Что имеет отношение к трансграничной передаче данных

Почему организация может требовать оформления согласия на обработку ПД?

Причин может быть несколько:

  • оператор хочет получить возможность обрабатывать ПД в целях, не связанных с выполнением договора; самый распространенный случай – нужно согласие на рассылку рекламных материалов;
  • оператор не понимает или не знает о случаях, в которых не требуется получение согласия;
  • оператор хочет перестраховаться.

Версия для печати

С 1 сентября 2022 года операторы, которые осуществляют трансграничную передачу персональных данных, обязаны не позднее 1 марта 2023 года направить в Роскомнадзор уведомление об осуществлении трансграничной передачи персональных данных.

Время публикации: 31. 2022 23:30 Последнее изменение: 01. 2022 00:03

Трансграничная передача персональных данных – этоПередача персональных данных на территорию иностранного государства;Передача персональных данных на территорию другого субъекта РФ органу власти данного субъекта, физическому лицу или юридическому лицу данного субъекта РФ;Передача персональных данных на территорию иностранного государства или органу власти иностранного государства;Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Найти другие ответы на вопросы

Что из перечисленного относится к трансграничной передаче персональных данных?Передача персональных данных органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицуПередача персональных данных Гражданину России — сотруднику российского представительства иностранного юридического лица для использования в целях работодателяПередача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицуНайти другие ответы на вопросы

Связанные темы

Темы, в которых встречается данный вопрос:

Федеральная служба по надзору в сфере связи, информационных технологий и
массовых коммуникаций

English Version

Портал
персональных данных уполномоченного органа по защите прав субъектов
персональных данных

  • Об уполномоченном органе
  • Реестр нарушителей
  • Кодекс добросовестных практик
  • Реестр операторов
  • Инциденты (утечки ПД)
  • Трансграничная передача
  • Молодежная палата Консультативного совета
  • Электронная библиотека по защите прав субъектов персональных данных
  • Согласие на обработку ПД, разрешенных для распространения

Министерство цифрового развития, связи и
массовых коммуникаций Российской ФедерацииФедеральная служба по надзору в сфере связи,
информационных технологий и массовых коммуникаций

Уведомление об осуществлении трансграничной передачи ПД

Что такое обработка персональных данных?

Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

  • работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
  • работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
  • продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
  • покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.

Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.

Данные из социальных сетей

По закону компания не должна подавать уведомление в Роскомнадзор, если использует общедоступные данные. Например, если берет телефон и имя человека из телефонного справочника. Справочник уже получил согласие от человека разместить данные о нем, поэтому второй раз спрашивать не надо.

Номинально информацию с открытых страниц в социальных сетях можно считать общедоступной. Казалось бы, человек зарегистрировался в соцсети, сам открыл доступ к своим имени и телефону. Значит, данные можно брать. В оферте с пользователями ВКонтакте есть пункт о том, что данные могут быть доступны другим пользователям интернета:

Что имеет отношение к трансграничной передаче данных

В реальности мало кто читает оферту. Поэтому Роскомнадзор говорит, что данные из соцсетей можно обрабатывать, если человек дал на это согласие.

В 2017 году ВКонтакте подал в суд на компанию Double Data и «Национальное бюро кредитных историй». Они брали информацию из открытых профилей пользователей, оценивали их кредитную историю и продавали информацию банкам.

Социальная сеть просила взыскать с компаний по одному рублю. «ВКонтакте» выиграл суд.

Получается, данные в соцсетях не считаются общедоступными. Нельзя просто взять телефоны пользователей и начать им продавать пылесосы-роботы. В этом деле соцсеть хотела обратить внимание на проблему, поэтому иск был на рубль. Но в другом деле пользователь может подать в суд на компанию на миллион или два.

Наш совет — получать от клиентов разрешение, чтобы использовать открытые данные из социальных сетей. Например, при регистрации в интернет-магазине с данными ВКонтакте можно показывать такое сообщение:

«Для регистрации мы будем использовать открытые данные с вашей страницы ВКонтакте: имя, электронную почту, телефон. Если согласны с этим, нажмите на кнопку «Далее»».

Если пользователь согласится, то претензий к компании не будет.

Какие права у меня есть при обработке моих персональных данных?

Право на получение у оператора информации, касающейся обработки ваших ПД.

Вы можете обратиться к оператору с требованием о предоставлении следующей информации:

  • подтверждение факта обработки ваших ПД оператором – он должен подтвердить или опровергнуть информацию об этом;
  • правовые основания и цели обработки ваших ПД – если вы дали свое согласие на обработку, то оператор должен сослаться на него. Если он вправе осуществлять обработку без вашего согласия, то должен сослаться на конкретное положение закона. Также оператор должен перечислить цели, для которых осуществляется обработка ПД;
  • способы обработки ваших ПД – возможны два способа: автоматизированный – обработка с помощью средств вычислительной техники; без использования средств автоматизации – обработку осуществляет человек;
  • наименование и место нахождения оператора; сведения о лицах (за исключением работников оператора), которые имеют доступ к ПД или которым эти данные могут быть раскрыты на основании договора с оператором или на основании федерального закона – здесь речь идет об органах госвласти, которым оператор передает ваши ПД, а также об иных третьих лицах, которым оператор передает ваши ПД на основании договора;
  • перечень обрабатываемых ПД и источник их получения – оператор должен указать, какие именно ваши данные он обрабатывает и как их получил;
  • сроки обработки и хранения ПД;
  • порядок осуществления вами прав, предусмотренных Законом о персональных данных, – информация о том, каким образом вы можете реализовать свои права у данного оператора;
  • о трансграничной передаче ПД – информация о том, передаются ли ваши ПД за границу;
  • сведения о лице, осуществляющем обработку ваших ПД вместо оператора, – например, сторонняя организация вместо работодателя обрабатывает ПД работников для предоставления кадровых и бухгалтерских услуг;
  • иные сведения, предусмотренные законодательством.
Читайте также:  Что является основными целями рационализаторской деятельности в оао ржд ответы сдо

Право на получение такой информации не распространяется на случаи обработки ПД в целях обороны страны, безопасности государства, охраны правопорядка, в рамках законодательства о противодействии отмыванию доходов, полученных преступным путем, и т.

Как получить от оператора необходимую информацию?

Вы вправе обратиться к оператору лично, придя в офис. Можно направить запрос по почте в виде письменного документа или на e-mail в виде электронного документа, подписанного усиленной квалифицированной электронной подписью.

Самый надежный способ обращения – направление по обычной почте ценного письма с описью вложения. Оставьте у себя почтовые квитанции и опись – так вы сможете подтвердить факт направления запроса оператору.

В запросе обязательно нужно указать:

  • паспортные данные;
  • если ваши ПД обрабатываются оператором на основании договора, то укажите дату его заключения и номер;
  • если вы не заключали договор с оператором, укажите иные сведения, подтверждающие ваши взаимоотношения с ним; например, если вы купили товар на сайте оператора, можете сослаться на адрес сайта, номер вашего заказа и т.д.;
  • иные сведения, подтверждающие факт обработки ваших ПД оператором; например, ссылка на электронное письмо с рекламными материалами;
  • ваша подпись.

При личном обращении информация об обработке ПД должна быть предоставлена вам незамедлительно. Если запрос был направлен по почте, то ответ должен поступить в течение 30 дней с даты получения оператором запроса.

Повторно обратиться к оператору вы можете не ранее чем через 30 дней после первоначального обращения. Отправить второй запрос, не дожидаясь истечения 30-дневного срока, вы можете, только если оператор предоставил не всю информация, которую вы требовали. Но вы должны будете обосновать свое обращение. В случае несоблюдения этих условий оператор вправе отказать в выполнении повторного запроса.

Право на предъявление иных требований к оператору, обрабатывающему ваши ПД.

Вы можете требовать от оператора:

  • уточнить ваши ПД;
  • блокировать ПД – временно прекратить обработку данных. Например: вы обратились к оператору с требованием уточнить ПД и, пока вносятся изменения, заблокировать их, чтобы приостановить обработку неточных данных;
  • уничтожить ПД. Например: вы просите оператора уничтожить паспортные данные, которые не нужны ему для направления вам рекламных материалов.

Такие требования можно предъявить, если ПД, которые обрабатывает оператор:

  • неполные, например вместо Ф.И.О. указана только фамилия;
  • устаревшие, например если вы поменяли паспорт;
  • неточные, например ваша фамилия указана с ошибкой;
  • получены незаконно;
  • не являются необходимыми для заявленной цели обработки. Например: продавец обрабатывает ваши паспортные данные, хотя получал ПД для направления рекламных материалов, для чего ему достаточно знать ваши имя и e-mail или номер телефона.

Как обратиться к оператору с одним из требований?

Порядок обращения может быть таким же, как и при запросе информации об обработке ПД (см. выше пункт 1). При оформлении обращения рекомендую указать свои контактные данные и четко сформулировать свое требование (об уточнении, блокировании или уничтожении ПД). Тут же нужно сослаться на ч. 1 ст. 14 и ч. 3 ст. 20 Закона о персональных данных.

Отказать в выполнении требования оператор не может. Он обязан сделать это в течение 7 дней и уведомить об этом вас и тех, кому были переданы ваши ПД. Если оператор не выполнил ваши требования, имеет смысл обратиться в контролирующий орган – Роскомнадзор.

Право на отзыв согласия на обработку ПД.

После отзыва согласия оператор не может обрабатывать ваши ПД, за исключением случаев, когда обработка может быть продолжена по закону. Например: вы заключили с оператором договор оказания услуг и подписали согласие. После его отзыва оператор вправе продолжить обработку ваших ПД только в том объеме, который необходим для оказания вам услуг по договору.

Как отозвать согласие на обработку персональных данных?

Порядок обращения может быть таким же, как и при запросе информации об обработке ПД (см. выше пункт 1). При оформлении отзыва рекомендую указать свои контактные данные и четко сформулировать свое требование (отзыв ранее выданного согласия на обработку ПД). Сослаться нужно будет на ч. 2 ст. 9 и ч. 5 ст. 21 Закона о персональных данных.

Оператор не может вам отказать и должен будет прекратить обработку ПД в течение 30 дней с даты поступления отзыва.

Право принимать предусмотренные законом меры по защите своих прав.

Если вы считаете, что оператор:

  • осуществляет обработку ваших ПД с нарушением требований закона, например обрабатывает биометрические данные без письменного согласия;
  • иным образом нарушает ваши права, например игнорирует ваши требования об уничтожении ПД, отзыве согласия, отказе от обработки ПД в целях продвижения товаров, работ или услуг и т.д.

В таких случаях вы можете обратиться:

  • в территориальный орган Роскомнадзора с жалобой на действия или бездействие оператора;
  • в суд с требованием о восстановлении нарушенных прав, а также с требованием о взыскании убытков (причиненный вам имущественный вред) и компенсации морального вреда (причиненные нравственные страдания).

Вы можете обратиться за защитой своих прав в любой из этих органов. Однако наиболее быстрый и надежный способ – направление жалобы в территориальный орган Роскомнадзора. Это позволит сэкономить время и силы. При обращении в суд дело может рассматриваться очень долго, нужно будет посетить не одно судебное заседание, представить доказательства и т.

1 Кассационное определение Судебной коллегии по административным делам Верховного Суда РФ от 22 января 2020 г. № 5-КА19-56.

Когда уведомление не нужно

По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:

  • Обрабатывает только данные сотрудников, которые нужны по закону и не передает их кому-то еще без согласия сотрудника. Например, заполняет приказ о приеме на работу и карточку сотрудника и хранит их в сейфе. Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника.
  • Получает персональные данные по договору с контрагентом, использует их только для исполнения этого договора и не передает их никому другому. Например, компания по договору получила номер расчетного счета ИП и перечисляет на него деньги за выполнение работ по договору подряда;
  • использует только ФИО, которые сами по себе не указывают на конкретного человека. Например, компания в своем блоге опубликовала статью с примерами, где упоминается Иванов Иван, при этом нет информации, из какого он города, сколько ему лет и т. д.;
  • получает персональные данные для разового пропуска на свою территорию. Например, Марина записала свои ФИО и серию с номером паспорта в журнал на стойке охранника предприятия, чтобы занести своему мужу контейнер с обедом;
  • обрабатывает персональные данные на бумаге. Чтобы выдать скидочную карту, продавец записывает имя и телефон клиента в тетрадке, но не заносит данные в компьютер;
  • использует общедоступные сведения — те, которые человек сообщил о себе сам. Например, берет данные из телефонного справочника жителей Тулы.
Читайте также:  Работа на железнодорожных путях необщего и общего пользования ОАО "РЖД" запрещается

Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор, но есть некоторые исключения.

Проверка Роскомнадзора

Мы знаем компании, которые обрабатывают персональные данные и боятся подавать уведомление. Они думают, что раз раньше обрабатывали данные без уведомления, то нарушали закон и получат штраф. Они и правда нарушали закон, но это не значит, что Роскомнадзор сразу придет с проверкой.

В реестре Роскомнадзора 439 тыс. компаний, и цифра постоянно растет:

Что имеет отношение к трансграничной передаче данных

Проверить все компании из списка Роскомнадзор не может. Проверки чаще всего приходят к компаниям, которые пытаются затаиться и не подают уведомление или на которые часто поступают жалобы от пользователей о нарушениях.

Проверка приходит не сразу. Сначала Роскомнадзор присылает письмо с просьбой объяснить, почему компания собирает данные и не регистрируется как оператор. Не ответить на такое письмо — повод для проверки. Роскомнадзор на Дне открытых дверей в 2021 году уточнил, что большинство нарушений компании устраняют в срок и в итоге не привлекаются к административной ответственности.

Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то еще способ. Был случай, когда в Астрахани оштрафовали все компании на букву «А», которые обрабатывали персональные данные и не подали уведомление.

Роскомнадзор чаще всего обращает внимание на компании, которые используют персональные данные для:

  • устройства сотрудников на работу и оформления им страховых полисов или зарплатных проектов;
  • карт лояльности;
  • рекламных рассылок;
  • оказания услуг;
  • регистрации на сайтах;
  • звонков потенциальным клиентам.

Все компании Роскомнадзор делит по степени риска от низкого до высокого. Для компаний с высоким риском профилактические проверки проводятся каждые 2 года, с умеренным риском — каждые 3 года, со средним — каждые 4, с умеренным — каждые 6, а для компаний с низким риском регулярные проверки не проводятся.

К компаниям с высоким риском относятся те, которые обрабатывают биометрические данные, передают данные за границу или хранят их на иностранном сервере. В категорию компаний с умеренным риском попадают те, которые обрабатывают данные для целей, отличных от заявленных, хранят данные более 20 000 человек и собирают данные с помощью иностранных сервисов.

Если Роскомнадзор заметит какие-то нарушения в области персональных данных, то он может вынести предостережение, а если ничего не поменяется, то компания рискует получить штраф.

Поэтому мы рекомендуем подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку. Штраф за обработку персональных данных без письменного согласия — от 6000 до 150 000 руб. Дополнительно к этому Роскомнадзор может заблокировать сайт или приостановить деятельность компании, но это редкие меры.

Если Роскомнадзор придет с проверкой, он может обнаружить, что компания неправильно обрабатывает персональные данные, штраф может быть до 80 000 руб.

Подать уведомление об осуществлении трансграничной передачи ПД

Пройти аутентификацию на портале Госуслуг, заполнить форму и направить ее в электронном виде. У Вас должна быть подтвержденная учетная запись. Отправка копии в бумажном виде в данном случае не потребуется. В случае если вы подаете уведомление за организацию, ваша учетная запись должна быть привязана к данной организации на портале Госуслуг.

Посмотреть образец заполнения уведомления об осуществлении трансграничной передачи ПДн

Что имеет отношение к трансграничной передаче данных

Что имеет отношение к трансграничной передаче данных

Что имеет отношение к трансграничной передаче данных

Кто такой оператор персональных данных?

Оператор ПД – любой человек, ИП, компания, органы и учреждения государственной и муниципальной власти, которые осуществляют действия с ПД.

  • работодатель, обрабатывающий ПД своих работников;
  • продавец, обрабатывающий ПД клиентов-граждан;
  • госорганы, обрабатывающие ПД граждан при предоставлении государственных услуг;
  • владельцы сайтов, собирающие ПД пользователей сайта.

Какие персональные данные оператор собирает через сайт и зачем?

ПД, которые могут быть собраны оператором через сайт, условно можно разделить на две группы.

ПД, которые вы передаете сами, заполняя формы обратной связи на сайте: Ф. , адрес, номер телефона, e-mail.

В этом случае объем переданных ПД вы можете определить сами. Согласие на обработку таких данных обычно можно предоставить путем:

  • проставления галочки в специальном окне («Я даю свое согласите на обработку персональных данных» ☑);
  • принятия условий публичной оферты, опубликованной на сайте; обычно оплата товара означает согласие с условиями.

ПД, которые оператор собирает без предоставления вами информации.

В основном это файлы куки (cookie) – небольшие текстовые файлы со служебной информацией с сайта (сведения о программном обеспечении, которым вы пользуетесь, IP вашего компьютера, информация о вашем браузере).

Ваше согласие на обработку этих ПД оператор получает, если вы остаетесь на сайте после того, как появилось всплывающее окно с информацией примерно следующего содержания: «Продолжая использовать настоящий сайт, вы даете согласие на обработку файлов cookie в целях функционирования сайта. Если вы против обработки ваших данных, незамедлительно покиньте сайт».

Владелец сайта вправе обрабатывать ваши ПД только в тех целях, которые были указаны при получении вашего согласия, чаще это направление вам рекламных материалов. Файлы куки обычно используются для сбора статистики и информации о ваших предпочтениях.

Ответы на популярные вопросы

Кто и как может получить доступ к персональным данным, в каких случаях не нужно разрешение на их использование и передачу, могут ли не продать товар или не оказать услугу при отказе дать согласие на обработку данных, какие данные собирают владельцы сайтов и как отказаться от рекламной рассылки?

Что имеет отношение к трансграничной передаче данных

Как отказаться от назойливой рекламной рассылки?

Обычно в конце рекламного сообщения есть активная ссылка, которая позволяет отказаться от рассылки. Если это не помогло, вы должны обратиться к оператору, от которого получаете рекламу, с требованием прекратить обработку ПД в целях продвижения товаров, работ или услуг. Вы можете обратиться к нему лично, придя в офис, направить по почте письменное требование или через e-mail отправить электронный документ, подписанный усиленной квалифицированной подписью.

При оформлении отказа рекомендую указать свои контактные данные и четко сформулировать свое требование (отказ от получения рекламных материалов и от обработки ПД в целях продвижения товаров, работ, услуг). Тут же следует сослаться на ч. 2 ст. 15 Закона о персональных данных, в которой сказано, что по требования субъекта ПД оператор обязан немедленно прекратить обработку его данных.

Читайте также:  Как сопровождение хранит паспорт

Лучше направить письменное требование обычной почтой (ценным письмом с описью вложения). Почтовая квитанция и опись будут являться подтверждением факта обращения к оператору. Получив такое требование, он обязан будет прекратить обработку ПД.

Если вам направляют рекламу, несмотря на отказ от нее, вы можете обратиться:

  • в территориальный орган Роскомнадзора с жалобой на действия оператора;
  • в территориальный орган Федеральной антимонопольной службы с жалобой на действия предпринимателя, осуществляющего рассылку рекламных материалов без вашего согласия на их получение;
  • в суд.

Какие ожидаются изменения

В апреле 2022 года был внесен законопроект, который может заметно ограничить возможности компаний по передаче и использованию персональных данных. Сейчас он проходит рассмотрение во втором чтении.

  • Авторы предлагают ввести понятие трансграничной передачи данных (то есть за рубеж) и ограничить возможность передавать такие, а в некоторых случаях даже запретить. Компании будут обязаны уведомлять Роскомнадзор о том, что они собираются передать любые данные за рубеж, а в течение месяца получают ответ, можно ли передавать такую информацию и в каком объеме.
  • Если лицо, которое предоставило данные, сообщит, что они были получены незаконным путем или необязательны для заявленной цели компании, то оно может потребовать их удалить, а при отказе — обратиться в суд, а организация получит штраф. А еще компании будут обязаны объяснять клиентам, для чего именно нужны конкретные персональные данные, а если клиент попросит прекратить их обработку, то это надо будет сделать в течение 30 дней.
  • Компании будут обязаны сообщать в государственные органы о каждом случае утечки персональных данных в течение 24 часов после инцидента, а Роскомнадзор будет вести реестр таких случаев. Если законопроект вступит в силу, то компании будут рисковать получить штраф за несвоевременное сообщение об утечке данных.

По-настоящему бесплатный тариф для бизнеса!Бесплатная бухгалтерия, перевод до 250 тыс. руб. на личную карту без комиссии и бесплатные платежки контрагентам

Что имеет отношение к трансграничной передаче данных

Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?

На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.

С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения). Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.

Однако оба довода являются спорными.

Какие условия обязан соблюдать оператор при обработке персональных данных?

Главное условие – наличие вашего согласия. При этом в ст. 6 Закона о персональных данных предусмотрены случаи, когда оператор может обрабатывать ПД при отсутствии согласия:

Например, вы заключили с риелтором договор, согласно которому он ищет покупателя для вашей квартиры. Риелтору нужно знать ваши ПД: Ф. , контактный телефон и e-mail. Так как он использует эти данные только для оказания услуг, ему не нужно ваше согласие на обработку ПД. Если же риелтор желает присылать вам рекламные материалы, которые, естественно, не связаны с оказанием услуг по заключенному договору, то он обязан будет получить ваше согласие на обработку ПД в рекламных целях;

Кто относится к операторам персональных данных

Оператор персональных данных — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Например, собирают электронные адреса для рассылки или просят покупателей оставить имя и телефон для заказа в интернет-магазине. Дословно в законе так:

Что имеет отношение к трансграничной передаче данных

Персональные данные — это любые данные о человеке, по которым можно определить его личность. Например:

  • электронная почта;
  • телефон;
  • имя и фамилия;
  • дата рождения;
  • данные паспорта;
  • адрес;
  • ссылка на сайт.
По-настоящему бесплатный тариф для бизнеса!

При этом ни в одном законе нет точного списка, что считается персональными данными. Дело в том, что в разных ситуациях одни и те же данные могут быть или не быть персональной информацией.

Ник, ФИО и любая другая информация без дополнительных данных не считаются персональными данными, если по ним нельзя определить конкретного человека.

На листочке в кафе написано «Иванов Иван Иванович» — это не персональные данные. Для регистрации на сайте вы оставляете свою электронную почту — это уже будет считаться персональными данными.

С геопозицией и куками (файлы cookies — многие сайты просят у вас согласие на сохранение куки, чтобы вы могли пользоваться ими дальше) ситуация спорная. Формально сами по себе они не считаются персональными данными. Например, только по геопозиции трудно определить, кто находится в этой точке. В реальности Роскомнадзор в 2016—2017 годах разработал рекомендации по обработке этих данных и начал проводить проверки.

«МГТС» продавала данные своих клиентов другим компаниям:

  • временные метки;
  • адреса страниц, к которым было обращение;
  • адреса, с которых был переход;
  • информацию о браузере и устройстве, с которого был запрос;

По сути, это были куки — данные о том, какие страницы посещают клиенты. По этим данным компании показывали клиентам нужную рекламу. Согласия от клиентов у «МГТС» на обработку данных не было. Компания думала, что куки не считаются персональными данными, поэтому согласие на них не нужно.

Суд с компанией не согласился и назначил штраф 30 000 рублей.

Мы рекомендуем перестраховываться и считать куки и геопозицию персональными данными. Особенно если компания вместе с этими данными получает другую личную информацию о клиентах, например, имя, телефон, электронную почту.

Роскомнадзор считает, что компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет. Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных. Такой же позиции придерживаются суды.

Законно ли направление мне рекламы без моего согласия?

Прежде чем направить вам рекламные материалы, оператор обязан взять у вас согласие:

  • на получение рекламных материалов, т.е. вы должны разрешить ему высылать их;
  • на обработку ПД в целях продвижения товаров, работ или услуг, т.е. вы должны разрешить ему обрабатывать ваши данные (Ф.И.О., номер телефона, e-mail) для получения рекламной рассылки.

Обычно мы не замечаем, как даем эти согласия. Например, в магазине вы заполняете анкету для получения бонусной карты, что влечет согласие на рекламную рассылку; на сайте при заполнении формы обратной связи или при оформлении заказа вы ставите галочку напротив текста, который выражает ваше согласие (☑).

Если вы не хотите сталкиваться со спамом, рекомендую внимательно следить за тем, что вы подписываете или оформляете на сайте.

(Подробнее об этом в статье «Клиент жалуется на рекламную рассылку – предприниматель платит»

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *