Что делать юристу компании, которая работает с персональными данными клиентов

Организация ведет деятельность по обслуживанию автомобилей. При обслуживании автомобиля сотрудник организации заносит в базу данных, которая хранится на сервере организации, данные автомобиля (пробег, дату выпуска и прочие характеристики автомобиля) и информацию по каждому обслуживанию автомобиля, а также данные клиента (Ф. И. О., дата рождения, номер телефона). Организация по договору франчайзинга сотрудничает с другими юридическими лицами (франчайзи), работающими под тем же товарным знаком и по тем же условиям, что и организация — владелец товарного знака. В процессе сотрудничества организация передает доступ в общую базу данных клиентов (включая их личные персональные данные и данные автомобиля) своим франчайзи, которые также ведут историю обслуживания этих клиентов. При этом организация берет с клиента Согласие на обработку и хранение его личных персональных данных (Ф. И. О., дата рождения, номер телефона). Достаточно ли внести дополнение в Согласие на обработку и хранение персональных данных клиента пункт, подтверждающий также согласие клиента на передачу и последующее хранение его персональных данных организациям-франчайзи, работающим под тем же товарным знаком и по тем же условиям, что и организация — владелец товарного знака? Или должен быть иной порядок действий? Какими документами и как именно должны быть оформлены взаимоотношения между организацией и франчайзи в части передачи персональных данных клиентов, чтобы обеспечить соблюдение Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных»?

По данному вопросу мы придерживаемся следующей позиции:
Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу*(1), является персональными данными (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», далее — Закон N 152-ФЗ). Соответственно, ее обработка, в том числе сбор, запись, хранение, использование и т.п.*(2), должна подчиняться правилам, установленным Законом N 152-ФЗ.
Как мы поняли из вопроса, компания — владелец знака обслуживания осуществляет обработку ПД в виде их сбора, записи, систематизации, накопления и хранения при формировании единой клиентской базы, передачи (распространения, предоставления, доступа) компаниям-франчайзи. Также эта компания сама использует ПД для непосредственного оказания клиентам услуг по договору. В свою очередь, компании-франчайзи также осуществляют обработку ПД: использование для оказания услуг, новый сбор, запись, уточнение (обновление, изменение), а также обратную передачу ПД владельцу знака обслуживания.
Оператором персональных данных (далее — ПД), как следует из п. 2 ст. 3 Закона N 152-ФЗ, является лицо, в том числе юридическое, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД. При таком положении, на наш взгляд, в рассматриваемом случае операторами ПД являются как компания — владелец знака обслуживания, так и компания-франчайзи. Ведь все эти субъекты самостоятельно определяют цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД. В этом смысле компании-франчайзи невозможно приравнять по статусу к организациям, осуществляющим обработку ПД по поручению оператора (ч. 3 ст. 6 Закона N 152-ФЗ).
Согласно ч. 1 ст. 6 Закона N 152-ФЗ обработка ПД допускается либо с согласия субъекта ПД на обработку его ПД, либо в исчерпывающем перечне случаев, определенных в пп. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ. Из данного перечня наиболее приближенным к рассматриваемой ситуации является случай, предусмотренный п. 5 ч. 1 ст. 6 Закона N 152-ФЗ: обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. При этом согласно ст. 7 Закона N 152-ФЗ операторы и иные лица, получившие доступ к ПД, обязаны не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено федеральным законом. В этой связи смотрите, например, решение Арбитражного суда Тверской области от 29 июля 2013 г. по делу N А66-7265/2013. Также необходимо учитывать, что согласно ч. 5 ст. 5 Закона N 152-ФЗ содержание и объем обрабатываемых ПД должны соответствовать заявленным целям обработки. Обрабатываемые ПД не должны быть избыточными по отношению к заявленным целям их обработки.
Рассматривая обработку ПД клиентов владельцем знака обслуживания, полагаем, что сбор, запись, использование этих сведений для целей оказания услуг охватываются положениями п. 5 ч. 1 ст. 6 Закона N 152-ФЗ, поскольку необходимы для исполнения заключенного с клиентом договора. Однако систематизация, накопление и хранение сведений в единой клиентской базе, а также передача их компаниям-франчайзи для данных целей являются избыточной обработкой. Соответственно, на такую обработку необходимо согласие клиента. Это также справедливо для случаев, когда сбор, запись, использование ПД осуществляются не для непосредственного оказания услуг, а для иных целей — такая обработка не отвечает требованиям п. 5 ч. 1 ст. 6 Закона N 152-ФЗ и также вызывает необходимость получения согласия*(3).
Что касается обработки ПД клиентов компаниями-франчайзи, на наш взгляд, использование этих сведений, новый сбор, запись, уточнение (обновление, изменение) для целей оказания услуг охватываются положениями п. 5 ч. 1 ст. 6 Закона N 152-ФЗ. Тем не менее на обработку в иных целях, а также на обратную передачу ПД владельцу знака обслуживания для размещения в клиентской базе требуется согласие субъекта ПД.
Обращаем внимание на то, что обязанность по представлению доказательств получения согласия возлагается законом на оператора (ч. 3 ст. 9 Закона N 152-ФЗ). Соответственно, компании-франчайзи обязаны сами получать от клиентов необходимое согласие на обработку ПД этими компаниями.
Наличие в договоре франчайзинга условий об обработке ПД клиентов имеет значение лишь в отношениях между сторонами этого договора и никак не влияет на необходимость получения операторами от субъектов ПД согласия на обработку их ПД вышеназванными способами.
Закон N 152-ФЗ не устанавливает порядок изменения согласия на обработку ПД. По нашему мнению, внесение дополнений в согласие возможно в той же форме, в которой ранее было дано изначальное согласие.
Также Закон N 152-ФЗ не регулирует взаимоотношения между двумя операторами по поводу передачи ПД*(4). Мы полагаем, что, исходя из принципа свободы договора (ст. 421 ГК РФ), договор между операторами может предусматривать любые условия, лишь бы они не нарушали императивные нормы Закона N 152-ФЗ, в т.ч. ст. 5, 7 Закона N 152-ФЗ и т.д. Дублировать данные нормы закона в договоре необязательно, они налагают на операторов соответствующие обязанности непосредственно.
К сожалению, обнаружить официальные разъяснения органов власти и судебную практику по рассматриваемой ситуации не удалось. Обращаем внимание на то, что приведенная позиция является нашим экспертным мнением и может не разделяться контролирующими органами и судами при рассмотрении конкретных дел. Поэтому рекомендуем обратиться за официальными разъяснениями в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в соответствии с Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденным постановлением Правительства РФ от 16 марта 2009 г. N 228, а также соответствующей инструкцией, утвержденной приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 10 февраля 2015 г. N 13.

К сведению:
Обращаем внимание также на то, что на организации в силу ч. 1, п. 2 ч. 2 ст. 19 Закона N 152-ФЗ лежит в том числе обязанность по соблюдению Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. N 1119.

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Прибыткова Мария

Ответ прошел контроль качества

5 февраля 2019 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

————————————————————————-
*(1) С этой точки зрения сведения о клиенте (Ф. И. О., дата рождения, номер телефона) относятся к персональным данным, а сведения об автомобиле (пробег, дата выпуска и прочие характеристики автомобиля) и информация по каждому обслуживанию авто — нет. В этой связи смотрите ответ Службы правового консалтинга на Вопрос: Организация ведет деятельность по обслуживанию автомобилей. При обслуживании автомобиля сотрудник организации заносит в базу данных, которая хранится на сервере организации, данные автомобиля (пробег, дату выпуска и прочие характеристики автомобиля), а также информацию по каждому обслуживанию. Относятся ли данные автомобиля к персональным данным клиента (владельца автомобиля)? Надо ли брать с клиента согласие на обработку и хранение данных автомобиля? Можно ли передавать данные автомобиля и историю его обслуживания следующему владельцу автомобиля? Надо ли при этом брать с предыдущего автовладельца согласие на передачу этих данных будущему владельцу автомобиля?
*(2) Согласно п. 3 ст. 3 Закона N 152-ФЗ обработкой персональных данных признается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
*(3) В соответствии с ч. 1 ст. 9 Закона N 152-ФЗ субъект ПД принимает решение о предоставлении своих ПД и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПД должно быть конкретным, информированным и сознательным. Согласие на обработку ПД может быть дано субъектом ПД или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В силу ст. 5 Закона N 152-ФЗ обработка ПД должна осуществляться на законной и справедливой основе. Обработка ПД должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПД, несовместимая с целями сбора ПД. Поэтому, на наш взгляд, по смыслу ст.ст. 5, 6, 9 Закона N 152-ФЗ согласие на обработку ПД независимо от его формы должно содержать в том числе наименование оператора, получающего согласие, цель обработки ПД, а также перечень действий с ПД, на совершение которых дается согласие. В судебной практике при проверке законности действий оператора ПД также признается необходимым установление конкретных целей обработки ПД, на которые субъект ПД дал оператору согласие (смотрите, к примеру, постановление Шестого арбитражного апелляционного суда от 17 октября 2012 г. N 06АП-4042/12).
*(4) Правда, статьей 12 Закона N 152-ФЗ урегулированы отдельные аспекты трансграничной передачи ПД.

Защита персональных данных клиентов организации

Защита персональных данных
с помощью DLP-системы

Б ольшинство российских компаний, работающих в секторе оказания услуг физическим лицам, тем или иным способом собирают и обрабатывают их персональные данные. Такая функция становится основанием для признания их операторами персональных данных в установленном законом порядке и необходимости принять комплекс организационных и технических мер, призванных защитить доверенную организациям информацию клиентов.

Нормативно-правовая база

Федеральный закон «О персональных данных» признает операторами всех юридических лиц и предпринимателей, которые получают и обрабатывают персональные данные клиентов в ситуациях, не являющихся обычным кадровым документооборотом. К предприятиям, постоянно сталкивающимся в своей работе с требованиями получать и обрабатывать данные в установленном законом порядке, а также предпринимать меры, направленные на их защиту, относятся:

  • медицинские учреждения, требования к которым, определяющие степень защищенности информационной системы, повышены из-за важности доверяемых им данных;
  • образовательные организации;
  • банки и другие финансовые учреждения;
  • страховые компании;
  • гостиницы;
  • библиотеки;
  • магазины.

Каждый из этих субъектов бизнеса получает от граждан сведения, которые носят конфиденциальный характер, и это не только имя, данные паспорта и номер телефона, но и информация о семейном положении, здоровье, имуществе, счетах и вкладах. Организации, в деятельности которых эти сведения необходимы по различным причинам, часто нормативно-правового порядка (например, форматы различных учетных карточек устанавливаются министерствами и ведомствами), вместе со сведениями получают комплекс обязанностей по их защите при обработке и передаче третьим лицам.

Закон требует от операторов предпринять комплекс организационных и технических мер, направленных на защиту доверенной им информации. Конкретизируются эти требования Постановлением Правительства № 1119, определяющим параметры, по которым устанавливается уровень защищенности системы, и приказами ФСТЭК России, которые регулируют применение и сертификацию технических средств, защищающих целостность информационной системы персональных данных. Также в области сертификации средств криптографической защиты данных и некоторых программных продуктов действуют стандарты, разрабатываемые и утверждаемые ФСБ России.

Обязанности оператора

Оператором является практически каждая организация, в рамках своей деятельности получающая от клиентов сведения о данных их паспорта или о номере телефона. Закон устанавливает обязанности оператора персональных данных как на организационном, так и на техническом уровне. После того, как компания определила, что требования закона безусловно относят ее к операторам, она обязана:

  • направить уведомление в Роскомнадзор о начале деятельности, связанной с обработкой персональных данных. Его форма заполняется на сайте, затем распечатывается, подписывается и отправляется в ведомство по почте;
  • разработать локальные нормативные акты, определяющие принципы и порядок обработки персональных данных клиентов в процессе осуществления ими предпринимательской деятельности;
  • разработать формат согласия на обработку персональных данных, которое подписывают клиенты, и определить порядок его предоставления для подписания;
  • назначить приказом руководителя лицо, ответственное за обеспечение надлежащей защиты персональных данных;
  • определить требуемую степень защищенности своей информационной системы согласно нормам Постановления Правительства № 1119;
  • разработать план приведения информационной базы в соответствие с требованиями законодательства и реализовать его.
Читать еще:  Мировое соглашение: ответственность за неисполнение

Выполнение этих обязанностей контролируется в ходе проверок Роскомнадзора. Следует учитывать, что по закону о защите прав юридических лиц в процессе проверок первая из плановых может пройти только спустя три года после направления уведомления.

Положение о защите персональных данных

Одной из задач оператора становится разработка внутреннего положения, определяющего принципы его работы при взаимодействии с персональными данными клиентов. Обычно оно размещается на сайте оператора таким образом, чтобы было доступно любому клиенту при поиске информации или предоставлении сведений, содержащих персональные данные. Подготовить такой нормативный акт можно самостоятельно, силами административного подразделения компании или службы безопасности, никаких специальных норм он не содержит, и требований к его формату и содержанию законодательство не предъявляет. В рекомендуемой версии структура положения будет выглядеть следующим образом:

  • общие положения. Здесь необходимо описать принципы работы с персональными данными, общие цели их использования, сведения о том, что после истечения определенного времени данные, потерявшие актуальность, должны быть уничтожены, порядок утверждения самого документа и внесения в него изменений;
  • определения. Здесь поясняется, что понимается под персональными данными клиентов применительно к уставным целям и задачам конкретной компании, поясняются другие термины, например, «клиент», «оператор». Требуемые от клиента персональные данные описываются максимально подробно, с пояснениями, от какой категории лиц какие именно сведения должны быть предоставлены. Здесь же описываются допустимые способы получения персональных данных;
  • требования к конфиденциальности. В положении указывается, что на персональные данные распространяется режим конфиденциальности, что оператор обязывает своих сотрудников соблюдать его требования. Кроме того, отмечается, что при передаче сведений третьим лицам для обработки на основании соглашения оператор включает в его обязательства соблюдение конфиденциальности и ответственность за нарушение этих требований;
  • права и обязанности клиента. В этом разделе необходимо быть осторожнее. Так, возложение на клиента обязанности уведомлять организацию об изменении персональных данных должно быть объяснено или нормами закона, или интересами самого клиента;
  • обязанности самого общества, возникающие при обработке персональных данных. Здесь можно не ограничиваться требованиями закона, инициативные решения повысят привлекательность предложения организации для клиента;
  • способы защиты персональных данных;
  • заключительные положения.

Согласие на обработку персональных данных

Существенным элементом системы защиты персональных данных становится разработка формата согласия на обработку персональных данных и установление порядка его подписания. Чаще всего сведения получают от клиента в процессе оформления договора, но следует учитывать, что они сохраняются не только в информационных базах, но и на материальных носителях, которыми, в зависимости от вида услуг, могут быть:

  • листки учета посетителей, заполненные в гостиницах;
  • формуляры, оформляемые в библиотеках;
  • медицинские карты;
  • анкеты различного рода.

Все эти документы часто хранятся в общем доступе, степень их защищенности нельзя отнести к повышенной. Распространение на них режима конфиденциальности защищается включением соответствующих норм в трудовые договоры с персоналом, но, как показывает практика, взыскать ущерб с сотрудника, виновного в разглашении конфиденциальной информации, крайне сложно. Единственной защитой персональных данных, хранящихся на бумажных носителях, становится трудность обработки большого объема рукописных данных, это значит, что их неправомерное распространение возможно только в случае заинтересованности злоумышленника в сведениях о конкретном клиенте. Но, подписывая согласие на обработку данных, клиент должен быть уверен в том, что они будут охраняться максимально возможным и соответствующим требованиям законодательства способом.

Также в согласии указываются цели обработки персональных данных, например, для гостиницы это будет соблюдение требований безопасности клиентов и сохранности имущества. Подписывая согласие, клиент должен признать целесообразность этих целей. После того, как определены цели, указываются способы обработки персональных данных, ручные и автоматические. Клиент должен выразить свое согласие и с ними.

В согласии указываются лица, которым, по договору с оператором, данные могут передаваться для хранения и обработки. Как показывает последняя судебная практика, применительно к банкам, эти лица необходимо скрупулезно и подробно перечислить.

Как гласит закон, согласие на обработку персональных данных в любое время может быть отозвано, делается это по тем каналам связи, которые оператор установил для коммуникации с клиентом. После отзыва компания обязана в течение 30 дней уничтожить данные. Этого можно избежать только в том случае, когда их нахождение у организации-оператора обусловливается требованиями федеральных законов, например, по борьбе с терроризмом или об отмывании денежных средств. Ранее срок удаления составлял 7 дней, но он был настолько неудобен для операторов, что было принято решение о его продлении. Также клиент вправе требовать удаления или изменения данных, если они не соответствуют действительности, искажены. При получении отказа или в случае неисполнения требований гражданин может обратиться с заявлением в Роскомнадзор.

Риски, с которыми связана обработка персональных данных клиентов

Операторы должны учитывать, что нарушение установленного порядка обработки и защиты персональных данных влечет за собой возникновение неблагоприятных последствий. Такие нарушения могут быть выявлены тремя способами:

  • при проведении проверочных мероприятий органами контроля за соблюдением законодательства о защите персональных данных – Роскомнадзором, ФСТЭК РФ, ФСБ России;
  • в результате взаимодействия оператора с некоторыми другими ведомствами, например, ФАС РФ;
  • физическим лицом, чьи права нарушены. Такое нарушение может стать основой для предъявления иска в суд о восстановлении нарушенного права и компенсации морального вреда.

Следствиями выявления нарушения государственным органом становятся:

  • вынесение предписания об устранении нарушений закона;
  • административные штрафы, налагаемые на руководителей компаний;
  • запрет на занятие деятельностью, связанной с обработкой персональных данных;
  • в наиболее вопиющих случаях неправомерного использования или распространения данных – привлечение к уголовной ответственности.

Лицо, информация о частной жизни которого была неправомерно получена или распространена, может обратиться в суд со следующими категориями исков:

  • иск о возмещении морального вреда, связанного с неправомерным использованием персональных данных;
  • иск о запрете собирать персональные данные, если организация не обладает необходимыми сертифицированными ресурсами для обеспечения их безопасности (этот способ защиты прав часто применяется во взаимоотношениях с магазинами);
  • иск об удалении или изменении некорректно учтенных данных.

Российские суды удовлетворяют требования о взыскании морального вреда чаще всего в пределах небольших сумм, в среднем 50 тысяч для столицы и крупных городов, 10 тысяч по России. Но риск заключается не в том, чтобы потерять небольшие средства, а в вынесении проблемы в публичное поле. После вступления в силу решения суда или сообщения СМИ о процессе Роскомнадзор может назначить внеочередную проверку соблюдения законодательства о защите персональных данных, и по ее результатам организации может быть запрещено заниматься их обработкой. Это станет причиной существенно больших убытков для оператора.

Организации, работающие с физическими лицами, должны учитывать все требования и риски и выстраивать свою работу таким образом, чтобы нарушения установленного порядка защиты персональных данных не происходило.

Персональные данные: как соблюсти порядок их обработки

Есть заблуждение, что с персональными данными работают только мобильные операторы и банки. На самом деле это не так. Любая компания обрабатывает персональные данные как минимум своих работников, а еще контрагентов, клиентов, посетителей офисов и т.д. В статье мы рассказали, что такое персональные данные и как их правильно обрабатывать. Читайте и не нарушайте закон – с 1 июля штрафы для компаний вырастут в семь раз.

С персональными данными работает каждая компания, но не каждый юрист знает, что такое персональные данные и как их правильно обрабатывать. Если до 1 июля 2017 года это было еще не так страшно – штрафы за нарушения были невелики, то теперь ситуация изменилась. С этой даты вступают в силу поправки в КоАП РФ, которые увеличивают штрафы для компаний за нарушения при обработке персональных данных и вводят 7 новых составов правонарушений (Федеральный закон от 07.02.17 № 13-ФЗ). Штрафы будут платить не только компании, но и работники, которые нарушили закон – включая юристов. Мы решили помочь вам не нарушать закон и рассказали про азы обработки персональных данных, которые касаются каждой компании.

Какая информация относится к персональным данным

Персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (п. 1 ст. 3 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных»; далее – Закон № 152-ФЗ). Более конкретно перечень такой информации определен в Указе Президента РФ от 06.03.97 № 188 «Об утверждении Перечня сведений конфиденциального характера»: это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, которые позволяют идентифицировать его личность, за исключением сведений, подлежащих распространению в СМИ в случаях, установленных законом.

В работе юридических и кадровых служб компаний обрабатываемые персональные данные обычно включает в себя следующие сведения о лице:

  • фамилия, имя, отчество;
  • год, месяц, дата и место рождения;
  • адрес;
  • семейное, социальное, имущественное положение;
  • образование, профессия, должность, доходы;
  • биометрические персональные данные.

Судебная практика расширяет перечень персональных данных. Например, суды признавали персональными данными:

  • сведения о смерти гражданина (постановление АС Поволжского округа от 25.09.14 по делу № А49-2005/2014);
  • номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.13 по делу №33-9241/2015);
  • фотографии гражданина (апелляционное определение Свердловского областного суда от 09.04.15 по делу № 33-5232/2015).

В последнее время есть явная тенденция – перечень сведений, которые составляют персональные данные, становится все шире. Так, Европейский суд справедливости в Решении от 19.10.16 по делу № 582/14 (Патрик Брейр против Германии) признал, что при определенных условиях даже IP-адрес интернет-пользователя может признаваться персональными данными.

Что такое обработка персональных данных

Обработка персональных данных — это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 Закона № 152-ФЗ).

Например, компания обрабатывает персональные данные, если собирает анкеты клиентов (в бумажном виде или через сайт), ведет и хранит клиентскую базу, передает контакты клиентов в call-центр, фиксирует паспортные данные посетителей офиса на контрольно-пропускном пункте и т.д. Фактически персональные данные обрабатывает любая компания.

Nota bene!
Дополнительные условия для обработки персональных данных соискателей и работников установлены гл. 14 ТК РФ и разъяснениями Роскомнадзора от 14.12.12 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».

Когда нужно уведомлять Роскомнадзор

Если компания обрабатывает персональные данные, она является оператором (п. 2 ст. 3 Закона № 152-ФЗ). Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении (п. 1 ст. 22 Закона № 152-ФЗ).

Направлять уведомление не требуется (п. 2 ст. 22 Закона № 152-ФЗ), если компания-оператор обрабатывает персональные данные, в частности:

  • только своих работников;
  • для целей заключения и исполнения договоров (например, персональные данные контрагентов);
  • для однократного пропуска лица на территорию компании;
  • без использования средств автоматизации (персональные данные используют, уточняют, распространяют и уничтожают при непосредственном участии человека – см. Постановление Правительства РФ от 15.09.08 № 687).

Проверьте, подпадает ли компания под исключения, которые указаны в Законе № 152-ФЗ. Если нет – составьте уведомление по официальной форме (Приложение № 2 к административному регламенту, утв. Приказом Минкомсвязи России от 21.12.11 № 346). Затем направьте его в территориальный орган Роскомнадзора по месту регистрации компании. Отправить уведомление можно как на бумажном носителе, так и в форме электронного документа через портал «Госуслуги» (gosuslugi.ru) или официальный сайт Роскомнадзора (pd.rkn.gov.ru/).

Роскомнадзор внесет сведения о компании в реестр операторов в течение 30 дней с даты поступления уведомления. Проверить, включена ли компания в реестр, можно на официальном сайте ведомства (pd.rkn.gov.ru/).

Как правильно собирать персональные данные

По общему правилу, чтобы собирать персональные данные, нужно получить согласие их владельца – субъекта персональных данных (пп. 1 п. 1 ст. 6 Закона № 152-ФЗ). Согласие должно быть конкретным, информированным и сознательным (п. 1 ст. 9 Закон № 152-ФЗ). Это значит, что перечень оснований для обработки персональных данных должен быть указан как можно более конкретно, а также содержать срок обработки и порядок отзыва согласия (постановление АС Уральского округа от 29.09.14 по делу № А60-31459/2013, постановление Пятого ААС от 13.08.14 по делу № А59-48/2014).

Читать еще:  Как юристу компании обрести авторитет среди коллег

Закон не устанавливает форму согласия на обработку персональных данных, за исключением особых сведений. Субъект может дать согласие в любой форме, которая позволит подтвердить факт его получения (п. 1 ст. 9 Закона № 152-ФЗ). В частности, согласие может быть выражено в электронной форме путем заполнения анкеты на сайте (постановление ФАС Северо-Западного округа от 13.12.10 по делу № А56-73636/2009, апелляционное определение Омского областного суда от 07.08.13 по делу № 33-5139/2013).

СНОСКА
Письменное согласие субъекта нужно для обработки специальных категорий персональных данных – например, о национальной принадлежности и состоянии здоровья лица (ст. 10 Закона № 152-ФЗ). Согласие можно получить на бумажном носителе или в электронной форме с усиленной квалифицированной электронной подписью.

Получать согласие на обработку в типовой форме договора рискованно, если пункт о согласии просто включен в текст. Суд может признать такой способ ненадлежащим, если потребитель не может изменить это условие – например, сделать отметку о своем согласии или отказе (постановление АС Северо-Западного округа от 18.07.16 по делу № А44-9647/2015, постановление АС Уральского округа от 22.12.16 по делу № А76-5164/2016).

В случае проверки или судебного спора именно оператор обязан доказать, что получит согласие на обработку персональных данных (п. 3 ст. 9 Закона № 152-ФЗ). Поэтому заранее определите, какой тип персональных данных обрабатывает ваша компания. В зависимости от этого разработайте форму получения согласия на обработку. Важный момент – субъект вправе в любое время отозвать свое согласие (п. 2 ст. 9 Закона № 152-ФЗ). Если в компанию поступило такое обращение – она обязана прекратить обработку персональных данных.

Nota bene!
Согласие на обработку персональных данных не нужно, если субъект сам сделал их общедоступными. Например, при регистрации на форуме или в социальной сети. Если субъект потом отзовет согласие на обработку – его можно не учитывать (пп. 10 п. 1 ст. 6, пп. 2 п. 2 ст. 10 Закона).

Как получить согласие у работников

Работников надо ознакомить под роспись с документами компании, которые устанавливают порядок обработки персональных данных, а также их права и обязанности в этой сфере (п. 8 ст. 86 ТК РФ). Такой порядок можно прописать в самом трудовом договоре, приложениях к нему, правилах внутреннего трудового распорядка или других локальных актах – например, политике компании об обработке персональных данных. Факт ознакомления работников с этими документами нужно отдельно фиксировать – например, в специальном журнале.

СНОСКА
За нарушения при обработке персональных данных работников компанию могут привлечь к ответственности по ст. 5.27 КоАП РФ (до 80 тыс рублей штрафа).

Согласие работника на обработку персональных данных не нужно в следующих случаях (см. разъяснения Роскомнадзора от 14.12.12 «Вопросы, касающиеся обработки персональных данных работников, соискателей…»):

  • обработка персональных данных близких родственников работника в объеме, предусмотренном личной карточкой по форме Т-2;
  • получение мотивированных запросов от прокуратуры, правоохранительных органов, органов безопасности, государственных инспекторов труда;
  • обработка нужна для исполнения заключенного с работником договора или возложенных на работодателя обязанностей;
  • обработка связана с выполнением работником его трудовых обязанностей, в том числе, при отправлении его в командировки.

Как обеспечить безопасность персональных данных

Персональные данные относятся к конфиденциальным сведениям (ст. 7 Закона № 152-ФЗ). Операторы и иные лица, получившие к ним доступ, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта. Оператор обязан обеспечить безопасность персональных данных. Меры зависят от способа обработки данных – с использованием средств автоматизации или вручную.

Если компания ведет автоматизированную обработку персональных данных, на нее распространяются Требования к защите персональных данных при их обработке в информационных системах, утв. постановлением Правительства РФ от 01.11.12 № 1119 и Приказ ФСТЭК России от 18.02.13 № 21. Чтобы выполнить эти требования, нужно привлекать IT-специалистов.

Для защиты персональных данных без автоматизации предусмотрены рекомендательные меры (ст. 19 Закона № 152-ФЗ и п. 13-15 Положения, утв. постановлением Правительства РФ от 15.09.08 № 687). Одна из таких мер – определить во внутренних документах компании перечень лиц, которые обрабатывают персональные данные или имеют к ним доступ. Можно обеспечить безопасность данных, если раздельно хранить носители персональных данных, которые обрабатываются в различных целях (например, раздельно хранить данные работников, посетителей офисов и клиентов).

Что и кому грозит за нарушения в сфере персональных данных

За нарушения при обработке персональных данных компанию могут привлечь к гражданско-правовой и административной ответственности по ст. 13.11 КоАП РФ. До 1 июля 2017 года максимальным наказанием для должностного лица был штраф в 1 тысячу рублей, а для компании – до 10 тысяч рублей.

С 1 июля 2017 года вступают в силу поправки, которые усиливают административную ответственность (Федеральный закон от 07.02.17 № 13-ФЗ). Поправки вводят дополнительные составы правонарушений в ст. 13.11 КоАП РФ и увеличивают штрафы. В частности, закон вводит ответственность юридических лиц за следующие нарушения:

  • обработку персональных данных в случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП РФ) – штраф от 30 тыс до 50 тыс рублей;
  • обработку персональных данных без согласия в письменной форме, когда закон требует получить такое согласие (ч. 2 ст. 13.11 КоАП РФ) – штраф от 15 до 70 тыс рублей;
  • неопубликование оператором политики в отношении обработки персональных данных, когда такая обязанность предусмотрена законом (ч. 3 ст. 13.11 КоАП РФ) – штраф от 15 до 30 тысяч рублей.

Работника могут привлечь к административной ответственности, но не только. Дополнительно он несет материальную (п. 7 ст. 243 ТК РФ) дисциплинарную (пп. «в» п. 6 ч. 1 ст. 81 ТК РФ) и даже уголовную ответственность (ч. 2 ст. 137 УК РФ).

К ответственности привлекут как работника-нарушителя (например, скопировавшего базу клиентов на свою флешку и передавшего ее конкуренту), так и работника, который несет ответственность за обработку персональных данных в компании.

Персональные данные – 2018: как избежать штрафов

Письмо-предупреждение Роскомнадзора о нарушении положений Федерального закона от 27.07.2006 № 152-ФЗ к вам не придет, если вы берете согласие на обработку персональных данных, правильно составили Политику обработки персональных данных и предусмотрели другие важные детали.

Что изменилось с 1 июля 2017 года

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данныелюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данныхлюбое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан.

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально. На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft. Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн.

Читать еще:  Правовые последствия возведения самовольных построек

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн . Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

Обработка персональных данных — юридические аспекты оформления сайта

На сегодняшний день многие предприниматели, юристы и обычные пользователи интернета задаются вопросом о необходимости размещения на сайтах документов, регулирующих правила пользования сайтом (сервисом), порядок и основания обработки персональных данных пользователей. После внесения поправок в КоАП, которые увеличили ответственность за нарушение законодательства в области персональных данных, эта тема приобрела особую актуальность. Разберемся, какие обязательства возникают у оператора-администратора сайта, какие документы необходимо размещать на его страницах и как избежать санкций.

В соответствии с Федеральным законом «О персональных данных» оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Здесь же логично привести определение понятию «обработка персональных данных» — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Итак, если на сайте имеется какая-либо форма запроса, регистрации или иная форма, подразумевающая ввод и предоставление персональных данных пользователем, то лицо осуществляющее их сбор (администратор сайта), признается оператором персональных данных.

В соответствии с ФЗ № 152 от 27.07.2006, персональные данные (сокращенно — ПДн) – это любая информация, относящаяся прямо или косвенно, определенному или определяемому физическому лицу (субъекту персональных данных).

Установленная законодателем формулировка очень расплывчата, в связи с чем в судебной практике имеется большое количество споров по вопросу отнесения тех или иных данных к персональным.

Например, самый актуальный вопрос на сегодня – является ли номер телефона, без предоставления имени, фамилии и иной конкретизирующей информации, персональными данными? В разъяснениях Роскомнадзора прослеживается позиция о непринадлежности номера телефона, без указаний на дополнительную информацию о субъекте, к персональным данным. При этом судебная практика говорит об обратном – суды подчеркивают, что даже если номер телефона размещен в интернете (находится в открытом доступе), использовать номер телефона в своих целях без согласия субъекта неправомерно (Апелляционное определение Нижегородского областного суда от 11.10.2016 по делу N 33-12355/2016).

Если говорить о предоставлении субъектом одного только имени (даже вымышленного), то здесь уместно вспомнить, уже ставшее известным, дело о возложении Роскомнадзором штрафа на юридическую компанию в связи с тем, что в форме запроса не была опубликована политика конфиденциальности, хотя пользователь мог предоставить только имя без указания на иные данные (Постановление № 4А-288/2016 от 4 октября 2016 г. по делу № 4А-288/2016).

В связи с тем, что законодатель не установил четкий перечень персональных данных, то имя, фамилия, номер телефона, адрес электронной почты и т.д., предоставленные по отдельности, по мнению судов, подпадают под определение понятия персональные данные и к нарушителям можно применять соответствующие меры ответственности. Поэтому, если администратор сайта собирает какие-либо данные, прямо или косвенно определяемые с лицом, стоит позаботиться об оформлении надлежащих документов на сайт, о которых расскажем ниже.

Итак, в случае создания сайта или его активного использования на просторах интернета, на что стоит обратить внимание:

На сайте существует какая-либо форма запроса – администратор является Оператором, и ему следует соблюдать определенные требования закона.

Предоставляя персональные данные, любой пользователь должен получить непосредственный доступ к обязательному документу – политике конфиденциальности/обработки ПДн. Такую обязанность устанавливает уже упоминаемый Федеральный закон «О персональных данных». Документ должен содержать подробное описание порядка получения согласия пользователя на обработку его персональных данных (ФИО, телефон, адрес электронной почты и прочие), способы и цели обработки персональных данных, требования к обеспечению их конфиденциальности, сроки обработки и иную информацию, указанную в п.7 ст. 14, п.1 ст. 18 ФЗ «О персональных данных».

Значит, политика конфиденциальности размещается в обязательном порядке.

Далее законодатель устанавливает обязанность администратора сайта получать согласие субъекта на обработку его персональных данных.

Ст. 9 ФЗ «О персональных данных» устанавливает форму согласия в любой, позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Некоторые сайты, наряду с политикой, предоставляют текст согласия. Но чаще всего пользователь дает согласие путем проставления галочки в форме запроса или же нажимая кнопку «отправить/подтверждаю», что правильнее?

Обязательное условие для формы согласия субъекта о предоставлении персональных данных – возможность подтвердить факт его получения, поэтому целесообразно включить в форму запроса рамку для галочки. Размещение одного только текста согласия будет являться нарушением, хотя в дополнение к галочке не лишним.

Обращая внимание на проверки Роскомнадзора и назначения органом многочисленных штрафов за несоблюдение законодательства в области персональных данных, в форме запроса следует разместить в обязательном порядке:

  • Ссылку на политику конфиденциальности;
  • ф разу о том, что пользователь ознакомлен с соглашением и политикой и согласен с предлагаемыми условиями, осознанно дает согласие на обработку персональных данных: «Даю согласие на обработку моих персональных данных…»;
  • Форму для галочки.

На сайте располагается сервис, предоставляющий пользователям, зарегистрированным в соответствующем порядке, доступ к его использованию / Сайт предоставляет личный кабинет.

Примером могут быть те же социальные сети, сайты с играми и иные сайты, содержащие личный кабинет и/или предоставляющие широкий функционал.

В данном случае целесообразно заключить с пользователем соглашение, которым будут устанавливаться права и обязанности сторон. Такой договор приобрел свое наименование «Пользовательское соглашение» и раскрывается как соглашение пользователя с условиями, предлагаемыми администратором сайта. По своей правовой природе пользовательское соглашение является договором присоединения, согласно ст. 428 ГК РФ. Размещение его в форме запроса/регистрации рассматривается как оферта (предложение заключить договор на определенных одной стороной условиях). Совершение пользователем конклюдентных действий (поставил галочку, нажал кнопку «отправить», прошел процедуру регистрации, предоставил данные), в зависимости от того, какой порядок установлен в соглашении, будет считаться акцептом (согласием).

В форме регистрации, обратной связи и иной форме, подразумевающей предоставление пользователем персональных данных, также, как и в первом случае должны располагаться политика, галочка, фраза и теперь еще соглашение.

Пользовательское соглашение для администратора сайта будет помощником в вопросе надлежащего использования сервиса/сайта пользователем. В соглашении можно определить каким образом пользователь использует сайт, запреты и ограничения использования, получение доступа в личный кабинет, блокировка, удаление пользователя, ответственность администратора/пользователя и иные условия.

На данном этапе развития судебной практики, суды признают пользовательские соглашения в качестве надлежащего доказательства, принимают во внимание его условия. Тем самым оно способно защитить интересы владельца/администратора сайта.

В качестве примера, можно привести судебное дело между ЗАО «ПравдаРу» и ЗАО «РУТЬЮБ». РУТЬЮБ осуществил воспроизведение и распространение фильма на своем сайте. Истец (ЗАО «ПравдаРу») потребовал взыскать с Ответчика компенсацию за нарушение авторских прав на фильм. Суды всех инстанций отказали во взыскании компенсации, обосновав тем, что в пользовательском соглашении, размещенном на сайте Ответчика, ответственность за противоправное распространение фильма несет пользователь (Постановление девятого арбитражного суда № 09АП-32374/11 от 27 декабря 2011 года).

Закон пока не устанавливает обязанности оператора по заключению и размещению подобного соглашения, но как показывает практика, его установление только поспособствует минимизации рисков оператора.

В новой редакции КоАП РФ увеличена ответственность лиц:

— осуществляющих обработку персональных данных несовместимую с целями их сбора влечет наложение штраф на граждан — до 3 000 рублей, на юридических лиц – до 50 000 рублей;

— обрабатывающих персональные данные без согласия в письменной форме субъекта, если такое согласие требуется в соответствии с законом, либо обработка персональных данных с нарушением к составу сведений, включаемых в согласие в письменной форме субъекта – штраф на граждан – до 5000 тысяч рублей, на юридических лиц – до 75 000 тысяч рублей;

— в случае неопубликования на сайте политики обработки персональных данных влечет наложение штрафа на граждан – до 1500 рублей, на юридических лиц – до 30 000 рублей, а также иные виды ответственности, размер штрафных санкций по которым может достигать для юридических лиц до 290 000 тысяч рублей ( ст. 13.11 КоАП РФ от 30.12.2001 № 195-ФЗ).

Ссылка на основную публикацию
Adblock
detector