Новости для операторов персональных данных с дня открытых дверей в ЦА Роскомнадзора
Специалисты Б-152 о том, что обсуждалось на дне открытых дверей в ЦА Роскомнадзора в январе 2018 года и что ждет операторов персональных данных в 2018 году.
30 января 2018 года, в центральном аппарате Роскомнадзора прошел День открытых дверей, посвященный вопросам деятельности регулятора и правоприменительной практике в области персональных данных. О самом важном рассказали специалисты Б-152.
Пощадить нельзя помиловать
Юрий Контемиров из Центрального аппарата Роскомнадзора подтвердил, что трактовка ст.13.11 КоАП, связанная с нарушениями в области персональных данных, позволяет выдавать штраф за каждое выявленное нарушение, например, за каждое неверное согласие, подписанное с сотрудниками, но пока регуляторы выписывают административное нарушение только за факт нарушения в целом на организацию.
Такой позиции Роскомнадзор придерживается с середины 2017 года, но при этом количество выявленных нарушений на одну проверяемую организацию возросло.
Данные посетителей сайта тоже персональные данныеПозиция, которую регулятор озвучивал несколько раз в прошлом году, была еще раз дополнена.
Данные пользователей сайта (cookie, сведения о поведении на сайте, об устройстве, с которого осуществляется взаимодействие сайта, сведения о местонахождении и другие) будут являться персональными данными, по мнению представителей Роскомнадзора.
Сотрудники регулятора мотивируют свое решение тем, что пользовательские данные нужно регулировать, и пока закон о больших пользовательских данных не принят, регулироваться такие данные будут законодательством в области персональных данных.
Чтобы не попасть на штраф за обработку персональных данных пользователей сайтов при установленных на сайтах системy аналитики (Google Analytics, Яндекс Метрика и других), необходимо установить на сайте текст-предупреждение о том, что данные посетителя сайта будут обрабатываться и передаваться в системы аналитики. Пример такого предупреждения можно посмотреть на сайте Б-152. Такое предупреждение является формой согласия на обработку персональных данных и защитит от наложения штрафов в размере до 50 000 рублей по ч.1 ст.13.11 КоАП.
Общедоступные персональные данные, которые нельзя использовать
Представители Роскомнадзора заявили, что общедоступные персональные данные из социальных сетей просто так обрабатывать не получится.
Организации могут использовать общедоступные данные пользователей социальных сетей, которые они сделали публичными, только в двух случаях:
1) есть согласие на обработку персональных данных от субъекта персональных данных;
2) есть законное основание. Могут быть 2 типа законных оснований: нормативный акт, который дает третьему лицу право обрабатывать общедоступные персональные данные, или договорные отношения третьего лица с социальной сетью, которое не противоречит договорным отношениям социальной сети с субъектом персональных данных.
Поэтому обрабатывать общедоступные данные пользователей из социальных сетей может быть нарушением, как это было признано Высшим Судом Российской Федерации по делу НБКИ совсем недавно.
Позитивные изменения, которые нас ждут
В рамках реализации мероприятий по Цифровой Экономике Роскомнадзор будет исполнителем части из них.
Так представители регулятора озвучили, что в этом году ожидаются поправки в законодательство по персональным данным в части дачи одного согласия на обработку персональных данных сразу группе операторов персональных данных и письменного мульти-согласия сразу на несколько целей обработки персональных данных (напоминаем, что сейчас за такие согласия накладываются штрафы).
Это позитивные новости, которых давно ждали от регулятора.
Политика, которая должна быть размещена на сайте
В параллельно проходившем Дне открытых дверей в территориальном органе Роскомнадзора по Центральному Федеральному Округу заявили, что с этого года представители регулятора будут проверять политики не только на то, что они были размещены на сайте, но и на соответствие своим рекомендациям. Правовой статус этих рекомендаций не совсем понятен и при проверках прошлого года проверяющих устраивало просто наличие политики оператора в отношении оператора персональных данных.
Если применять рекомендации по политике, то документ может стать объемным и требовать постоянной актуализации, т.к. в нем будет содержаться информация о всех целях обрабатываемых персональных данных, составе обрабатываемых персональных данных, действиях с ними, условиях прекращения обработки и о третьих лицах, которым передаются или поручаются персональные данные на обработку.
