EN

Поддержка он-лайн проектов и веб-сайтов

Персональные данные

Что такое персональные данные?

Согласно ст. 3 ФЗ-152 «О персональных данных» Персональные данные - это любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Сложность в том, что закрытого перечня персональных данных нет. Поэтому нужно ориентироваться на разъяснения контролирующих органов.

Всего существует три категории персональных данных: общие, специальные, биометрические.

Общие персональные данные чаще всего собирают при регистрации или оформлении заказов на сайте: фамилия, имя, отчество, адрес электронной почты, номер телефона, дата рождения, паспортные данные и т.д.

В последнее время Роскомнадзор включает в перечень персональных данных:

  • Номера и IP адреса устройств, с которых идет трафик
  • Логины в соцсетях
  • Cookie
  • Данные о месторасположении пользователя
  • Информацию о соединениях и трафике даже без имени абонента
  • Статистику по информационным запросам (хеш-ID пользователя)
  • Данные, собираемые сервисами Яндекс.Метрика и Google.Аналитика
  • Историю заказов (даже без ФИО)
  • Государственные идентификаторы (ИНН, СНИЛС)
  • Сведения о профессии, месте работы, заработной плате
  • Сведения о семейном и социальном положении, составе семьи
  • Другие данные, которые могут прямо или косвенно относиться к человеку

Специальные персональные данные - это сведения, касающиеся расовой и национальной принадлежности, политических взглядов, религиозных убеждений, философских убеждений, состояния здоровья, интимной жизни, судимости и т.п.

На сайтах редко собирают специальные персональные, однако, обрабатывать специальные персональные данные можно только на основании письменного согласия субъекта. Галочка в форме сбора данных письменным согласием не является

Биометрические персональные данные - это такие сведения о физиологических и биологических особенностях человека, по которым можно установить его личность (ч. 1 ст. 11 Закона о персональных данных).

Четкого списка в законе нет, но согласно Письма Минцифры России от 17.07.2020 N ОП-П24-070-19433 и Роскомнадзора от 10.02.2020 N 08АП-6782 к ним относят:

  • отпечатки пальцев,
  • информацию о радужной оболочке глаз,
  • результаты ДНК,
  • фото- и видеоизображение человека,
  • данные о голосе, росте, весе

Как и в случае со специальными ПД, обрабатывать биометрические персональные данные можно только на основании письменного согласия субъекта. Поэтому если невозможно обеспечить получение письменного согласия, биометрические персональные данные на сайте лучше не собирать.

Как использовать изображения (фото/видео) физических лиц?

Если вы размещаете на сайте фотографии/видео с изображением людей без их письменного разрешения, вы нарушаете не только интеллектуальные права, предусмотренные частью 4 Гражданского кодекса РФ, но и право на изображение гражданина, предусмотренное ст. 152.1 Гражданского кодекса РФ.

Таким образом, при публикации чужой фотографии может не потребоваться согласие автора, но вот согласие на использование изображения гражданина получить все равно придется. После смерти гражданина его изображение может использоваться только с согласия его детей и пережившего супруга, а при их отсутствии - с согласия родителей.

Вместе с тем, согласие на использование изображения гражданина не требуется в случаях:

  • использование изображения осуществляется в государственных, общественных или иных публичных интересах; 
  • изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;
  • гражданин позировал за плату.

Кроме того, без согласия гражданина обнародование и использование его изображения допустимо когда имеет место публичный интерес, в частности если такой гражданин является публичной фигурой (занимает государственную или муниципальную должность, играет существенную роль в общественной жизни в сфере политики, экономики, искусства, спорта или любой иной области), а обнародование и использование изображения осуществляется в связи с политической или общественной дискуссией или интерес к данному лицу является общественно значимым.

Вместе с тем, согласие необходимо если единственной целью обнародования и использования изображения лица является удовлетворение обывательского интереса к его частной жизни либо извлечение прибыли.

Изготовленные в целях введения в гражданский оборот, а также находящиеся в обороте экземпляры материальных носителей, содержащих изображение гражданина, полученное или используемое с нарушением ст.152.1 Гражданского кодекса РФ, подлежат изъятию из оборота и уничтожению без какой бы то ни было компенсации нарушителю на основании судебного решения.

Если изображение гражданина, полученное или используемое с нарушением ст.152.1 Гражданского кодекса РФ, распространено в сети «Интернет», гражданин вправе требовать удаления этого изображения, а также пресечения или запрещения дальнейшего его распространения.

Ответственность за нарушения требований по персональным данным

По данным Роскомнадзора, чаще всего при обработке персональных данных допускают такие нарушения:

  1. Данные обрабатываются без согласия субъекта или с «неправильным» согласием (не той формы, не в полном объеме, например).
  2. Собираются избыточные данные.
  3. При получении согласия на передачу персональных данных не указывается, кому конкретно они передаются.
  4. Не указываются цели обработки персональных данных или они указываются не полностью.
  5. В уведомлении Роскомнадзора об обработке персональных данных указываются неполные или недостоверные данные, не направляются уведомления об изменении перечня обрабатываемых данных.

Таким образом, Роскомнадзор штрафует владельцев сайтов по ст. 13.11 КоАП (актуально на день публикации):

  1. За обработку ПД в не предусмотренных законом случаях на физлиц до 6 000 рублей, на юрлиц до 100 000 рублей.
  2. За обработку ПД, не совместимых с целями сбора – на ИП до 20 000 руб., на юрлиц до 100 000 рублей.
  3. Обработка без согласия субъекта, или с согласием с неполными сведениями (Напомню что «галочка» - это не письменное согласие) грозит штрафом на физлиц до 15 000 рублей, на юрлиц до 700 000 рублей (а за повторное 1,5 миллиона рублей).
  4. За отсутствие Политики на сайте – на физлиц до 3 000 рублей, ИП – до 20 000 рублей, на юрлиц до 60 000 рублей.
  5. За невыполнение оператором условий по сохранности ПД на физлиц до 4 000 рублей, на ИП до 40 000 рублей, на юрлиц до 100 000 рублей.
  6. За невыполнение оператором обязанностей по обработке, хранению и т.д. персональных данных на территории Российской Федерации на физлиц до 50 000 рублей, на юрлиц – до 6 миллионов рублей, за повторное правонарушение - 18 миллионов рублей.
  7. За непредставление информации субъекту об обработке ПД – на физлиц до 4 000 рублей, ИП – до 30 000 рублей, на юрлиц до 80 000 рублей.
  8. За невыполнение оператором в законные сроки требований по уточнению ПД, блокировке, уничтожению на физлиц до 4 000 рублей, ИП – до 40 000 рублей, юрлиц до 90 000 рублей, за повторное правонарушение - 500 000 рублей);
  9. За нарушение правил рассылки в т. ч. отправка рекламных сообщений без получения согласия (спам) влечет наложение штрафа на физлиц – до 2500 рублей, на юрлиц до 500 000 рублей (по ст. 14.3 КоАП РФ).

Помимо штрафов такой веб-сайт внесут в Реестр нарушителей прав субъектов персональных данных и сайт может быть заблокирован.

Однако, российское законодательство развивается в сторону ужесточения ответственности операторов персональных данных (лиц, их обрабатывающих). По аналогии с Европейским регламентом по защите персональных данных (General Data Protection Regulation) планируется ввести оборотные штрафы, например, 4% от годового оборота компании, а в некоторых случаях - предусмотреть уголовную ответственность.