О каких персональных данных идет речь? Цитирую ФЗ «О персональных данных»: «Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».
В шаблонах договоров, которые находят в интернете или получают на юридическом модуле в процессе обучения онлайн-бизнесу, обычно указаны: ФИО, телефон, адрес электронной почты. Точка. Но! Позиция Роскомнадзора (а вслед за ним и судебной практики) такова, что персональными данными также признаются: данные об IP-адресе, геопозиция и всеми любимые cookies, которые всякий раз снова и снова нервируют практически на каждом сайте… То есть даже если пользователь не указал, как его зовут, но вы собрали на лендинге любые данные о нем, то это незаконно. Законно – с его согласия. А это согласие можно получить только тогда, когда сайт содержит документы, с которыми пользователь ознакомился и проставил «галочку согласия». Самое интересное, что иногда Роскомнадзор отказывает недовольным субъектам персональных данных (читай: гражданам) в блокировке какого-либо сайта. Но те неугомонно добиваются своего и успешно такие отказы оспаривают.
Правовое сердце для онлайн-бизнеса – это, конечно, договор оферты. Но согласие на обработку персональных данных (вкупе с Политикой обработки персональных данных) – еще один кит, на котором зиждется правовое оформление онлайн-проекта. И игнорировать их важность – порочный путь.
А если я физлицо, являюсь ли я оператором персональных данных?
Да! Цитирую п. 2 ст. 3 ФЗ «О персональных данных»: «Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных». При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.
Всегда ли я должен регистрироваться в качестве оператора, обрабатывающего персональные данные?
По общему правилу, если вы намерены собирать персональные данные, то предварительно нужно уведомить об этом Роскомнадзор (ст. 22 ФЗ «О персональных данных»). Отправить сообщение в Роскомнадзор можно в электронной форме на официальном сайте [32]. В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.
Однако, как и в любом правиле, здесь есть исключения. И вот когда онлайн-бизнесмену не нужно уведомлять Роскомнадзор о том, что он обрабатывает персональные данные:
• при сборе и обработке сведений, которые само физическое лицо сделало общедоступными (п. 4 ч. 2 ст. 22 ФЗ «О персональных данных»);
• при сборе персональных данных, которые включают только имя, отчество и фамилию физического лица (п. 5 ч. 2 ст. 22 ФЗ «О персональных данных»);
• при сборе личных сведений сотрудников в рамках трудовых отношений. Это касается только тех данных, которые необходимо предоставить работодателю при оформлении трудового и коллективного договора. Но! Нужно уведомлять Роскомнадзор о сборе и обработке сведений, которые не касаются трудовых отношений, а также если работодатель собирается обрабатывать данные уволенных сотрудников (п. 1 ч. 2 ст. 22 ФЗ «О персональных данных»);
• при сборе персональных данных клиентов исключительно с целью исполнения заключенного с ними договора. В этом случае уведомлять Роскомнадзор не нужно, если исполнитель/продавец/поставщик не собирается передавать персональные данные третьим лицам (п. 2 ч. 2 ст. 22 ФЗ «О персональных данных»).
Бывают ли случаи, когда оператор не должен обеспечивать конфиденциальность персональных данных?
Да! И ч. 2 ст. 7 ФЗ «О персональных данных» гласит, что обеспечение конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.
Один только нюанс: перед тем как обезличить персональные данные, вы их собираете и обрабатываете. Поэтому согласие на эти операции нужно взять у субъекта персональных данных.
Производите ли вы обработку персональных данных, если собрали (получили) эти данные, но ничего с ними не делаете?
Да! Потому что хранение – это тоже обработка персональных данных. Статья 3 ФЗ «О персональных данных» под обработкой персональных данных понимает любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая:
• сбор,
• запись,
• систематизацию,
• накопление,
• хранение,
• уточнение (обновление, изменение),
• извлечение,
• использование,
• передачу (распространение, предоставление, доступ),
• обезличивание,
• блокирование,
• удаление,
• уничтожение персональных данных.
Пользователи вашего сайта могут не стать вашими покупателями, но пользоваться вашим сайтом, подписаться и получать вашу рассылку. При этом вы собираете их данные?
Да! Не забудьте разместить на сайте пользовательское соглашение (оно акцептуется и начинает действовать, как только человек получает контент). При этом не забудьте внести в пользовательское соглашение условия, принимая которые ваш пользователь дает согласие на обработку персональных данных. Пользователь может как акцептовать условия пользовательского соглашения, так и давать согласие на обработку своих персональных данных отдельно.
Является ли передача персональных данных учеников онлайн-школы на обучающую платформу поводом, из-за которого надо уведомлять Роскомнадзор об их сборе и передаче?
Да – в том случае, если вы сами (!) предоставляете эти данные платформе.
Когда ученик самостоятельно регистрирует личный кабинет и вносит всю информацию о себе, можно не уведомлять Роскомназдор об обработке персональных данных, если вы обрабатываете эти данные только с целью исполнения договора между вами и учеником (п. 2 ч. 2 ст. 22 ФЗ «О персональных данных»).
Я собрался обменяться базами данных учеников с моим коллегой из смежной ниши. Должен ли я зарегистрироваться в Роскомнадзоре?
Да, непременно! Ведь вы собираетесь передать персональные данные третьему лицу, а не платить штраф.
На лендинге «висят» отзывы с персональными