Чи потрібно нам реєструватися в розкомнагляді як оператор персональних даних
Ми організація додаткової професійної освіти.
Відповіді юристів (3)
1. Оператор до початку обробки персональних даних зобов'язаний повідомити уповноважений орган захисту прав суб'єктів персональних даних про свій намір здійснювати обробку персональних даних, за винятком випадків, передбачених частиною 2 цієї статті.
2. Оператор має право здійснювати без повідомлення уповноваженого органу захисту прав суб'єктів персональних даних обробку персональних даних:
— отриманих оператором у зв'язку з укладанням договору, стороною якого є суб'єкт персональних даних, якщо персональні дані не поширюються, а також не надаються третім особам без згоди суб'єкта персональних даних та використовуються оператором виключно для виконання зазначеного договору та укладання договорів із суб'єктом персональних даних;
Уточнення клієнта
Ну те, що я описала, не може ж вважатися договором?
22 Червня 2017, 23:19
Чи є питання до юриста?
Доброго ранку, Вікторіє! Як оператор персональних даних Вам необхідно зареєструватися в Роскомнагляді. Для цього необхідно подати повідомлення в електронному вигляді на офіційному сайті Роскомнагляду через спеціальну форму або через портал Держпослуг, або на паперовому носії (через пошту з простим повідомленням). Форма зворотний зв'язок не вважається договором.
Колеги загалом уже відповіли на Ваше запитання, я хотів би додатково від себе ще раз звернути увагу на повний перелік вимог законодавства за персональними даними. Чинне законодавство, і в першу чергу 152-ФЗ встановлює низку вимог щодо обробкиперсональних даних Основні вимоги: 1. На своєму сайті Ви повинні розмістити Політику конфіденційності. При цьому слід звернути увагу, що підійде не кожна політика, тобто варіант «взяти у конкурента» (який, як правило, сам звідкись «взяв») або просто «з інтернету» не найкращий, оскільки багато політиків зроблено неякісно і Головне - Вам потрібна Політика, яка безпосередньо буде підходити під Вас.
До політики є низка вимог. Якщо говорити про найзагальніші моменти (перелік не вичерпний), то Політика повинна містити:
1.1. Перелік персональних даних, які Ви обробляєте. 1.2. Відомості про засоби обробки персональних даних. 1.3. Повинно бути прописано, що, проставляючи галочку про згоду з політикою конфіденційності, Користувач тим самим Користувач дає свою згоду на обробку його персональних даних, зазначених у Політиці конфіденційності. 1.4. Цілі використання персональних даних. 1.5. Принципи обробки персональних даних, якими Ви керуєтесь. 1.6. Заходи для захисту персональних даних. 1.7. Дуже важливий момент, про який багато хто забуває – якщо в процесі використання персональних даних ці дані стають доступними третім особам, у тому числі в автоматичному режимі, наприклад, особам, які просто допомагають Вам в управлінні сайтом, маркетинговому партнеру і т.д. то про це обов'язково (!) має бути зазначено у політиці. Це часта помилка, яка призводить до того, що Вам можуть поставити незаконне розголошення персональних даних, незважаючи на те, що Ви навіть не думали нічого не порушувати. З цим мені неодноразово доводилося стикатися особисто, Роскомнагляд за це активно штрафує. 1.8. Також у політику конфіденційності потрібно обов'язково включитиположення про те, що Ви маєте право в будь-який момент змінити умови політики конфіденційності в односторонньому порядку. Про це також часто забувають. 1.9. Ще потрібна низка положень, які стосуються того, що мовляв проставленням позначки Користувач підтверджує, що він згоден з усіма умовами Політики конфіденційності, що положення йому зрозумілі і т.д. 1.10. Також у Політиці окрема увага має бути приділена файлам cookie, про це теж часто забувають, хоча це також важливий момент. Це найзагальніший ряд вимог, при цьому варто відзначити, що кожен пункт має бути сформульований грамотно і повинен враховувати саме Ваші нюанси.
2. На сайті має бути Угода користувача (або договір-оферта, або ліцензійна угода - в принципі це все одно і теж). Варто зазначити, що з одного боку ніщо не заважає «запхати» положення про персональні дані (політику конфіденційності) в угоду користувача. Однак особисто я рекомендую ці документи розділяти, оскільки мені особисто вже доводилося стикатися з тим, що Роскомнагляд при перевірці сайту кількох моїх клієнтів просто не розглянув положення про персональні дані в угоді користувача і повісив штраф. І хоча всю цю справу ми успішно заперечили, але вкотре «давати привід» я не рекомендую, краще перестрахуватися.
У ситуації ж коли Політика зроблена окремо, то її пропустити вже неможливо і відповідно ризик того, що хтось просто не розгляне ці пункти в угоді користувача, відпадають. Плюс до всього якщо робити нормальну якісну політику конфіденційності, то вона виходить не на 1 і не на 2 сторінки, не кажучи вже про користувальницьку угоду і якщо все поєднувати, то Угода користувача цілком імовірно вийде надмірнороздутим, що не дуже зручно і при цьому не варто також забувати, що на Вас лежить обов'язок по доведенню до клієнтів всієї необхідної інформації про товари/послуги, що реалізуються, і для цілей виконання цього обов'язку робити роздуті та неструктуровані документи, що погано читаються, не найкраща ідея (наприклад , по банкам є судова практика, коли суди не визнають написане в документах дрібним шрифтом, що мовляв не можна в такому вигляді доводити інформацію до клієнтів, тут може бути застосована та ж логіка). Щодо вимог до Угоди користувача (договору-оферти, ліцензійної угоди), то це предмет окремої розмови, вимог дуже багато і тут вони вже повністю залежать конкретно від Вашої ситуації і як наслідок їх потрібно щоразу обговорювати окремо. Загальна мета Угоди – розписати умови надання доступу до сервісу та/або умови продажу товарів/послуг, описати предмет договору, права та обов'язки сторін, порядок розрахунків, порядок вирішення спорів, обмежити Вашу відповідальність (наскільки це дозволяє закон, часта помилка – питанням відповідальності в Угоді користувача спочатку приділяють дуже мало уваги і повертаються до них тільки після того, як зіткнуться з конкретною претензією від клієнта або ще гірше з судовим позовом, я завжди рекомендую всі ризики (наскільки це дозволяє закон) закривати спочатку при підготовці документації). Також у Угоді Користувача можна прописати умову про договірну підсудність за місцем Вашого знаходження (до речі в способі опису умови про договірну підсудність дуже часто допускаються помилки, і суди потім визнають пункт про договірну підсудність не узгодженим, якщо хочете, щоб у разі чого судові суперечки були за місцем Вашогознаходження (не завжди застосовно), то потрібно до опису цього пункту підійти максимально відповідально і з урахуванням судової практики).
3. Крім безпосередньо наявності самих документів, є вимоги до самого сайту, а саме:
5. Крім наказу про затвердження положення, що регулює питання обробки персональних даних, також Ви маєте прийняти наказ про призначення відповідального за обробку персональних даних (ст. 22.1 ФЗ № 152-ФЗ). Найчастіше їм виступає сам директор компанії, але це необов'язково. Будь-яких специфічних вимог до наказу тут немає, вимоги до нього загальні – такі, як і до будь-якого іншого внутрішнього наказу. 6. Крім зазначених документів також, як правило, Ви повинні надіслати повідомлення до Роскомнагляду про обробку персональних даних (не плутати з реєстрацією в Роскомнагляді). Повідомлення надсилається по онлайн формі - https://pd.rkn.gov.ru/operators-registry/notification/form/і плюс має бути продубльовано письмово по звичайній пошті.
Загалом нюансів та вимог щодо іноземного законодавства багато, але їх слід опрацьовувати вже індивідуально і дивитися на кого орієнтований сервіс.
8. Також приватною помилкою є зберігання персональних даних громадян України на закордонних сервісах, що заборонено законом (ст. 18 152-ФЗ). Зберігати персональні дані громадян України можна лише на українських серверах, про це в жодному разі не можна забувати.
Щодо відповідальності, то за будь-яке порушення встановленого законом порядку збору, зберігання або розповсюдження інформації про громадян (персональних даних) тягне за собою відповідальність за ст. 13.11 КпАП України (там великий перелік видів порушень, лише 7 частин у цій статті). При цьомукожне порушення розглядається окремо і, відповідно покарання кожне порушення також призначається окремо, максимальний розмір штрафу нині – 75000 крб. Також якщо йдеться про порушення обов'язків щодо зберігання та використання персональних даних працівників, то може загрожувати відповідальність за ст. 5.27 КпАП тут крім штрафу вже передбачено адміністративне призупинення діяльності на строк до 90 діб. Також неподання до органів Роскомнагляду повідомлення про обробку персональних даних тягне за собою відповідальність за ст. 19.7 КпАП РФ.
(. ) Також звернувшись до чату БУДЬ-ЯКИЙ може отримати ДОПОМОГУ У РОЗРОБЦІ НЕОБХІДНОЇ ДОКУМЕНТАЦІЇ, що стосується виконання вимог українського та/або іноземного законодавства у сфері обробки персональних даних, у тому числі допомога в розробці Політики конфіденційності, Угоди про угоду , положення про комерційну таємницю та обробку персональних даних, заповнення повідомлення в Роскомнагляд, проведення аудиту сайту/мобільного додатка на предмет відповідності вимогам законодавства про персональні дані. Буду радий допомогти.
Шукаєте відповідь? Запитати юриста простіше!
Запитайте наших юристів — це набагато швидше, ніж шукати рішення.