Согласно Ст.5 Федерального закона № 152 ФЗ «О персональных данных» обработка ПДн, в целях, отличных от целей их первоначального сбора не допускается. В последних поправках в КоАП установлена административная ответственность за обработку ПДн, несовместимую с целями их сбора.

Целеполагание должно быть неразрывно связано с положением организации о полномочиях. Например: Налоговая инспекция, которая ведет общедоступный реестр ЕГРЮЛ и ЕГРИП, наделена этими полномочиями в соответствии с Постановлениями Правительства. Возникает много ресурсов, которые копируют данные из этих общедоступных реестров и предоставляют услуги по доступу к этой информации, в том числе на возмездной основе, а также используют эти данные в иных целях, мотивируя тем, что данные были получены из общедоступного источника, поэтому применять меры конфиденциальности нет необходимости.

По мнению РКН, деятельность подобных сайтов содержит признаки нарушения требований законодательства:

• Цель ведения реестров – информирование пользователей о юридически-правовом статусе тех или иных юридических или физических лиц;
• Ни в Налоговом кодексе РФ, ни в других документах не предусмотрены моменты, связанные с возможностью делегирования полномочий налоговой службы другим органом для ведения этих реестров. Нет ни одного положения, которое предполагает использование и предоставление услуг или доступ к ресурсам посредством других сайтов, поэтому подобная деятельность, в отсутствии соответствующих законов содержит признаки нарушения закона о ПДн.

Очень многие в ходе деловых контактов обмениваются визитками, потом эти данные вносятся в информационные системы (например, CRM) и в дальнейшем используются для продвижения своих товаров и услуг.

Нужно понимать, что согласия на обработку данных не требуется, т.к предоставление визитки само по себе является согласием, выраженным т.н конклюдентным действием. Но использование этих данных в иных целях, отличных от тех, в которых данные были предоставлены (а первоначальной целью было знакомство, установление бизнес-контакта), о которых субъект не знал на этапе предоставления визитки, содержит признаки нарушения закона о ПДн. Поэтому при обработке подобных сведений нужно учитывать этот фактор. То есть если Вы получили данные от человека и используете их в тех целях, о которых он не знал, то будьте готовы к тому, что этот человек может обратиться в Роскомнадзор, скажет о том, что он не давал своего согласия и не знает, на каком основании используются его ПДн для продвижения товаров и услуг.

Нередко подобные практики объединения данных визитных карточек становятся предметом возмездного оказания услуг по продажам баз данных. Формируется база данных, затем она предлагается различным группам компаний. Далее посторонние компании звонят человеку и, выясняется, что эти компании получили данные от другой компании, которая не имела права на передачу, и так или иначе все последствия привлекаются к ответственности, предусмотренной законом.

 

До определенного момента речь шла о том, что те данные, которые собираются с помощью систем веб-аналитики являются техническими данными, не являются персональными и не требуют принятия мер, предусмотренных законодательством о персональных данных. С учетом изменений в правоприменительной практике и практической действительности (Big Data, скрытое профилирование пользователей) началось инициирование изменения подходов к обработке таких данных. Эти изменения нашли свое отражение, в том числе в Европейском регламенте о защите данных, в котором они отнесены к ПДн. Есть определенная судебная практика, согласно которой эти данные, собираемые с помощью аналитических программ, также отнесены к ПДн. Соответственно, на сегодняшний день подход Роскомнадзора сводится к тому, что те данные, которые собираются с помощью программ веб - аналитики это: а) ПДн
б) необходимо согласие указанных лиц на обработку ПДн.

Форма получения данного согласия может быть разной: электронная форма, где представляется согласие перед входом на сайт; пользовательское соглашение (внесение соответствующих положений в документ, где прописано согласие посетителя сайта на сбор и дальнейшую обработку его ПДн). Субъект должен ознакомиться с этим документом, в случае его согласия и присоединения к нему продолжит работу на сайте, тем самым решается вопрос согласия.

Отдельный момент связан с иностранными аналитическими программами (Google Analytics). Пользовательское соглашение Google содержит положения, которые говорят о том, что владелец сайта должен уведомить своих посетителей о том, что данные, которые собираются с помощью Google Analytics далее уходят на сервера, принадлежащие компании Google. Дальше возникает вопрос относительно того, что сервер Google находится на территории США и для трансграничной передачи необходимо согласие только в письменной форме. Как его получить?

Согласие в письменной форме – это только одно из условий, предусмотренных ч.4 ст.12, Федерального закона № 152 ФЗ «О персональных данных», есть и другое второе – наличие договора между оператором и субъектом ПДн. Пользовательское соглашение, в соответствии с ГК РФ, является договором оферты, пользователь, акцептуя данную оферту, выражает свое присоединение к условиям, в рамках которых могут быть предусмотрены эти положения. Обращаю внимание – во исполнение условий, которые заложены в технических документах разработчиками этого ПО.

 

Да, распространяются. Для реализации положений ч.1 ст.8 нужно согласие в письменной форме. Требования, предъявляемые к согласию в письменной форме, заложены в ч.4 ст.9.

В законодательстве о персональных данных заложено единое понятие – Оператор. У европейских коллег есть разновидность – Обработчик. Там существуют разграничения, кто является оператором и кто является обработчиком, соответственно есть полномочия у обработчика и есть полномочия у оператора. В российском законодательстве такой градации нет. Соответственно все те лица, которые вовлечены в процесс обработки ПДн, в том числе по поручению одного из операторов, также являются операторами.

Нужно исходить из полномочий филиала – что ему по доверенности передано головным офисом? Если у него есть полномочия осуществлять те виды деятельности, которые делегировал головной офис, то в этом случае возможно издание таких документов, которые направлены на регламентацию тех видов деятельности, которые переданы по доверенности. Но в определении оператора, данном в законе № 152 ФЗ «О персональных данных», нет условий, относящихся к филиалам. Соответственно ответственность за разработку документов, регламентирующих порядок условий обработки ПДн в контексте общих требований, законом возлагается на головной офис, который обязан обеспечить и доведение до сотрудников и соблюдение положений этой документации в своих филиалах, если иное не предусмотрено доверенностью.

По мнению Роскомнадзора, Предоставление доступа в режиме просмотра трансграничной передачей ПДн не является.

Отдельное согласие, применительно к странам, не обеспечивающим адекватную защиту прав субъектов ПДн, и не являющихся сторонами Конвенции совета Европы, дается в письменной форме и направлено на исполнение принципов, которые заложены в законе.

Говоря о тех странах, которые входят в перечень Конвенции, мы должны руководствоваться основами других законодательных актов. Например:

Есть компания, являющаяся работодателем по отношению к российским гражданам, а головной офис находится в Германии, которая является стороной Конвенции. Представительство, во исполнение внутренних локальных документов, передает ПДн в головной офис для составления договоров, корпоративной почты… Согласно ТК передача ПДн третьим лица осуществляется с письменного согласия субъекта. Соответственно, передача ПДн работника в Германию требует отдельного согласия. Почему? Потому что должно быть неукоснительное соблюдение ч.4 ст.9 – в согласии должна быть только цель.

Соответственно, если у Вас есть несколько видов деятельности, предполагающие письменное согласие по разным направлениям, то на каждое из этих направлений должно быть отдельное согласие субъекта на обработку ПДн.

Возможность использования электронной подписи заложена в ч.4 ст.9 Федерального закона № 152 ФЗ «О персональных данных», соответственно, при соблюдении вышеуказанных условий, допускается согласие от работника, выраженное таким образом.

См. ответ о целеполагании.

Ст.10 Федерального закона № 152 ФЗ «О персональных данных» говорит о том, что обработка сведений о вероисповедании не допускается, за исключением отдельных случаев. Обработки сведений о вероисповедании в рамках трудовых отношений не предусмотрено, поэтому руководствуясь положениями ст.10 и ст.5, связанных с целеполаганием, РКН считает, что обработка сведений о вероисповедании в рамках трудовых отношений выходит за рамки закона, и в этом случае согласие является единственным основанием для осуществления такой обработки.

В соответствии с ч.4 ст.9 ФЗ «О персональных данных» описываются обязанности организаций, которым передаются или которым поручается обработка ПДн, поэтому, во избежание эксцессов, особенно со стороны работников, необходимо прописывать в формах согласий те организации, которым передаются ПДн работников. Более того, если персональные данные передаются третьим лицам в разных целях, то для каждого такого лица должно быть подписано отдельное письменное согласие.

РКН не дает пояснения по поводу того, как реализовать такую инициативу на сайте оператора. Это право субъекта, поэтому субъект может воспользоваться теми возможностями, которые на сегодняшний день предоставляет ему законодательство (направление запроса по почте, запрос, подписанный электронной подписью). Оператор не обязан создавать условия для реализации субъектом своего права, предусмотренном ст.14 ФЗ «О персональных данных».

В п.1 и п.2 Постановления Правительства № 687 перечислены 4 действия, а именно: использование, уточнение, распространение, уничтожение персональных данных. По мнению Роскомнадзора, если данные содержатся в одной информационной системе и с ними осуществляются эти 4 действия, то эту деятельность можно считать осуществляемой без использования средств автоматизации. Если же оператор осуществляет иные действия, которые выходят за рамки допустимых, то обработка идет с использованием средств автоматизации.

Речь идет об агентах, действующих на основании агентских договоров. Например, оператор связи поручает агенту осуществлять заключение договоров от имени оператора на оказание услуг связи. В рамках указанной деятельности привлеченный агент собирает ПДн субъектов, потом передает их оператору связи. Операторами являются оба лица, вопрос ответственности четко прописан в ст.6 ФЗ «О персональных данных», в данном случае за действие привлеченного лица (агента) несет ответственность оператор связи.

Т.е. если привлеченное лицо допустило нарушение конфиденциальности данных, если оно по достижении цели оказания услуг не удалило ПДн, ответственность несет оператор, т.к. законом именно на него возлагаются обязанности обеспечения требований конфиденциальности и удаление ПДн по достижении целей обработки. Привлекаемое лицо несет ответственность перед оператором, а сам оператор, в свою очередь, несет ответственность перед субъектом.

Не нужно, т.к. обработка осуществляется в соответствии с Федеральным законом N 273-ФЗ «О противодействии коррупции».

Если информация не актуальна, Вы можете обратиться в госорганы и потребовать удаления недостоверной информации или обратиться в Роскомнадзор.

Согласно Федеральному закону № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» нет положения о допустимости размещения подобного плана в сети Интернет. Допускается размещение плана только по отношению к юридическим лицам.

По мнению Роскомнадзора, указание в планах деятельности адреса места жительства индивидуального предпринимателя и прочих данных, не включенных в ЕГРИП, содержит признаки нарушения законодательства о персональных данных и подлежит удалению из общего доступа.