Верхний баннер
05:32 | ПЯТНИЦА | 29 МАРТА 2024

$ 92.26 € 99.71

Сетка вещания

??лее ????ов??ое ве??ние

Список программ
12+

отдел продаж:

206-30-40


Юлия: 18 часов 35 минут в Перми, продолжается большая информационная программа «Эха». У микрофона Юлия Хлобыст, за звукорежиссерским пультом Мария Зуева. В связи с тем, что с 1 июля этого года вступили в силу поправки по одной из статей кодекса об административных правонарушениях, где ужесточаются положения, когда нарушается закон о персональных данных. В связи с этим в экспертной части программы, мы бы хотели разобраться с юристом Ириной Михайловой, кто попадает под действие этого закона, кому и чем эти ужесточения грозят. Ирина, добрый вечер.

Ирина: Здравствуйте.

Юлия: Мы все являемся пользователями сети интернет. Кто-то просто в соцсетях заводит свои аккаунты, кто-то сайты организует, есть юридические лица, которые являются держателями сайтов. На кого распространяется зона действия этих поправок?

Ирина: Я бы хотела уточнить, что сейчас повышенное внимание у нас связано с распространением персональных данных в сети интернет. Это не только в сфере сети интернет ограничения и требования установлены, они касаются практически всех сфер жизни, всех физических и юридических лиц. То есть, даже если вы не работаете в сети интернет, а каким-то образом являетесь оператором персональных данных, то есть юридические лица, индивидуальные предприниматели, они все в силу закона попадают. И я бы не хотела делать акцент именно на распространение и хранение персональных данных в сети интернет, потому что сфера распространения закона гораздо шире, чем сеть интернет.

Юлия: То есть, эти поправки не только про сеть интернет?

Ирина: Нет, они никак не связаны, они про жизнь. Почему сделан акцент на сети интернет? Потому что роскомнадзор имеет больше полномочий и проще собирать информацию, и поток жалоб с использованием персональных данных в сети интернет намного больше. Может быть, по этой причине сделан акцент, а так в сферу действия любой сбор, хранение, обработка и уничтожение персональных данных.

Юлия: В обычной жизни, посещая какие-либо учреждения, иногда, с меня требуют некие персональные данные, при этом я подписываю соглашение, что даю согласие на обработку моих персональных данных в определенных ситуациях.

Ирина: Закон о персональных данных  в Российской Федерации - это достаточно старый закон, ему больше 10 лет, он принят в 2006 году, в него вносились поправки, но не очень существенные. Почему он стал популярен именно сейчас? Потому что до недавнего времени, до 1 июля 2017 года у нас действовало правило, строгость закона  компенсировалось не обязательностью исполнения. То есть, требования для операторов персональных данных установлено еще в 2006 году, но до недавнего времени не было конкретизации состава правонарушения, за который нас могли привлечь к ответственности, и были смехотворные штрафы. Кроме этого, раньше привлечением к ответственности за нарушение закона персональных данных занималась исключительно прокуратура, сейчас прокуратуру из административной судоцепочки вывели, и роскомнадзор, который раньше только рассматривал жалобы и передавал данные в прокуратуру, сейчас является уполномоченным органом, составляя протоколы об административных правонарушениях. То есть, прокуратура была не способна в том объеме, в котором сейчас может роскомнадзор, возбуждать дела об административных правонарушениях. Исключив эту цепочку, роскомнадзор взял себе чуть больше полномочий, и будет более эффективно вести работу по привлечению виновных лиц к ответственности.

Юлия: Если в жизни, приходя в учреждение или ведомство, я подписываю согласие об обработки своих персональных данных, все, у меня на руках бумажка, это моя подпись, я понимаю, что разрешила какому-то ведомству использовать мои персональные данные для какого-то своего учета внутреннего и не более. Что касается сети интернет. Что здесь является соглашением? На что нужно обращать внимание, как физическим лицам, так и юридическим?

Ирина: Давайте разграничим понятия: субъект персональных данных и оператор персональных данных. Когда вы даете кому-либо свое согласие и предоставляете кому-либо персональные данные, вы являетесь субъектом, то есть носителем конкретной информации о вас. Причем я хочу сделать акцент, что в законе нет исчерпывающего указания, что является персональными данными. Любые сведения, которые могут прямо или косвенно конкретизировать вас. То есть можно не говорить фамилию, имя. Если можно по нелицеприятной фотографии без подписи, разместить фотографию, даже закрыть лицо, но если характерная для вас поза, одежда, но при этом в нелицеприятной позе или ситуации, то это может быть нарушением использования ваших персональных данных. Это может через гражданский кодекс, как защита прав личности на изображение, но дополнительно можно привлечь оператора, кто распространил эту информацию. То есть не обязательно указывать, что Юлия Хлобыст была вот там то, если есть данные, позволяющие бесспорно вас идентифицировать вашими друзьями, знакомыми, это уже является нарушением ваших прав. Об ответственности субъекта никакой речи не идет. То есть субъект, это тот, чьи права могут быть нарушены. Пока вы не используете чужие персональные данные, вы остаетесь субъектом, как только вы начинаете распространять, кому-то передавать каким-то образом персональные данные, то вы становитесь оператором. Но оператором не в силу закона, то есть это не значит, что если вы передали мобильный телефон вашего друга, вы должны в роскомнадзор подать заявление. Если придираться, то да, но к ответственности за такое вас вряд ли могут привлечь, предупреждение выдадут. Если вы кому-то номер телефона передадите, а кто-то будет недоволен этой ситуацией.

Юлия: То есть это касается даже личной перепиской в сети интернет?

Ирина: Личная переписка - это вообще отдельная ситуация. У нас другой закон о частной жизни. То есть личная переписка просто конфиденциальна. Этот закон расширил понятия. Персональные данные - может быть все, что угодно. Девушка в розовой юбке, вот она какая. Это тоже в определенной степени косвенные персональные данные. Представители роскомнадзора на своих семинарах часто нас пугают, рассказывают, что даже по таким случаям, если это причинило кому-то нравственные страдания, недостатки защиты чести и репутации, могут рассмотреть дело и привлечь нарушителя к ответственности. Но это случаи исключительные, мне не хочется на них останавливаться.

Юлия: Вы сказали, вернее, как нам сообщил представитель роскомнадзора, что сейчас конкретизированы все случаи, то есть если раньше все было в общем, то сейчас все конкретизировано. Но что конкретно нельзя? Если кто-то публикует фотографию, которая показалась нелицеприятной.

Ирина: Не обязательно нелицеприятной, может быть, просто фотография в какой-то обстановке.

Юлия: Просто не понравилось человеку, изображенному на ней. То это повод зацепиться?

Ирина: В любом случае, будет рассматриваться конкретная ситуация в каждом конкретном случае. Если вы сами опубликовали эту фотографию, то это публично, ваши персональные данные опубликованы лично вами не требует такого согласия. Кто распространяет, хранит ваши фотографии, там меньше ответственности. Если вами эта информация не распространена...

Юлия: То тот, кто опубликовал, является оператором, будет подвергаться штрафам?

Ирина: Да

Юлия: И штрафы, насколько я понимаю, выросли в разы? И для физических, и для юридических лиц?

Ирина: Смотрите, у нас есть понятие "субъект правонарушения". То есть, субъект персональных данных и субъект правонарушений. Субъект правонарушения может быть физическое лицо, должностное лицо и юридическое лицо, там штрафы 3 уровней. На физические лица до 3 тысяч рублей, на должностные лица чуть выше, на юридические лица еще выше, до 250 тысяч рублей по совокупности. Еще, может быть, в одном действие или бездействие несколько составов правонарушения. То есть, согласие, сбор персональных данных без согласия, использование компьютерной программы с нарушением технических требований, и еще распространение. В одном действие, может быть 3 правонарушения. При этом руководитель юридического лица как должностное лицо может быть привлечен к ответственности, само юридическое лицо еще дополнительно.

Юлия: Решения, как мы узнали, будет теперь выносить не прокуратура, а роскомнадзор.

Ирина: Роскомнадзор составляет протокол об административном правонарушении и передает в суд, судебный порядок сохраняется. Роскомнадзор не окончательная инстанция, но больше полномочий у нее.

Юлия: Я знаю, что к закону нельзя подходить с точки зрения здравой логики, потому что то, о чем вы сейчас сказали, что опубликованная фотография может не понравиться человеку на ней изображенному, хотя там все может быть прилично. Но, тем не менее, будут нарушены уже персональные данные, закон о персональных данных, и, соответственно, может быть возбуждено какое-то дело. То есть настолько все субъективно, объективности никакой нет.

Ирина: Многие юристы говорят, что это ситуация сложная, потому что именно субъективизм. Еще там очень существенно важная формулировка, на мой взгляд, что нет исчерпывающего перечня документов, которые должны быть у оператора персональных данных. Давайте от профилей и публичных соц.сетей интернета абстрагируемся. Элементарно, юридическое лицо, осуществляющее бизнес. Малый бизнес и крупный бизнес, у них разный объем персональных данных даже в отношении своих работников контрагентов и прочее. С одной стороны, роскомнадзор и законодатель не ставит жестких конкретных требований, что должно быть обязательно, он дает малому бизнесу возможность минимизировать объем документа оборота. К крупному бизнесу более сущетвенные требования, потому что вроде бы все это логично продумано, у малого бизнеса меньше объем информации хранимый и документов. У крупного бизнеса больше категорий персональных данных, которые он хранит. Но и для этой цели в законе установлено, что объем персональных данных, конкретный документооборот, связанные с персональными данными, конкретный документ, который должен выпустить оператор персональных данных, определяет сам оператор персональных данных. То есть сам для себя определяет. Есть требования, что должно соблюдаться, а какими документами мы это оформим, как мы это оформим, в какую форму обработки, хранения мы это приведем, мы должны определить самостоятельно. С одной стороны, чтобы не возлагать на мелких операторов каких-то более детальных требований, более жестких, но с другой стороны, нет структуры определенной, нет ничего. Есть рекомендации, есть то, что запрещено, исходя из этого, мы должны определять. Есть рекомендации, что должно быть обязательно. Обязательно должно быть лицо, ответственное за обработку персональных данных всегда в организации, либо сам руководитель, либо кого-то он назначает, либо третье лицо по гражданско-правовому договору назначить. И самое главное, должна быть политика, документ, который называется политика в области персональных данных. Это и для интернета, и для юридических лиц, бизнеса, предпринимателей, это надо всегда знать, что должна быть политика, от которой все прописывается. Самое главное, на что всегда обращает внимание роскомнадзор, чтобы то, что прописано в политике, было на самом деле. Это самая частая ошибка, которая выявляется при проверках. Написано одно, например, что используется криптографические средства защиты информации, роскомнадзор говорит, покажите, а на компьютерах их нет. Или персональные данные хранятся в сейфе в кабинете у бухгалтера, а покажите сейф у бухгалтера, где они у вас хранятся. Поэтому, когда мне сейчас задают вопросы, например, дай примерную политику в области персональных данных.

Юлия: Вы должны сами ее выработать.

Ирина: Должны описать бизнес процессы. Обработка персональных данных - это вообще бизнес-процесс нормальный. Любой уважающий себя менеджер должен знать, что такое бизнес процесс и описание бизнес процессов. Должны описать бизнес-процессы, которые у вас в организации проводятся с учетом требований закона. Это рекомендации и для индивидуальных предпринимателей, и для юридических лиц. Еще у нас в законе есть такой вид операторов персональных данных, как физическое лицо. Тут на что бы я обратила внимание, физические лица, владельцы сайтов не зарегистрированы в качестве индивидуального предпринимателя. Особенно те, кто ведет рассылки, какую-то информацию собирают, у кого Яндекс.Метрика, Google analytics на сайте установлен. Потому что сбор информации, а также Яндекс.Метрика на свой сайт - это фактически сбор персональных данных. Они не персонифицированные, но, тем не менее, они позволяют идентифицировать пользователя, заходящего с компьютера. Как правило, многие современные сайты устанавливают кокиксы на компьютер, то есть систему, позволяющую отслеживать ваше последующее появление, и в таком случае, вы, не собирая данные, фамилию, имя, собираете информацию, с какой страницы пришел посетитель, устанавливаете кокиксы ему на компьютер, отслеживаете статью, которую у вас на сайте его интересуют, это тоже является персональными данными.

Юлия: Как здесь не нарушить? Что нужно сделать физическому лицу, владельцу сайта, чтобы не стать нарушителем закона?

Ирина: Самое главное, я уже упоминала такой документ, который называется политика в области персональных данных.

Юлия: В том числе и у физического лица?

Ирина: Если он является владельцем сайта, то да. Если вы ведете страницу в социальной сети, если просто публикуете новости, и вам что-то комментируют, вы по факту оператором персональных данных не являетесь. Оператором персональных данных социальных сетей являются администраторы этих социальных сетей. Потому что на вашей конкретной странице пользователь не регистрируется, он к вам уже приходит как авторизованный.

Юлия: То же самое с телеграмм-каналами

Ирина: Да, по телеграм-каналам, я эту тему глубоко еще не изучала, но, на мой взгляд, на сегодняшний день, пока вы собираете информацию, вы видите номер телефона и логин человека, который на ваш канал подписался. Если вы задумаете осуществить выгрузку этой базы и продать кому-то, то вы осуществляете сбор персональных данных. На сегодняшний день мне еще не известны случаи для администраторов каналов, гораздо больше вопросов у владельцев сайтов, которые осуществляют сбор информации, телефонов и ведут рассылки. На что я хочу обратить внимание, для меня эта очень печальная новость, но с 2015 году у нас в закон персональных данных внесены изменения. Там написано, что все серверы, на которых хранятся персональные данные, должны размещаться на территории Российской Федерации. Это значит:  до свидания, рассылочные серверы типа мейл чимпа, очень популярный и хороший сервис, он фактически за пределами Российской Федерации. Я раньше собирала на своем сайте запросы от пользователей с использованием гугл формы, очень удобный инструмент, но у меня нет доказательств, что гугл хранит эти формы на серверах Российской Федерации, по умолчанию эта американская программа. Я знаю, что есть юридическое лицо гугл в России, но они, насколько я понимаю, только рекламой занимаются. Где физически хранятся данные гугл формы, которую я собираю со своих возможных клиентов, я не знаю. Поэтому я для себя гугл форму, к сожалению, закрыла. Аналога его российского я пока еще не знаю, но это печально. Хостинг - самое главное. Хостинг тоже, если вы владелец сайта, на котором стоит хоть какой-то сбор персональных данных, если она привязана к сайту. Если вы размещаете сайт, который кукисы собирает, то кукисы однозначно персональные данные. Это практика бесспорная, она будет сохраняться судами, потому что было очень громкое дело. Линк закрыли именно за сбор кукисов, из-за того, что они не размещают сервера на территории Российской Федерации.

Юлия: Масса полезной информации мы сегодня получили от юриста Ирины Михайловой. Наше время, к сожалению, подходит к концу. Я хочу сказать, что для тех, у кого еще остались вопросы, завтра Ирина Михайлова со своими коллегами будет проводить митап в лаборатории настоящего, который расположен в Перми на Монастырской 61, офис 602. Как раз тема встречи - персональные данные, новые требования к владельцам сайтов и НКО. Встреча пройдет в 19:00

Ирина: Там акцент будет, в первую очередь, для некоммерческих организаций.

Юлия: Мы сегодня говорили о всех тех, кто может попасть в зону действия этого закона, и нарушения закона персональных данных. Ирина Михайлова, спасибо вам огромное. На этом большая информационная программа «Эха» завершена. Ее подготовила с помощью наших журналистов Юлия Хлобыст, за звукорежиссерским пультом работала Мария Зуева. Мы на сегодня с вами прощаемся, всего хорошего, удачного вечера.

«Если вы ведете страницу в социальной сети, вы оператором персональных данных не являетесь. Оператор персональных данных соцсетей – администраторы самих соцсетей», – Ирина Михайлова, юрист

Фото te-st.ru

Программа вышла 6 июля.


Обсуждение
2398
0
В соответствии с требованиями российского законодательства, мы не публикуем комментарии, содержащие ненормативную лексику, даже в случае замены букв точками, тире и любыми иными символами. Недопустима публикация комментариев: содержащих оскорбления участников диалога или третьих лиц; разжигающих межнациональную, религиозную или иную рознь; призывающие к совершению противоправных действий; не имеющих отношения к публикации; содержащих информацию рекламного характера.