Обработка персональных данных в интернете

Просмотров 811 Опубликовано

Повсеместная цифровизация перевернула привычный порядок общественной деятельности. Использование онлайн-сервисов позволяет пользователям совершать такие действия, как совершение покупок, общение онлайн, просмотр и передача контента. Онлайн-платформы могут быть интегрированы с государственными системами, что в значительной степени упрощает взаимодействие граждан с государственными органами.

Однако зачастую пользователи теряют бдительность при предоставлении своих персональных данных и не задумываются о том, каким образом они используются онлайн-платформами.

Использование онлайн-платформ и безопасность данных

Онлайн-платформа (англ. digital platform) – это технология, представленная в виде программного обеспечения или приложения, которое размещается в Интернете и используется для взаимодействия между пользователями для выполнения того или иного действия. Примерами онлайн-платформ являются социальные сети, приложения для заказа товаров, вызова такси и т. п. Платформы используют персональные данные своих пользователей для того, чтобы формировать релевантную контекстную рекламу, обучать внутренние системы (например, алгоритмы систем искусственного интеллекта и нейросети). Иными словами, персональные данные являются важнейшим элементом для развития платформы и совершенствования ее деятельности в Интернете.

Напомним, что к персональным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, то есть субъекту персональных данных (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных»; далее – Закон о персональных данных).

Это значит, что любые данные, предоставленные платформам в любом виде (например, указанные при регистрации), могут быть обработаны такими платформами любым способом. Важно обратить внимание, что персональные данные могут собираться и без непосредственного предоставления пользователем информации, например, IP-адрес (код, который идентифицирует компьютерную сеть или конкретное компьютерное устройство в сети), с которого просматривается страница в сети, также является персональными данными.

Закон ограничивает влияние оператора персональных данных, разрешая обработку только с письменного соглашения субъекта персональных данных (по смыслу п. 1 ст. 6 Закона о персональных данных), которым чаще всего выступает проставление галочки на согласии на обработку персональных данных. Несмотря на то, что в соглашении могут быть указаны вид и сроки обработки данных, на деле определить, как именно платформы распоряжаются данными, является затруднительным.

Почитать  Льгота по налогу на нежилое помещение

Именно понимание того, каким образом онлайн-платформы и ИТ-сервисы защищают и обрабатывают данные, является ключевым для обеспечения приватности в Интернете.

Влияние монополий на защиту приватности пользователей

Несмотря на разнообразие бизнес-моделей цифровой экономики, наличие большого числа различных сервисов не предоставляет пользователям выбора наиболее удобной и безопасной с точки зрения приватности платформы для пользования, отмечает управляющий партнер Digital Rights Center, глава юридической практики Роскомсвободы Саркис Дарбинян. Эксперт объясняет это тем, что в разных платформах ситуация с защитой данных обстоит приблизительно одинаково, а широкое влияние интернет-гигантов на рынке не предоставляют пользователям возможности альтернативного выбора платформы.

Проблему монополии ИТ-гигантов также поднимает Екатерина Калугина, заместитель генерального директора по правовым вопросам Double Data. С одной стороны, платформы-монополисты ограничивают доступ других платформ к пользовательским данным, в то время как развитие технологий искусственного интеллекта и аналитики «больших данных», по мнению эксперта, возможно только при условии равноправного доступа к открытым данным. С другой стороны, цифровые монополии вредят также пользователям.

Эксперт приводит в пример опыт Германии, когда Антимонопольная служба и Верховный суд Германии установили, что социальная сеть Facebook занимает доминирующее положение с долей рынка 95%, что является злоупотреблением на рынке социальных сетей. Более того, было установлено, что пользователи были лишены выбора распоряжения их данными, например, не могли контролировать процесс передачи данных другим компаниям. В конечном итоге Суд обязал Facebook внести изменения в условия использования персональных данных их сбор через сторонние сервисы, а также получать от пользователей добровольное согласие на сбор и объединение данных.

Утечка персональных данных как угроза приватности пользователей

Попадание персональных данных в открытый доступ (в сфере информационной безопасности термин получил название «утечка») является следствием как неосторожности, так и намеренного раскрытия информации третьим лицам. Руководитель направления по защите персональных данных группы компаний Novartis Россия/СНГ Илья Пикулин разделяет «утечки» на две категории:

  1. Утечки вследствие нарушения внутренних процессов (инцидентов) компании, которая является оператором персональных данных (в соответствии с п. 2 ст. 3 Закона о персональных данных), а также других лиц, обрабатывающих данных по поручению оператора. Сюда относятся некомпетентные действия со стороны сотрудников компании и технические проблемы, связанные с уязвимостями информационных систем.
  2. Преднамеренные «утечки». Они происходят в соответствии с бизнес-моделью компании, которая занимается продажей данных.

Отдельную опасность для раскрытия представляют биометрические данные, данные о здоровье и т. д., получившие в терминологии европейского законодательства название «чувствительные данные». Эксперт на примере медицинской компании наглядно демонстрирует, каким образом может быть нарушена приватность пользователей при обработке таких данных.

В одном случае онлайн-платформы готовы предоставить пользователям онлайн-сервиса в лице пациентов услуги для осуществления более качественного медицинского анализа. При этом такие платформы выступают подрядчиком в отношении основной медицинской компании, однако именно они являются операторами персональных данных по смыслу п. 2 ст. 3 Закона о персональных данных. По утверждению Ильи Пикулина на практике не редки случаи, когда запросы таких компаний не соответствуют целесообразности.

Например, требование предоставить скан паспорта не представляется необходимым для оказания определенных услуг медицинского характера. Эксперт отмечает, что таким компаниям следует учитывать, что чем больше данных они собирают, тем сильнее будет ущерб для персональных данных при их утечке. Более того, в отдельных случаях пользователям некомфортно делиться личными данными, особенно когда это касается «чувствительных персональных данных».

В другом случае компании предлагают купить базу персональных данных, в которых собраны не только «чувствительные данные» о пользователях, но и ссылки на страницы в социальных сетях, сведения о настроении и т. д. Эксперт отдельно подчеркивает, что с такими предложениями добросовестный бизнес не только не вступает в деловые отношения, но и проверяет законность действий таких компаний по сбору и других действий по обработке персональных данных.

Также на практике достаточно часто встречаются случаи, когда компании неверно понимают, каким образом следует осуществлять обезличивание персональных данных, то есть какие следует совершать действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (по смыслу п. 9 ст. 3 Закона о персональных данных). Илья Пикулин приводит пример, когда компания убирала ФИО субъекта персональных данных и считала, что это и есть процедура обезличивания. На деле процедура обезличивания должна выполняться на достаточно серьезном уровне.

В России процедура по обезличиванию персональных данных регламентирована Приказом Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных». Так, в соответствии с Приказом, к наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания:

  • введение идентификаторов – замена части сведений идентификаторами с созданием таблицы соответствия идентификаторов исходным данным;
  • изменение состава или семантики – изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений;
  • декомпозиция – разбиение множества персональных данных на несколько частей с последующим раздельным хранением подмножеств;
  • перемешивание – перестановка отдельных записей, а так же групп записей в массиве персональных данных.

Таким образом, удаление ФИО субъекта персональных данных не является процедурой обезличивания, так как сохраняется другая информация, с помощью которой можно идентифицировать человека. В отношении персональных данных в медицинском секторе Илья Пикулин приводит в пример информацию о месте и времени приема пациента, сведения о заболевании (особенно, если заболевание редкое). В совокупности такие данные даже при отсутствии указания ФИО пациента позволяют его идентифицировать при определенных обстоятельствах.

Удобство использования онлайн-сервисов стоит в одном ряду с нарушением прав субъектов персональных данных. Становится в значительной степени сложнее сохранить приватность в Интернете. Основная проблема заключается в отсутствии выбора использования таких платформ, которые могут гарантировать пользователям приватность.

Во-первых, по заявлению экспертов ИТ-права, ситуация с соблюдением закона в сфере защиты персональных данных обстоит приблизительно одинаково среди всех онлайн-платформ. Это означает, что при переходе пользователя с одной платформы на другую похожую, ситуация с защитой персональных данных скорее всего не поменяется. Эксперты продемонстрировали, что утечка персональных данных может быть спровоцирована как случайными обстоятельствами, так и преднамеренно. Отдельного внимания заслуживает деятельность компаний, которые в обход общих принципов обработки данных готовы получить коммерческую выгоду от продажи персональных данных.

Во-вторых в некоторых случах монополия ИТ-гигантов не позволяет выбрать другую похожую платформу, потому что такой просто нет.

Таким образом, решить проблему защиты своих персональных данных при использовании онлайн-сервисов представляется крайне трудной. Фактически пользователям остается либо согласиться с требованиями онлайн-платформ, либо просто перестать ими пользоваться. Решением данной проблемы может выступать более ответственный выбор персональных данных, которые пользователи предоставляют для обработки онлайн-платформам.

Использование сервисов сравнения уровня, на котором поддерживается приватность в той или иной платформе, может помочь в поиске наиболее безопасной.

Обработка персональных данных на сайте: как избежать штрафов

​В последнее время участились случаи привлечения владельцев сайтов к административной ответственности за нарушение законодательства в области персональных данных. В данной статье мы рассмотрим, что необходимо сделать, чтобы пройти проверку Роскомнадзора и избежать штрафов за подобные нарушения.

Какая информация относится к персональным данным?

Деятельность по обработке, хранению и защите персональных данных граждан РФ регулируется Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – ФЗ № 152). Персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных) – п. 1 ст. 3 ФЗ № 152. Таким образом, практически любая информация, указанная на сайте пользователем, будь то информация, указанная при регистрации или заполнении формы на сайте (фамилия, имя, отчество, дата и место рождения, образование/профессия, адрес, семейное, имущественное, социальное положение и другое), попадает под действие ФЗ № 152.

Помимо информации, которую сам пользователь указывает на сайте, Роскомнадзор относит к персональным данным также сведения о геопозиции пользователя, IP-адрес, cookie.

Что такое обработка персональных данных?

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. — п. 1 ст. 3 ФЗ № 152.

Иными словами, если на вашем сайте имеется форма обратной связи, форма заказа, форма комментариев, регистрация и личные кабинеты, формы подписки по e-mail, то вместе с автоматически передаваемыми cookie и другими данными, указанные сведения будут являться персональными данными, а вы как владелец сайта – оператором персональных данных, который обязан обрабатывать такие данные в соответствии с требованиями ФЗ № 152.

Какие штрафы ожидают нарушителей?

За нарушение законодательства в области персональных данных статьей 13.11 Кодекса Российской Федерации об административных правонарушениях предусмотрена административная ответственность в виде административного штрафа в размере до 75 000 рублей в зависимости от вида нарушения. Если нарушений несколько, то штрафы по ним будут суммироваться и максимально могут достигать 295 000 рублей.

Что сделать, чтобы избежать штрафа?

  1. Общие положения, в которых указывается назначение Политики и основные понятия, используемые в ней, перечисляются основные права и обязанности оператора и субъекта (-ов) персональных данных.
  2. Цели сбора персональных данных.
  3. Правовые основания обработки персональных данных (например, уставные документы, договора и т.д.).
  4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.
  5. Порядок и условия обработки персональных данных.
  6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.
  7. Также необходимо указать информацию о возможности отзыва физическим лицом согласия на обработку персональных данных.

3. Получить согласие пользователей/посетителей сайта на обработку персональных данных.

С этой целью под каждой формой ввода данных на сайте необходимо разместить текст «Нажимая на кнопку, я даю согласие на обработку своих персональных данных». Также здесь необходимо предусмотреть ссылку на «Политику в отношении обработки персональных данных», разработанную и размещенную на вашем сайте.

4. Указать e-mail для обращений пользователей по вопросам, связанным с обработкой персональных данных.

E-mail, по которому пользователь сайта может обратиться по любому вопросу, касающемуся работе с персональными данными, можно указать в «Политике в отношении обработки персональных данных».

При этом e-mail, созданный для вышеуказанных целей, должен постоянно проверяться, чтобы своевременно реагировать на полученные пользователями сайта запросы.

5. Подать заявление о внесении вашей компании в реестр операторов, осуществляющих обработку персональных данных.

Форму и порядок подачи такого заявления можно найти на сайте Роскомнадзора. Там же можно заполнить электронную форму.

Кроме того, согласно приказа ФСТЭК России №21, вы обязаны защитить персональные данные техническими и организационными мерами: антивирусными системами, средствами межсетевого экранирования, а также разграничить права доступа. Выполнение данного условия не менее важно, и подлежит проверке наряду с остальными требованиями.

Мы надеемся, что указанные советы будут полезными при разработке и работе вашего сайта и помогут избежать нарушений закона о персональных данных.

Владельцам сайтов: изменения в законе
о персональных данных

Почти все владельцы сайтов обрабатывают персональные данные — например, собирают почтовые адреса для рассылки.

1 июля 2017 года вступают в силу изменения в законе о персональных данных, из-за которых в разы вырастут штрафы. Максим Лагутин, эксперт по персональным данным в компании Б-152, рассказывает, на кого это повлияет и как избежать штрафов.

Максим Лагутин
Эксперт по защите персональных данных,
основатель консалтинговой компании Б-152

Сейчас по статье 13.11 есть только одно нарушение со штрафом 10 000 рублей для юрлиц. После 1 июля их станет семь и общий штраф может составить до 295 000 рублей.

Почему сейчас? Все штрафы, которые вступают в силу с 1 июля, являются наиболее частыми нарушениями, которые Роскомнадзор выявлял в течение последних пяти лет. Ужесточение нашего законодательства связано с ужесточением законодательства в Евросоюзе.

Например, если в форме обратной связи нет ссылки на соглашение на обработку персональных данных, компания должна будет заплатить 50 000 рублей. Если на сайте нет политики конфиденциальности, ИП оштрафуют на 10 000 рублей, компанию — на 30 000 рублей.

Кого будут штрафовать?

Операторов персональных данных. Оператор — любая организация, ИП и физическое лицо, которые обрабатывают персональные данные, например, собирает электронные адреса для рассылки.

Определение из закона 152-ФЗ «О персональных данных»:

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Что такое персональные данные?

Любые данные о человеке, по которым его можно опознать. Точного перечисления в законе нет, но, например, если логин пользователя нам ни о чем не говорит, то электронная почта — это уже персональные данные.

Определение из закона 152-ФЗ «О персональных данных»:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Часто используемые персональные данные

Неважно, используете ли вы эту информацию по отдельности или в сочетании — если вы как-то получаете ее от пользователей, вы — оператор персональных данных.

  • Email
  • Телефон
  • Имя, фамилия, отчество (и по отдельности)
  • Адрес
  • Дата рождения
  • Фотография
  • Ссылка на персональный сайт и профиль в соцсетях

Трактовка расплывчатая, но исходя из позиции судов и Роскомнадзора даже cookie , данные об IP-адресе, местоположении без указания фамилии и имени являются персональными данными. В деле LinkedIn (который заблокировали за использование cookie, сведений о поведении пользователя на странице и сведений о местонахождении) и провайдера Скартел позиция судов и Роскомнадзора подтверждается.

Если на вашем сайте есть любая форма сбора данных — обратной связи, подписки на рассылку, регистрации или личный кабинет, это считается обработкой персональных данных.

Я не обрабатываю персональные данные, а только собираю

Хранение и сбор тоже попадают под определение обработки. Даже если вы собираете данные и через пару минут удаляете, это будет считаться обработкой персональных данных.

Определение из закона 152-ФЗ «О персональных данных»:

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Что делать с сайтом

Вам нужно сделать так, чтобы сайт соответствовал требованиям 152-ФЗ. Эти требования применимы для всех — физических лиц и компаний. Убедитесь, что вы соблюдаете следующие условия:

Хостинг и база данных с персональными данными должна располагаться на территории России. Об этом прямо говорят данные проверок Роскомнадзора (снова LinkedIn) и закон № 242-ФЗ, который обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года.

Это касается иностранных компаний с юрлицом в России и без него, а также российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. Все осложняется тем, что требования Роскомнадзора до конца не ясны, приходится догадываться самим.

Если вы не понимаете, где хранить данные и что делать, обратитесь с запросом в Роскомнадзор или Минкомсвязи. И возможно у вашего хостинг-провайдера есть готовые решения на такой случай.

Под каждой формой сбора данных, включая сбор email, разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». В тексте должна быть ссылка на документ — Пользовательское соглашение, договор или согласие на обработку персональных данных. Текст самого документа можно разместить на отдельной странице.

В Тильде в каждом блоке с формой сбора данных есть поле, в котором можно разместить текст о согласии на обработку данных и ссылку на соглашение и таким образом выполнить требование закона.

Какая информация должна быть в соглашении об обработке персональных данных

Согласно ч.4 ст. 9 закона 152-ФЗ «О персональных данных» в соглашении обязательно должна быть следующая информация:

    наименование или фамилия, имя, отчество и адрес оператора , получающего согласие субъекта персональных данных;

Разместить на сайте в общем доступе (например, в подвале сайта) ссылку на документ — политику организации в отношении обработки персональных данных на сайте.

Пример политики организации в отношении обработки персональных данных на сайте

Показывать всем новым пользователям сайта предупреждение с текстом о том, что вы собираете метаданные пользователя (cookie, данные об IP-адресе и местоположении) для функционирования сайта и, если он не хочет, чтобы эти его данные обрабатывались, то должен покинуть сайт.

На Тильде блок с предупреждением находится в категории «Другое» под номером Т657

Подать уведомление , чтобы внести организацию в реестр операторов персональных данных Роскомнадзора — можно сделать через сайт.

Уведомление можно не подавать, если вы:

    обрабатываете только данные работников и только для исполнения требований трудового законодательства (без передачи данных в банки, например, оформления зарплатного проекта)

Подтверждать статус оператора в Роскомнадзоре не нужно. Вы или ваша компания итак уже является оператором, если имеет доступ к персональным данным.

Пять ошибок интернет‑магазинов при работе с персональными данными

С 1 сентября 2024 года продавцы могут быть оштрафованы за отказ продавать товары или услуги клиенту, если тот отказывается представить свои персональные данные. Речь идет о случаях, когда принуждение к передаче данных не предусмотрено законом. Поправки внесены в ст. 14.8 КоАП.

И это еще один шаг на пути ужесточения требований к работе с личной информацией.

На сегодняшний день ни один интернет-магазин не обходится без сбора и хранения персональных данных (далее — ПД) покупателей. И это вполне объяснимо: чтобы оплатить товар на сайте и заказать доставку, покупатель должен оставить свои контакты: телефон или адрес электронной почты, адрес проживания. Кроме того, большинство магазинов в целях удержания клиентов делают информационные рассылки, внедряют программы лояльности и таким образом формируют базы клиентов.

Согласно Федеральному закону от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных) интернет-магазин в данном случае является оператором ПД, а покупатель — их субъектом. И это накладывают на продавцов жесткие требования.

В этой статье остановимся на нескольких ошибках, которые могут привести к штрафам.

  • Отсутствие на сайте политики в отношении обработки персональных данных
  • Обработка персональных данных покупателей без их согласия
  • Передача персональных данных третьим лицам без согласия на это
  • Отсутствие предупреждения об использовании куки-файлов
  • Неуведомление Роскомнадзора об обработке персональных данных
  • Запрет на принудительный сбор персональных данных клиентов

Отсутствие на сайте политики в отношении обработки персональных данных

Если интернет-магазин занимается обработкой персональных данных покупателей, то он обязан опубликовать на своем сайте этот документ. Обычно политика состоит из шести разделов:

  • общие цели политики;
  • цели сбора ПД;
  • правовые основания обработки ПД;
  • объем и категории обрабатываемых данных, категории субъектов ПД;
  • порядок и условия обработки ПД;
  • актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к ПД.

Под обработку данных попадают различные операции: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Политика размещается на сайте, чтобы посетитель сайта смог ознакомиться с ней, кликнув по ссылке.

Посмотрите пример оформления Политики в отношении обработки персональных данных в интернет-магазине Vprok.ru.

Некоторые продавцы включают политику в Пользовательское соглашение. Например, так делает магазин O’stin.

Обработка персональных данных покупателей без их согласия

Недостаточно просто предупредить покупателей о том, что онлайн-магазин обрабатывает ПД. Нужно еще заручиться их согласием на это (ст. 9 Закона о персональных данных).

На сайте Роскомнадзора приводится шаблон согласия. Можно также посмотреть, как оформляют согласие конкретные интернет-магазины.

Роскомнадзор рекомендует интернет-магазинам получать согласие, если правоотношения с пользователем не оформлены в виде акцепта публичной оферты или в виде иных форм договорных отношений.

Как видно на примере выше, получить согласие на обработку ПД можно посредством проставления «галочки» в соответствующей веб-форме. Обратите внимание, что использовать предустановленную «галочку» нельзя. Важно, чтобы посетитель самостоятельно совершил действие.

Роскомнадзор обращает внимание на то, что в случае обработки биометрических и специальных категорий ПД (указаны в ст. 10 Закона о персональных данных) согласие должно быть оформлено в письменной форме.

Передача персональных данных третьим лицам без согласия на это

С 1 марта 2021 года согласие на обработку ПД, разрешенных для распространения, оформляется отдельно от иных согласий (Федеральный закон от 30.12.2020 № 519-ФЗ). Субъект вправе установить запреты на передачу ПД неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Приказ Роскомнадзора от 24.02.2021 № 18 установил требования к содержанию согласия на обработку ПД, разрешенных для распространения.

Отсутствие предупреждения об использовании куки-файлов

Куки — это файлы с информацией, полученной при посещении веб-ресурса. Интернет-магазины используют их для отслеживания и запоминания определенной информации о посетителе, чтобы адаптировать сайт в соответствии с его интересами и потребностями.

Такие файлы применяются для анализа работы пользователя с сайтом: позволяют изучить посещение страниц, используемых ссылок и время пребывания пользователя на странице.

Стоит отметить, что Закон о персональных данных конкретно не уточняет, входят ли куки в понятие ПД. Но подавляющее большинство интернет-магазинов учитывают потенциальные риски и предупреждают пользователей.

Неуведомление Роскомнадзора об обработке персональных данных

В ст. 22 Закона о персональных данных указана такая обязанность оператора ПД, как направление уведомления Роскомнадзору. Оператор должен исполнить это требование еще до начала обработки.

Уведомление не требуется в том случае, если объем собираемых ПД ограничивается только фамилией, именем и отчеством. Но магазин обычно запрашивает либо номер телефона, либо адрес электронной почты, либо и то и другое. Следовательно, направить уведомление придется.

Также уведомление не потребуется, если персональные данные не распространяются, не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения договора.

Форма уведомления представлена на сайте Роскомнадзора. В течение 30 дней после его отправки регулятор внесет сведения в Реестр операторов персональных данных.

Запрет на принудительный сбор персональных данных клиентов

Президент РФ Владимир Путин подписал Федеральный закон от 28.05.2022 № 145-ФЗ, который вводит штрафы за отказ продавцов заключать, исполнять, изменять или расторгать договор с потребителем из-за его нежелания предоставить персональные данные. Изменения вступят в силу с 1 сентября 2024 года.

За совершение этих действий предусмотрены штрафы:

  • на должностных лиц — от 5 000 до 10 000 руб.;
  • на юрлиц — от 30 000 до 50 000 руб.

В каких случаях штраф может сработать? Иногда при совершении покупки через интернет от клиента требуют чуть ли не паспортные данные. Чтобы пресечь такие избыточные требования к покупателю, было решено законодательно ограничить действия продавца.

Похожие записи:

  1. Как усыновить (удочерить) ребенка из детского дома что нужно, правила, как происходит, требования
  2. Как утвердить иной вариант схемы расположения земельного участка
  3. Как учесть счет фактуру в целях возмещения ндс
  4. Как учитывается стаж муниципальной службы
admin
Оцените автора
Ракульское