Специалисты Б-152 о том, что обсуждалось на дне открытых дверей в ЦА Роскомнадзора, и что ждет операторов персональных данных в 2018 году.
70495df2e92f499cbedf

На прошлой неделе, 30го января, в центральном аппарате Роскомнадзора прошел День открытых дверей, посвященный вопросам деятельности регулятора и правоприменительной практике в области персональных данных.

Мы записывали основные высказывания и задавали некоторые вопросы представителям регулятора. Самое важное с нашими комментариями представлено ниже.

Пощадить нельзя помиловать

Юрий Контемиров из Центрального аппарата Роскомнадзора подтвердил, что трактовка ст.13.11 КоАП, связанная с нарушениями в области персональных данных) позволяет выдавать штраф за каждое выявленное нарушение, например, за каждое неверное согласие, подписанное с сотрудниками, но пока регуляторы выписывают административное нарушение только за факт нарушения в целом на организацию.

Такой позиции Роскомнадзор придерживается уже более полугода, но при этом количество выявленных нарушений на одну проверяемую организацию возросло по нашим данным и по данным, представленным регулятором.

«Масло в огонь» по теме наложения штрафов подливает еще тот факт, что количество правонарушений, за которые возможны штрафные санкции, будет увеличиваться. Это подтверждает внесенный 29 декабря 2017 г. на обсуждение проект нормативного правового акта, который будет устанавливать нормы ответственности на оператора персональных данных, на действия лица, которому поручена обработка персональных данных, и на лиц, обрабатывающих персональные данные по поручению.

Мы регулярно участвуем в проверках Роскомнадзора по всей России на стороне проверяемых организаций и отслеживаем позицию регулятора по вопросу наложения штрафов. При изменении позиции, мы сообщим об этом всем нашим клиентам первыми.

Данные посетителей сайта тоже персональные данные

Позиция, которую регулятор озвучивал несколько раз в прошлом году, была еще раз дополнена.

Данные пользователей сайта (cookie, сведения о поведении на сайте, об устройстве, с которого осуществляется взаимодействие сайта, сведения о местонахождении и другие) будут являться персональными данными, по мнению представителей Роскомнадзора.

Сотрудники регулятора мотивируют свое решение тем, что пользовательские данные нужно регулировать, и пока закон о больших пользовательских данных не принят, регулироваться такие данные будут законодательством в области персональных данных.

Чтобы не попасть на штраф за обработку персональных данных пользователей сайтов при установленных на сайтах системy аналитики (Google Analytics, Яндекс Метрика и других), необходимо установить на сайте текст-предупреждение о том, что данные посетителя сайта будут обрабатываться и передаваться в системы аналитики. Пример такого предупреждения можно посмотреть на нашем сайте. Такое предупреждение является формой согласия на обработку персональных данных и защитит от наложения штрафов в размере до 50 000 рублей по ч.1 ст.13.11 КоАП.

Для всех клиентов, которым мы еще не готовили такие предупреждения, мы готовы их подготовить. Для этого напишите нам в службу экспертной поддержки по адресу support@b-152.ru

Общедоступные персональные данные, которые нельзя использовать

Представители Роскомнадзора заявили, что общедоступные персональные данные из социальных сетей просто так обрабатывать не получится.

Организации могут использовать общедоступные данные пользователей социальных сетей, которые они сделали публичными, только в двух случаях:

1) есть согласие на обработку персональных данных от субъекта персональных данных;

2) есть законное основание. Могут быть 2 типа законных оснований: нормативный акт, который дает третьему лицу право обрабатывать общедоступные персональные данные, или договорные отношения третьего лица с социальной сетью, которое не противоречит договорным отношениям социальной сети с субъектом персональных данных.

Поэтому обрабатывать общедоступные данные пользователей из социальных сетей может быть нарушением, как это было признано Высшим Судом Российской Федерации по делу НБКИ совсем недавно.

Позитивные изменений, которые нас ждут

В рамках реализации мероприятий по Цифровой Экономике Роскомнадзор будет исполнителем части из них.

Так представителя регулятора озвучили, что в этом году ожидаются поправки в законодательство по персональным данным в части дачи одного согласия на обработку персональных данных сразу группе операторов персональных данных и письменного мульти-согласия сразу на несколько целей обработки персональных данных (напоминаем, что сейчас за такие согласия накладываются штрафы).
Это позитивные новости, которых давно ждали от регулятора.

Политика, которая должна быть размещена на сайте

В параллельно идущем Дне открытых дверей в территориальном органе Роскомнадзора по Центральному Федеральному Округу заявили, что с этого года представители регулятора будут проверять политики не только на то, что они были размещены на сайте, но и на соответствие своим рекомендациям. Правовой статус этих рекомендаций не совсем понятен и при проверках прошлого года проверяющих устраивало просто наличие политики оператора в отношении оператора персональных данных.

Если применять рекомендации по политике, то документ может стать объемным и требовать постоянной актуализации, т.к. в нем будет содержаться информация о всех целях обрабатываемых персональных данных, составе обрабатываемых персональных данных, действиях с ними, условиях прекращения обработки и о третьих лицах, которым передаются или поручаются персональные данные на обработку.

Мы анализируем ситуацию на предмет доработки политики и скоро внесем изменения в нашу систему для формирования документов. Об изменениях шаблонов документов в сервисе мы сообщим дополнительно.

Понравился материал?
Поделитесь им с коллегами и друзьями