Что является сбором персональных данных

Как собирать персональные данные пользователей на сайте, не нарушая закон

Многие из нас постоянно регистрируются на разных ресурсах в Сети, подписываются на рассылки, заполняют формы и оставляют комментарии. Все эти действия так или иначе подразумевают сбор персональных данных. Мы расскажем, как обрабатывать персональные данные пользователей сайта и при этом избежать серьёзных нарушений и штрафов.

Если вы собираете данные пользователей из России, то основной документ, на который нужно полагаться — Федеральный закон № 152-ФЗ «О персональных данных». Давайте разберёмся, в чём его суть и как организовать сбор персональных данных законным путём.

Что такое персональные данные?

В соответствии с определением вышеупомянутого закона: «Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)».

То есть, к персональным данным (далее ПД) можно отнести: ФИО, дату рождения, телефон, адрес, ИНН, сведения о работе, ссылки на аккаунты в соцсетях или личный сайт и другую подобную информацию.

На любые данные найдётся тот, кто их обрабатывает — то есть делает все те вещи, которые описаны в соглашениях на обработку ПД (вы наверняка это знаете, если когда-нибудь читали подобные документы). А именно сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Человек, обрабатывающий ПД, называется оператором персональных данных. Он несёт ответственность за незаконную обработку ПД и может быть как юридическим, так и физическим лицом.

Вас можно считать оператором персональных данных, если на вашем сайте есть формы:

Обратите внимание, что не все данные являются персональными сами по себе, но их совокупность позволяет им приобрести такой статус. Например, если пользователь укажет только своё имя, то этого явно не хватит для идентификации его личности. А вот имя и e-mail уже дают более полноценное определение. В то же время такие сведения, как номер телефона или ИНН, сами по себе уже являются ПД, так как при наличии доступа к соответствующей базе данных они позволяют получить полную информацию о человеке.

Поэтому определить, являетесь ли вы оператором ПД, можно в зависимости от того, какие именно данные вы собираете через формы обратной связи на сайте.

Что делать, если я обрабатываю ПД у себя на сайте?

Собирая информацию о пользователях, вы можете задаться вопросом: «Как обрабатывать ПД, чтобы избежать штрафных санкций?». Сущесвтует ряд условий обработки персональных данных для сайта. Вам необходимо:

На всякий случай подчеркнём, что нужно выполнить все эти шаги. Пройдёмся по каждому из пунктов.

SSL-сертификат

SSL-сертификат — стандарт безопасности для обмена данными между сайтом и пользователем. Главное преимущество SSL-сертификата — зашифрованное соединение, которое защищает трафик, не давая перехватить его и использовать оставленные на сайте персональные данные в мошеннических целях.

Критически важно перейти на протокол SSL всем сайтам, где есть информация первой и второй категории (подробнее о категориях информации можно узнать здесь). Это, например, данные банковских карт, логины и пароли от аккаунтов, формы с указанием полного имени и адреса и прочее.

Политика конфиденциальности

Составляя политику конфиденциальности, обратите внимание на принципы обработки персональных данных. В ней необходимо указать следующую информацию:

Посетители вашего сайта должны иметь возможность беспрепятственно ознакомиться с политикой конфиденциальности, поэтому мы советуем разместить её в футере каждой страницы.

Согласие на обработку персональных данных

В соответствии с законом «О персональных данных» пользователь должен самостоятельно решать, предоставлять ли вам свои данные, и давать согласие на их обработку. При этом согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Сделайте чекбокс с уведомлением о том, что клиент соглашается на обработку ПД и ознакомлен с политикой конфиденциальности (не забудьте дать на неё ссылку). Посетитель сайта должен самостоятельно поставить галочку в чекбоксе, и делать это за него мы не рекомендуем.

Но есть ряд случаев, когда согласие на обработку ПД можно получить и другим способом. К ним относится, например, подписание договора, одной из сторон которого является пользователь.

Уведомление Роскомнадзора

Закон «О персональных данных» гласит, что вам необходимо уведомить Роскомнадзор о сборе и обработке персональных данных посетителей вашего сайта. Сделать это можно через специальную форму.

Но есть и исключения, когда уведомлять Роскомнадзор не обязательно. Среди них, например, обработка общедоступной информации (то есть той, которую пользователь сделал доступной для неопределённого круга лиц, например данные о себе, опубликованные на личном сайте или в открытом профиле социальной сети) или данных, включающих в себя только ФИО.

Выводы

1. Персональные данные — это любая информация, по которой можно прямо или косвенно определить человека.

2. Если вы обрабатываете ПД — подключите к сайту SSL-сертификат, разместите политику конфиденциальности и уведомите Роскомнадзор.

3. У посетителей сайта необходимо брать согласие на обработку персональных данных — разместите под формой ввода данных соответствующую строку с чекбоксом и ссылкой на политику конфиденциальности.

4. Храните персональные данные людей, проживающих в РФ, на серверах, располагающихся на территории России.

Источник

Сбор персональных данных и подготовка документации для их обработки: как избежать типовых нарушений Закона № 152-ФЗ?

Последние несколько лет по всему миру наблюдается тенденция к увеличению штрафных санкций за несоответствие требованиям законодательства в области обработки и защиты персональных данных. Например, с 2 декабря 2019 года в России был введен один из самых крупных штрафов в этой сфере – за нарушение требований к локализации баз данных при первичном сборе персональных данных (ч. 8-9 ст. 13.11 КоАП). Его размеры для компаний варьируются от 1 млн до 6 млн руб. за первое нарушение и от 6 млн до 18 млн руб. при повторном. Существенно возросли штрафы и в Евросоюзе, где последние два года действует Общий регламент по защите данных (General Data Protection Regulation, GDPR), который пришел на смену ранее принятой директиве о защите данных. Так, согласно статистике, опубликованной на сайте www.itpro.co.uk, общая сумма штрафов для компаний, работающих на территории ЕС, за несоответствия требованиям GDPR с начала года составила 68 млн евро. Более 66% этой суммы пришлось на компании из Италии, где было зафиксировано 13 случаев нарушения регламента.

Неудивительно, что вопросы выполнения требований в части обработки и защиты персональных данных неизменно остаются одними из самых важных для компаний. В колонке я выделю ключевые нарушения, которые допускаются при обработке персональных данных в России, и поделюсь рекомендациями, как их избежать.

Что нужно знать о сборе персональных данных, чтобы не нарушить закон?

Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:

До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки. С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения». Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется. Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.

Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать. Среди них, например, обработка биометрических данных (подп. 1 п. 2 ст. 10 Закона № 152-ФЗ), специальных категорий персональных данных (п. 1 ст. 11 Закона № 152-ФЗ) и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.

По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы:

Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ

Для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 Закона № 152-ФЗ «цель» указана в единственном числе

Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода

Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ

На что еще важно обратить внимание до сбора персональных данных?

Подготовка к сбору персональных данных – один из важнейших этапов выстраивания процесса их обработки, а его правильная организация поможет избежать достаточно большого количества ошибок и, как следствие, штрафных санкций со стороны регулятора.

О чем всегда забывают при подготовке документации?

Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных. Дело в том, что для полного соответствия требованиям Закона № 152-ФЗ и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться. Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:

Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора? Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики. При ее разработке полезно изучить рекомендации Рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2017 г.

Среди документов второго уровня в иерархии можно выделить следующие:

Для наглядности иерархическая структура необходимых документов представлена на схеме:

Рис. Иерархическая верхнеуровневая схема документов оператора персональных данных

***

1 С текстом законопроекта № 992331-7 «О внесении изменений в Федеральный закон «О персональных данных»» и материалами к нему можно ознакомиться на официальном сайте Госдумы.

Источник

Всё, что нужно знать о персональных данных

Формы обратной связи, соцсети, иностранные сервера и рога оленя

Статья про закон о персональных данных неожиданно для нас вызвала много вопросов у читателей. Неожиданно, потому что закону уже больше десяти лет. За нарушение этого закона и сейчас могут штрафовать: его нужно было соблюдать и год назад, и сегодня. Просто с 1 июля 2017 года всё станет серьезнее.

Вот что вы спрашивали о персональных данных.

Консультируйтесь с юристом

Статья в Тинькофф-журнале не заменяет помощь квалифицированного юриста. Если вы не знаете, что делать с персональными данными и как всё оформить, обратитесь за профессиональной помощью.

Объясните вкратце для тех, кто не в курсе

В России есть закон о персональных данных. Чтобы собирать, обрабатывать и хранить данные о сотрудниках, подписчиках на рассылку и посетителях сайта, нужно почти всегда получать их согласие, а сами данные хранить в России.

За нарушение закона штрафуют. С 1 июля штрафы увеличатся до 75 тысяч рублей, а у Роскомнадзора будет побольше полномочий.

Зачем придумали этот закон? Это очередной способ пополнить кормушку. Теперь и сайт нет смысла делать, будут еще штрафовать каждый месяц

Закон о персональных данных нужен тем, чьи данные собирают, обрабатывают и хранят. Цель закона — защитить интересы и права этих людей.

Нормы защиты персданных придумали не в России. Правила их обработки ООН описала еще в 1948 году во Всеобщей декларации прав человека. В 1981 году Совет Европы принял конвенцию по обработке персональных данных. А Россия ее ратифицировала и в 2006 году разработала свой закон.

В Европе паранойя по поводу персданных уже давно

Конституция гарантирует каждому человеку неприкосновенность частной жизни, тайну переписки и телефонных переговоров. Даже без закона о персональных данных нельзя обрабатывать, хранить и распространять информацию о человеке без его согласия.

Отдельная глава про персональные данные есть в трудовом кодексе: работодатели не могут свободно распоряжаться информацией о сотрудниках.

Однако персональные данные оставляют постоянно: чтобы оформить заказ в интернет-магазине, взять кредит в банке, устроить ребенка в детский сад, зарегистрироваться в соцсети или подписаться на рассылку. Когда человек оставляет свои данные, он должен быть уверен, что его адрес не разместят в открытом доступе, а телефон не передадут кому-то без разрешения. А тот, кто обрабатывает персональные данные, хочет гарантий, что на него не подадут в суд за рекламную рассылку.

Недавно мы рассказывали, как мошенники смогли получить чужой НДФЛ. Это произошло в том числе из-за того, что кто-то нарушил правила обработки персональных данных.

Закон о персональных данных прописывает для всех правила игры. Он заставляет всех принимать дополнительные предосторожности, но и защищает он тоже всех.

У меня есть сайт. Я не ИП и не юрлицо — просто человек. Нужно ли соблюдать закон о персональных данных в таком случае?

Например, девушка создала форум для беременных, чтобы потом размещать там рекламу. При регистрации участники указывают информацию о себе. Эта девушка — оператор персональных данных. Она получает сведения о других людях и что-то с этими данными делает: систематизирует по возрасту и интересам, проверяет активность пользователей, использует для рассылки, приглашений или просто хранит.

Любое из этих действий — это обработка персональных данных. Любой, кто это действие производит, — оператор.

У меня есть электронные почты друзей, список контактов в телефоне, аккаунты разных людей в соцсетях. Получается, я тоже оператор и должен получать согласие этих людей на то, чтобы хранить и удалять их данные?

Это исключение действует, только если не нарушаются права этих людей. Например, их данные не оставляют в банке как контакты для связи при оформлении кредита, не публикуют в общем доступе без разрешения или не передают рекламодателям.

Форма обратной связи тоже попадает под действие закона?

Если в ней человек может ввести свои персональные данные — то да, попадает.

Если посетитель сайта указывает в форме свое имя, фамилию, телефон и электронную почту — это персональные данные. Тот, кто эти данные получает, обрабатывает и хранит, считается оператором персональных данных и должен соблюдать закон.

А если получаешь только имя без фамилии и номер телефона, это тоже попадает под персональные данные? А если только номер телефона?

По закону персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Это определение ничего не дает и не проясняет.

Если понимать буквально, то персональными данными можно считать что угодно. Юристы спорят по этому поводу уже много лет.

Сам по себе логин — это вроде бы не персональные данные. По набору символов нельзя понять, что это за человек и даже какого он пола.

Но если на аватарку человек поставит свою настоящую фотографию или при регистрации укажет почту, где в названии будет его фамилия с инициалами, а в доменном имени — название компании, то в совокупности это уже персональные данные.

Никто толком не знает, какие данные персональные

В законе нет никаких исключений по теме сайта, организационно-правовой форме и набору данных.

Чтобы не рисковать, лучше сделать так.

Я делаю сайт для клиента, обрабатываю и храню данные на своей стороне. При этом владелец сайта не обязан быть оператором персональных данных?

Владелец сайта обязан быть оператором персональных данных и соблюдать закон. По закону можно собирать персональные данные и передавать их кому-то на обработку. Владелец сайта может передать данные клиентов вебмастеру, интернет-магазин — сервису рассылки.

Чтобы так делать, владелец сайта должен получить у посетителей разрешение и объяснить им, кому и зачем он передаст их данные.

Тот, кому он передаст данные на обработку, отдельное разрешение получать не должен, а соблюдать закон — должен.

Отвечать за соблюдение закона перед посетителями сайта будет его владелец.

А как они поймут, что я храню и обрабатываю данные, чтобы выписать штраф? Это в российском дата-центре можно маски-шоу устроить и вынести сервер, а за границей такие номера не проходят

Роскомнадзор узнает о нарушениях двумя способами:

Например, вы получили рассылку, на которую не подписывались, или вам звонят менеджеры из интернет-магазина, хотя вы не соглашались на рекламный обзвон. Или автосалон без разрешения передал ваш телефон страховому агенту, и теперь вам пытаются впарить каско. Можно потребовать удалить данные из базы, пожаловаться в Роскомнадзор и возместить ущерб через суд. Для этого нужно быть уверенным, что согласия не было, а данные передали незаконно. Иногда согласие получают через договор присоединения или законно передают данные, чтобы выполнить условия договора.

Сначала читать, потом подписывать

Если Роскомнадзор обнаружит нарушения, сайт могут заблокировать, а компанию оштрафуют.

По закону операторы обязаны хранить персональные данные на российских серверах. Есть несколько исключений, но это частности. Любой интернет-магазин или сервис по подписке должен хранить базу с персональными данными граждан в России.

Потом можно передавать эти данные за границу. Это законно, но при определенных условиях. Иначе нельзя было бы бронировать гостиницы и покупать билеты на самолет за границей.

Роскомнадзор может потребовать предоставить подтверждение по поводу места хранения баз данных. Например, договор с дата-центром, хостингом или документы на собственный сервер. Если выяснится, что персональные данные хранятся с нарушениями и не в России, будут проблемы.

А если у нас сайт на английском?

Вот какие признаки используют, чтобы это понять:

Как определять гражданство посетителя, закон не объяснил. Операторам предложили решать эту проблему самостоятельно. А если четкой позиции и инструментов нет, стоит соблюдать закон в отношении всех персональных данных, которые собрали на территории России.

Дублировать те же документы на иностранных языках для россиян нет смысла. Но эти правила придумали не в России. Есть конвенция Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера. Так что, если собираете данные иностранцев, подумайте, как соблюдаете закон той страны, резидентами которой они являются.

В Европе за однократное нарушение правил обработки персональных данных штрафуют на сотни тысяч евро. В России максимальный штраф с 1 июля 2017 года — 75 тысяч рублей.

Могу ли я не регистрироваться в Роскомнадзоре, если поменяю поле в форме обратной связи с «Ваше имя» на «Ваша компания»?

Если это на самом деле название компании и телефон офиса, такая информация не попадает под действие закона. Но если сайт собирает почтовые адреса и телефоны сотрудников компаний, чтобы потом делать по ним рассылку или передавать их третьим лицам, могут быть проблемы как со стороны этих сотрудников, так и от Роскомнадзора.

В Роскомнадзоре должны зарегистрироваться все операторы персональных данных. Исключения только для случаев, перечисленных в п. 2 ст. 22 закона о персональных данных.

Вот публикую я пост в Фейсбуке и упоминаю своего друга — значит, я данные обрабатываю? Кэш поста хранится на телефоне, значит, я данные храню? А если сделаю репост в Твиттер, то я их еще и предоставляю третьей стороне. И как с этим жить?

Это не нарушение закона. В этом случае оператором персональных данных выступает социальная сеть. Каждый, кто там зарегистрировался, дал согласие на публикацию, обработку и использование его данных.

Все пользователи Фейсбука согласились на обработку данных о своем местоположении, используемых устройствах, друзьях, интересах, платежах, посещенных сайтах и связях с другими людьми. И даже на то, что Фейсбук может получить доступ к адресной книге на любом устройстве и потом использовать эти данные.

Вы уже разрешили Фейсбуку делать с вашими персданными что угодно

Все согласились на то, что эти данные Фейсбук передает своим партнерам и рекламодателям. И на то, что любой пользователь может ссылаться, упоминать и отмечать на фотографиях кого захочет в рамках их настроек безопасности. Это законно и за это отвечает Фейсбук, а не пользователи.

Так устроена любая соцсеть и общедоступные справочники.

Если на столбе объявление «Куплю рога оленя, 8 800…, Геннадий», то этот столб можно оштрафовать?

Нет, столб оштрафовать нельзя. Юридическим лицом он тоже не является. А люди, которые читают такие объявления и записывают номера телефонов, чтобы продать рога, не операторы персональных данных и не попадают под действие закона.

Если телефон Геннадия запишет микрофинансовая организация и начнет присылать ему рекламу быстрых займов, то ее можно привлечь к ответственности. Геннадий не давал ей согласия на обработку персональных данных для рассылки рекламы.

Человека, который случайно увидел телефон Геннадия, записал его в телефонную книгу или даже позвонил Геннадию с предложением купить рога, привлечь к ответственности нельзя.

То есть если человек специально опубликовался для каких-то рекламных целей, то это не считается персональными данными? На «Авито», например

Если человек передает свои персональные данные какому-то ресурсу, даже с рекламной целью, этот ресурс должен соблюдать закон. Он должен предупредить пользователя, зачем собирает персональные данные, что будет с ними делать, где публиковать, кому передавать.

Чтобы подать объявление на «Авито», нужно зарегистрироваться и подтвердить номер телефона. Без регистрации объявление подать нельзя.

«Авито» объясняет, что использует данные, чтобы размещать их на сайте, информационных ресурсах, передавать своим партнерам, проводить конкурсы и проверять личность пользователя. Еще «Авито» может передавать данные пользователей за границу и отдавать их на обработку каким-то третьим лицам и честно об этом пишет. Это законно.

Нет такого правила, что если человек сам разместил данные в общем доступе на каком-то ресурсе, то с ними можно делать что угодно: распространять, обрабатывать и хранить у себя без разрешения.

Единственное исключение для общедоступных данных: оператор таких данных может не подавать уведомление в Роскомнадзор. Но получать согласие, обеспечивать безопасность и удалять данные по требованию их владельца он обязан.

Как правильно получить согласие на обработку персональных данных на сайте? Можно взять шаблон с сайта какой-то крупной компании?

Нельзя брать любое соглашение и использовать его на своем сайте, но можно посмотреть, как сделали другие, и использовать этот опыт.

Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Молчание или отсутствие возражений на обработку персональных данных — это не согласие.

Конкретной формы, в которой его нужно получать от посетителя и клиента, нет. Это может быть ссылка на пользовательское соглашение в ответном письме или галочка в форме регистрации.

Согласие должно быть осознанным и информированным

Главное, чтобы можно было доказать, что это согласие получено и посетитель понимал, на что он соглашается.

У каждого оператора должны быть цели. Интернет-магазин собирает данные об адресах, чтобы доставить товар; сервис по подписке просит указать электронную почту, чтобы отправлять письма; медицинский центр систематизирует данные о состоянии здоровья; школа — данные о семье.

Собирать, обрабатывать и хранить можно только те персональные данные, которые соответствуют цели. У «Ламоды», «Главреда», «Библио-глобуса» и детского сада цели не могут быть одинаковыми. А если собирать лишние данные, за это могут оштрафовать.

Получить согласие на обработку персональных данных недостаточно. Нужно соблюдать семь принципов обработки и правильно оформлять внутренние документы.

Лучше сделать это один раз и с помощью юриста, чем платить штрафы государству и возмещать моральный вред.

Ясно. Судя по всему, я оператор персданных. Что мне конкретно делать?

Изучите закон. Он сложный, там много непонятного, а какие-то вопросы вообще не объясняются. Если не можете разобраться сами, попросите юриста, которому доверяете.

На некоторые вопросы отвечает Минкомсвязи — эти разъяснения тоже лучше изучить лично. Можно там же задать вопрос по своей ситуации или написать в Роскомнадзор.

Разместите на сайте пользовательское соглашение, политику конфиденциальности, оферту или еще какой-то документ, откуда посетитель поймет, какие данные вы собираете, что с ними делаете, куда передаете, как храните и когда удаляете. Внимательно относитесь к формулировкам: они пригодятся в суде.

Формируйте базу с персональными данными на российских серверах. Потом можете передавать данные за границу, если это законно, обоснованно и безопасно.

Обеспечьте техническую безопасность данных и защитите их от утечки.

Оформите внутренние документы. Их много. Это приказы, распоряжения, инструкции и подписки. Это нужно сделать один раз, но правильно. При проверке Роскомнадзор имеет право их потребовать и проверить.

Подайте уведомление в Роскомнадзор, если не попадаете под исключения из ст. 22 закона о персональных данных. Если попадаете под исключения, оформите документы так, чтобы это было понятно при визуальной проверке и к вам не придрались.

Заверьте страницы сайта с документами по поводу персональных данных у нотариуса, чтобы вас не обвинили в их отсутствии или изменении формулировок.

Если у вас нет сайта, вы тоже можете быть оператором персональных данных. Необязательно собирать их автоматизированным способом и через интернет. Когда вы берете на работу сотрудника, вы тоже обрабатываете персональные данные. Правильно оформляйте документы.

Закон о персональных данных — это не страшно

Это нормальная мировая практика. Чтобы его соблюдать, не нужно тратить много денег. И бояться штрафов тоже не нужно. Если один раз всё правильно оформить и аккуратно относиться к информации о других людях, вам ничего не грозит.

Каждый из нас — субъект персональных данных. Этот закон защищает и наши данные тоже. И если кто-то его нарушит, можно подать в суд, заблокировать сайт-нарушитель, потребовать удалить информацию о себе и даже получить компенсацию.

Источник

• ← Что является санкцией правовой нормы
• Что является сведениями о частной жизни лица →