Закон о персональных данных — что это такое?

Чтобы не быть обманутым, важно знать, кто, как и где хранит ваши персональные данные.
Автор статьи: Максим Иванов Максим Иванов
Автор статьи
Практикующий юрист с 1990 года

С 2006 года вступил в силу Федеральный закон «О персональных данных» №152-ФЗ. Этот нормативно-правовой акт регламентирует, что относится к персональной информации о гражданах, кто, как и на каком основании ее хранит, а также устанавливает стандарты хранения.

Целью сбора и обработки персональных данных закон определяет обеспечение защиты от несанкционированного доступа со стороны третьих лиц. В этом статье разберем, как происходит исполнение закона о персональных данных, и какие меры воздействия будут применены к его нарушителям.

Что такое персональные данные?

Под ними понимают любые сведения, которые прямо или косвенно относятся к физическому лицу. Такая широкая трактовка позволяет отнести любую информацию о человеке к персональным данным. Федеральный закон о персональных данных является нормой прямого действия и должен соблюдаться всеми субъектами, получившими доступ к указанной информации.

Когда пользователь оставляет свои сведения на сайте в интернете при приобретении какого-либо товара, ресурс становится хранителем (оператором) персональных данных, что накладывает на него определенные права и обязанности.

Требования закона о персональных данных распространяются на следующие группы сведений:

  • общие — к ним относится основная информация о человеке: фамилия, имя, отчество, год рождения, ИНН, сведения о работе и т.д.;

    Читайте также
    Угроза для малоимущих: Минтруд хочет снизить прожиточный минимум
  • биометрические — группа крови, отпечатки пальцев, рисунок радужной оболочки глаза и иная информация, содержимое которой индивидуально. Сюда же можно отнести фото и видеозаписи, на которых запечатлен гражданин;

  • специальные — к такого рода данным относятся философские или религиозные взгляды человека, наличие судимостей и т.д.;

  • обезличенные — к такой категории можно отнести любую информацию, если по ней нельзя идентифицировать конкретного гражданина. Например, сам по себе номер телефона или адрес электронной почты не относятся к персональным данным, но если они сопряжены с фамилией человека, его можно идентифицировать.

    Читайте также
    «Молодая семья 2021»: жилищная субсидия для семей с детьми и бездетных
Понятие персональных данных включает не только фамилию, имя, отчество либо домашний адрес, сюда же относится информация о религиозных взглядах человека.
персональные данные

Как защищаются персональные данные?

Закон о защите персональных данных № 152-ФЗ регламентирует несколько направлений защиты конфиденциальной информации о гражданах:

  • законодательные меры — государство обязывает оператора совершать определенные действия, в то же время вводит запрет на ряд операций;

  • технические — оператор предпринимает ряд мер, которые делают невозможным или существенно затрудняют доступ третьих лиц к сведениям о гражданах.

Существует несколько технических способов защиты личных сведений граждан, к которым можно отнести замену цифровых данных, сокращение сведений, распределенное (в нескольких местах) хранение информации.

Обратите внимание!

В 2015 году закон о защите персональных данных претерпел существенные изменения. Суть поправок сводится к тому, что персональные данные граждан РФ должны храниться исключительно на территории РФ. Это требование применяется как к документам, содержащим подобные сведения, так и к информации в электронном виде.

Как операторы персональных данных нарушают ваши права?

Любые действия, которые оператор персональных данных совершает с ними, называют обработкой. Под этим термином следует понимать накопление, хранение, изменение, передачу и обезличивание такой информации. На все эти действия ресурсы имеют право, но при соблюдении некоторых процедур.

По общему правилу перед началом обработки информации оператор обязан взять у гражданина в письменном виде согласие на это.

Закон содержит ряд норм о передаче персональных данных. При передаче таких сведений третьим лицам от гражданина необходимо получить согласие, кроме случаев, установленных законом. Именно с нарушением этих требований законодательства и сопряжены основные действия администраторов сайтов в интернете.

Ответственность за нарушение правил работы с персональными данными

Законодательство РФ предусматривает 3 вида ответственности:

  • гражданско-правовая — как правило, устанавливается в договоре, который гражданин заключает с оператором персональных данных. Носит преимущественно денежный характер;
  • административная — установлена в Кодексе об административных правонарушениях РФ и выражается либо в виде предупреждения, либо в виде денежного штрафа;
  • уголовная — наступает за наиболее тяжкие нарушения законодательства. В подавляющем большинстве случаев к виновному применяется либо денежный штраф, либо наказание, связанное с ограничением свободы.

В каких случаях законодательство о защите персональных данных следует соблюдать?

Перечень ситуаций установлен в ст. 6 Закона №152-ФЗ. Важно следить за соблюдением требований закона:

  • при осуществлении правосудия;
  • при заключении договора потребительского кредитования;
  • при заключении трудового договора;
  • при защите прав и интересов гражданина;
  • если при заключении гражданско-правового договора стороны достигли согласия об этом;
  • в случаях, когда требования законодательства требуют принятия мер по обработке персональных данных.

Закон содержит ряд норм о предоставлении персональных данных по запросам сторонних организаций и частных лиц. Без согласия гражданина сведения могут предоставляться только по запросу судебных и правоохранительных органов. В иных случаях факт несанкционированной передачи будет караться по УК РФ.

Резюме

Обработка персональных данных — это область, которая содержит ряд вопросов, достаточно сложных для понимания. Несоблюдение законодательства в этой сфере для юридических лиц чревато большими штрафами. Обращение к профессиональному юристу поможет вам избежать неблагоприятных последствий в виде разглашения конфиденциальных данных и уголовной ответственности.

Юристы портала Правовед.RU имеют большой практический опыт в этой области. Консультация со специалистом доступна через онлайн-форму на сайте и по телефону.

Редактор: Людмила Разумова Людмила Разумова
Редактор
Практикующий юрист с 2006 года

Содержание

Что такое персональные данные?
Как защищаются персональные данные?
Как операторы персональных данных нарушают ваши права?
Ответственность за нарушение правил работы с персональными данными
В каких случаях законодательство о защите персональных данных следует соблюдать?
Резюме

Комментарии

Клиент - Екатерина
Екатерина
клиент, г. Москва

Добрый день,по поводу закона о персональных данных от 1 сентября 2015,мы являемся интернет магазином на территории Италии,наши сервера на территории Италии,интернет магазин имеет русскую версию сайта и мы работаем очень хорошо с русскими пользователями. Закон очень неясен,к примеру В законе «О персональных данных» уже существовала статья 12 под названием «Трансграничная передача персональных данных». И согласно первому пункту статьи, персональные данные граждан могут отправляться в те страны, которые приняли конвенцию Совета Европы о защите этих самых данных, а также в страны, не являющиеся стороной конвенции, но обеспечивающие адекватную защиту прав субъектов персональных данных.или к примеру исключение из правил:Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях: обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Может ли это быть аргументом,чтобы не переносить русскую версию сайта?

Юрист - Максим
Юрист по гражданскому праву , г. Москва
Общаться в чате

Здравствуйте уважаемая Екатерина!

Может ли это быть аргументом, чтобы не переносить русскую версию сайта?
Екатерина

К сожалению это не будет аргументом, поскольку согласно Федеральному закону от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015)

Статья 18. Обязанности оператора при сборе персональных данных

5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

Все данные собираемые о гражданах РФ, должны хранится на серверах на территории РФ, иначе это влечет ответственность по ст. 13.11 КоАП

Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) — влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.

Могу Вам только порекомендовать осуществлять процесс сбора и передачи информации о гражданах, посредством Российского сервера, иначе в последующем в отношении Вас может провести проверку Роскомнадзор и возбудить дело об административном правонарушении по статье 13.11 КоАП РФ.

С Уважением.
Лобанов Максим.

Отблагодарить
Общаться в чате Отблагодарить
Клиент - Екатерина
Екатерина
клиент, г. Москва

добрый день,спасибо за ответ.

но это же как раз и есть пункт 4 части 1 статьи 6.Обработка персональных данных допускается в следующих случаях: обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.Сущетствует ли возможность как-то обойти этот закон,может держать только копию базы данных?ведь перенести полностью всю версию сайта практически невозможно

Юрист - Владимир
Юрист по гражданскому праву , г. Москва
Общаться в чате

Здравствуйте.

Одним из критериев оценки государства в данном аспекте может выступать факт ратификации им Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г., ETS N 108. На сегодняшний день в число стран, подписавших и ратифицировавших указанную Конвенцию, входят Австрия, Андорра, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Израиль, Ирландия, Исландия, Испания,Италия, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Польша, Португалия, Румыния, Сербия, Словакия, Словения, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония.

<Письмо> Минкомсвязи РФ от 13.05.2009 N ДС-П11-2502
«Об осуществлении трансграничной передачи персональных данных»

А вы являетесь нашим юр лицом или нет? есть такая позиция

Интересно также отметить, что передача за границу персональных данных российскому же лицу не рассматривается как трансграничная передача персональных данных.
Порядок передачи данных иностранному лицу зависит от того, передаются персональные данные в эквивалентные страны или в страны, не обеспечивающие адекватную защиту прав субъектов персональных данных.
Одним из важных комментариев Роскомнадзора является и то, что трансграничная передача персональных данных наравне с любым иным способом обработки персональных данных должна соответствовать целям сбора персональных данных <9>. То есть нельзя просто осуществить передачу на основании закона или с согласия субъекта персональных данных; должна быть цель такой передачи, соответствующая целям сбора. Если оператор и субъект персональных данных тесно связаны с Россией, а цель обработки не связана с иностранными услугами или работами, обосновать такую цель трансграничной передачи может быть достаточно проблематично.
— <9> Федеральный закон «О персональных данных»: Научно-практический комментарий / Под ред. А.А. Приезжевой. С. 74.

Статья: Локализация баз данных на территории Российской Федерации: первые толкования
(Буркова А.Ю.)
(«Законодательство и экономика», 2015, N 9)

Может ли это быть аргументом, чтобы не переносить русскую версию сайта?
Екатерина

вот этот момент точно врятли убедит роскомнадзор — но это спорная ситуация

Отблагодарить
Общаться в чате Отблагодарить
Клиент - Екатерина
Екатерина
клиент, г. Москва

мы не имеем прямого представительства на территории России,так значит в нашм случае совсем необязательно переносить русскую версию сайта на хостинг в России, мы моем спокойно продолжать работать как и работали?

Клиент - Екатерина
Екатерина
клиент, г. Москва

благодарю за ответ

Юрист - Михаил
Юрист по гражданскому праву , г. Саратов
Общаться в чате

Екатерина, здравствуйте.

Может ли это быть аргументом, чтобы не переносить русскую версию сайта?
Екатерина

Да, может.

Более того, трансграничная передача персональных данных является одним из элементов их обработки. В этой связи стоит принять во внимание, что согласно Закона

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

Пользователи русскоязычной версии сайта фактически дают согласие на обработку своих персональных данных.

Также имейте ввиду, что приказом Роскомнадзора от 15.03.2013 N 274
«Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных» утвержден следующий перечень:

Австралия — Австралийский союз
Аргентинская Республика
Государство Израиль
Канада
Королевство Марокко
Малайзия
Мексиканские Соединенные Штаты
Монголия
Новая Зеландия
Республика Ангола
Республика Бенин
Республика Кабо-Верде
Республика Корея
Республика Перу
Республика Сенегал
Тунисская Республика
Республика Чили

Кроме того

Одним из критериев оценки государства в данном аспекте может выступать факт ратификации им Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г., ETS N 108. На сегодняшний день в число стран, подписавших и ратифицировавших указанную Конвенцию, входят Австрия, Андорра, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Израиль, Ирландия, Исландия, Испания, Италия, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Польша, Португалия, Румыния, Сербия, Словакия, Словения, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония.
Отблагодарить
Общаться в чате Отблагодарить
Юрист - Максим
Юрист по гражданскому праву , г. Пермь
Общаться в чате

Здравствуйте, Екатерина. Поясните у вас есть какой либо филиал или представительство официально зарегистрированное в РФ?

Отблагодарить
Общаться в чате Отблагодарить
Клиент - Екатерина
Екатерина
клиент, г. Москва

Добрый день,

нет, мы юридическое лицо Италии и не имеем представительств в Россию

Юрист - Александр
Юрист по гражданскому праву , г. Москва
Общаться в чате

Здравствуйте. Вам тогда нужно будет переводить данные на сервера в РФ.

Статья 18. Обязанности оператора при сборе персональных данных
5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

Исключения только в этом случае:

Статья 6. Условия обработки персональных данных
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

И вы под них не попадаете.

Может ли это быть аргументом, чтобы не переносить русскую версию сайта?
Екатерина

Нет, так как тут закон однозначен. Сайт работает на территории РФ и должен соблюдать законы РФ.

Отблагодарить
Общаться в чате Отблагодарить
Клиент - Екатерина
Екатерина
клиент, г. Москва

Сайт работает на территории Италии,но и имеет русскую версию и клиентов,которые проживаю на территории Российской Федерациию,вот как раз по пункт

4 обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

при покупке товара в интернет магазине субъект персональных данных подтверждает договор где является выгодоприобретателем (оплачивает товар котооые ему понравился)

Адвокат - Дмитрий
Адвокат по гражданскому праву , г. Москва
Общаться в чате

Добрый день.

В данном случае трансграничная передача персональных данных может осуществляться поскольку Италия не входит в Перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных (согласно Приказу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 15 марта 2013 г. N 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных» (с изменениями и дополнениями).

Однако хранить персональные данные можно только на территории РФ, сервер должен быть в России.

Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 13.07.2015) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 10.01.2016)Статья 16. Защита информации
4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации;
7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

С Уважением.
Васильев Дмитрий.

Отблагодарить
Общаться в чате Отблагодарить
Юрист - Максим
Юрист по гражданскому праву , г. Москва
Общаться в чате
Сущетствует ли возможность как-то обойти этот закон, может держать только копию базы данных? ведь перенести полностью всю версию сайта практически невозможно
Екатерина

Необязательно переносить всю версию сайта, технически можно осуществлять только сбор персональных данных на сервере который расположен на территории РФ, то есть форма заполнения персональных данных должна иметь сервер в РФ, а на Итальянском сайте лишь ссылка.

Ну и соответственно храниться они должны на Российском сервере. Думаю любой IT специалист сможет осуществить это технически.

Отблагодарить
Общаться в чате Отблагодарить
Юрист - Александр
Юрист по гражданскому праву , г. Москва
Общаться в чате
есть пункт 4 части 1 статьи 6.О
Екатерина

Нет такого пункта. Это п. 5, а не 4 и он под исключения не попадает.

Отблагодарить
Общаться в чате Отблагодарить
Адвокат - Дмитрий
Адвокат по гражданскому праву , г. Москва
Общаться в чате
Сущетствует ли возможность как-то обойти этот закон, может держать только копию базы данных? ведь перенести полностью всю версию сайта практически невозможно
Екатерина

К сожалению нет. Если в базе содержится информация о персональных данных личности, то сервер должен быть в России, здесь без вариантов.

Отблагодарить
Общаться в чате Отблагодарить
Юрист - Александр
Юрист по гражданскому праву , г. Москва
Общаться в чате
мы не имеем прямого представительства на территории России, так значит в нашм случае совсем необязательно переносить русскую версию сайта на хостинг в России, мы моем спокойно продолжать работать как и работали?
Екатерина

Вы работаете на территории РФ, Вы собираете ПД граждан РФ. Тут представительство роли не играет. Ваш сайт просто Роскомнадзор заблокирует и всё за нарушения.

Отблагодарить
Общаться в чате Отблагодарить
Юрист - Максим
Юрист по гражданскому праву , г. Москва
Общаться в чате
мы не имеем прямого представительства на территории России, так значит в нашм случае совсем необязательно переносить русскую версию сайта на хостинг в России, мы моем спокойно продолжать работать как и работали?
Екатерина

Как я уже указал выше Екатерина, сайт не обязательно переносить на сервер в РФ, Вам необходимо чтобы данные собирались только на сервере в РФ, то есть сайт на Итальянском сервере, и на нем должна быть ссылка которая будет вести на сайт на сервере в РФ, где будут собираться данные.

Отблагодарить
Общаться в чате Отблагодарить
Юрист - Владимир
Юрист по гражданскому праву , г. Москва
Общаться в чате
юридическое лицо Италии и не имеем представительств в Россию
Екатерина
России, так значит в нашм случае совсем необязательно переносить русскую версию сайта на хостинг в России, мы моем спокойно продолжать работать как и работали?
Екатерина

Все как раз наоборот. Если бы вы были юр лицом нашим- это одно.

А в такой ситуации вам надо либо отдельный сайт делать для рф либо делать «зеркало» своего сайта, но тоже в рф.

Так что данные покупателей и т.д. — все придется хранить на терр рф, и тут вы копиями не обойдетесь. Дело в том что закон понятия таких копий не содержит, да и суть то закона в том чтоб данные не уходили заграницу (по большей части и обрабатывались в рф), а тут получиться что они уйдут как раз.

Отблагодарить
Общаться в чате Отблагодарить
Юрист - Александр
Юрист по гражданскому праву , г. Москва
Общаться в чате
Сайт работает на территории Италии, но и имеет русскую версию и клиентов, которые проживаю на территории Российской Федерациию, вот как раз по пункт 4 обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
Екатерина

Еще раз повторю, это п. 5, а не 4й. У Вас версия закона старая видимо.

Отблагодарить
Общаться в чате Отблагодарить
Клиент - Екатерина
Екатерина
клиент, г. Москва

А где я могу скачать новую версию закона?

Юрист - Максим
Юрист по гражданскому праву , г. Пермь
Общаться в чате
Добрый день, нет, мы юридическое лицо Италии и не имеем представительств в Россию
Екатерина

В этом случае ответственности по КоАП РФ вы не подлежите, так как не находитесь под юрисдикцией Российской Федерации.

Самое серьезное последствие которое вы можете понести это Роскомнадзор заблокирует доступ на ваш сайт из РФ. Но, во первых такую блокировку достаточно просто обойти. Во вторых я расцениваю такую вероятность как крайне низкую, поскольку иначе придется блокировать тысячи иностранных сайтов, которые не собирались и не собираются хранить свои базы данных в РФ. Таким образом, не думаю, что у вас в ближайшее время будут какие то серьезные последствия в связи с этим вопросом.

Отблагодарить
Общаться в чате Отблагодарить
Юрист - Максим
Юрист по гражданскому праву , г. Москва
Общаться в чате
при покупке товара в интернет магазине субъект персональных данных подтверждает договор где является выгодоприобретателем (оплачивает товар которые ему понравился)
Екатерина

Екатерина, в Вашем однозначно нет никаких отступлений от правила установленного в ст. 18 ФЗ «О персональных данных». Сервер с данными граждан РФ, только на территории РФ. Действуйте как я описал выше.

Отблагодарить
Общаться в чате Отблагодарить
Клиент - Екатерина
Екатерина
клиент, г. Москва

спасибо огромное

Юрист - Александр
Юрист по гражданскому праву , г. Москва
Общаться в чате
А где я могу скачать новую версию закона?
Екатерина

base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=178749 вот по ссылке посмотрите. Тут последняя версия закона.

Отблагодарить
Общаться в чате Отблагодарить
Юрист - Максим
Юрист по гражданскому праву , г. Москва
Общаться в чате
А где я могу скачать новую версию закона?
Екатерина

www.consultant.ru/document/Cons_doc_LAW_61801/315f051396c88f1e4f827ba3f2ae313d999a1873/

Отблагодарить
Общаться в чате Отблагодарить
Юрист - Владимир
Юрист по гражданскому праву , г. Москва
Общаться в чате
В этом случае ответственности по КоАП РФ вы не подлежите, так как не находитесь под юрисдикцией Российской Федерации.
Крохалев Максим

очень верное замечание

привлечь то не получиться иностранное юр лицо

Самое серьезное последствие которое вы можете понести это Роскомнадзор заблокирует доступ на ваш сайт из РФ.
Крохалев Максим

а вот это запросто может быть.

и тогда придется для рф делать новый сайт, ну или именно в рф уже нормальный, по всем правилам.

Отблагодарить
Общаться в чате Отблагодарить
Юрист - Марина
Юрист по гражданскому праву , г. Москва
Общаться в чате

Здравствуйте Екатерина.

Не соглашусь с коллегами.

По моему мнению на Вас ст. 12 не распространяется вообще, т.к. Вы не осуществляете передачу персональных данных. Вы осуществляете их обработку только после того как их Вам передадут владельцы персональных данных. Т.е. есть Вы не являетесь оператором на момент их передачи.

Также по этому вопросу имеется разъяснение Минкомсвязи РФ minsvyaz.ru/ru/personaldata/#1438172103678

Трансграничность
— Применяется ли Закон экстерриториально и должны ли те лица (в том числе нерезиденты РФ), которым операторы или непосредственно сами субъекты ПД (граждане РФ) направляют ПД, на законных основаниях также обрабатывать их на территории РФ?
В соответствии с принципами международного права внутреннее законодательство государства действует исключительно на территории такого государства и не распространяется на нерезидентов государства, находящихся на территории иного государства. Аналогичная норма о том, что федеральные законы действуют на территории Российской Федерации, содержится также в статье 4 Конституции России. Таким образом, положения Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» №242-ФЗ от 21 июля 2014 года не распространяются на нерезидентов Российской Федерации, находящихся и действующих на территории иных государств. Деятельность таких лиц регулируется международными нормами права, в том числе Конвенцией Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера, в соответствии с которым обработка персональных данных осуществляется только в пределах целей, для которых эти персональные данные были собраны, а также законодательством стран, в которых действуют такие нерезиденты.
Отблагодарить
Общаться в чате Отблагодарить
Адвокат - Дмитрий
Адвокат по гражданскому праву , г. Москва
Общаться в чате

Добрый день.

Я бы хотел дополнительно от себя еще раз обратить внимание на полный перечень требований законодательства по персональным данным.
Действующее законодательство, и в первую очередь 152-ФЗ устанавливает ряд требований, касающихся обработки персональных данных. 
Основные требования:
1. На своем сайте Вы должны разместить Политику конфиденциальности. При этом нужно обратить внимание, что подойдет не каждая политика, то есть вариант «взять у конкурента» (который, как правило, сам откуда-то «взял») или просто «с интернета» не самый лучший, поскольку многие политики сделаны некачественно и основное — Вам нужна Политика, которая конкретно будет подходить под Вас.

К Политике есть ряд требований. Если говорить о самых общих моментах (перечень не исчерпывающий), то Политика должна содержать:

1.1. Перечень персональных данных, которые Вы обрабатываете.
1.2. Сведения о способах обработки персональных данных.
1.3. Должно быть прописано, что, проставляя галочку о согласии с политикой конфиденциальности Пользователь тем самым Пользователь дает свое согласие на обработку его персональных данных, указанных в Политике конфиденциальности.
1.4. Цели использования персональных данных.
1.5. Принципы обработки персональных данных, которыми Вы руководствуетесь.
1.6. Меры, применяемые для защиты персональных данных.
1.7. Очень важный момент, про который многие забывают – если в процессе использования персональных данных, эти данные становятся доступны третьим лицам, в том числе в автоматическом режиме, например, лицам, которые просто помогают Вам в управлении сайтом, маркетинговому партнеру и т.д., то об этом обязательно (!) должно быть указано в политике. Это частая ошибка, которая приводит к тому, что Вам могут вменить незаконное разглашение персональных данных, несмотря на то, что Вы даже не думали ничего не нарушать. С этим мне неоднократно приходилось сталкиваться лично, Роскомнадзор за это активно штрафует.
1.8. Также в политику конфиденциальности нужно обязательно включить положение о том, что Вы вправе в любой момент изменить условия политики конфиденциальности в одностороннем порядке. Про это тоже часто забывают.
1.9. Еще нужен ряд положений, которые касаются того, что мол проставлением отметки Пользователь подтверждает, что он согласен со всеми условиями Политики конфиденциальности, что положения ему ясны и т.д.
1.10. Также в Политике отдельное внимание должно быть уделено файлам cookie, про это тоже часто забывают, хотя это тоже важный момент.
Это самый общий ряд требований, при этом стоит отметить, что каждый пункт должен быть сформулирован грамотно и должен учитывать конкретно Ваши нюансы. 

2. На сайте должно быть Пользовательское соглашение (либо договор-оферта, либо лицензионное соглашение – в принципе это все одно и тоже).
Стоит отметить, что с одной стороны ничто не мешает «запихать» положения о персональных данных (политику конфиденциальности) в пользовательское соглашение. Однако лично я рекомендую эти документы разделять, поскольку мне лично уже приходилось сталкиваться с тем, что Роскомнадзор при проверке сайта нескольких моих клиентов просто не разглядел положения про персональные данные в пользовательском соглашении и повесил штраф. И хотя все это дело мы успешно оспорили, но лишний раз «давать повод» я не рекомендую, лучше перестраховаться.  

В ситуации же когда Политика сделана отдельно, то ее пропустить уже невозможно и соответственно риск того, что кто-то просто не разглядит эти пункты в пользовательском соглашении, отпадают. Плюс ко всему если делать нормальную качественную политику конфиденциальности, то она получается не на 1 и не на 2 страницы, не говоря уже о пользовательском соглашении и если все совмещать, то Пользовательское соглашение вполне вероятно получится чрезмерно раздутым, что не очень удобно и при этом не стоит также забывать, что на Вас лежит обязанность по доведению до клиентов всей необходимой информации о реализуемых товарах/услугах и для целей выполнения этой обязанности делать плохо читаемые раздутые и неструктурированные документы не самая лучшая идея (например, по банкам есть судебная практика когда суды не признают написанное в документах мелким шрифтом, что мол нельзя в таком виде доводить информацию до клиентов, здесь может быть применена та же логика).
Что касается требований к Пользовательскому соглашению (договору-оферте, лицензионному соглашению), то это предмет отдельного разговора, требований очень много и здесь они уже полностью зависят конкретно от Вашей ситуации и как следствие их нужно каждый раз обсуждать отдельно. Общая цель Пользовательского соглашения – расписать условия предоставления доступа к сервису и/или условия продажи товаров/услуг, описать предмет договора, права и обязанности сторон, порядок расчетов, порядок разрешения споров, ограничить Вашу ответственность (настолько, насколько это позволяет закон, частая ошибка – вопросам ответственности в Пользовательском соглашении изначально уделяют очень мало внимания и возвращаются к ним только после того как столкнутся с конкретной претензией от клиента или еще хуже с судебным иском, я всегда рекомендую все риски (настолько насколько это позволяет закон) закрывать изначально при подготовке документации).
Также в Пользовательском соглашении можно прописать условие о договорной подсудности по месту Вашего нахождения (кстати в способе описания условия о договорной подсудности очень часто допускаются ошибки, и суды потом признают пункт о договорной подсудности не согласованным, если хотите, чтобы в случае чего судебные споры были по месту Вашего нахождения (не во всех случаях применимо), то нужно к описанию этого пункта подойти максимально ответственно и с учетом судебной практики).

3. Помимо непосредственно наличия самих документов, есть требования к самому сайту, а именно: 

3.1. На сайте на абсолютно всех формах обратной связи, через которые может быть осуществлена передача персональных данных, должно быть окошечко, в котором Пользователи проставляют отметку о согласии с политикой конфиденциальности и пользовательским соглашением. Частая ошибка – делается политика конфиденциальности, а в окошечке Пользователь просто дает согласие с «обработкой персональных данных», а не с условиями Политики конфиденциальности и как следствие в этом случае фактически у Вас не будет подтверждения, что Пользователь согласился соблюдать условия политики конфиденциальности. Надо понимать, что цель политики конфиденциальности – в том числе получение от Пользователя согласия с обработкой его персональных данных, поэтому еще отдельно брать с него согласие на саму обработку уже не нужно, только согласие с политикой конфиденциальности.
3.2. Без проставления отметки о согласии с политикой конфиденциальности и пользовательским соглашением Пользователь не должен иметь возможности отправить Вам свои персональные данные. Это касается в том числе случаев даже если он Вам передает только имя, номер телефона или адрес электронной почты (это все относится к персональным данным – ст. 3 152-ФЗ).
4. Политика конфиденциальности и Пользовательское соглашение касаются урегулирования вопросов обработки персональных данных Ваших клиентов/Пользователей сервиса. Однако если у Вас есть работники, то дополнительно также нужно, чтобы был комплект документов, регулирующих вопросы обработки персональных данных Ваших сотрудников. Основным документом, который выполняет эту задачу является положение об обработке персональных данных, либо часто его называют положением о коммерческой тайне (хотя коммерческая тайна это другое, многие называют его именно так, а в содержании все равно прописывают вопросы обработки персональных данных), название тут не принципиально, строгих требований к нему нет, главное содержание. Я как правило предпочитаю объединять эти документы в один общий и именовать его «Положение о коммерческой тайне и обработке персональных данных» и в нем сразу урегулировать как вопросы коммерческой тайны, так и вопросы обработки персональных данных. Что касается требований к содержанию положения, то оно должно включать в себя:
4.1. Информацию о том, какие данные сотрудников обрабатываются.
4.2. Цели обработки персональных данных.
4.3. Порядок ознакомления сотрудников компании с положением.
4.4. Порядок и сроки уведомления работниками работодателя об изменении своих персональных данных.
4.5. Меры по защите персональных данных.
4.6. Порядок доступа отдельных работников к персональных данным сотрудников компании.
4.7. Порядок хранения персональных данных.
4.8. Условия предоставления третьим лицам персональных данных сотрудников компании.

Стоит отметить, что данное положение представляет собой локальный нормативный акт работодателя (ст. 8 Трудового кодекса РФ) и к нему применяются соответствующие требования, в частности: 1. Данное положение должно быть утверждено приказом единоличного исполнительного органа (директора) компании. 2. Работники должны быть ознакомлены под подпись с содержанием указанного положения (п.6 ч.1 ст. 18.1 152-ФЗ).

5. Помимо приказа об утверждении положения, регулирующего вопросы обработки персональных данных, также у Вас должен быть принят приказ о назначении ответственного за обработку персональных данных (ст. 22.1 ФЗ № 152-ФЗ). Чаще всего им выступает сам директор компании, но это не обязательно. Каких-либо специфичных требований к приказу здесь нет, требования к нему общие – такие, как и к любому другому внутреннему приказу.
6. Помимо указанных документов также, как правило, Вы должны направить уведомление в Роскомнадзор об обработке персональных данных (не путать с регистрацией в Роскомнадзоре).
Уведомление направляется по онлайн форме — https://pd.rkn.gov.ru/operators-registry/notification/form/и плюс должно быть продублировано в письменном виде по обычной почте. 

Здесь частая ошибка – люди считают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор.
С точки зрения закона действительно далеко не все компании должны направлять уведомление в Роскомнадзор. Например, если Вы обрабатываете персональные данные только своих контрагентов по договорам, то у Вас нет обязанности по направлению уведомления в Роскомнадзор (это лишь один пример, исключений больше).
Однако на сегодняшний день позиция Роскомнадзора такова, что уведомление нужно направлять практически всегда, поскольку практически всегда компании помимо обработки данных, которые подпадают под исключение о необходимости направления уведомления, также осуществляют иные формы обработки персональных данных. Например, если Вы храните персональные данные потенциальных или бывших клиентов (в маркетинговых, рекламных или иных целях) – то это уже не подпадает под исключение, поскольку у Вас с ними нет действующего договора. Поскольку, как правило, все хранят данные о тех клиентах, которые обратились, но еще не заключили договор или с которыми у Вас уже закончились договорные отношения, то в любом случае с точки зрения закона Вы уже не подпадаете под исключение и как следствие должны направить уведомление в Роскомнадзор по указанной выше форме.
Многие к сожалению, ошибочно полагают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор, за что потом Роскомнадзор их привлекает к ответственности.

7. Необходимо отметить, что приведенные выше требования касаются ситуации, когда Вы обрабатываете данные граждан РФ в соответствии с 152-ФЗ. Однако не стоит забывать, что если Сервис ориентирован также на международный рынок, в частности на европейских клиентов или клиентов из США, то тут возникают дополнительные требования. Особое внимание следует в этом случае обратить на Регламент №2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» General Data Protection Regulation (GDPR), который вступил в силу с 25.05.2018 г. Описывать все его требования в данном случае я думаю не совсем уместно, так как это тема отдельного полноценного разговора, но суть в том, что если Вы ориентированы на европейский рынок, то Ваша политика конфиденциальности должна быть составлена в полном соответствии со всеми требованиями GDPR. В отношении других стран также следует обратить внимание на местное законодательство, в частности, для работы с гражданами США, например, обязательно следует учесть требования Children's Online Privacy Protection Act (COPPA).  

В целом нюансов и требований в части иностранного законодательства много, но их следует прорабатывать уже индивидуально и смотреть на кого ориентирован сервис.

8. Также еще частной ошибкой является хранение персональных данных граждан РФ на зарубежных сервисах, что запрещено законом (ст. 18 152-ФЗ). Хранить персональные данные граждан РФ можно только на российских серверах, про это ни в коем случае нельзя забывать. 

Что касается ответственности, то за любое нарушение установленного законом порядка сбора, хранения или распространения информации о гражданах (персональных данных) влечет за собой ответственность по ст. 13.11 КоАП РФ (там большой перечень видов нарушений, всего 7 частей в данной статье). При этом каждое нарушение рассматривается отдельно и, соответственно наказание за каждое нарушение также назначается отдельно, максимальный размер штрафа на текущий момент – 75000 руб.
Также если речь идет о нарушении обязанностей по хранению и использованию персональных данных работников, то может грозить ответственность по ст. 5.27 КоАП, здесь помимо штрафа уже предусмотрено административное приостановление деятельности на срок до 90 суток. 
Также непредставление в органы Роскомнадзора уведомления об обработке персональных данных влечет ответственность по ст. 19.7 КоАП РФ. 

Помимо прочего стоит отметить, что Роскомнадзор неоднократно обращал внимание, что существует и уголовная ответственность за нарушение неприкосновенности частной жизни – ст. 137 УК РФ.
Стоит отметить, что в целом это основной набор требований по 152-ФЗ, однако не стоит забывать, что в зависимости от ситуации набор требований может расширяться или наоборот сужаться. При этом стоит обратить внимание, что если, например, есть требование о наличии на сайте политики конфиденциальности, то это не значит, что к нему можно подходить формально и использовать любую политику, так как просто наличие формальной бумажки на сайте с названием «политика конфиденциальности» не имеет ничего общего с выполнением требований законодательства об обработке персональных данных.
(!!!) Также обращаю ваше внимание, что, если что-то останется непонятным БОЛЕЕ ПОДРОБНУЮ УСТНУЮ ИЛИ ПИСЬМЕННУЮ КОНСУЛЬТАЦИЮ по ЛЮБЫМ вопросам обработки персональных данных, в том числе по требованиям 152-ФЗ, GDPR, COPPA, Вы всегда можете получить, обратившись ко мне в чат (кнопка «общаться в чате» возле фотографии аккаунта).

(!!!) Также обратившись в чат ЛЮБОЙ может получить ПОМОЩЬ В РАЗРАБОТКЕ НЕОБХОДИМОЙ ДОКУМЕНТАЦИИ, касающейся исполнения требований российского и/или иностранного законодательства в сфере обработки персональных данных, в том числе помощь в разработке Политики конфиденциальности, Пользовательского соглашения (договора-оферты, лицензионного соглашения), положения о коммерческой тайне и обработке персональных данных, заполнении уведомления в Роскомнадзор, проведении аудита сайта/мобильного приложения на предмет соответствия требованиям законодательства о персональных данных. Буду рад помочь.

С Уважением,

Васильев Дмитрий.

Отблагодарить
Общаться в чате Отблагодарить
Адвокат - Дмитрий
Адвокат по гражданскому праву , г. Москва
Общаться в чате

Обращаю Ваше внимание, что с июля 2019 г. действует СПЕЦИАЛЬНОЕ ПРЕДЛОЖЕНИЕ в сфере персональных данных, а именно АБСОЛЮТНО БЕСПЛАТНО ЛЮБОЙ обратившись ко мне в чат (кнопка «общаться в чате» возле фотографии аккаунта) может получить информацию о ТОП 5 ОШИБОК при оформлении документов для сайта/мобильного приложения в сфере персональных данных (152-ФЗ, General Data Protection Regulation, Children's Online Privacy Protection Act и т.д.).

Также обращаю внимание, что, обратившись ко мне в чат, АБСОЛЮТНО ЛЮБОЙ может получить:

1. Устную или письменную консультацию по любым вопросам обработки персональных данных, в том числе по требованиям законодательства РФ, европейского и международного законодательства в сфере персональных данных.

2. Помощь в проведении аудита Вашего сайта/мобильного приложения на предмет соответствия требованиям законодательства о персональных данных.

3. Информацию о реальной ответственности за нарушение требований закона о персональных данных, В ТОМ ЧИСЛЕ ОБ ОТВЕТСТВЕННОСТИ ЗА ХРАНЕНИЕ ДАННЫХ КЛИЕНТОВ НА ЗАРУБЕЖНЫХ СЕРВЕРАХ.

4. Помощь в подготовке следующих документов:

4.1. Политика конфиденциальности (она же политика обработки персональных данных) для сайта/мобильного приложения.

4.2. Пользовательское соглашение (оно же договор-оферта и оно же лицензионное соглашение) для Вашего сайта/мобильного приложения.

4.3. Положение о персональных данных у ИП/ООО.

4.4. Положение о конфиденциальности у ИП/ООО (не всегда нужно).

4.5. Формы приказов об утверждении положения о персональных данных и положения о конфиденциальности.

4.6. Форма приказа о назначении ответственного за обработку персональных данных.

4.7. Уведомление в Роскомнадзор об осуществлении обработки персональных данных. 

Отблагодарить
Общаться в чате Отблагодарить

Клиент - Увгений
Увгений
клиент, г. Нижний Новгород

Здравствуйте! Вступают изменени в закон о персональных данных с 1 сент.2015 года. Волнует вопрос о хранении данных на территории РФ. Подскажите, на какие фирмы это требование распространится? У меня брокер в америке, могут ли ограничить доступ его в РФ?

Юрист - Ирина
Юрист , г. Оренбург
Общаться в чате

Данный закон в большей степени касается хранения массивов данных на территории иностранных государств, таких как базы данных Фейсбук, Гугл и так далее. Цель данного закона — обеспечить при необходимости беспрепятственный доступ правоохранительных органов РФ к данным. Так что если у Вас какая-то база данных обрабатываются за рубежом, просто продублируйте ее у себя, на территории нашей страны. Запрещать никто ничего не будет.

Отблагодарить
Общаться в чате Отблагодарить

Клиент - Катерина
Катерина
клиент, г. Ярославль

Здравствуйте. Ситуация в следующем. Постоянно звонят с разных номеров медицинского центра и предлагают свои услуги. Но телефон записан не на меня, а на моего мужа и никто кроме близких его не знает. Спрашивали откуда наш номер, но ничего толкового не говорят, то знакомые дали (хотя знакомых в городе у нас нет, т.к. переехали недавно), то якобы дают магазины в которых мы оформляли дисконт (мы даже скидками не пользуемся). Нарушают ли они закон о персональных данных и как с этим бороться? Спасибо

Юрист - Александр
Юрист по гражданскому праву , г. Самара
Общаться в чате

Здравствуйте!

Заходите на сайт Роскомнадзора, там можно составить заявление с просьбой разобраться с этими звонками, делая упор на то, что разрешение на обработку персональных данных вами дано не было. rkn.gov.ru/

Отблагодарить
Общаться в чате Отблагодарить
Клиент - Катерина
Катерина
клиент, г. Ярославль

Спасибо за быстрый ответ!


Вам может быть интересно

N 44-ФЗ ст 96. Обеспечение исполнения контракта
1. Заказчиком, за исключением случаев, предусмотренных частью 2 настоящей статьи, в извещении об осуществлении закупки, документации о закупке, проекте контракта, приглашении принять участие в определении поставщика (подрядчика, исполнителя) закрытым способом должно быть установлено требование обеспечения исполнения контракта. 2. Заказчик вправе установить требование обеспечения исполнения контракта...
N 44-ФЗ ст 14. Порядок приема в народные дружины и исключения из них
1. В народные дружины принимаются на добровольной основе граждане Российской Федерации, достигшие возраста восемнадцати лет, способные по своим деловым и личным качествам исполнять обязанности народных дружинников. 2. В народные дружины не могут быть приняты граждане: 1) имеющие неснятую или непогашенную судимость; 2) в отношении которых осуществляется уголовное преследование; 3) ранее осужденные за...
Неочевидные риски выгодного приобретения земельного участка
Неочевидные риски выгодного приобретения земельного участка
Неочевидные риски выгодного приобретения земельного участка
Все раскрыть — значит все утаить
«Отработал - держи льготы»: плюшки для ветеранов труда
«Отработал - держи льготы»: плюшки для ветеранов труда
«Отработал - держи льготы»: плюшки для ветеранов труда
Какие льготы предусмотрены ветеранам труда федеральным и региональным законодательством?
«Льгота за работу»: как столичные ветераны труда платят транспортный налог
«Льгота за работу»: как столичные ветераны труда платят транспортный налог
«Льгота за работу»: как столичные ветераны труда платят транспортный налог
Нужно ли платить налог в Москве и области, и какие предусмотрены скидки?
N 3-ФЗ ст 5. Соблюдение и уважение прав и свобод человека и гражданина
1. Полиция осуществляет свою деятельность на основе соблюдения и уважения прав и свобод человека и гражданина. 2. Деятельность полиции, ограничивающая права и свободы граждан, немедленно прекращается, если достигнута законная цель или выяснилось, что эта цель не может или не должна достигаться путем ограничения прав и свобод граждан. 3. Сотруднику полиции запрещается прибегать к пыткам, насилию, другому...