Komu można przekazać dane osobowe? Zapytanie o dane osobowe

Co do zasady operatorzy danych osobowych mają obowiązek przesłać powiadomienie do Roskomnadzor przed przetwarzaniem tych danych. Jednocześnie prawo zawiera szereg wyjątków, w których nie jest konieczne powiadamianie Roskomnadzoru.

Jeśli firma planuje zbierać informacje o osobach fizycznych, musi powiadomić Roskomnadzor natychmiast po rejestracji. Ponadto agencję należy powiadomić o zamiarze przetwarzania danych osobowych obywateli przed rozpoczęciem przetwarzania informacji (art. 22 ustawy federalnej z dnia 27 lipca 2006 r. nr 152-FZ „O danych osobowych”). 1 lipca 2017 r. wprowadzono podwyższone kary administracyjne za nieprzestrzeganie wymogów ustawy federalnej nr 152-FZ.

Możesz wysłać wiadomość do Roskomnadzor przez Internet na oficjalnej stronie wydziału. W ogłoszeniu wskazano podstawę prawną przetwarzania danych osobowych, cel zbierania danych, datę rozpoczęcia przetwarzania oraz środki zapewniające bezpieczeństwo otrzymywanych informacji. Za zbieranie danych uważa się gromadzenie od osób fizycznych wszelkich informacji pozwalających na ich identyfikację.

Jednocześnie prawo zawiera szereg wyjątków, w których nie jest wymagane powiadamianie Roskomnadzoru. Wykaz takich ograniczeń określa art. 22 ustawy federalnej z dnia 27 lipca 2006 r. nr 152-FZ. Powiadomienie nie jest wymagane w następujących przypadkach:

• Podczas gromadzenia i przetwarzania danych osobowych bez użycia narzędzi automatyzacji. Jeżeli przetwarzanie odbywa się bez komputera i elektronicznych baz danych, nie jest konieczne powiadamianie Roskomnadzoru. Jednocześnie operator danych musi spełniać wymagania Rządu Federacji Rosyjskiej z dnia 15 września 2008 r. Nr 687 „Przepisy dotyczące specyfiki przetwarzania danych osobowych bez użycia narzędzi automatyzacji”. Jeśli firma korzysta z komputerów, nie oznacza to, że przetwarzanie danych odbywa się przy użyciu narzędzi automatyzacji. Niezautomatyzowane przetwarzanie danych osobowych to wykorzystywanie, wyjaśnianie, rozpowszechnianie, niszczenie danych osobowych, które odbywa się przy bezpośrednim udziale osoby.
• Podczas zbierania danych osobowych od pracowników w ramach stosunku pracy. Dotyczy to wyłącznie danych, które należy przekazać pracodawcy przy sporządzaniu umowy o pracę i układu zbiorowego. Roskomnadzor należy powiadomić o gromadzeniu i przetwarzaniu informacji niezwiązanych ze stosunkami pracy. Musisz także powiadomić, czy pracodawca zamierza przetwarzać dane zwolnionych pracowników (klauzula 1 część 2 art. 22 ustawy federalnej z dnia 27 lipca 2006 r. nr 152-FZ).
• Kiedy firma zawiera umowę z osobą fizyczną. W takim przypadku nie ma potrzeby powiadamiania Roskomnadzor, jeśli wykonawca / sprzedawca / dostawca nie zamierza przekazywać danych osobowych osobom trzecim (klauzula 2 część 2, art. 22 ustawy federalnej z dnia 27 lipca 2006 r. nr 152- FZ). Dane osobowe muszą być wykorzystywane wyłącznie w celu wykonania umowy, w związku z którą zostały pozyskane.
• Podczas zbierania informacji przez stowarzyszenie publiczne lub organizację religijną. Przetwarzanie informacji od członków takich organizacji odbywa się bez powiadomienia, chyba że dane osobowe są rozpowszechniane lub ujawniane osobom trzecim bez pisemnej zgody podmiotów danych osobowych (klauzula 3 część 2, art. 22 ustawy federalnej z dnia 27 lipca , 2006 nr 152-FZ).
• Podczas gromadzenia i przetwarzania informacji, które dana osoba sama udostępniła publicznie (klauzula 4 część 2 art. 22 ustawy federalnej z dnia 27 lipca 2006 r. nr 152-FZ).
• Podczas gromadzenia danych osobowych obejmujących wyłącznie imię, nazwisko rodowe i nazwisko osoby fizycznej (klauzula 5, część 2, art. 22 ustawy federalnej z dnia 27 lipca 2006 r. nr 152-FZ).
• Po otrzymaniu informacji o jednorazowym wjeździe osoby fizycznej na terytorium operatora danych (klauzula 6, część 2, art. 22 ustawy federalnej z dnia 27 lipca 2006 r. nr 152-FZ).
• Podczas przetwarzania danych zawartych w systemach informatycznych danych osobowych, które mają status państwowych zautomatyzowanych systemów informatycznych (klauzula 7, część 2, art. 22 ustawy federalnej z dnia 27 lipca 2006 r. nr 152-FZ).
• Przy zbieraniu informacji przez przedsiębiorstwa transportowe w celu zapewnienia bezpiecznego funkcjonowania kompleksu transportowego, chroniąc interesy jednostki, społeczeństwa i państwa w zakresie kompleksu transportowego.

We wszystkich pozostałych przypadkach zgłoszenie przetwarzania danych jest obowiązkowe. Aby wyjaśnić, czy Twoja organizacja jest zobowiązana do przesłania powiadomienia, możesz skontaktować się z Roskomnadzor.

Aby dowiedzieć się, jak chronić swoją firmę przed karami na mocy ustawy nr 152-FZ, przeczytaj artykuł

Przetwarzanie danych osobowych bez zgody podmiotu możliwe jest wyłącznie w przypadkach przewidzianych przepisami prawa. Wykorzystanie takich informacji z naruszeniem porządku lub bez odpowiednich podstaw pociąga za sobą pociągnięcie sprawców do odpowiedzialności cywilnej, pracowniczej, administracyjnej i karnej.

W jakich przypadkach dopuszczalne jest przekazywanie osobom trzecim i przetwarzanie w inny sposób danych osobowych na ten temat?

Ustawa „O danych osobowych” z dnia 27 lipca 2006 r. Nr 152-FZ ustanowiła 2 opcje, w których przetwarzanie danych osobowych obywatela (podmiotu) jest legalne:

1. Po otrzymaniu jego zgody na to.
2. Bez uzyskania zgody w następujących przypadkach:
   • wykorzystywanie informacji przez inne osoby do potrzeb osobistych i rodzinnych, jeżeli nie narusza to praw obywatela;
   • wprowadzanie danych osobowych do bazy danych Funduszu Archiwalnego Rosji;
   • podjęcie decyzji o utajnieniu informacji jako tajemnicy państwowej (w tym przypadku zgoda podmiotu nie jest wymagana na utajnienie informacji o nim);
   • potrzeba wykorzystania informacji w celu wdrożenia przez Rosję warunków traktatów i przepisów międzynarodowych;
   • udział osoby w procesie prawnym i w związku z takim udziałem;
   • wykorzystanie do wykonania czynności sądowej lub postanowień dokumentu przyjętego przez organy egzekucyjne;
   • otrzymanie przez osobę usług komunalnych lub rządowych;
   • uznanie przez osobę informacji o niej za publicznie dostępne;
   • zawarcie i wykonanie umowy, której podmiot jest stroną lub beneficjentem;
   • brak możliwości uzyskania zgody w przypadku zagrożenia życia, zdrowia lub ważnych interesów osoby;
   • realizacji praw, zapewnienia interesów operatora (osoby przetwarzającej informacje) lub osób trzecich, osiągania celów istotnych społecznie;
   • prowadzenie przez dziennikarzy i media działalności zawodowej, działalności twórczej, gdy nie narusza to praw człowieka;
   • wykorzystywanie zanonimizowanych informacji o osobie do celów badawczych i statystycznych, z wyjątkiem agitacji politycznej, promocji towarów, usług i pracy na rynku;
   • konieczność obowiązkowego ujawniania i publikacji danych wynikająca z przepisów prawa (np. urzędnicy mają obowiązek ujawniania informacji o swoich dochodach).

Procedura przetwarzania (przechowywania, rozpowszechniania itp.) informacji bez uzyskania zgody podmiotu

Ogólna procedura przetwarzania przez operatorów danych osobowych obywateli bez ich specjalnego zezwolenia jest następująca:

1. Operator otrzymuje informację, jeżeli zaistnieje ku temu podstawa prawna. Powiadomienie osoby o rozpoczęciu przetwarzania jego informacji nie jest wymagane, ale w niektórych przypadkach powiadomienie jest wysyłane do Roskomnadzoru.
2. Operator wykonuje niezbędne działania (zbiera, rejestruje, przekazuje, wyjaśnia itp.). Jak stwierdzono w art. 5 ustawy nr 152-FZ działania użytkownika ograniczają się do celu przetwarzania.
3. Po osiągnięciu celów lub ustaniu potrzeby korzystania dane są niszczone lub anonimizowane.

Dodatkowym etapem może być zakwestionowanie przez osobę fizyczną legalności wykorzystania informacji o niej. Organem rozstrzygającym spory jest (według wyboru obywatela) sąd lub Roskomnadzor. W toku rozstrzygnięcia konfliktu operator przedstawia dowód istnienia okoliczności, które pozwalają mu na wykorzystanie danych bez zgody lub wbrew zakazowi obywatela.

Odpowiedzialność operatora

Jeżeli operator naruszy procedurę i warunki przetwarzania danych osobowych, może podlegać różnym rodzajom odpowiedzialności:

Zatem przetwarzanie informacji bez zgody podmiotu jest możliwe, jeżeli operator przyznaje takie uprawnienie na mocy prawa. Informacje muszą zostać wykorzystane w zakresie niezbędnym do realizacji celów operatora, po czym dane zostaną zniszczone lub zanonimizowane. Osobie, która uważa, że ​​jej dane osobowe zostały wykorzystane niezgodnie z prawem, przysługuje prawo odwołania się do sądu lub Roskomnadzoru.

Nie znasz swoich praw?

Bezpośrednio powiązany z konkretną osobą. Podanie tych danych oznacza działania mające na celu przekazanie tak ograniczonej informacji jednej lub większej liczbie osób.

Otrzymanie takiego wniosku może nastąpić zarówno od organizacji reprezentujących prawo pracy (organy podatkowe, fundusz emerytalny itp.), jak i od przedstawicieli policji lub prokuratury. Ten ostatni przypadek tłumaczy się udziałem w procesie karnym lub administracyjnym. Nie jest jednak wymagana zgoda obywatela na podanie tych informacji.

Zasady rozpatrywania odwołań podmiotów lub ich przedstawicieli

Rozpatrzenie tych wniosków nazywa się regulaminem odpowiadania na wnioski lub ich przedstawicieli i zajmuje się nim przełożony, zastępca lub upoważniony urzędnik, do którego obowiązków należy. Urzędnicy ci zapewniają:

1. Terminowa, obiektywna i kompleksowa analiza dokumentu.
2. Przesłanie pisemnych odpowiedzi co do istoty wniosku.
3. Podjęcie działań mających na celu przywrócenie lub ochronę naruszonych praw i interesów podmiotu.
4. Wszystkie wnioski przychodzące są rejestrowane w dniu ich otrzymania. Dokumenty są ostemplowane datą i numerem nadania.

Dokument jest czytany i sprawdzany pod kątem powtórzeń. W niektórych przypadkach sprawdza się to w oparciu o wcześniejszą korespondencję (jeśli istniała). Jeżeli w przeszłości wnioski były składane, żądanie można powtórzyć po 30 dniach od złożenia ostatniego żądania.

Po rejestracji wnioski kierowane są do kierownika firmy lub jego zastępcy, który określa termin i tryb rozpatrzenia. Następnie wykonawcom przekazywane są instrukcje.

Podczas rozpatrywania wniosku urzędnicy powinni:

W przypadku odmowy udzielenia informacji o wybranym podmiocie wskazanych w odwołaniu, upoważnieni urzędnicy są obowiązani przedstawić pisemną odpowiedź z uzasadnieniem, z powołaniem się na część 8 art. 14 ustawy federalnej lub innej ustawy, która może stanowić podstawę odmowy, w ciągu 30 dni od daty złożenia wniosku lub od daty otrzymania wniosku.

Komu możesz przekazać dane osobowe?

Następujące osoby mają prawo do otrzymania tych informacji na podstawie przepisów prawa:

• Fundusz Ubezpieczeń Społecznych Federacji Rosyjskiej.
• Organy podatkowe.
• Federalna Inspekcja Pracy.
• Fundusz Emerytalny Federacji Rosyjskiej.
• Inne organy państwowej kontroli i nadzoru nad wdrażaniem prawa pracy.

W takich przypadkach nie jest wymagana żadna nowa zgoda podmiotu poza tą, którą przekazała pracodawcy.

Czy i jakie organy mają prawo tego żądać?

W powyższym akapicie wskazano już organizacje, które zgodnie z prawem mają prawo do otrzymywania informacji. Jednakże istnieją inne osoby i organizacje, które mogą potrzebować danych osobowych.

Prawnicy

Wymienionym osobom przysługuje prawo żądania wszelkich danych istotnych dla sprawy:

• Zaświadczenia od osób upoważnionych.
• Informacje o działaniach obywatela.
• Charakterystyka.

Jednak nie wszystkie informacje podlegają ujawnieniu. Adwokata można odmówić w następujących przypadkach:

• Osoba, do której wpłynął wniosek, nie posiada tych dokumentów.
• Naruszono wymagania formularza wniosku.
• Dostęp do informacji jest ograniczony (tajemnice handlowe, państwowe, osobiste).

Prawnikowi nie przysługuje także prawo żądania informacji o danych osobowych, chyba że zostanie wyrażona na to oficjalna zgoda.

Funkcjonariusze policji

Zgodnie z klauzulą ​​4, część 1, artykuł 13 ustawy federalnej z dnia 02.07.2011 „O policji” funkcjonariusz ma prawo podczas prowadzenia dochodzeń w sprawach karnych lub wykroczeń administracyjnych, a także podczas sprawdzania zarzutów możliwych naruszeń , do bezpłatnego żądania i otrzymywania danych osobowych obywateli. Takie apele muszą być uzasadnione. Przekazywanie tych danych osobowych funkcjonariuszom Policji na ich żądanie nie wymaga zgody samych obywateli.

Śledczy z prokuratury

B uzupełniono o klauzulę rozszerzającą uprawnienia organizacji w zakresie dostępu do informacji, do której zalicza się i. Przetwarzanie otrzymanych danych w przypadkach przewidzianych przez prawo Federacji Rosyjskiej odbywa się przez organy prokuratury w związku z realizacją nadzoru prokuratorskiego.

Dokument ten należy sporządzić zgodnie z ustawą federalną nr 152-FZ „O danych osobowych”. Dokument powinien zawierać następujące informacje:

• Imię i nazwisko podmiotu, na temat którego należy przekazać informacje, lub jego oficjalnego przedstawiciela.
• Numer dokumentu tożsamości danej osoby, data jego otrzymania oraz organ, który go wydał.
• Data sporządzenia wniosku oraz podpis osoby trzeciej, czyli tej, od której pochodzi.

Dokument jest kompilowany według następującego algorytmu:

1. Zapisywany jest nagłówek żądania (ze wskazaniem, kto wysyła dokument i jego dane identyfikacyjne).
2. Do kogo skierowana jest ta prośba (nazwa i adres organizacji).
3. Treść (wskazuje powody, dla których wybrane informacje są wymagane i ich uzasadnienie zgodnie ze stanem faktycznym i ustawodawstwem).
4. Podpis i pieczęć organu wysyłającego.

Prośba o odpowiedź

W odpowiedzi na otrzymane żądanie należy napisać wiadomość zwrotną., który powinien zawierać następujące informacje:

1. Nazwa organu, z którego pochodzi żądanie.
2. Nazwa i adres operatora.
3. Narodowość pracownika, którego dane zwrócono się do nas.
4. Imię i nazwisko, dane paszportowe podmiotu, adres rejestracyjny.
5. Stanowisko utrzymane.
6. Informacje o aktywności zawodowej zgodnie ze znakami w zeszycie ćwiczeń (odnotowane są również załączone numery porządkowe).

Wysyłając odpowiedź nie wolno naruszać przekazanych informacji, dlatego też formularz z odpowiednimi informacjami musi zostać wypełniony i przesłany przez upoważnioną osobę – operatora.

Wiele organów ustawodawczych może uzyskiwać dane osobowe bez uprzedniej zgody podmiotu. Powodem tego może być udział w procesie karnym lub administracyjnym. Ponadto wiele organizacji związanych z prawem pracy ma prawo zażądać tych danych od pracodawcy.

We wrześniu Roskomnadzor w formie pytań i odpowiedzi udzielił wyjaśnień dotyczących ustawy o danych osobowych. Publikujemy je.

Czym jest Organ Uprawniony do Ochrony Praw Podmiotów Danych Osobowych i komu powierzono realizację tych funkcji?

Uprawnionym organem jest federalny organ wykonawczy pełniący funkcje kontrolne i nadzorcze w dziedzinie technologii informatycznych i komunikacji. Obecnie, zgodnie z dekretem rządu nr 228 z dnia 16 marca 2009 r. „W sprawie Federalnej Służby Nadzoru Łączności, Technologii Informacyjnych i Komunikacji Masowej”, funkcja ta jest przypisana Roskomnadzorowi.

Kto może być operatorem danych osobowych?

Zgodnie z art. 3 ust. 2 ustawy federalnej z dnia 27 lipca 2006 r. nr 152-FZ „O danych osobowych” operatorem jest organ państwowy, organ gminny, osoba prawna lub osoba fizyczna organizująca i (lub) wykonująca przetwarzania danych osobowych, a także określenia celów i treści przetwarzania danych osobowych W tym przypadku wskazane organy i osoby są podmiotami niezależnie od ich wpisu do rejestru podmiotów przetwarzających dane osobowe prowadzonego przez Roskomnadzor.

W jakich przypadkach operatorzy nie powinni zapewniać poufności danych osobowych?

Zgodnie z częścią 2 art. 7 ustawy federalnej z dnia 27 lipca 2006 r. nr 152-FZ „O danych osobowych” zapewnienie poufności danych osobowych nie jest wymagane:

1) w przypadku depersonalizacji danych osobowych;

2) w odniesieniu do publicznie dostępnych danych osobowych.

W jakich przypadkach na przetwarzanie danych osobowych nie jest wymagana zgoda podmiotu danych osobowych?

Zgodnie z częścią 2 art. 6 ustawy federalnej z dnia 27 lipca 2006 r. nr 152-FZ „O danych osobowych” zgoda podmiotu danych osobowych nie jest wymagana w następujących przypadkach:

1) przetwarzanie danych osobowych odbywa się na podstawie ustawy federalnej określającej jego cel, warunki pozyskiwania danych osobowych oraz zakres podmiotów, których dane osobowe podlegają przetwarzaniu, a także określającej uprawnienia operatora;

1.1) przetwarzanie danych osobowych jest niezbędne w związku z realizacją międzynarodowych umów Federacji Rosyjskiej o readmisji (klauzula 1.1 wprowadzona ustawą federalną nr 266-FZ z dnia 25 listopada 2009 r.);

2) przetwarzanie danych osobowych odbywa się w celu wykonania umowy, której jedna ze stron jest podmiotem danych osobowych;

3) przetwarzanie danych osobowych odbywa się w celach statystycznych lub innych celach naukowych, z zastrzeżeniem obowiązkowej anonimizacji danych osobowych;

4) przetwarzanie danych osobowych jest niezbędne do ochrony życia, zdrowia lub innych żywotnych interesów podmiotu danych osobowych, jeżeli uzyskanie zgody podmiotu danych osobowych jest niemożliwe;

5) przetwarzanie danych osobowych jest niezbędne do doręczania przesyłek pocztowych przez organizacje pocztowe, do dokonywania przez operatorów telekomunikacyjnych płatności na rzecz użytkowników usług komunikacyjnych za świadczone usługi, a także do rozpatrywania roszczeń użytkowników usług komunikacyjnych;

6) przetwarzanie danych osobowych odbywa się na potrzeby działalności zawodowej dziennikarza lub na potrzeby działalności naukowej, literackiej lub innej działalności twórczej, pod warunkiem nienaruszenia praw i wolności podmiotu danych osobowych;

7) przetwarzane są dane osobowe podlegające publikacji zgodnie z przepisami prawa federalnego, w tym dane osobowe osób zajmujących stanowiska rządowe, stanowiska w państwowej służbie cywilnej, dane osobowe kandydatów na wybieralne stanowiska stanowe lub samorządowe.

Kto powinien wystąpić o zgodę pracowników firmy na przetwarzanie danych osobowych, gdy są one przekazywane do przetwarzania innemu operatorowi?

Administracja przedsiębiorstwa, w którym działa podmiot danych osobowych, musi uzyskać zgodę pracownika na przekazanie jego danych osobowych do przetwarzania innemu operatorowi.

W jakich przypadkach operator ma prawo przetwarzać dane osobowe bez powiadamiania o tym organu uprawnionego do ochrony praw osób, których dane osobowe dotyczą?

Zgodnie z częścią 1 art. 22 ustawy federalnej z dnia 27 lipca 2006 r. nr 152-FZ „O danych osobowych” operator przed rozpoczęciem przetwarzania danych osobowych jest zobowiązany powiadomić upoważniony organ ds. ochrony prawa osób, których dane dotyczą (Roskomnadzor) o zamiarze przetwarzania danych osobowych. Wyjątkiem są przypadki przewidziane w części 2 komentowanego artykułu przy przetwarzaniu danych osobowych:

1) dotyczące osób, których dane osobowe łączą z operatorem stosunek pracy;

2) otrzymane przez Operatora w związku z zawarciem umowy, której stroną jest podmiot danych osobowych, jeżeli dane osobowe nie są rozpowszechniane ani udostępniane osobom trzecim bez zgody podmiotu danych osobowych i są wykorzystywane przez operator wyłącznie w celu wykonania określonej umowy i zawarcia umów z przedmiotem danych osobowych;

3) dotyczące członków (uczestników) stowarzyszenia publicznego lub organizacji religijnej i przetwarzane przez odpowiednie stowarzyszenie publiczne lub organizację religijną działające zgodnie z ustawodawstwem Federacji Rosyjskiej dla osiągnięcia zgodnych z prawem celów przewidzianych w ich dokumentach założycielskich, pod warunkiem że: dane osobowe nie będą rozpowszechniane bez pisemnej zgody podmiotów danych osobowych;

4) które stanowią publicznie dostępne dane osobowe;

5) obejmujące wyłącznie nazwiska, imiona i patronimiki podmiotów danych osobowych;

6) niezbędne w celu jednorazowego wprowadzenia podmiotu danych osobowych na terytorium, na którym znajduje się operator, lub w innych podobnych celach;

7) zawarte w systemach informacji o danych osobowych, które zgodnie z ustawą federalną mają status federalnych zautomatyzowanych systemów informacji, a także w państwowych systemach informacji o danych osobowych, stworzonych w celu ochrony bezpieczeństwa państwa i porządku publicznego;

8) przetwarzane bez użycia narzędzi automatyzacji zgodnie z przepisami federalnymi lub innymi regulacyjnymi aktami prawnymi Federacji Rosyjskiej ustanawiającymi wymagania dotyczące zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania oraz poszanowania praw osób, których dane osobowe dotyczą. Należy przesłać powiadomienie w formie pisemnej i podpisanej przez urzędnika lub przesłanej w formie elektronicznej i podpisanej elektronicznym podpisem cyfrowym zgodnie z ustawodawstwem Federacji Rosyjskiej

Przykładowy formularz powiadomienia o przetwarzaniu danych osobowych oraz wskazówki dotyczące jego wypełniania znajdują się na oficjalnej stronie internetowej Roskomnadzor.

Jaka odpowiedzialność przewiduje naruszenie przez operatora wymogów ustawy federalnej „O danych osobowych”?

Artykuł 24 ustawy federalnej „O danych osobowych” definiuje odpowiedzialność za naruszenie tej ustawy federalnej, która wyraża się w formie odpowiedzialności karnej, administracyjnej, dyscyplinarnej i innej przewidzianej w ustawodawstwie Federacji Rosyjskiej. Odpowiedzialność administracyjna za naruszenie niniejsza ustawa federalna ma zastosowanie do:

- bezprawną odmowę udostępnienia obywatelowi dokumentów i materiałów zebranych w przewidziany sposób lub nieterminowe udostępnienie takich dokumentów i materiałów, nieudzielenie innych informacji w przypadkach przewidzianych przez prawo lub przekazanie obywatelowi informacji niepełnych lub celowo nierzetelnych ( Artykuł 5.39 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej);

— naruszenie ustanowionej przez prawo procedury gromadzenia, przechowywania, wykorzystywania lub rozpowszechniania informacji o obywatelach (danych osobowych) (art. 13.11 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej);

— ujawnienie informacji, do których dostęp jest ograniczony przez prawo federalne (z wyjątkiem przypadków, gdy ujawnienie takich informacji pociąga za sobą odpowiedzialność karną) (art. 13.14 kodeksu administracyjnego);

- niezłożenie lub nieterminowe przekazanie organowi państwowemu (urzędnikowi) informacji (informacji), których przekazanie jest przewidziane przez prawo i jest niezbędne temu organowi (urzędnikowi) do wykonywania jego czynności prawnych, a także złożenie przekazania takiej informacji (informacji) organowi państwowemu (urzędnikowi) w formie niekompletnej lub zniekształconej (art. 19 ust. 7 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej).

Ponadto za nielegalne gromadzenie lub rozpowszechnianie informacji o życiu prywatnym danej osoby, stanowiących jej tajemnicę osobistą lub rodzinną, a także za bezprawny dostęp do prawnie chronionych informacji komputerowych, rosyjskie ustawodawstwo przewiduje odpowiedzialność karną na podstawie art. 137, 272 kodeksu karnego Federacji Rosyjskiej.

Czy instytucja kredytowa ma prawo przetwarzać dane osobowe osób, którym odmówiono kredytu? Czy możliwe jest przechowywanie formularzy wniosków kredytowych w postaci kopii cyfrowych?

Dane osobowe podmiotów danych osobowych otrzymane przez instytucję kredytową przy rozpatrywaniu wniosków o pożyczkę, w przypadku negatywnej decyzji instytucji kredytowej, podlegają zniszczeniu w terminie nie dłuższym niż trzy dni robocze od dnia decyzja.

Należy pamiętać, że standardowe formularze dokumentów, których charakter informacji sugeruje lub pozwala na umieszczenie w nich danych osobowych, mogą być przechowywane w formie kopii cyfrowych z zastrzeżeniem wymogów zapewniających bezpieczeństwo danych osobowych podczas ich przetwarzania w systemy informacyjne dotyczące danych osobowych zatwierdzone Dekretem Rządu Federacji Rosyjskiej z dnia 17 listopada 2007 r. nr 781 „W sprawie zatwierdzenia Regulaminu zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych”.

Czy można uzyskać zgodę na przetwarzanie danych osobowych przez telefon?

Uzyskanie zgody na przetwarzanie danych osobowych przez telefon lub za pośrednictwem wiadomości SMS nie jest uregulowane w obowiązującym ustawodawstwie Federacji Rosyjskiej.

Jaki jest dowód uzyskania zgody na przetwarzanie danych osobowych przy zakupie towarów w sklepach internetowych?

Przy wypełnianiu internetowego formularza zgłoszenia zakupu towaru na stronie sklepu internetowego w internetowej sieci informacyjno-telekomunikacyjnej kryterium wskazującym, że operator otrzymał zgodę podmiotu danych osobowych na przetwarzanie jego danych osobowych jest elektroniczny plik podpisu cyfrowego.

Ponadto oferta operatora sprzedaży towaru w niektórych przypadkach może zostać potraktowana jako oferta publiczna. Tym samym podmiot danych osobowych, podkreślając określoną ofertę, dokonuje tym samym dorozumianych działań wyrażających swoją wolę i zgodę na przetwarzanie swoich danych osobowych podanych przy wypełnianiu wniosku o zakup towaru.

Czy operator ma prawo żądać informacji o karalności?

Zgodnie z częścią 3 art. 10 ustawy federalnej „O danych osobowych” przetwarzanie danych osobowych w rejestrze karnym może być prowadzone przez organy państwowe lub samorządowe w ramach uprawnień przyznanych im zgodnie z ustawodawstwem Federacji Rosyjskiej, a także przez inne osoby w przypadkach i zgodnie z procedurą, określonych zgodnie z ustawą federalną.

Które kraje zagraniczne zapewniają odpowiednią ochronę danych osobowych?

Przed rozpoczęciem transgranicznego przekazywania danych osobowych operator przetwarzający dane osobowe (zwany dalej Operatorem) na terytorium Federacji Rosyjskiej ma obowiązek zapewnić, że państwo obce, na którego terytorium następuje przekazanie danych osobowych, out zapewnia odpowiednią ochronę praw osób, których dane osobowe dotyczą.

Obowiązujące ustawodawstwo Federacji Rosyjskiej nie przewiduje kryteriów określających adekwatność ochrony praw osób, których dane dotyczą, na terytorium obcego państwa. Operator dokonujący transgranicznego przekazywania danych osobowych musi kierować się ustawodawstwo państwa obcego, na którego terytorium następuje przekazanie danych osobowych, ustawodawstwo Federacji Rosyjskiej w zakresie ochrony podmiotów praw do danych osobowych, a także przepisy międzynarodowe, w tym Konwencja o ochronie praw Osób fizycznych w związku z automatycznym przetwarzaniem danych osobowych z dnia 28 stycznia 1981 r. ETS nr 108, z uwzględnieniem wykazu krajów, które podpisały i ratyfikowały niniejszą Konwencję. Są to Austria, Belgia, Bułgaria, Dania, Wielka Brytania, Węgry, Niemcy, Grecja, Irlandia, Hiszpania, Włochy, Łotwa, Litwa, Luksemburg, Malta, Holandia, Polska, Portugalia, Rumunia, Słowacja, Słowenia, Finlandia, Francja, Czechy, Szwecja, Estonia.

Drugą grupą mogącą ubiegać się o status krajów zapewniających odpowiednią ochronę danych osobowych są kraje posiadające ogólnokrajowe regulacje w zakresie ochrony danych osobowych oraz uprawniony organ nadzorczy w zakresie ochrony praw osób, których dane dotyczą. Są to Andora, Argentyna, Izrael, Islandia, Kanada, Liechtenstein, Norwegia, Serbia, Chorwacja, Czarnogóra, Szwajcaria, Korea Południowa, Japonia.

Czy wymagania ustawy federalnej „O danych osobowych” mają zastosowanie do osoby prawnej obcego państwa?

Wymogi ustawy federalnej „O danych osobowych” mają zastosowanie do przedstawicielstw osób prawnych obcych państw prowadzących działalność związaną z przetwarzaniem danych osobowych na terytorium Federacji Rosyjskiej.

Czy strona internetowa jest systemem informacyjnym służącym do przetwarzania danych osobowych?

Zgodnie z art. 3 ust. 9 ustawy federalnej „O danych osobowych” system informacji o danych osobowych to system informacyjny będący zbiorem danych osobowych zawartych w bazie danych, a także technologie informacyjne i środki techniczne umożliwiające przetwarzanie takich danych osobowych w sposób zautomatyzowany lub bez użycia takiego środka, jeżeli strona internetowa spełnia określone wymagania, jest systemem informatycznym.

Jak udokumentować fakt zniszczenia danych osobowych podmiotu?

Tryb dokumentowania zniszczenia danych osobowych podmiotu ustala samodzielnie operator danych osobowych. Niszczenia danych osobowych podmiotu dokonuje komisja lub inny urzędnik utworzony (upoważniony) na podstawie zlecenia Operatora. Najczęstszymi sposobami udokumentowania zniszczenia danych osobowych podmiotu jest wydanie stosownej ustawy o zaprzestaniu przetwarzania danych osobowych lub zarejestrowanie faktu zniszczenia danych osobowych w specjalnym dzienniku. Standardową formę ustawy i dziennika zatwierdza sam Operator.

Czy istnieją standardy lub zalecenia dotyczące wdrażania przez operatorów ustawy federalnej z dnia 27 lipca 2006 r. nr 152-FZ „O danych osobowych”?

Tak, istnieją takie dokumenty opracowane przez poszczególnych przedstawicieli środowiska operatorskiego:

— zalecenia metodologiczne dotyczące organizacji bezpieczeństwa informacji podczas przetwarzania danych osobowych w instytucjach opieki zdrowotnej, społecznej, pracy i zatrudnienia.

Ustawa o ochronie danych osobowych stworzyła dodatkowe zagrożenia dla przedsiębiorców. Zdjęcie dzięki uprzejmości służby prasowej Moskiewskiej Szkoły Zarządzania Skołkowo

Przyjęcie„O danych osobowych” stało się dla wielu firm problemem, nakładając na nie ogromną odpowiedzialność. Co zrobić w takiej sytuacji dla osób, dla których dane osobowe są niezbędne do pracy, w szczególności w przypadku sklepów internetowych, w materiale „KS”.

Poruszany temat został poruszony na początku maja podczas kolejnego spotkania klubu eCommerce Syberii. Anna Wojcechowicz, rzecznik patentowy w Kancelarii Prawnej „Grebneva i Wspólnicy”, którego specjalizacją jest własność intelektualna, opowiedział uczestnikom spotkania, jak można spokojnie żyć i pracować z danymi osobowymi w warunkach dzisiejszego dokręcania śrub. „KS” ugruntowała tezy swojego wystąpienia i jednocześnie zwróciła się do innych ekspertów prawnych z propozycją przekazania biznesowi swoich rekomendacji w tym zakresie.

Kto chce zostać operatorem

Co należy zrobić, aby Roskomnadzor umieścił Cię na liście operatorów danych osobowych (PD)? Tak, właściwie prawie nic - wystarczy założyć konto osobiste w serwisie, profil użytkownika, przycisk oddzwonienia i formularz reklamowy. Czy da się znaleźć sklep internetowy, który nie posiada żadnego z powyższych?

Jeżeli firma zajmująca się handlem internetowym mieści się w tej definicji (a jest to prawie w 100%), powinna powiadomić o tym Roskomnadzor, a wskazane jest zrobić to jak najszybciej, najlepiej jeszcze przed rozpoczęciem zbierania danych osobowych od klientów.

O czym warto pamiętać w pierwszej kolejności

Po pierwsze, nie ma jasnej definicji, co powinno znaleźć się w wykazie danych osobowych. Są rzeczy, które Roskomnadzor może uznać za takie, a kwestia ta będzie za każdym razem rozpatrywana indywidualnie. Jeśli podążymy za obecnym trendem w sprawach sądowych, za dane osobowe można uznać następujące informacje: nazwisko, imię i nazwisko rodowe, data i miejsce urodzenia, adres domowy, rodzinny, status społeczny i majątkowy, wykształcenie i miejsce pracy. To bardzo ważne: aby informacja została uznana za dane osobowe, nie jest konieczne zebranie wszystkich wymienionych powyżej informacji, wystarczy jeden punkt.

„W rzeczywistości danymi osobowymi można nazwać wszelkie informacje dotyczące bezpośrednio lub pośrednio zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Oznacza to, że dane osobowe to wszelkie informacje o osobie, za pomocą których można ją zidentyfikować – podkreśliła Anna Voitsekhovich. - Prawo nie zawiera pełnej i wyłącznej listy takich informacji. Przepisy prawa nie przewidują możliwości sprawdzenia, czy dane dotyczą konkretnej osoby. Nawet jeśli Klient podał dane oczywiście fikcyjne, nie zwalnia to Cię z obowiązku przetwarzania danych osobowych.”

Po drugie, w przypadku podejrzanych praktycznie nie obowiązuje zasada domniemania niewinności. RKN nie musi udowadniać, że określone dane mają charakter osobisty. „Istnieją powody, aby wierzyć” w zupełności wystarczy. Z kolei posiadacz informacji musi przedstawić jak najbardziej przekonujący dowód na to, że informacje te są rzeczywiście niezbędne. Oto przykład: sklep internetowy prosi przy rejestracji o podanie daty urodzenia – po co? Najbardziej oczywista odpowiedź – zaoferować specjalną zniżkę z okazji urodzin lub po prostu pogratulować – raczej nie zadowoli inspektorów. Organ regulacyjny ma prawo żądać przedstawienia dokumentu określającego taki program lojalnościowy. Jeśli tego nie dostarczyli, to wszystko, opłatę uważa się za nieuzasadnioną. Powiedzieć, że program jest dopiero rozwijany, to to samo. „Stanowisko Roskomnadzor jest bardzo proste – informacje należy zbierać w bardzo konkretnym celu i trzeba mieć bardzo jasne wyjaśnienie, dlaczego potrzebny jest każdy szczegół” – komentuje prawnik.

Bardzo często sprzedawcy internetowi zbierają wszystko „na wszelki wypadek”, nie zastanawiając się, po co te wszystkie informacje są potrzebne – i jest to jeden z najczęstszych błędów. Zdecydowana większość danych osobowych, o które proszą sklepy, nie jest im potrzebna: często zdarza się, że na etapie rejestracji proszą o podanie adresu domowego, a czasami wymagają też podania danych paszportowych. Nawiasem mówiąc, według Anny Voitsekhovich lepiej ich w ogóle nie zbierać; jedyną branżą, która naprawdę potrzebuje tych informacji, jest branża medyczna, na co RKN zwraca szczególną uwagę.

Po trzecie, nie należy oczekiwać ostrzeżenia przed inspekcją. Oczywiście organ regulacyjny (w naszym przypadku RKN) ma obowiązek wysłać powiadomienie z wyprzedzeniem przed kontrolą, jeśli zajdzie potrzeba przejrzenia niektórych dokumentów w biurze, zawartości serwera, komputerów i tak dalej. Jednak w przypadku danych osobowych, jak pokazuje praktyka, nie jest to po prostu konieczne – według Anny Voitsekhovich w 95% przypadków naruszenia znajdują się bezpośrednio na stronie internetowej firmy lub sklepu. Aby je wykryć, nie są potrzebne żadne ostrzeżenia.

Przepisy, na których opiera się RKN

Niewiele jest regulacyjnych aktów prawnych, na podstawie których rozpatrywane są sprawy dotyczące przechowywania danych osobowych. Najczęściej w przypadku informacji o klientach brana jest pod uwagę ustawa 152-FZ „O danych osobowych”, a w przypadku informacji o klientach – art. 14 Kodeksu pracy, jeżeli przedmiotem danych osobowych są pracownicy samej firmy. Naruszenia tych przepisów podlegają Kodeksowi administracyjnemu.

Telefon,mi— poczta, IP, ciastka- kwestie kontrowersyjne

Czy numery telefonów komórkowych i adresy e-mail kwalifikują się jako dane osobowe? Nadal nie ma jednoznacznej odpowiedzi. Stanowisko Roskomnadzoru jest takie, że tak, ponieważ karty SIM są sprzedawane i rejestrowane na podstawie paszportu, a jeśli wpiszesz numer telefonu w wyszukiwarce, możesz dowiedzieć się danych osobowych właściciela. Stanowisko wielu prawników jest nie, nie jest, umowę z operatorem komórkowym można zawrzeć na inną osobę, a poczta może działać. Są już orzeczenia sądowe: w Petersburgu sąd uznał e-mail za dane osobowe, w Lipiecku – numer telefonu. Zdarza się, że orzeczenia sądów uwzględniają w wykazie danych osobowych dowód rejestracyjny domu, informację o przekroczeniu granicy państwowej – i wszystkie te sprawy stają się precedensami. I trzeba z nimi żyć.

Jak pokazuje doświadczenie, w praktyce sądowej i administracyjnej skłonna jest wierzyć, że numer telefonu komórkowego wiąże się z danymi osobowymi, gdyż to właściciel numeru ma prawo rozporządzać informacjami na jego temat (np. wykorzystywać numer do wysyłania jakiekolwiek informacje za jego pośrednictwem).

Jeśli sklep internetowy używa adresu e-mail jako loginu, oznacza to już gromadzenie danych osobowych

Login i hasło, bez których sprzedawcy internetowi posiadający konto osobiste na swojej stronie sprzedażowej nie mogą się obejść, na szczęście nie są jeszcze uznawane za dane osobowe. Anna Voitsekhovich cytuje szefa RKN Aleksandra Zharova: „Nazwy użytkowników i hasła do kont w serwisach pocztowych lub na portalach społecznościowych same w sobie nie są danymi osobowymi”. Jeśli jednak sklep internetowy używa adresu e-mail jako loginu (nie zawsze, ale to też się zdarza) lub wymaga jego wskazania w celu potwierdzenia rejestracji (znacznie częściej) – to już jest zbieranie danych osobowych.

To, czy adresy IP są danymi osobowymi, jest kwestią kontrowersyjną pod każdym względem. Sąd Arbitrażowy w Czelabińsku udzielił pozytywnej odpowiedzi w lutym 2016 roku w Petersburgu, sąd doszedł do przeciwnego wniosku. „Moim zdaniem adresów IP nie można nazwać danymi osobowymi, ponieważ identyfikują nie osobę, ale komputer” – swój punkt widzenia wyraża Anna Voitsekhovich. - Aby zrozumieć, jak bardzo ta technika jest powiązana z konkretnym użytkownikiem, nadal musisz bardzo się postarać. Ogólnie rzecz biorąc, z mojego osobistego doświadczenia w komunikowaniu się z organami ścigania, wnioskami i sądami mogę stwierdzić, że adres IP nie jest danymi osobowymi.

O zdjęciach

Ustawa „O danych osobowych”, jak już wspomniano, nie zawiera szczegółowego wykazu danych osobowych, ale wyróżnia kilka kategorii: ogólne, na podstawie których można natychmiast zidentyfikować osobę, szczególne, ujawniające je tylko częściowo oraz biometryczne. Do tych ostatnich zaliczają się nie tylko odciski palców, ale także np. zdjęcia, dzięki którym można zweryfikować tożsamość danej osoby. Anna Voitsekhovich podaje przykład z własnego doświadczenia: na zdjęciu z miejsca zdarzenia w kadrze pojawiła się przypadkowa osoba, a policja, uznając to za informację biometryczną, zajęła zdjęcia, wydając jedynie protokół, bez załącznika .

Jeśli zdjęcie ma charakter biometryczny, należy uzyskać zgodę na jego publikację. I zrób to na piśmie. Jeżeli wizerunek zostanie wykorzystany w mediach lub reklamie (nawet jeśli nie można na jego podstawie zidentyfikować osoby), wymagana jest także zgoda. Nawet jeśli temat sam pozował fotografowi i otrzymał za to pieniądze, nie oznacza to automatycznej zgody – wszystko trzeba wcześniej uzgodnić.

Czy można zostać wykluczonym z listy operatorów danych osobowych?

Sklep internetowy nie będzie mógł całkowicie wykluczyć się z listy operatorów danych osobowych, jednak w niektórych przypadkach istnieje możliwość nie złożenia zgłoszenia do RKN. Zgłoszenie nie może zostać złożone w następujących przypadkach.

Jeżeli wszystkie osoby, których dotyczą dane osobowe, są pracownikami samej firmy.

Jeżeli dane osobowe są pozyskiwane wyłącznie w celu wykonania konkretnej umowy z konkretną osobą i nie będą w żaden sposób wykorzystywane, a tym bardziej rozpowszechniane. Ta technika jest często stosowana przez biznesmenów, ale w rzeczywistości z naruszeniami. Bardzo ważne jest, aby pamiętać, że zawarcie umowy (a przynajmniej początek jej wykonywania) musi nastąpić przed przetwarzaniem danych osobowych Klienta. W rzeczywistości kupujący najpierw rejestruje się na stronie, następnie wybiera zakup i dopiero wtedy być może coś kupuje. RKN na pewno zwróci na to uwagę podczas kontroli.

Trzecia opcja polega na tym, że dana osoba sama opublikowała swoje dane w domenie publicznej. Technika ta, wbrew temu, co twierdzi wielu prawników, jest całkiem wykonalna, choć pracochłonna – dla każdego przedmiotu trzeba przeprowadzić potwierdzenie. Sam Roskomnadzor postrzega tę metodę bardziej lojalnie niż poprzednia - w przeciwnym razie po prostu nie mieliby czasu na przetwarzanie wszystkich przychodzących wniosków.

O sankcjach

Od 1 lipca 2017 r. wzrosły kary pieniężne za naruszenia pracy z danymi osobowymi. Od tego momentu Kodeks wykroczeń administracyjnych (sankcje za naruszenia 152-FZ zawarte są głównie w art. 13.11) obejmuje siedem przestępstw, z których sześć może dotyczyć sprzedawców internetowych.

Za nieuzasadnione gromadzenie danych (na przykład numer paszportu, NIP, jeśli nie są potrzebne) - grzywna w wysokości do 50 tysięcy rubli.

Za zbieranie danych osobowych bez zgody właściciela (bez pisemnego potwierdzenia) - do 75 tysięcy rubli.

Za nieudzielenie podmiotowi danych osobowych informacji na ich temat (milczenie w odpowiedzi na żądanie) – do 40 tysięcy rubli.

Za niespełnienie w terminie wymagań podmiotu PD lub administratora (na przykład zniszczenie lub wyjaśnienie danych) - do 45 tysięcy rubli.

Za wyciek danych osobowych lub nieuprawniony dostęp do nich (z wyjątkiem przypadków, gdy obowiązuje już artykuł karny) - do 50 tysięcy rubli.

W przypadku szczególnie poważnych naruszeń można zastosować Kodeks karny, w szczególności art. („Naruszenie prywatności”) lub art. („Nielegalny dostęp do informacji komputerowych”). W tym przypadku kara może sięgać pozbawienia wolności do lat czterech.

Anna Voitsekhovich zauważa również, że Roskomnadzor podejmuje decyzję o daniu sprawcy naruszenia czasu na poprawienie się, natychmiastowym ukaraniu go grzywną lub np. o aresztowaniu kelnera na miejscu. Decyzja zależy także od branży, w której działa firma; administratorzy traktują niektóre (np. instytucje medyczne) bardziej rygorystycznie niż inne. Ponadto należy wziąć pod uwagę, że powyższe kary są nakładane za każdy ustalony fakt naruszenia i ostatecznie są sumowane. A najsmutniejsze jest to, że jeśli podczas jednej kontroli zostanie wykryte więcej niż jedno naruszenie, Roskomnadzor ma pełne prawo zamknąć witrynę i przejąć serwer - czyli sparaliżować pracę całej firmy na co najmniej dwa miesiące. Otwieranie „luster” jest bezużyteczne - RKN od dawna jest w stanie je znaleźć i zamknąć, mechanizm został już opracowany. To tylko pogorszy sytuację samych sprawców.

Algorytm działań

Współzałożyciel i główny ekspert firmy B-152 Maxim Lagutin Na prośbę „KS” wydał kilka zaleceń, jak uniknąć naruszenia prawa federalnego.

Najpierw musisz odpowiedzieć na piśmie, jakie informacje o użytkownikach zbierasz, w jaki sposób je wykorzystujesz i komu je udostępniasz. Wszystko to musi zostać ujęte w bieżących dokumentach.

Po drugie, trzeba wszystkich o wszystkim uprzedzić: na stronie powinna znajdować się informacja o gromadzeniu nie tylko plików cookies, ale także danych użytkowników. Upewnij się, że Twoja polityka dotycząca danych została opublikowana i dostępna na stronie internetowej.

Na stronie powinna pojawić się informacja o gromadzeniu nie tylko plików cookies, ale także danych użytkowników

Po trzecie ważne jest zebranie zgody na przetwarzanie danych osobowych: należy przesłać link potwierdzający e-mailem, kod SMS na telefon komórkowy lub zapisać adres IP użytkownika. Upewnij się, że przy każdym przypadku gromadzenia danych osobowych w serwisie znajduje się odnośnik do odpowiedniej zgody w tym celu. Może to być zwykły tekst lub pole wyboru „Klikając przycisk „Wyślij wiadomość”, wyrażam zgodę na przetwarzanie danych osobowych.” W takim przypadku tekst „Wyrażam zgodę” musi stanowić odnośnik do treści samej zgody, z którą należy zapoznać się, zanim użytkownik będzie mógł wyrazić zgodę.

1. Umowa użytkownika to umowa przystąpienia, którą użytkownik akceptuje bez zastrzeżeń w całości. Dokument pozwala z wyprzedzeniem rozwiązać ewentualne konflikty związane z ilością usług i kolejnością otrzymywania usług przez użytkownika. Ponadto ta opcja jest odpowiednia, jeśli osoby fizyczne zamieszczają jakiekolwiek informacje we własnym imieniu na stronie internetowej organizacji lub przedsiębiorcy. Umowa użytkownika umożliwi właścicielowi witryny moderowanie takich informacji. PS określa ogólne warunki korzystania z witryny, odpowiedzialność właściciela usługi, sposób ochrony praw do witryny i jej zawartości, zezwolenie na wysyłanie różnych powiadomień do użytkowników oraz procedurę rozwiązywania sporów.
2. Oferta publiczna sprzedaży towarów na odległość, która określa warunki i tryb zawierania umowy sprzedaży i zakupu towarów za pośrednictwem sklepu internetowego.
3. Polityka Prywatności, która opisuje procedurę przetwarzania danych osobowych. Powinien zawierać wykaz informacji, które serwis zbiera i przetwarza, cel zbierania informacji, wymogi dotyczące ochrony danych osobowych oraz przypadki, w których mogą one zostać przekazane podmiotom trzecim. Warunkiem jest to, że użytkownik musi mieć możliwość edycji swoich danych. Jeśli inspektor nie znajdzie wymaganego formularza, jest to już naruszenie. Komputer PC jest zatwierdzany na zlecenie właściciela serwisu i umieszczany w widocznym miejscu w biurze, na stronie oraz w aplikacji mobilnej znajdującej się w domenie publicznej. W przypadku zmiany warunków korzystania z komputera konieczne jest nie tylko powiadomienie użytkownika o zmianie, ale także pozostawienie w serwisie starych wersji Polityki, na podstawie której zebrano dane osobowe. Jeśli go nie zapisałeś, jest to już naruszenie.

Wszystkie trzy dokumenty muszą zostać zatwierdzone przez właściciela witryny i przesłane w formie papierowej w biurze firmy lub innym miejscu zamieszkania właściciela witryny. Dodatkowo muszą być opublikowane na samej stronie internetowej oraz w aplikacji mobilnej.

Przepisy dotyczące ochrony danych osobowych powinny ściśle pokrywać się z Polityką Prywatności, jednak nie mogą się powielać. Jeżeli podczas kontroli Roskomnadzor znajdzie w nich sprzeczności (na przykład jakiś warunek jest określony w jednym dokumencie, a nie w innym), dokumenty zostaną uznane za „niedziałające”.

„Wiele osób błędnie uważa, że ​​wystarczy jedna umowa użytkownika, polityka przetwarzania danych osobowych czy jedna zgoda, którą należy umieścić na wszelkich formach gromadzenia danych osobowych w serwisie i tym samym przestrzegać prawa. Tak naprawdę na stronie dane osobowe są gromadzone za pośrednictwem różnych formularzy i do różnych celów – w niektórych przypadkach w celu wysyłki, w innych w celu kontaktu z daną osobą, jeszcze w jeszcze innych w celu pobrania materiałów promocyjnych lub zamówienia cennika – zauważa Maxim Lagutin. „Cele są różne i zgody muszą być inne, w przeciwnym razie można otrzymać karę w wysokości do 50 tysięcy rubli”.

Wiele osób błędnie uważa, że ​​wystarczy jedna umowa użytkownika, polityka przetwarzania danych osobowych czy jedna zgoda

Wypisywanie się z mailingów i powiadomień powinno działać przejrzyście i bezawaryjnie, przyciski rezygnacji powinny znajdować się w widocznych miejscach. Jeśli inspektor nie może ich znaleźć lub przynajmniej jedna osoba skarży się, że nie mogła się wypisać (a tym samym sklep przechowuje jej dane nielegalnie), jest to już naruszenie.

Należy wybrać i wskazać na stronie odrębny adres e-mail, na który dana osoba może zwrócić się z prośbą o zmianę lub usunięcie swoich danych osobowych oraz zadać wszelkie pytania na ten temat. Wskazane jest, aby nie była to zwykła skrzynka pocztowa [e-mail chroniony], lecz adres specjalnie do tego przeznaczony.

Najlepiej jak najczęściej informować odwiedzających i klientów, że ich dane są gromadzone i przechowywane – w tym także do celów badań rynkowych. Powiedzieć to jeszcze raz, jest o wiele lepiej, niż nie powiedzieć.

Jeśli RKN jest gotowy do rozpoczęcia kontroli (a nie tylko monitorowania miejsca), to po otrzymaniu powiadomienia musisz przeprowadzić samokontrolę: zebrać niezbędne dokumenty, powiadomić pracowników i spróbować przekazać inspektorom, że są operatorami przestrzegającymi prawa i sumiennie informują wszystkich o wszystkim.

Na koniec ostatni punkt, który dotyczy również ustawy o danych osobowych – serwery z nimi muszą znajdować się w Rosji.

BEZPOŚREDNIA MOWA

Anton Karasev, szef działu marketingu internetowego grupy firm IT-GRAD:

Firmy powiązane ze sklepami internetowymi lub innymi formami prowadzenia działalności muszą stosować się do ustalonych wymagań regulatora i przede wszystkim pamiętać o własnej odpowiedzialności. Aby uniknąć naruszeń, należy zbadać kwestię prawidłowości sporządzania polityki przetwarzania danych osobowych i przewidzieć możliwość uzyskania obowiązkowej zgody na przetwarzanie danych osobowych. Jeżeli na stronie sklepu internetowego znajdują się jakiekolwiek formy gromadzenia danych, pod każdą z nich należy umieścić zdanie o wyrażeniu zgody na przetwarzanie danych osobowych oraz koniecznie przewidzieć możliwość wyrażenia zgody na ten warunek . Nie zapomnij o określonych warunkach przetwarzania danych osobowych, do których należy dołączyć hiperłącze do dokumentu na stronie serwisu.

Dmitry Korobitsyn, dyrektor generalny firmy „Dostawca szczęścia”:

Traktujemy te kwestie prawne poważnie. Nasza firma współpracuje ze sklepami internetowymi, które bezpośrednio zajmują się kwestią danych osobowych. Polecam każdej firmie zwracać uwagę na dokumenty publikowane na jej stronie internetowej i w razie potrzeby niezwłocznie wprowadzać w niej zmiany.

Aby uniknąć kary z powodu naruszenia wymogów ustawy federalnej „O danych osobowych”, musisz umieścić na stronie internetowej dwa dokumenty. Pierwsza z nich to „Zgoda podmiotu na przetwarzanie danych osobowych”. Jest to przejrzysty dokument stwierdzający, że użytkownik wyraża zgodę na przetwarzanie swoich danych osobowych. Po wskazaniu swoich danych (imię i nazwisko, adres e-mail i numer telefonu) zaznacza okienko wskazujące, że nie sprzeciwia się przetwarzaniu danych, które pozostawił w serwisie. Tam z reguły jest proszony o zapoznanie się z pełnym tekstem dokumentu.

Drugi dokument jest mniej jasny, ale niezbędny – „Polityka organizacji dotycząca i przetwarzania danych osobowych”. Nie ma jasnego wyjaśnienia, czym powinien być ten dokument i jaka jest jego polityka. W związku z tym prawnicy firm informatycznych zdecydowali, że polityka może być kompilacją ustawy federalnej „O danych osobowych” i niektórych informacji z dokumentu „Zgoda na przetwarzanie danych osobowych”.

Subskrybuj kanał „Kontynent Syberii” na Telegramie, aby jako pierwszy dowiedzieć się o kluczowych wydarzeniach w kręgach biznesowych i rządowych regionu.

Znalazłeś błąd w tekście? Wybierz i naciśnij Ctrl + Enter