«5 действий, которые нужно предпринять, чтобы соответствовать правилам GDPR

На днях CMS Magazine опубликовал статью основателя Б-152 «5 действий, которые нужно предпринять, чтобы соответствовать правилам GDPR«. Максим Лагутин рассказал о том, какие 5 действий необходимо предпринять, чтобы соответствовать правилам GDPR и проводит анализ европейского регламента.
В простой и понятной форме разъясняет:
▪️Какие российские компании подпадают под требования европейского регламента.
▪️Какие штрафы и санкции ожидают владельцев бизнеса и юридических лиц в случае невыполнения GDPR.
▪️Какие шаги необходимо оперативно предпринять, чтобы соответствовать закону.
▪️ Кто такой «Представитель» и для чего он необходим.

 

Команда Б-152 имеет возможность предложить Вам услугу «Представитель на территории ЕС» в таких странах как Нидерланды, Болгария, Великобритания и Германия.

Оставить заявку на консультацию: https://b-152.ru/gdpr_consulting

Онлайн курс «Персональные данные – обработка и хранение без нарушений»

Деловая среда от Сбербанка запустила онлайн-курс: «Персональные данные – обработка и хранение без нарушений», где в роли эксперта выступил Максим Лагутин, основатель http://b-152.ru. Данный курс будет интересен, как и новичку, так и опытному специалисту в области защиты информации. Видео-уроки позволят разобраться в основных тонкостях закона 152-ФЗ «о Персональных данных», а также узнать о лайфхаках в области применения закона. 111

Курс состоит из четырех блоков:
▪️Основные положения закона «о Персональных данных».
В этом блоке раскрывается информация о том какие данные, попадают под понятие «персональные данные», кто такой оператор персональных данных (ПД), в каких случаях не требуется запрашивать согласие на обработку ПД, какие документы входят в необходимый перечень и должны быть у каждой компании, кто может проверить компанию на соответствие 152-ФЗ.
▪️Какие штрафы и санкции предусматривает закон?
Максим Лагутин расскажет не только о штрафах в «цифрах», но и о том, за какие действия эти штрафы можно получить, затрагивает понятие «избыточные персональные данные», а также рассказывает о других возможных последствиях за несоблюдение 152-ФЗ.
▪️Приведение деятельности организации в соответствии с законом «о Персональных данных».
На этом уроке будет освещен перечень требований к оператору персональных данных, какие процедуры и документацию необходимо разработать внутри компаний, чтобы соответствовать 152-ФЗ.
▪️Лайфхаки.
В завершающей части курса Максим Лагутин поделится своим опытом в области технических средств защиты информации, расскажет, как лучше подать уведомление в Роскомнадзор, составить согласие на передачу данных третьим лицам и о многих других лайфхаках.

Курс бесплатный, но доступен только после регистрации.

«Яндекс» объяснил утечку данных пользователей

На днях в поисковой системе «Яндекс» снова были опубликованы личные данные физических лиц. На этот раз стали доступны сканы паспортов; персональные данные на авиа и железнодорожные билеты, личные обращения граждан в департамент транспорта г. Москвы и другая персональная информация. Поисковый робот «Яндекса» собрал информацию с таких сайтов как Сбербанк, ВТБ, Дептранс г. Москвы и агрегаторов билетов. По словам представителя «Яндекса», алгоритмы поисковика проиндексировали файлы, потому что владельцы сайтов не позаботились об их безопасности. Основатель Б-152 Максим Лагутин дал свои комментарии #Performance360 о ситуации с утечкой персональных данных.

Какие изменения в №152-ФЗ нас ждут в 2018 году?

В конце июня завершилось публичное обсуждение и антикоррупционная экспертиза законопроекта Минкомсвязи России, касающегося персональных данных.

Мы выделили основные тезисы по предстоящим изменениям:
Планируется новая обязанность и ответственность операторов персональных данных.
Изменения коснуться ч.5 ст.6 152-ФЗ «О персональных данных». Теперь оператор персональных данных будет нести ответственность за осуществление надлежащего контроля при действиях другого лица, осуществляющего обработку персональных данных по поручению оператора. Порядок контроля определяется оператором самостоятельно.

Нарушения, допущенные в отношении обработки персональных данных, вследствие невыполнения надлежащего контроля, влекут за собой предупреждение или наложение административного штрафа. Для юридических лиц размер штрафа составит до 30 тыс. рублей, для должностных лиц – от 5 до 15 тыс. рублей.
Институт поручения на обработку персональных данных в России развит пока еще очень слабо. Большинство организаций не готовы брать на себя роль обработчика персональных данных и выполнять требования законодательства. После принятия данного законопроекта для соблюдения надлежащего контроля, операторы будут обязаны проводит аудит лиц, занимающихся обработкой персональных данных. Но все ли обработчики будут на это согласны?
Мы будем следить за продвижением данного законопроекта и практикой Роскомнадзора в области персональных данных.

Узнайте подробнее о нюансах №152-ФЗ у экспертов по вашей отрасли. Первая консультация бесплатна: http://b-152.ru

Новости с семинара Роскомнадзора

Роскомнадзор начал проводить на регулярной основе практические семинары, посвящённые персональным данным. Мы выделили несколько ключевых тезисов прошедшего мероприятия:
▪️Роскомнадзор не рекомендовал операторам использовать бесплатные шаблоны документов для подготовки на соответствие требованиям 152-ФЗ. Документация должна отражать реальную информацию об обработке и обеспечении безопасности персональных данных. Использование бесплатных шаблонов может привести к нарушениям законодательства.
▪️Представители регулятора отметили, что большая часть проверяемых организаций на момент проверки не подавали уведомление в Роскомнадзор (РКН). Данная информация показала, что, при подаче уведомления в РКН, оператор персональных данных автоматически не попадает на проверку регулятора.
▪️Осенью на сайте Роскомнадзора будет запущен сервис «Проверь себя», который должен помочь операторам персональных данных путем самооценки определить свое соответствие требованиям законодательства в области персональных данных.

Узнайте подробнее о нюансах №152-ФЗ
у экспертов по вашей отрасли. Первая консультация бесплатна: http://b-152.ru

Семинар «GDPR для бизнеса»

На протяжении последних двух месяцев дискуссии вокруг нового Европейского регламента по защите персональных данных набирают все новые и новые обороты. Поэтому в свете этих событий 19 июля в tceh прошло мероприятие «GDPR для бизнеса», на котором Максим Лагутин выступил спикером и осветил один из самых важных вопросов нового Европейского регламента, а именно: «Попадает ли компания, которая не является резидентом ни одной из стран Евросоюза под требования GDPR?», затронул перечень основных критериев соответствия GDPR, а так же рассказал о возможных штрафах и санкциях, которые ждут компании в случае несоблюдения регламента.

 

Ваша компания не имеет офисов, либо представительств в странах Евросоюза, но попадает под действие регламента GDPR? В этом случае, Б-152 имеет возможность предложить Вам услугу «Представитель на территории ЕС» в таких странах как Нидерланды, Болгария, Великобритания и Германия. https://b-152.ru/gdpr_consulting

Новости для операторов персональных данных с дня открытых дверей в ЦА Роскомнадзора

Специалисты Б-152 о том, что обсуждалось на дне открытых дверей в ЦА Роскомнадзора, и что ждет операторов персональных данных в 2018 году.
70495df2e92f499cbedf

На прошлой неделе, 30го января, в центральном аппарате Роскомнадзора прошел День открытых дверей, посвященный вопросам деятельности регулятора и правоприменительной практике в области персональных данных.

Мы записывали основные высказывания и задавали некоторые вопросы представителям регулятора. Самое важное с нашими комментариями представлено ниже.

Пощадить нельзя помиловать

Юрий Контемиров из Центрального аппарата Роскомнадзора подтвердил, что трактовка ст.13.11 КоАП, связанная с нарушениями в области персональных данных) позволяет выдавать штраф за каждое выявленное нарушение, например, за каждое неверное согласие, подписанное с сотрудниками, но пока регуляторы выписывают административное нарушение только за факт нарушения в целом на организацию.

Такой позиции Роскомнадзор придерживается уже более полугода, но при этом количество выявленных нарушений на одну проверяемую организацию возросло по нашим данным и по данным, представленным регулятором.

«Масло в огонь» по теме наложения штрафов подливает еще тот факт, что количество правонарушений, за которые возможны штрафные санкции, будет увеличиваться. Это подтверждает внесенный 29 декабря 2017 г. на обсуждение проект нормативного правового акта, который будет устанавливать нормы ответственности на оператора персональных данных, на действия лица, которому поручена обработка персональных данных, и на лиц, обрабатывающих персональные данные по поручению.

Мы регулярно участвуем в проверках Роскомнадзора по всей России на стороне проверяемых организаций и отслеживаем позицию регулятора по вопросу наложения штрафов. При изменении позиции, мы сообщим об этом всем нашим клиентам первыми.

Данные посетителей сайта тоже персональные данные

Позиция, которую регулятор озвучивал несколько раз в прошлом году, была еще раз дополнена.

Данные пользователей сайта (cookie, сведения о поведении на сайте, об устройстве, с которого осуществляется взаимодействие сайта, сведения о местонахождении и другие) будут являться персональными данными, по мнению представителей Роскомнадзора.

Сотрудники регулятора мотивируют свое решение тем, что пользовательские данные нужно регулировать, и пока закон о больших пользовательских данных не принят, регулироваться такие данные будут законодательством в области персональных данных.

Чтобы не попасть на штраф за обработку персональных данных пользователей сайтов при установленных на сайтах системy аналитики (Google Analytics, Яндекс Метрика и других), необходимо установить на сайте текст-предупреждение о том, что данные посетителя сайта будут обрабатываться и передаваться в системы аналитики. Пример такого предупреждения можно посмотреть на нашем сайте. Такое предупреждение является формой согласия на обработку персональных данных и защитит от наложения штрафов в размере до 50 000 рублей по ч.1 ст.13.11 КоАП.

Для всех клиентов, которым мы еще не готовили такие предупреждения, мы готовы их подготовить. Для этого напишите нам в службу экспертной поддержки по адресу support@b-152.ru

Общедоступные персональные данные, которые нельзя использовать

Представители Роскомнадзора заявили, что общедоступные персональные данные из социальных сетей просто так обрабатывать не получится.

Организации могут использовать общедоступные данные пользователей социальных сетей, которые они сделали публичными, только в двух случаях:

1) есть согласие на обработку персональных данных от субъекта персональных данных;

2) есть законное основание. Могут быть 2 типа законных оснований: нормативный акт, который дает третьему лицу право обрабатывать общедоступные персональные данные, или договорные отношения третьего лица с социальной сетью, которое не противоречит договорным отношениям социальной сети с субъектом персональных данных.

Поэтому обрабатывать общедоступные данные пользователей из социальных сетей может быть нарушением, как это было признано Высшим Судом Российской Федерации по делу НБКИ совсем недавно.

Позитивные изменений, которые нас ждут

В рамках реализации мероприятий по Цифровой Экономике Роскомнадзор будет исполнителем части из них.

Так представителя регулятора озвучили, что в этом году ожидаются поправки в законодательство по персональным данным в части дачи одного согласия на обработку персональных данных сразу группе операторов персональных данных и письменного мульти-согласия сразу на несколько целей обработки персональных данных (напоминаем, что сейчас за такие согласия накладываются штрафы).
Это позитивные новости, которых давно ждали от регулятора.

Политика, которая должна быть размещена на сайте

В параллельно идущем Дне открытых дверей в территориальном органе Роскомнадзора по Центральному Федеральному Округу заявили, что с этого года представители регулятора будут проверять политики не только на то, что они были размещены на сайте, но и на соответствие своим рекомендациям. Правовой статус этих рекомендаций не совсем понятен и при проверках прошлого года проверяющих устраивало просто наличие политики оператора в отношении оператора персональных данных.

Если применять рекомендации по политике, то документ может стать объемным и требовать постоянной актуализации, т.к. в нем будет содержаться информация о всех целях обрабатываемых персональных данных, составе обрабатываемых персональных данных, действиях с ними, условиях прекращения обработки и о третьих лицах, которым передаются или поручаются персональные данные на обработку.

Мы анализируем ситуацию на предмет доработки политики и скоро внесем изменения в нашу систему для формирования документов. Об изменениях шаблонов документов в сервисе мы сообщим дополнительно.

Новости для операторов персональных данных и матричные согласия

Специалисты Б-152 о том, что обсуждалось на конференции «Защита персональных данных», проведенной Роскомнадзором и как матричные согласия облегчат документооборот операторов персональных данных.

c3b0e715d53941b893ec

Ведущий специалист по персональным данным Максим Лагутин принял участие в международной конференции «Защита персональных данных», которая ежегодно проводится при поддержке Роскомнадзора. На площадках мероприятия было озвучено несколько новостей, которые важны для всех операторов персональных данных.

Во-первых, окончательно утверждена схема, по которой для одной цели передачи или обработки персональных данных нужно отдельное согласие (то есть отдельный документ с соответствующей информацией и подписью). За единое согласие на обработку персональных данных для всех целей налагаются штрафы.

Рассмотрим кейс: у нас есть работник, мы должны передать его персональные данные в банк для зарплатного проекта, в страховую компанию для оформления ДМС, а также в охранное предприятие для оформления пропуска. Если будет только одно согласие, как будет налагаться штраф? А если 10 согласий на работника и всего в компании 10 тысяч сотрудников, как будет налагаться штраф в случае отсутствия согласия? Один штраф за все нарушения, за каждое отдельное согласие, которое было неправильно оформлено, или за 10 тысяч сотрудников, согласия которых обрабатывались с нарушением?

Отвечая на этот вопрос, представитель Роскомнадзора Юрий Кантемиров акцентировал внимание на том, что трактовка в Кодексе об административных правонарушениях позволяет налагать как 1, 10, так и 10 тысяч штрафов. В современной практике по данной статье пока применяется 1 штраф за все нарушения, но есть немало предпосылок к тому, что позиция Роскомнадзора изменится.

Что такое матричные согласия? 

За последние шесть месяцев мы участвовали более чем в десяти проверках Роскомнадзора по всей России и применяли матричные согласия. Это специальный документ, содержащий:

· Ф. И. О. субъекта персональных данных или его представителя;
· реквизиты;
· адрес субъекта персональных данных или его законного представителя;
· информацию об операторе персональных данных;
· информацию о том, как субъект персональных данных может реализовать свое право на отзыв согласия;
· информацию о том, в каких случаях оператор может продолжить обрабатывать персональные данные даже после отзыва.

В теле документа должна быть таблица с указанием:

· цели обработки персональных данных;
· состава данных, которые обрабатываются для этой цели;
· перечня действий с ними (передача, поручение);
· условий и срока, в течение которого прекращается их обработка;
· перечня третьих лиц, персональные данные которых будут обрабатываться в этих же целях по поручению оператора.

Напротив каждого из согласий должны быть дата и подпись человека.

Проверки, в которых мы участвовали, показали, что Роскомнадзор, как правило, дает возможность выполнить свои требования и не налагает штрафы, что позволяет уменьшить объем предоставляемых согласий и количество потраченной бумаги.

Согласие, куки и запросы — что такое персональные данные для сайта

Усилиями рынка и действиями Роскомнадзора владельцы сайтов больше уделяют внимание вопросам защиты персональных данных, и аббревиатура ПДн (или ПД, как многие неправильно называют) все чаще встречается в поисковых запросах, связанных с документацией для сайта. Во многих случаях защита персональных данных заканчивается загрузкой шаблона политики конфиденциальности, взятой из интернета и подготовкой пользовательского соглашения или дисклеймера об обработке cookie. Что нужно учитывать при разработке сайта и о чем предупреждать клиента?

Во-первых, для соответствия закону №152-ФЗ “О персональных данных” требуется политика компании в отношении персональных данных, и по факту это совершенно другой документ. 82% нарушений, выявленных Роскомнадзором при проведении мероприятий систематического наблюдения во 2м квартале 2017 года, относятся к непринятию оператором мер по опубликованию или обеспечению неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных.

Во-вторых, согласно позиции Роскомнадзора и судов к персональным данным относят как привычные и понятные – ФИО, телефоны, почта и прочее, так и аналитические – идентификатор устройства, ip-адрес, файлы cookie. Об этом если не знают, то забывают при разработке документов.

В-третьих, зачастую внимание уделяется исключительно политике и размещению ее на сайте, но документ, который только определяет порядок обработки персональных данных и меры по обеспечению их безопасности. Упускается из виду, что ключевым элементом соответствия закону является получения согласие физического лица на обработка персональных данных.

Если сбор персональных данных на сайте, например в форме обратного звонка, или форме подписки на рассылки, не попадает под обработку ПДн для исполнения договора или для исполнения требований закона, то требуется получать согласие на обработку персональных данных.

Ну, и в-четвертых – пользователи сайта согласно ст.14 ФЗ-152 имеют право запрашивать сведения о том, как обрабатываются их персональные данные. Часто на свои запросы пользователи сайта не получают ответов, а это нарушение сразу по 2м статьям Кодекса об Административных Правонарушениях. Согласно отчету Роскомнадзора за 1 полугодие 2017 года интернет-сайты входят в список наиболее отмечаемых вниманием недовольных клиентов наряду с организациями ЖКХ и кредитными организациями.

Почему важно не использовать шаблоны, правильно собирать согласия, учитывать аналитические персональные данные и отвечать на запросы пользователей?

Потому что Роскомнадзор штрафует за неправильно полученное согласие (считайте, что оно получено не было), за негласный сбор пользовательских данных и Cookie, за отсутствие ответов или банальные отписки. В таблице приведены вилки штрафов, которые выросли с 1 июля 2017 года.

 

Нарушение Статья КоАП РФ
Неправильное согласие Штраф
Не соответствуют цели обработки ч. 1 ст. 13.11 30-50 тыс. рублей
Не запрошены необходимые согласия[1] ч. 2 ст. 13.11 15-75 тыс. рублей
Сбор аналитических данных [2] ч. 1 ст. 13.11 30-50 тыс. рублей
Запросы пользователей
Отсутствуют ответы ч. 4 ст. 13.11 25-40 тыс. рублей
Не выполняются требования об уточнении, блокировании или уничтожении[3] ч. 5 ст. 13.11 25-45 тыс. рублей

 

Важно понимать, что если на сайт будет подана жалоба, или Роскомнадзор заинтересуется им по другой причине, то любое из нарушений приведет к десяткам тысяч рублей штрафов и необходимостии все переделывать – то, чего так хотелось избежать.  Практика судов показывает, что Роскомнадзор действует решительно и добивается от нарушителей исполнения закона №152-ФЗ “О персональных данных”

 

Практика судов по персональным данным

9 августа Арбитражный суд города Москвы оставил в силе решение Роскомнадзора о привлечении крупной компании за неправильный сбор и отсутствие согласий на обработку персональных данных, несоблюдение целей обработки персональных данных. Решение суда стало итогом проверки, проведенной Роскомнадзором, в ходе который Управление проверило то, как хранятся персональные данные, тексты договоров, согласия и прочие документы, относящиеся к персональным данным. Всегда было выявлено 7 нарушений закона.

По итогу проверки Роскомнадзор обязал компанию исправить нарушения закона – получить согласия и указать действительные цели обработки.

В нашумевшем деле блокировки Linked In представитель Роскомнадзора указал, что аналитические данные (идентификатор устройства – MAC адрес, ip-адрес, файлы cookie) относятся к персональными данным пользователя и ,соответственно, требуют получения соответствующего согласия[4].

Эта позиция была высказана в ходе прений и не попала в текст решения суда, однако такой же позиции Роскомнадзор придерживался в ходе проверки работы оператора связи, о чем сказано в решении Арбитражного суда города Москвы по делу А40-14900/2016. В материалах дела имелись доказательства сбора аналитических данных об абонентах – ID-1Рv4-адресов абонентов, адресов страниц, с которых уходил и на которые заходит абонент, идентификаторов версии веб-браузера пользователя (User Agent) и Cookie.

Суд указал, что информация об оборудовании и трафике пользователя позволяет прямо или косвенно идентифицировать пользователя как определенное физическое лицо (субъект персональных данных), а значит необходимо получение согласия от абонентов в письменной форме. Компанию привлекли к штрафу в размере 30 000 рублей за нарушение требований закона и обязали исправить нарушения.

В мае 2017 года Уральские авиалинии привлекли к ответственности[5] за отказ предоставить гражданину сведения об обработке его персональных данных – правовые основания, цели и прочие сведения, которые гражданин может потребовать на основании статьи 18 закона №152-ФЗ “О персональных данных”.

Решение

Как понять, что сайт в поле зрения Роскомнадзора, и какие действия нужно предпринять, чтобы соответствовать 152-ФЗ? Если вы можете поставить галочку в чек-листе ниже, то значит вам есть о чем задуматься:

На сайте собираются персональные данные, но:
Отсутствует текст согласия под каждой формой
Взяли текст согласия из интернета
Периодически передаете персональные данные подрядчикам
В согласии указали не все данные, которые собираете, илиу вас одно согласие на все случаи сбора
Бизнес-процессы меняются, лиды, полученные с сайта обрабатываются уже не так, как планировалось изначально
Игнорируете или с трудом отвечаете на запросы пользователей об их персональных данных

Что делать? Лучший и самый дорогой вариант – обратиться к профессионалам (и в большинстве случаев это не юристы), у которых уже есть готовые решения для работы с персональными данным. Однако, не все могут позволить себе оплатить услуги команды консультантов, и здесь приходится делать все самому.

В таком случае приведу мои рекомендации:

  1. Поправьте текущие документы, ответив на вопросы какую информацию о пользователях вы собираете? Каким образом эта информация используется, передаете или будет передаваться?
  2. Повесьте уведомление на сайт о сборе не только, cookies но и пользовательских данных. Пример можно посмотреть на сайте b-152.ru
  3. Убедитесь, что политика в отношении обработки персональных данных опубликована и всегда доступна на сайте. Название документа должно быть именно таким.
  4. Правильно собирайте согласия на обработку персональных данных – высылайте ссылку для подтверждения на почту, смс-код на мобильный телефон или сохраняйте IP-адрес пользователя. Проверьте, что каждый случай сбора персональных данных на сайте содержит ссылку на соответствующее этой цели согласие.

 

Это может быть просто текст, или и поле для галочки “Нажимая на кнопку “Отправить сообщение”, я даю свое согласие на обработку персональных данных”. При этом текст “я даю свое согласие” должен быть ссылкой на текст самого согласия, в котором должна быть следующая информация:

  1. наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  2. цель обработки персональных данных;
  3. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  4. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  5. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  6. срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  7. информация о том, какие данные и каким третьим лицам вы передаете для исполнения целей настоящего согласия.

Согласно ст.5 ФЗ-152 данные должны обрабатываться в конкретных целях, не должны обрабатываться избыточные персональные данные и должна прекращаться их обработка после достижения заявленных целей. Т.е. эти данные 100% должны быть в согласии, перед тем как пользователь оставит свои персональные данные. За нарушение этой статьи предусмотрен штраф по ч.1 ст.13.11 КоАП до 50 000 рублей.

Многие заблуждаются, считая, что достаточно одного пользовательского соглашения, политики обработки персональных данных или одного согласия, которое необходимо поставить на все формы сбора персональных данных на сайте и тем самым выполнить закон.

На самом деле на сайте персональные данные через разные формы собираются в разных целях — в одних для осуществления рассылок, в других для контакта с человеком, в третьих для скачивания промо-материалов или заказа прайс-листа.

Цели разные и согласия должны быть разные (ч.1 ст.5 ФЗ-152), в противном случае также возможно попасть на штраф по ч.1 ст.13.11 КоАП до 50 000 рублей.

  1. Отвечайте на запросы пользователей об их персональных данных, разместив на сайте специальный адрес email для обращений, касающихся персональных данных

В последнее время появилось много сервисов в интернете, которые предлагают автоматическое составление документов по персональным данным. Будьте внимательны, проверяйте соответствуют ли предлагаемые документы и услуги списку из этой статьи.

[1] Часть 3 статьи 9 закона №152-ФЗ “О персональных данных”;

[2] Идентификатор устройства, ip-адрес, файлы cookie;

[3] В случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

[4] http://yegelev.com/post/153219468144/что-не-так-в-деле-роскомнадзор-пр-linkedin

[5] Апелляционное определение Новосибирского областного суда  от 30 мая 2017 г. по делу N 33-5201/2017;

Как не нарушать закон «О персональных данных» при работе с облачными CRM

Отвечает Максим Лагутин, руководитель, специалист по информационной безопасности
юридического сервиса «Б-152»

Это отличный вопрос и на него есть два ответа.

Первый базируется на том, что компания-разработчик CRM не может знать и вообще контролировать то, какие персональные данные и в каких целях обрабатываются на их платформе.

Они лишь предоставляют, как хостинг, вычислительные мощности и программное обеспечение, которое уже сам пользователь CRM наполняет разного рода персональными данными клиентов. Вы же не будете требовать от арендодателя офиса, чтобы он обеспечивал безопасность тех персональных данных, которые вы храните на бумаге или на жестких дисках в пределах арендуемых вами помещений? Такая позиция в целом устраивает Роскомнадзор — основного регулятора по данной теме.

Второй ответ базируется на трактовке требований закона. Пользователь (являющийся, скорее всего, юридическим лицом или ИП), после регистрации в облачной CRM начинает вносить туда персональные данные своих текущих и потенциальных клиентов — их ФИО, email, номера телефонов, места работы и так далее. Пользователь работает с персональными данными своих клиентов для того, чтобы продавать им свои продукты и услуги, и получать таким образом доход.

Поэтому, согласно ч.2 ст. 3 Федерального закона № 152-ФЗ «О персональных данных», пользователь облачной CRM будет являться оператором персональных данных, так как оператор персональных данных как раз ставит цели на их обработку. В первую очередь оператор персональных данных должен сам обеспечить их безопасность, а облачная CRM может это делать, если пользователь поручает их обработку самой CRM, о чем говорит ч.3 ст. 6 Федерального закона № 152-ФЗ.

Но, чтобы поручить персональные данные клиентов на обработку облачной CRM, согласно той же статье закона «в поручении оператора должны быть определены операции с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона

Цели обработки при этом должны совпадать с теми, которые указаны в согласиях на обработку персональных данных, заключаемых с клиентами. И они, как правило, не совпадают.

Также хочу сказать, что если бы облачные CRM защищали персональные данные как требует закон и несли ответственность за все обрабатываемые персональные данные клиентов своих пользователей, то их ежемесячная стоимость пользования переваливала бы не только за десятки тысяч рублей, но даже и за сотни.

Page 1 of 2

© 2016 Все права защищены
+7 (499) 372-06-52 | info@b-152.ru