Защита персональных данных для интернет-проекта

Являются ли IP-адрес и cookie персональными данными?

На практике нередко встречаются ситуации, когда в одном судебном решении IP-адрес ОТНОСИТСЯ к категории персональных данных:

Пример. Решение от 11.02.1016 г. по делу № А76-29008/2015 по иску ООО «Медицинская клиника «ЭФ ЭМ СИ» к Управлению Федеральной антимонопольной службы по Челябинской области о незаконности проведения Челябинским УФАС России опроса в интернете о том, является ли изображение Красного Креста в рекламе ООО Медицинская клиника «ЭФ ЭМ СИ» сходным с символом Международного комитета Красного Креста, поскольку если анонимным посетителям сайта разрешено отвечать на вопросы, то они идентифицируются по IP-адресу компьютера (персональным данным), с которого был дан ответ).

а в другом – IP-адрес НЕ ОТНОСИТСЯ к категории персональных данных:

Пример. Постановление от 1.07.2015 г. по делу № А56-75017/2014 по иску ООО «Максима Лигал» к Мануйловой Владиславе Сергеевне об удалении из персонального блога на Интернет-сайте «Живой журнал» статьи. Было установлено, что сведения об IP-адресах, которые просит истребовать истец, не являются сведениями о персональных данных.
В соответствии с законом о персональных данных обработка начинается тогда, когда с персональными данными начинают производиться какие-либо действия. Кроме того, несмотря на регулярные проверки Роскомнадзора, ИТ-юристы довольно часто имеют дело с организациями, осуществляющими обработку данных, но отсутствующими в реестре, что может привести к отказам крупных государственных (например, в части госзакупок) и частных заказчиков.

Любой сайт должен показывать всем новым пользователям предупреждение с текстом о том, что он собирает персональные данные пользователя (cookie, данные об IP-адресе и местоположении) для функционирования сайта.

Исключение при попадании в реестр – обработка персональных данных после получения согласия субъекта.

Получение согласия на обработку персональных данных на сайте

В данном вопросе необходимо определить, получено ли согласие на обработку не от субъекта, а со стороны третьих лиц. Нередки случаи, когда компании все же производят обработку данных, полученных не от субъекта напрямую.
Пример. Сервисы Wildberries и Aliexpress, а также Рестораны совершенно точно сообщают часть полученных от субъекта персональных данных курьерским службам для осуществления доставки и, следовательно, обязаны получить согласие на обработку непосредственно от субъекта, что является невозможным ввиду отсутствия контакта с ним напрямую, а по телефону его получить нельзя.

Данная проблема может быть решена с помощью заключения договора между оператором и сторонней организацией, в котором указано, какие персональные данные будут передаваться, с какой целью обрабатываться, когда они будут подвержены удалению, и, самое главное, обязательство получения согласия субъекта персональных данных на передачу их сторонним организациям. В судебной практике немало случаев возникновения исков от физических лиц к финансовым организациям за обработку персональных данных, переданных туда потенциальным заемщиком, без согласия. Например, решение № 2-2652/2015 2-43/2015 2-43/2016 2-43/2016(2-2652/2015;)~М-2596/2015 М-2596/2015 от 3 февраля 2016 г. по делу № 2-2652/2015 по иску Скуратова М.В. к АО «Банк Русский Стандарт» о признании незаконными действий АО «Банк Русский Стандарт» при осуществлении обработки его персональных данных в форме телефонных звонков.

Документы по защите персональных данных для сайта

В компании также должен быть назначен ответственный за сбор и обработку персональных данных, а на её сайте должны быть доступны два документа – согласие на обработку персональных данных и политика обработки персональных данных.

В тексте должна быть ссылка на документ — Пользовательское соглашение, договор или согласие на обработку персональных данных. Текст самого документа можно разместить на отдельной странице. Также нужно указать информацию о том, как физическое лицо может отозвать свое согласие на обработку персональных данных, то есть предоставить посетителям сайта возможность по распоряжению своими персональными данными через обращения по электронной почте. Для этого можно указать email-адрес в политике обработки персональных данных.
Небольшие сайты используют бесплатные онлайн-конструкторы для стандартных документов, однако для крупных проектов такой подход неприменим из-за большого объема специфики и совершенно другого уровня рисков за ошибку.

На что и как сайту получать согласие на обработку персональных данных?

Помимо всего прочего, важна поэтапность сбора информации. ИТ-юристы нередко встречают в согласиях пункт, под которым клиент соглашается на обработку его данных за пределами Российской Федерации, и это не является нарушением закона, поскольку лишь первичный сбор данных необходимо осуществлять на своей территории. Далее же сервер, на который попадают данные, может находиться в любой стране, где может располагаться, к примеру, компания, оказывающая услуги, главный или дополнительный офис. Роскомнадзором выделены две категории стран – страны, предоставляющие и не предоставляющие адекватную защиту персональных данных. Во втором случае необходимо указать эту информацию в документе согласия на обработку персональных данных и взять согласие на подобного рода передачу.

Согласно 152-ФЗ о персональных данных, трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Итак, согласие на обработку персональных данных в обязательном порядке должно содержать следующее: какая информация обрабатывается, с какой целью и каким образом это происходит, а также сроки данной обработки.

Важно! Согласие на обработку персональных данных может быть получено и в электронном виде.

Однако в этом случае может возникнуть проблема, например, с автоматически поставленной галочкой, которая равносильна подписи, поставленной пользователем, поскольку довольно сложно будет доказать, что пользователь осознанно совершил подписание документа. Кроме того, согласно заявлению Роскомназдора при наличии договора публичной оферты дополнительное согласие не требуется.
Таким образом, в процессе обработки персональных данных важно определить следующее: можно ли относить обрабатываемую информацию к категории персональных данных, нужно ли уведомлять Роскомнадзор о совершаемых с ней действиях, каким должен быть список необходимых документов.

Здесь также следует обратить внимание на ответственность за несоблюдение указанного порядка работы с персональными данными. Например, 31.01.2020 Роскомнадзором было возбуждено административное производство в отношении Twitter и Facebook за невыполнение требований о локализации баз данных российских пользователей на серверах, расположенных на территории Российской Федерации, в результате чего социальные сети были оштрафованы на 4 миллиона рублей каждая.
На основании всего вышеперечисленного нельзя недооценивать важность соблюдения всех требований при работе с персональными данными, которые, так или иначе, подвергаются обработке на любом сайте или сервисе.

Что включает в себя услуга по защите персональных данных?

Защита персональных данных для интернет-проекта включает:

• Анализ бизнес-процесса интернет-проекта
• Подготовка документации по защите персональных данных для сайта
• Рекомендации по улучшению сайта (с точки зрения защиты ПДн)

Почему RTM Group?

• Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
• Вопросы правомерности той или иной деятельности — неотъемлемая часть работы юристов RTM Group
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты