Что такое персональные данные?
Согласно ст. 3 ФЗ-152 «О персональных данных» Персональные данные - это любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Сложность в том, что закрытого перечня персональных данных нет. Поэтому нужно ориентироваться на разъяснения контролирующих органов.
Всего существует три категории персональных данных: общие, специальные, биометрические.
Общие персональные данные чаще всего собирают при регистрации или оформлении заказов на сайте: фамилия, имя, отчество, адрес электронной почты, номер телефона, дата рождения, паспортные данные и т.д.
В последнее время Роскомнадзор включает в перечень персональных данных:
Специальные персональные данные - это сведения, касающиеся расовой и национальной принадлежности, политических взглядов, религиозных убеждений, философских убеждений, состояния здоровья, интимной жизни, судимости и т.п.
На сайтах редко собирают специальные персональные, однако, обрабатывать специальные персональные данные можно только на основании письменного согласия субъекта. Галочка в форме сбора данных письменным согласием не является
Биометрические персональные данные - это такие сведения о физиологических и биологических особенностях человека, по которым можно установить его личность (ч. 1 ст. 11 Закона о персональных данных).
Четкого списка в законе нет, но согласно Письма Минцифры России от 17.07.2020 N ОП-П24-070-19433 и Роскомнадзора от 10.02.2020 N 08АП-6782 к ним относят:
Как и в случае со специальными ПД, обрабатывать биометрические персональные данные можно только на основании письменного согласия субъекта. Поэтому если невозможно обеспечить получение письменного согласия, биометрические персональные данные на сайте лучше не собирать.
Как использовать изображения (фото/видео) физических лиц?
Если вы размещаете на сайте фотографии/видео с изображением людей без их письменного разрешения, вы нарушаете не только интеллектуальные права, предусмотренные частью 4 Гражданского кодекса РФ, но и право на изображение гражданина, предусмотренное ст. 152.1 Гражданского кодекса РФ.
Таким образом, при публикации чужой фотографии может не потребоваться согласие автора, но вот согласие на использование изображения гражданина получить все равно придется. После смерти гражданина его изображение может использоваться только с согласия его детей и пережившего супруга, а при их отсутствии - с согласия родителей.
Вместе с тем, согласие на использование изображения гражданина не требуется в случаях:
Кроме того, без согласия гражданина обнародование и использование его изображения допустимо когда имеет место публичный интерес, в частности если такой гражданин является публичной фигурой (занимает государственную или муниципальную должность, играет существенную роль в общественной жизни в сфере политики, экономики, искусства, спорта или любой иной области), а обнародование и использование изображения осуществляется в связи с политической или общественной дискуссией или интерес к данному лицу является общественно значимым.
Вместе с тем, согласие необходимо если единственной целью обнародования и использования изображения лица является удовлетворение обывательского интереса к его частной жизни либо извлечение прибыли.
Изготовленные в целях введения в гражданский оборот, а также находящиеся в обороте экземпляры материальных носителей, содержащих изображение гражданина, полученное или используемое с нарушением ст.152.1 Гражданского кодекса РФ, подлежат изъятию из оборота и уничтожению без какой бы то ни было компенсации нарушителю на основании судебного решения.
Если изображение гражданина, полученное или используемое с нарушением ст.152.1 Гражданского кодекса РФ, распространено в сети «Интернет», гражданин вправе требовать удаления этого изображения, а также пресечения или запрещения дальнейшего его распространения.
Ответственность за нарушения требований по персональным данным
По данным Роскомнадзора, чаще всего при обработке персональных данных допускают такие нарушения:
Таким образом, Роскомнадзор штрафует владельцев сайтов по ст. 13.11 КоАП (актуально на день публикации):
Помимо штрафов такой веб-сайт внесут в Реестр нарушителей прав субъектов персональных данных и сайт может быть заблокирован.
Однако, российское законодательство развивается в сторону ужесточения ответственности операторов персональных данных (лиц, их обрабатывающих). По аналогии с Европейским регламентом по защите персональных данных (General Data Protection Regulation) планируется ввести оборотные штрафы, например, 4% от годового оборота компании, а в некоторых случаях - предусмотреть уголовную ответственность.