Автор картины - Вася Ложкин
Какая информация считается персональными данными
На форуме «Клерка» спросили, можно ли считать ФИО, адрес и телефон персональными данными.
Да, это считается персональными данными (ПД), если организация (или ИП) их получает, она становится оператором, что влет ряд обязанностей организации. Минимум, нужно брать согласие любого клиента на обработку ПД.
Как брать согласие
Процесс сильно зависит от того, что вы будете потом делаться персональными данными. Если, например вы будете рассылать рекламу или звонить с предложениями - нужно брать согласие на обработку и отдельное согласие на то, что клиенту будет рассылаться реклама. Причем согласие должно быть заметным, а не мелким, т.к. есть ответственность введение потребителя в заблуждение (ст. 14.7 КоАП).
Если ПД потом будут передаваться третьим лицам, нужно быть еще одно согласие в виде отдельного документа. Т.е. увеличится количество бумаг, это нужно делать, т.к. сейчас значительно увеличили штрафы и сроки давности сделали большими, чтобы можно было бы привлечь к ответственности.
Если данные будут обрабатываться в электронном виде (например, на сайте организации) и куда-то передаваться, то там будут еще требования к оборудованию и в зависимости от количества обрабатываемых данных вам будут присваиваться статус вплоть до того, что вам нужно будет регистрироваться в Роскомнадзоре (РКН) в качестве оператора персональных данных. То же касается сбора ПД в интернете, там целый комплекс мероприятий выйдет.
Самый простой способ – письменное согласие
Когда клиент подписывает договор и представляет адрес ФИО и телефон только на бумаге, можно оформить письменное согласие в виде приложения к договору.
Пункты, которые обязательно должно содержать письменное согласие (это регулируется п. 4 ст. 9 Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных»):
- Фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- Фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- Наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- Цель обработки персональных данных;
- Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- Подпись субъекта персональных данных.
Т.е. для согласия потребуется номер паспорта, например. В согласии нужно обязательно обосновывать каждую цифру, например, хранить информацию нужно 3 года и вы обосновываете это там необходимостью сервиса, претензионной работой, т.к. срок давности 3 года. Т.е. ничего лишнего не дольно быть. Например, номер паспорта можно, а его копия - уже будет нарушением.
Есть нюансы, когда организуется пропускной режим на предприятие, причем обоснованный, можно будет собирать данные, но тогда вводится много регламентов и оборудованию для хранения будут серьезные требования и опять-таки нужно брать письменное согласие. От обязанности брать согласия освобождены суды, прокуратура, полиция, государственные и муниципальные органы власти.
Укажите цель сбора данных
Согласно п. 2 ст. 5 Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных»:
«обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных».
Т.е. цель не может быть неконкретной, нельзя собирать ПД «просто так», либо определиться с ней потом. Цель должна быть прописана в согласие на обратку персональных данных.
Санкции за нарушения
Немаловажно наладить и уничтожение ПД, назначить ответственных, т.к. если станет известно, что ПД распространились несанкционированно организация может быть очень серьезно наказана.
С 27.04.2021 значительно выросли штрафы, связанные с нарушением законодательства о персональных данных, кроме того, срок давности по нарушениям в области персональных данных увеличили с 3 месяцев до 1 года (ч.1 ст. 4.5 КоАП РФ).
Согласно ст. 13.11 КоАП РФ:
Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, -
влечет наложение административного штрафа на граждан в размере от 2 тыс. до 6 тыс. рублей; на должностных лиц - от 10 тыс. до 20 тыс. рублей; на юридических лиц - от 60 тыс. до 100 тыс. рублей.
Раньше эти составы административных правонарушений практически «не работали», т.к. срок давности 3 месяца делал невозможным сбор доказательств правонарушения по административной статье, сейчас сроки выросли, и статья Кодекса РФ об административных правонарушениях стала работать. Отмечу, что я цитирую только часть первую статьи 13.11 КоАП РФ, а всего их 9, в последней ответственность за нарушения законодательства о ПД юридического лица составит от штраф 6 до 18 млн. руб., также в этой части ответственность ИП приравнена к отвественности юридических лиц.
Отмечу, что есть специальные составы административной отвесности за неисполнения законов об ограничении обратки персональных данных, ответственность за неправомерное распространите и обратку информации, оставляющей персональные данные, в Интернете, также для операторов поисковых систем.
Если клиент откажется представлять ПД, ему нельзя отказать в сделке, это будет нарушением не только законодательства о защите прав потребителей, но Гражданского кодекса РФ.
Начать надлежащую организацию работы с ПД в организации можно с разработки политики в отношении обработки персональных данных – это обязательные документ для любой организации, где имеются персональные данные, документ утверждается приказом организации или ИП.
Начать дискуссию