обрабатываете персональные данные: 

• в государственных информационных системах (ГИС) для защиты безопасности государства и общественного порядка
• в целях транспортной безопасности
• не используя при этом средств автоматизации. То есть если вы обрабатываете ПД исключительно на бумаге, не используя при этом ни компьютер, ни телефон, ни электронные носители.

То есть, опять же, любой предприниматель — почти всегда оператор ПД.

С уведомлением разобрались — теперь перейдём к тому, как работать с персональными данными. 

Оператор персональных данных должен

• Получать согласие от физлиц на обработку персональных данных (ч. 1 ст. 6, ч. 3 ст. 9 152-ФЗ), когда это необходимо. Есть исключения, например, согласие не запрашивают во время судебного процесса, регистрации на «Госуслугах». Полный список с исключениями здесь (ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 152-ФЗ), но сразу скажем, что их немного: почти всегда получать согласие нужно. О том, как оформить форму на согласие — дальше в статье.  
• При сборе персональных данных информировать человека о том, для чего будут использоваться его персональные данные — и где храниться (ч. 7 ст. 14 152-ФЗ).
• Не собирать избыточную информацию о человеке (ст. 5 152-ФЗ). Например, медицинскому учреждению требовать у физлица информации о его вероисповедании или принадлежности к политической партии. 
• Не объединять базы персональных данных, если они обрабатываются в разных целях (ст. 5 152-ФЗ). К примеру, список с данными сотрудников работников нужно вести отдельно от списка с данными подписчиков.
• Разъяснить юридические последствия отказа от предоставления согласия на обработку, если они обязательны по закону (ч. 2 ст. 18 152-ФЗ). Но сразу скажем, что такое бывает крайне редко, почти всегда согласие требуется. 
• Получать персональные данные от их владельца. Если ПД предоставляет третье лицо: оператор должен сообщить об этом их владельцу (кроме случаев по ст. 18 152-ФЗ). Форму уведомления оператор устанавливает самостоятельно.

Отдельно для работодателей: 

• Персональные данные сотрудника можно обрабатывать только с его письменного согласия. Если персональные данные может предоставить только третья сторона: тогда нужно письменное согласие сотрудника. 
• Персональные данные работника нельзя никому сообщать без его согласия (ст. 7 Закона № 152-ФЗ). Исключение: если есть угроза жизни и здоровью. Например, в экстренной ситуации необходимо передать нужную информацию врачам.
• Необходимо запрашивать только нужные для работы сведения (ст. 86 ТК РФ). Опять же на вопросы про вероисповедание, политические взгляды и беременность сотрудник не обязан.
• Одна из главных его обязанностей  — хранить документы в надёжном месте.  
• Данные о работнике должны быть актуальными. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника (ст. 5 Закона № 152-ФЗ).
• У сотрудника есть право в любое время может получить копию документов с персональными данными бесплатно (ст. 89 ТК РФ).

Как составить форму для согласия для обработки персональных данных: в большинстве согласие можно составить в любой форме, даже на диктофон (ч. 1 ст. 9 152-ФЗ). Но, как правило, обычно это делают на бумаге или в электронном виде. 

Однако в некоторых случаях требуется письменное согласие. А именно: 

• если персональные данные касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п. 1 ч. 2 ст. 10 закона № 152)
• если обрабатываются биометрические данные (ч. 1 ст. 11 закона № 152)
• если предстоит трансграничная передача данных на территорию другого государства (ст. 12 закона № 152) 
• речь идёт о решении, которое повлечёт юридические последствия для владельца данных или ещё как-то затронет его права и интересы (ч. 2 ст. 16 закона № 152). 
• если данные вносят в общедоступные источники, например, в справочники, адресные книги, онлайн-ресурсы (ч. 1 ст. 8 закона № 152)
• если речь идет о данных, доступ к которым получит неограниченный круг лиц (п. 1.1 ст. 3 закона № 152). 

В таком случае в письменное соглашение нужно включить  (ч.4 ст. 9 152-ФЗ): 

• ФИО, адрес и паспортные данные физлица или его представителя 
• наименование/ФИО и адрес оператора персональных данных (или третьего лица, которому оператор поручили обработать ПД)
• цель обработки персональных данных
• перечень персональных данных, на обработку которых дается согласие 
• перечень действий с ПД, на совершение которых дается согласие, а также общее описание способов обработки персональных данных, которые использует оператор
• срок, в течение которого действует согласие и способ его отзыва (если иное не установлено федеральным законом о персональных данных физических лиц)
• подпись физлица

В целом в интернете есть много образцов согласия, например, на сайте Управления Роскомнадзора Сибирского ФО.

Как защитить полученные персональные данные

Операторы обязаны защищать персональные данные пользователей и сотрудников. Подробнее об этом здесь (ч. 1 ст. 18.1 152-ФЗ) и здесь (ст. 19 152-ФЗ). Если вкратце, то оператор персональных данных обязан: 

• проводить внутренний аудит и оценивать угрозы утечки данных 
• оценивать вред, который может быть причинен физлицу при утечке ПД — а также соотносить возможный вред с мерами по защите
• знакомить сотрудников, которые занимаются обработкой ПД, с нормативными требованиями и локальными актами

Работу с персональными данными контролируют Роскомнадзор и прокуратура. Если Роскомнадзор заподозрит неладное, он может прийти с внеплановой проверкой (например, после жалобы сотрудника). 

Оштрафовать могут за разные нарушения. К примеру, за незаконную обработку ПД или их утечку. Посмотреть все штрафы можно здесь. В целом вилка получается такая: 

• для юрлиц: 30 000 до 18 000 000 ₽ 
• для должностных лиц: 6 000 до 800 000 ₽ 
• для ИП: от 10 000 до 300 000 ₽
• для физлиц: от 2 000 до 100 000 ₽

Оператор обязан уведомить Роскомнадзор, если произошла утечка персональных данных. Сделать это нужно в течение 24 часов. За неуведомление грозит штраф до 5 000  ₽ (ст.19.7 КоАП РФ), плюс нужно будет вылпатить штраф за саму утекчу. 

А вот за кражу данных или их умышленное распространение возможно уголовное наказание. В таком случае смотрят на то, какой ущерб утечка нанесла личной жизни человека. К примеру, если после слива видео с изменой разрушилась семья, возможно наказание до 4 лет лишений свободы. Но такие кейсы — всё же редкость.

Штрафы за утечку данных

• для физлиц: от 2 000 до 6 000 ₽
• для должностных лиц: от 10 000 до 20 000 ₽
• для юрлиц: от 60 000 до 100 000 ₽

Забегая в будущее: в 2023 году Правительству РФ поручили рассмотреть два вопроса: об установлении оборотных штрафов в отношении компаний и поднятии размеров штрафов. Если законопроект вступит в силу, то штрафы могут поднять вплоть до 15 000 000 ₽ для юрлиц. При повторном нарушении — от 0,1 до 3 % выручки за календарный год (или часть текущего года), но не менее 15 млн рублей и не более 500 000 000 ₽.

В следующих статьях мы дадим пошаговые инструкции, которые помогут разобраться с законом о персональных данных и избежать штрафов. Совеутем подписаться, чтобы ничего не пропустить.