Обработка персональных данных - что это такое? Закон о хранении данных. Образец согласия на обработку персональных данных работника. В этой статье вы узнаете все об обработке персональных данных без использования средств автоматизации. Что это такое, осуществляемый учет личной информации? Каковы инструкция и особенности положения ПДн?

Пошаговая инструкция

Разработка нормативного акта, регулирующего процесс обработки ПД.

  1. Назначение ответственных за работу с информацией лиц.
  2. Информирование ответственных лиц о факте обработки ими конфиденциальной информации, их обязанностях, функциях и запрещенных действиях.
  3. Разработка помещения для хранения конфиденциальных данных, журнала (при необходимости), бланков, специальных форм или материальных носителей.
  4. Взятие у субъектов ПД разрешения на обработку информации.
  5. Фиксация данных на материальном носителе (при этом, важно обеспечить выполнение норматив относительно хранения таких данных – чтобы конфиденциальные сведения хранились отдельно от информации, собранной с иными целями).
  6. Обработка данных.
  7. Уничтожение или обезличивание сведений после завершения работы с данными.

Что такое?

Неавтоматизированные методы

Аппараты, устройства, используемые для работы со сведениями персонального характера с участием человека называются неавтоматизированными. Они призваны обеспечить работу с информацией, ее хранение, уточнение, извлечение или уничтожение, при этом, не могут служить инструментами компьютеризации данных и не позволяют работать с большими массивами информации – операция со сведениями каждого субъекта ПД проводится отдельно и вручную оператором.

Учет личной информации такими способами

Определение обработки ПДн неавтоматизированного типа находим в Постановлении Правительства РФ от 15 сентября 2008 года № 678 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования инструментов автоматизации» (а о том, что такое автоматизированная обработка персональных данных, читайте тут). В документе указано, под ручной работой с ведомостями подразумевается один из процессов, например, использование, уточнение, распространение, обезличивание или уничтожение информации при непосредственном участии человека.

В этом же постановлении находим следующее уточнение: процесс не признается автоматизированным только на основании того, что сведения (ПДн) содержатся или извлекаются из информационной системы.

На практике у операторов ПД довольно часто возникают проблемы с тем, к какому виду отнести ту или иную операцию с информацией. Ведь компьютеры – авто-инструменты – используются практически постоянно, ими оснащены рабочие места. При этом, использовать такую технику можно по разному – иногда человек контролирует каждую операцию, а иногда вычислительная аппаратура справляется сама. Своеобразную точку в этом деле можно поставить, вернувшись к Постановлению правительства №678.

В документе уточняется, что проведение ручных операций с участием средств компьютеризации может применяться только при условии, что информация по каждому субъекту вносится или редактируется отдельно и под руководством человека.

Что это такое?

  • Средства автоматизации. Под средствами автоматизации понимаются приборы, устройства, которые могут использоваться как по отдельности, так и в совокупности, способные выполнять ряд поставленных задач без вмешательства человека, однако, возможно, под его руководством.Наиболее распространенными в наши дни средствами автообработки являются программно-аппаратные устройства – компьютеры и программное обеспечение. При этом, важно понимать, что компьютер становится средством только после того, как на нем осуществляются автооперации.Если компьютер используется в качестве печатной машинки без дальнейшего сохранения на диске данных, то такое техническое средство не следует называть автоматизированным (хотя подобные возможности оно имеет) в контексте.
  • Автоматизированная обработка. Компьютерная обработка данных – это обработка информации при помощи вычислительной техники, другими словами, с использованием средств компьютеризации. Речь идет об электронных машинах, вспомогательных устройствах, программном обеспечении и других аппаратах.

Разница между автоматизированной и неавтоматизированной

Неавтоматизированная (ручная) обработка осуществляется при непосредственном участии человека, согласно Постановлению правительства РФ «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации.»

Такая формулировка нередко приводит к ошибочной трактовке процессов компьютеризированной и ручной обработки. Оператор может предположить, что любая операция, в которой участвует человек является ручной – такой подход значительно сокращает перечень по-настоящему самостоятельных процессов, однако, отметим сразу, он в корне неправильный.

Предположим, человеку следует нажать на клавишу, чтобы сохранить папку с ПДн сотрудников на компьютере. Какой будет такая обработка? Автоматизированной, поскольку в процессе участвует компьютер? Или ручной в связи с тем, что оператор инициирует и контролирует процедуру сохранения? В данном случае более важно то, что компьютер будет «хранить» сведения без участия человека – процесс будет полностью автоматизированным.

Чтобы не путаться, скажем сразу, что компьютеры и другой софт, как правило, всегда способствуют переводу процесса обработки в класс компьютеризированной. Исключением из правила назовем только использование компьютера в роли печатной машинки.

Обработка с участием человека чаще всего происходит на бумажных носителях. Сортировка папок с документами, выписка пропусков сотрудников и многие другие действия относятся к обработке информации без средств автоматизации.

Справка: все сведения при неавтоматизированной работе с документами проходят только через человека, ответственного за ПДн.

Обеспечение безопасности обработки персональных данных

13. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.14. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Что значит обработка?

Любой человек может ознакомиться с информацией об ином гражданине, как при выполнении должностных обязанностей, так и при нерабочем общении, в ходе просмотра интернет – страниц, а также чтения газеты. Этот (специальный или неспециальный) сбор информации не имеет отношения к обработке персональных данных: ознакомился, прочитал и забыл, скорее всего.

Если же личные данные специально собираются, чтобы их использовать и хранить, то такое действие уже означает обработку персональных данных. Данный процесс происходит чаще всего в учебных учреждениях и больницах: необходимая информация регистрируется, фиксируется в базах, а также классифицируется, чтобы потом ее использовать в законных целях.

Относится ли заработная плата к персональным данным читайте в нашей статье.

Если сведения собирает писатель или журналист, то он вправе обрабатывать личные данные в творческих целях.

Личная информация обрабатывается двумя способами: автоматизировано и неавтоматизировано.

Неавтоматизированной считается та обработка, которую производят с личным участием гражданина.

Если личные данные проходят обработку без средств автоматизации, то их необходимо отделять от прочих сведений. Можно это сделать путем их отметки, к примеру, на полях бланков. Строго не разрешается помещать на единый носитель личные данные, если известно заранее, что цели их обработки несовместимы.

Если личная информация граждан относится к разным категориям, то необходимо для каждого вида применять индивидуальный носитель.

Два следующих пункта ведут к ответу на вопрос, какие системы можно считать автоматизированными, а которые таковыми не являются. Рассмотрим их подробно:

  • Личные данные, которые содержатся в системе персональных данных, могут считаться обработанными с помощью неавтоматизированного процесса, если их использование уничтожение производятся при личном присутствии гражданина.
  • Нельзя подтвердить тот факт, что данные были автоматизировано обработаны, основываясь только на том, что они существуют в информационной системе персональной информации.

Автоматизированная обработка личных сведений – это обработка персональной информации с применением вычислительных средств.

Такая обработка может включать в себя некоторые процессы, которые производятся с помощью автоматизированных средств: применение математических операций с этими показателями, а также их корректировка и избавление от них.

Обработкой личных данных называется любое действие, которое осуществляется с предоставленной информацией. Обработкой личных данных считаются следующие действия:

  • сбор;
  • фиксирование;
  • использование;
  • уничтожение.

Что это означает на практике?

Если оператор ПД берет папку с персональными сведениями и удаляет ее с компьютера – это автоматизированная обработка. Если оператор заполняет с помощью клавиатуры формуляр для каждого клиента-субъекта ПДн – это неавтоматизированная работа. Споры возникает относительно хранения сведений в компьютере – ведущую роль здесь играет формат хранения – групповой, предусматривающий авто-операции, или индивидуальный – для обработки каждого документа отдельно от остальных.

Зачем нужно согласие?

Согласие на обработку личной информации – это новшество законодательства, которое защищает персональные данные гражданина от нежелательного использования.

Данное согласие необходимо при устройстве на работу, оформления счета в банке, и прочих важных обстоятельствах. Конкретной формы согласия не существует. Его можно оформить в произвольной форме на бланке, который использует предприятие.

Срок, в течение которого согласие будет действительно, указывается непосредственно в самом документе.

Ответственный за персональные данные в организации



Сотрудника, который будет отвечать за получение, обработку и хранение личной информации назначает директор организации.

Также он может назначить определенных лиц, которые будут иметь доступ к персональным данным. Этот документ лучше всего оформить отдельным приказом. Обычно, за всю работу от начала до конца с персональными данными (сбор, обработку и хранение) отвечают следующие лица:

    Образец приказа об ответственных лицах за персональные данные в организации можете скачать здесь.

  1. Руководитель кадрового отдела.
  2. Кадровый инспектор.
  3. Руководитель по персоналу.
  4. Заместитель руководителя по персоналу.
  5. Специалист по работе с персоналом.
  6. Либо допускается введение иной должности.

Учитывая законодательство (Закон №152) сотрудник, который собирает и обрабатывает личные сведения, считается оператором. В данном случае оператором считается руководитель.

Как происходит?

Автоматизированные средства работы с данными облегчают задачу с большими объемами сведений и существенно облегчают сортировку и другие манипуляции с информацией. Когда определенный блок данных оказывается загруженным на диск компьютера или в специализированную программу – следует говорить о начале компьютеризированной процедуры.

Наиболее распространенной разновидностью обработки является хранение данных. Однако начинается весь цикл, зачастую, со сбора сведений. Если они записываются в каком-угодно формате на цифровой носитель, то такая обработка становится автоматизированной. Огромный сегмент связан с сортировкой сведений, в чем помогают специализированные программы.

Например, программное обеспечение позволяет следить за тем, чтобы собранная информация удалялась после 90 дней хранения, обезличивалась или уничтожалась.
Также мы подготовили материалы о политике обработки, об уведомлении и о том, что такое ЦОД.

Правила и порядок работы

Правила и порядок работы

Личные данные трудящегося, которые необходимы руководителю, состоят из нескольких пунктов:

  • Информация об образовании.
  • Информация о трудовом опыте, а также месте работы, где гражданин прежде трудился и какую должность занимал.
  • Краткая информация о членах семьи и их рабочих местах.
  • Информация об имеющихся заболеваниях и о здоровье в целом.

В ходе обработки данных трудящегося организации (получении, передачи, и прочем применении) работники кадрового отдела должны придерживаться определенных правил:

  1. Обрабатывать личную информацию сотрудника организации только с учетом регламентов законодательства, помогать трудящимся с устройством на работу. А также оказывать помощь с обучением и повышением по карьерной лестнице, и следить за качеством выполняемых поручений. Помимо этого необходимо обеспечить сохранность имущества.
  2. Всю личную информацию должен предоставлять сам сотрудник. Если в какой-то момент эту информацию нельзя получить непосредственно у сотрудника, а только у третьего лица, то нужно предварительно получить от гражданина согласие в письменной форме о том, что он не против разглашения сведений.
  3. Работник кадрового отдела не может самостоятельно пользоваться информацией о религиозной направленности, либо профсоюзной деятельности сотрудника, если это не имеет отношения к работе. Если эти данные напрямую касаются рабочих отношений, то необходимо согласие сотрудника в письменной форме.
  4. Контроль над работниками кадрового отдела и соблюдение настоящего регламента несет их непосредственный руководитель.
  5. Все работники должны поставить свои подписи в качестве подтверждения, что они ознакомлены с регламентом.

Организация неавтоматизированной обработки персональных данных

Обработка персональных данных без использования средств автоматизации (неавтоматизированная обработка) - действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляемые при непосредственном участии человека.

Цитирую части положения о неавтоматизированной обработке ПДн:

4. Персональные данные при их обработке, осуществляемой без
использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).

Здесь указывается правило об особом режиме хранения материальных носителей содержащих персональные данные (ПДн).

5. При фиксации персональных данных на материальных носителях
не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не
совместимы
. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

Если собираются и обрабатываются ПДн в рамках одной цели, то для этих процессов должна быть предусмотрена отдельная форма на отдельном носителе.

6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

Речь идёт об указании должностных обязанностей и характера выполняемых работ в рамках трудовых отношений, на основании обязанностей трудового договора, должностных инструкций и других внутренних регулирующих документах.

Использование типовых форм документов, содержащих персональные данные

7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Ведение журналов, реестров, книг при организации пропускного режима

8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

О несовместимости целей обработки и уничтожении персональных данных

9. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).11. Правила, предусмотренные пунктами 9 и 10 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.12. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

Вопросы и ответы

что такое обезличивание,обработку, сбор, систематизация, накоопление, хранение, уточнение, использование, распространение, передачу третим лицам, уничтожение персональных данных, моих данных-в договоре указано?

Эксперт:
что такое обезличивание, обработку, сбор, систематизация, накоопление, хранение, уточнение, использование, распространение, передачу третим лицам, уничтожение персональных данных, моих данных-в договоре указано?
Надежда

Надежда!
Данные термины содержатся в статье 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»:

9) обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

остальные термины в данной статье не содержатся, но из смысла закона следует:

сбор персональных данных — это получение персональных данных любым из способ определенных ФЗ о персональных данных

накопление — т.е. концентрация персональных данных у оператора.

уточнение — актуализация информации на текущую дату!

Надеюсь мой ответ был полезен Вам, в случае необходимости — обращайтесь! С Уважением, А.Саяпин!

Допустим, есть база телефонных номеров и емэйл адресов, полученная без согласия на обработку персональных данных, от лиц, входящих в ее состав.

Интересуют следующие вопросы:

1. Если я позвоню человеку из этой базы и спрошу его согласие на обработку ПД, после чего предложу свой рекламный продукт, то не возникнет ли проблем с тем, откуда у меня его номер и буду ли я нести ответственность за это, в случае подачи соответствующего заявления, являясь юр лицом?/физ лицом?

2.Может ли компания, клиентами которой являюся лица, входящие в состав этой базы, сама подать заявление о неправомерной обработке ПД, или такое заявление может подать только лицо, чьи контактные данные были неправомерно использованы?

3. Если я совершаю звонок на телефонный номер, не имея прав на обработку этих данных и перед началом презентации услуг задаю вопрос о согласии абонента на обработку ПД, то является ли факт данного телефонного разговора нарушением закона о ПД и понесу ли я за это ответственнсть, в случае подачи соответствующего заявления?

4. Возможно ли каким-то образом, не нарушая законодательство РФ, получить разрешение(избежать ответственности) на обработку уже имеющихся персональных данных, полученных без согласия абонента?

если нет, то:

5. Будет ли возможно привлечение к ответственности за обработку ПД в нашей стране, если обзвонить людей, входящих в эту базу от лица оффшорной компании, зарегистрированной, скажем, на БВО (Британо Виргинские Острова)?

6. Будет ли законодательная система БВО рассматривать жалобы от неграждан бво в адрес компании, зарегистрированной на бво? (применительно к обработке ПД)

Эксперт:

Статья 3. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014)

«О персональных данных»

(с изм. и доп., вступ. в силу с 01.09.2015)

Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Статья 6. Условия обработки персональных данных

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
(в ред. Федерального закона от 05.04.2013 N 43-ФЗ)

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
(п. 5 в ред. Федерального закона от 21.12.2013 N 363-ФЗ)

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
Статья 7. Конфиденциальность персональных данных
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

Таким образом учитывая, что Вы изначально получили базы данных незаконно, Вы не имеет право их использовать и соответственно все остальные действия в помощью указанных баз являются незаконными вне зависимости от того получите Вы в последующем согласие на использование персональных данных или нет.

А звонки тоже будут с БВО? Если они будут проводиться с территории РФ, то закон в полной мере распространяется и на данную деятельность, т.к. иностранная компания действующая на территории РФ обязана руководствоваться законодательством РФ.

Эксперт:

Иван!

1. Если я позвоню человеку из этой базы и спрошу его согласие на обработку ПД, после чего предложу свой рекламный продукт, то не возникнет ли проблем с тем, откуда у меня его номер и буду ли я нести ответственность за это, в случае подачи соответствующего заявления, являясь юр лицом?/физ лицом?
Иван

В соответствии с законом «О персональных данных» персональные данные граждан (фамилия, имя, отчество, номер телефона, адрес, электронная почта и т.д.) подлежит защите, и их использование без согласия граждан незаконна.

Статья 17. Право на обжалование действий или бездействия оператора

1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Так же существует административная ответственность за незаконное использование персональных данных.

Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
[Кодекс РФ об административных правонарушениях] [Глава 13] [Статья 13.11]

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) — влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.

т.е. позвонив по телефону и конкретно обратившись к абоненту, по его Ф.И.О. Вы фактически подтвердите, что ВЫ не случайно ошиблись номер, а целеноправленно звоните данному человеку, используя его персональные данные.

2.Может ли компания, клиентами которой являюся лица, входящие в состав этой базы, сама подать заявление о неправомерной обработке ПД, или такое заявление может подать только лицо, чьи контактные данные были неправомерно использованы?
Иван

Если клиенты давали компании согласие на обработку персональных данных, т.е. компания фактически является владельцем базы данных, то при неправомерном их использование, т.е. фактически кражи данных, компания может обратиться в полицию, так как эта база является коммерческой тайной.

Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну
[Уголовный кодекс РФ] [Глава 22] [Статья 183]

1. Собирание сведений,
составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом — наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
2. Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, — наказываются штрафом в размере до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до трех лет, либо лишением свободы на тот же срок.
3. Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности, — наказываются штрафом в размере до одного миллиона пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.
4. Деяния, предусмотренные частями второй или третьей настоящей статьи, повлекшие тяжкие последствия, — наказываются принудительными работами на срок до пяти лет либо лишением свободы на срок до семи лет.

Если же сама компания незаконно использует персональные данные, то она не сможет никуда обратиться.

3. Если я совершаю звонок на телефонный номер, не имея прав на обработку этих данных и перед началом презентации услуг задаю вопрос о согласии абонента на обработку ПД, то является ли факт данного телефонного разговора нарушением закона о ПД и понесу ли я за это ответственнсть, в случае подачи соответствующего заявления?
Иван

Если на Вас все таки выйдут (как правило это возможно если Вы либо обзвоните несколько тысяч граждан, при этом от них поступят сотни жалоб в Роскомнадзор, а также будет причинен материальный ущерб), то тогда Вас могут привлечь к административной ответственности. Так как в случае споров именно Вам нужно доказывать, что Вы получили согласие от гражданина на использование его персональных данных.

4. Возможно ли каким-то образом, не нарушая законодательство РФ, получить разрешение(избежать ответственности) на обработку уже имеющихся персональных данных, полученных без согласия абонента?
Иван

Законных способов нет. Нужно направить данным гражданам уведомления (можно например по электронной форме) в котором не будут указаны их Ф.И.О. с предложением скажем заполнить, указав свои данные, и подпишет в нем согласие на обработку персональных данных.

5. Будет ли возможно привлечение к ответственности за обработку ПД в нашей стране, если обзвонить людей, входящих в эту базу от лица оффшорной компании, зарегистрированной, скажем, на БВО (Британо Виргинские Острова)?
Иван

Тут важно не от имени какой фирмы, а где вы будет находится, если на территории РФ Вас могут привлечь к ответственности.

6. Будет ли законодательная система БВО рассматривать жалобы от неграждан бво в адрес компании, зарегистрированной на бво? (применительно к обработке ПД)
Иван

Роскомнадзор (как надзорный орган) обязан принять любую жалобу от граждан в части нарушения прав персональных данных и выяснить, кто именно нарушил закон. Если нарушитель аходится за границей, то привлечь его к ответсвтенности фактически не возможно, если на территории РФ, то смогут привлечь.

Ну если отойти от теории, и перейти к практики, то очень часть многие компании (рекламные, риэлторские и т.д.) используют персональные данные без согласия клиентов обзванивая их и предлагая свои услуги. И никто больно их не ищет. Просто не все граждане «заморачиваются» и пишут жалобы после звонков. И у Роскомнадзора нет таких возможностей, чтобы фактически проводить следствие выясняя конкретную личность, кто обзванивал граждан.

Главное чтобы звонили ни какие нибудь мошенники, например которые обманом вытягивают деньги (именно такими в плотную занимается полиция), а просто как реклама товаров, услуг.

Эксперт:
1. Если я позвоню человеку из этой базы и спрошу его согласие на обработку ПД, после чего предложу свой рекламный продукт, то не возникнет ли проблем с тем, откуда у меня его номер и буду ли я нести ответственность за это, в случае подачи соответствующего заявления, являясь юр лицом?/физ лицом?

Сам по себе звонок по телефону не является нарушением ведь Вы могли набрать любой номер телефона случайно, если конечно Вы не скажете тому кому звоните, что его номер телефона взяли из этой базы, поэтому здесь ответственности не будет.

2.Может ли компания, клиентами которой являюся лица, входящие в состав этой базы, сама подать заявление о неправомерной обработке ПД, или такое заявление может подать только лицо, чьи контактные данные были неправомерно использованы?

А здесь необходимо обратиться к Федеральному закону «О персональных данных» N 152-ФЗ от 27.07.2006:

Статья 3:
1)персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Статья 6:
1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

Так что в этом случае привлечь Вас к ответственности может и как сам гражданин персональные данные которые Вам известны, так и оператор — т.е. компания, которой он передал законно свои персональные данные, при этом компания может еще и потребовать и возмещения причиненных ей данными действиями убытков, если таковые имели место быть.

Ответственность наступает по статье 13.11 КоАП РФ:

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) — влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.

Статья 24 Федерального закона «О персональных данных»:

1. Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.
2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
3. Если я совершаю звонок на телефонный номер, не имея прав на обработку этих данных и перед началом презентации услуг задаю вопрос о согласии абонента на обработку ПД, то является ли факт данного телефонного разговора нарушением закона о ПД и понесу ли я за это ответственнсть, в случае подачи соответствующего заявления?

Как я уже указал выше, если Вы сами не раскроетесь, откуда был взят номер абонента и в случае вопроса с его стороны сошлетесь на то, что номер был набран случайно, оснований для привлечения Вас к ответственности не будет, то есть доказать, то что Вы незаконно используете персональные данные будет практически крайне затруднительно, т.к. случайно телефонный номер может набрать любой.

4. Возможно ли каким-то образом, не нарушая законодательство РФ, получить разрешение(избежать ответственности) на обработку уже имеющихся персональных данных, полученных без согласия абонента?

Да это возможно, путем заключения с компанией, которой переданы персональные данные с согласия гражданина.

В соответствии с ч. 3 статьи 6 Федерального закона РФ «О персональных данных»:

3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

Либо заручиться согласием непосредственно самого гражданина субъекта персональных данных.

5. Будет ли возможно привлечение к ответственности за обработку ПД в нашей стране, если обзвонить людей, входящих в эту базу от лица оффшорной компании, зарегистрированной, скажем, на БВО (Британо Виргинские Острова)?

Если гражданин проявит интерес к Вашему звонку со стороны того, откуда все таки стали известны его персональные данные оффшорной компании, зарегистрированной на БВО (Британо Виргинские Острова) и обратится к примеру с заявлением о проведении проверки по данному факту в уполномоченный орган (Роскомнадзор), а тот в свою очередь в ходе проверки установит нарушение вышеуказанного федерального закона и прав гражданина, то привлечение к ответственности звонившего полне возможно.

В соответствии со статьей 23 Федерального закона РФ «О персональных данных»::

1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.
2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.
3. Уполномоченный орган по защите прав субъектов персональных данных имеет право: 1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде;
5.1) направлять в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, применительно к сфере их деятельности, сведения, указанные в пункте 7 части 3 статьи 22 настоящего Федерального закона;
6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.
5. Уполномоченный орган по защите прав субъектов персональных данных обязан:
1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;
2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
3) вести реестр операторов;
4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;
5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;
6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;
7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.
5.1. Уполномоченный орган по защите прав субъектов персональных данных осуществляет сотрудничество с органами, уполномоченными по защите прав субъектов персональных данных в иностранных государствах, в частности международный обмен информацией о защите прав субъектов персональных данных, утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.
6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.
7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.
8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.
9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.
6. Будет ли законодательная система БВО рассматривать жалобы от неграждан бво в адрес компании, зарегистрированной на бво? (применительно к обработке ПД)

В случае если выяснится, что ответственным за нарушение федерального закона является именно компания зарегистрированная на бво, то в этом случае думаю привлечь ее к ответственности будет практически невозможно, скорее всего ответственность понесет компания в Российской Федерации, которой эти данные передавались с согласия гражданина если выяснится, что с ее стороны было допущено ненадлежащая защита этих данных или незаконная передача их другой компании, но опять же утверждать гарантированно об этом нельзя, все будет зависеть от конкретных обстоятельств установленных в ходе проверки.

Надеюсь, что смог Вам помочь в решении вопроса. Желаю успеха!

Эксперт:
Допустим, есть база телефонных номеров и емэйл адресов, полученная без согласия на обработку персональных данных, от лиц, входящих в ее состав.
Иван

Конечно это не совсем хорошо, поскольку сбор, как элемент обработки персональных данных предполагает согласие их субъектов на получение соответствующей информации, на что прямо указывает положение ст. 6 ФЗ «О персональных данных»

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

В связи с чем возникает риск быть привлеченным к установленной законом ответственности.

Но избежать этого вполне возможно (обо все по порядку).

1. Если я позвоню человеку из этой базы и спрошу его согласие на обработку ПД, после чего предложу свой рекламный продукт, то не возникнет ли проблем с тем, откуда у меня его номер и буду ли я нести ответственность за это, в случае подачи соответствующего заявления, являясь юр лицом?/физ лицом?
Иван

В данном случае стоит руководствоваться положением ч. 3 ст. 18 ФЗ «О персональных данных», в частности,

Если персональные данные
получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных;
5) источник получения персональных данных.
4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 настоящей статьи, в случаях, если:
1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
5) предоставление субъекту персональных данных сведений, предусмотренных частью 3 настоящей статьи, нарушает права и законные интересы третьих лиц.

Таким образом, исполнив данную обязанность можно избежать наступление ответственности.

При этом, Вам будет необходимо каким-то образом подтвердить факт уведомления лица. Здесь можно прибегнуть к записи телефонного разговора, предварительно предупредив об этом своего оппонента.

Поскольку, я так понимаю, речь идет о «холодных звонках» всегда можно принести свои извинения за звонок. Диалог при этом выстраивается с уточнения у клиента удобно ли ему ответить на несколько вопросов и желает ли он вообще вести этот диалог, если клиент изъявил о своем желании продолжить дискуссию, то формально все требования закона соблюдены.

2.Может ли компания, клиентами которой являюся лица, входящие в состав этой базы, сама подать заявление о неправомерной обработке ПД, или такое заявление может подать только лицо, чьи контактные данные были неправомерно использованы?
Иван

Нет, не может. Согласно ст. 17 закона

1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Такие требования может выдвинуть сам субъект или орган, уполномоченный осуществлять надзор за соблюдением законности в сфере обработки персональных данных.

3. Если я совершаю звонок на телефонный номер, не имея прав на обработку этих данных и перед началом презентации услуг задаю вопрос о согласии абонента на обработку ПД, то является ли факт данного телефонного разговора нарушением закона о ПД и понесу ли я за это ответственнсть, в случае подачи соответствующего заявления?
Иван

Нет, не является. Поскольку Вы уведомляете субъекта об обработке персональных данных. Однако, если он не дал свое согласие на их последующую обработку, вам придется уничтожить информацию о нем из базы данных.

Также необходимо будет соблюсти условия ст. 22 закона

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
3. Уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных;
10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.4. Возможно ли каким-то образом, не нарушая законодательство РФ, получить разрешение(избежать ответственности) на обработку уже имеющихся персональных данных, полученных без согласия абонента?
Иван

Да, возможно. уведомив надлежащим образом субъекта персональных данных и уполномоченный гос. орган по их защите.

Эксперт:
1. Если я позвоню человеку из этой базы и спрошу его согласие на обработку ПД, после чего предложу свой рекламный продукт, то не возникнет ли проблем с тем, откуда у меня его номер и буду ли я нести ответственность за это, в случае подачи соответствующего заявления, являясь юр лицом?/физ лицом?
Иван

В соответствии с ФЗ О ПД

Статья 5. Принципы обработки персональных данных
1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

То есть получить согласие субъекта на обработку ПД нужно, об этом говорится и в ст. 6 ФЗ.

Говорить можно что угодно, что случайно набрали, в газете увидели и т.д.

Но если человек знает точно, что он нигде не размещал свой телефон, а тем более ФИО, то это уже будет основанием жалобы на Вас и поводом для проверки.

2.Может ли компания, клиентами которой являюся лица, входящие в состав этой базы, сама подать заявление о неправомерной обработке ПД, или такое заявление может подать только лицо, чьи контактные данные были неправомерно использованы?
Иван

Требовать имеет право либо субъект ПД, либо его представитель.

Статья 17. Право на обжалование действий или бездействия оператора
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

То есть в принципе и компания может подать заявление если будет представителем субъекта ПД.

3. Если я совершаю звонок на телефонный номер, не имея прав на обработку этих данных и перед началом презентации услуг задаю вопрос о согласии абонента на обработку ПД, то является ли факт данного телефонного разговора нарушением закона о ПД и понесу ли я за это ответственнсть, в случае подачи соответствующего заявления?
Иван

Вы уже узнали откуда то номер. то есть Вы уже нарушаете закон. Вот если даст согласие на обработку ПД, что сомнительно, то тогда соответственно у человека не возникает претензий фактически.

4. Возможно ли каким-то образом, не нарушая законодательство РФ, получить разрешение(избежать ответственности) на обработку уже имеющихся персональных данных, полученных без согласия абонента?
Иван

Если будет рекламирование товара, то в любом случае нужно его согласие, так как это прямо прописано в ФЗ.

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данныхв целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

А доказать, что именно этот человек дал разрешение, нужно будет именно Вам.

То есть как минимум разговоры записывать.

5. Будет ли возможно привлечение к ответственности за обработку ПД в нашей стране, если обзвонить людей, входящих в эту базу от лица оффшорной компании, зарегистрированной, скажем, на БВО (Британо Виргинские Острова)?
Иван

В нашей нет, ибо компания расположена будет на территории другой страны.

6. Будет ли законодательная система БВО рассматривать жалобы от неграждан бво в адрес компании, зарегистрированной на бво? (применительно к обработке ПД)
Иван

Это только они знают. Вообще должны, так как насколько помню есть международные конвенции об охране ПД. Да и во всём мире ПД охраняются законом.

Эксперт:
1. Если я позвоню человеку из этой базы и спрошу его согласие на обработку ПД, после чего предложу свой рекламный продукт, то не возникнет ли проблем с тем, откуда у меня его номер и буду ли я нести ответственность за это, в случае подачи соответствующего заявления, являясь юр лицом?/физ лицом?
Иван

Иван, естественно, проблема возникает лишь в том случае, если кто-то с соответствующим заявлением обратится в контролирующий орган. Однако предположить заблаговременно, будет ли абонент направлять такое заявление, Вы не можете. Поэтому если уж Вы собираетесь пользоваться таким способом рекламы, уведомляйте абонента о том, что его номер получен Вами путем применения метода случайного набора и само собой не старайтесь назвать абонента по ФИО.

2.Может ли компания, клиентами которой являюся лица, входящие в состав этой базы, сама подать заявление о неправомерной обработке ПД, или такое заявление может подать только лицо, чьи контактные данные были неправомерно использованы?
Иван

Компания может обратиться не за незаконное использование ПД, а о хищении принадлежащей ей базы данных. В противном случае она сама будет отвечать за нарушение законодательства о персональных данных.

3. Если я совершаю звонок на телефонный номер, не имея прав на обработку этих данных и перед началом презентации услуг задаю вопрос о согласии абонента на обработку ПД, то является ли факт данного телефонного разговора нарушением закона о ПД и понесу ли я за это ответственнсть, в случае подачи соответствующего заявления?
Иван

Если я правильно понял, то Вы по сути не собираетесь выяснять у абонента сведения, которые можно расценить как персональные данные — Вам необходимо сообщить ему рекламную информацию. Или Вы намереваетесь персонифицировать звонок путем выяснения у него такой информации, "
которая относится к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)"?

4. Возможно ли каким-то образом, не нарушая законодательство РФ, получить разрешение(избежать ответственности) на обработку уже имеющихся персональных данных, полученных без согласия абонента?
Иван

Для этого Вам придется заново выяснить эти персональные данные у абонента и испросить у него соответствующего разрешения и уведомить о намерении использовать эти данные государственный орган, осуществляющий защиту персональных данных.

5. Будет ли возможно привлечение к ответственности за обработку ПД в нашей стране, если обзвонить людей, входящих в эту базу от лица оффшорной компании, зарегистрированной, скажем, на БВО (Британо Виргинские Острова)?
Иван

Не совсем понятно. Если компания зарегистрирована на БВО, то каким образом она осуществляет свою деятельность на территории РФ? Если же предположить, что звонки осуществляются из-за границы, то безусловно привлечь такую компанию к ответственности по законодательству РФ будет невозможно.

6. Будет ли законодательная система БВО рассматривать жалобы от неграждан бво в адрес компании, зарегистрированной на бво? (применительно к обработке ПД)
Иван

Это совершенно маловероятно. Как маловероятно также и само по себе обращение с жалобой на незаконное использование персональных данных в какой-либо государственный орган БВО от абонента из РФ.

Эксперт:

Доброе утро!
Многое зависит от того, действительно ли персональные данные в виде ФИО, абонентского номера и адреса электронной почты, получены без согласия на это субъекта.
Может быть такая ситуация, что сам субъект предоставил свои персональные для неограниченного круга лиц. Например, указал свои фамилию, имя или отчество, номер телефона или адрес электронной почты на сайтах в сети Интернет.
В таком случае нарушения законодательства не будет.
Соответственно, если персональные данные не сделаны общедоступными самим субъектом путем их публикации, то возможна ответственность за нарушение законодательства.
Полагаю, что при проведении рекламной кампании с использованием телефонной связи и электронной почты следует учитывать прежде всего то, что на это требуется предварительное согласие абонента.
Таким образом, чтобы не возникло проблем с законом, необходимо соблюсти два условия:
— персональные данные должны быть общедоступными;
— при проведении рекламной кампании необходимо получать предварительное согласие (например, при телефонном звонке, выяснять, готов ли собеседник выслушать рекламное предложение).
Заявление в правоохранительные или контролирующие органы вправе направить как сам субъект персональных данных, так и любое заинтересованные лицо.
Стоит заметить, что вероятность обращения с жалобой, если реклама ненавязчива, корректна, небольшая.

Федеральный закон от 27.07.2006 N 152-ФЗ
«О персональных данных»

Статья 6. Условия обработки персональных данных
10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);

Федеральный закон от 13.03.2006 N 38-ФЗ
«О рекламе»

Статья 18. Реклама, распространяемая по сетям электросвязи
1. Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено. Рекламораспространитель обязан немедленно прекратить распространение рекламы в адрес лица, обратившегося к нему с таким требованием.

Эксперт:


Уважаемые коллеги не обратили внимание (кроме Юрия Колковского), что персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Т.е. сам по себе телефонный номер или е-мейл — это не персональный данные. Другими словами, чтобы привлечь Вас к ответственности за нарушение ПДн, Вам необходимо при звонке сначала назвать абонента. Если Вы его не называете, но невозможно доказать, что Вы обладаете информаций о том, к какому лицу относится это телефон (мейл). Думаю, что Вы называть абонента не будете. Более того, рекомендую Вам удалить данные абонентов -иначе на данный момент Вы нарушаете закон, храня персональные данные. Если у Вас останутся только телефоны — по сути, некие цифры, то привлечь к ответственности по ПДН невозможно, если останутся е-мейлы, то ответственность отбивается по основанию, что адрес не соотносится с определенным либо определяемым лицом.

Далее, если бы была речь об обработке ПДН, то согласие надо было бы получать ДО звонка, что невозможно в Вашем случае.

Юрий Салмин верно отметил риск по закону о рекламе — ст. 18. Этот риск снимается несколькими способами. Если звонок делается с телефона, принадлежащего физлицу, то установить нарушителя довольно сложно – оператор может отказать выдать такое лицо со ссылкой на тот же закон о перс данных. Плюс, если кто-то об этом заявит, он должен предоставить текст такой рекламы (по сути, записывать голос в онлайне). Это усложняет привлечение к ответственности. Плюс, информация может не являться рекламой, а просто справочной. Например, вы звоните и говорите: «Мы такие-то. Хотите получить справочную информацию по такому-то поводу?» ответ нет – вы кладете трубку, Вы ничего не рекламировали, ответ – да, даете информацию. Нужно понимать, что реклама — это не просто информация, а информация, побуждающая к покупке, а именно, закон использует такую формулировку — направленная на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижение на рынке.

2.Может ли компания, клиентами которой являюся лица, входящие в состав этой базы, сама подать заявление о неправомерной обработке ПД, или такое заявление может подать только лицо, чьи контактные данные были неправомерно использованы?
Иван

Конечно, претензии по персональным данным она не может предъявить, но претензии в связи с использованием ее базы данных как объекта смежного права — очень даже может, см. ГК РФ:

Статья 1304. Объекты смежных прав
1. Объектами смежных прав являются:
4) базы данных в части их охраны от несанкционированного извлечения и повторного использования составляющих их содержание материалов;
Статья 1333. Изготовитель базы данных
1. Изготовителем базы данных признается лицо, организовавшее создание базы данных и работу по сбору, обработке и расположению составляющих ее материалов.
Статья 1334. Исключительное право изготовителя базы данных
1. Изготовителю базы данных, создание которой (включая обработку или представление соответствующих материалов) требует существенных финансовых, материальных, организационных или иных затрат, принадлежит исключительное право извлекать из базы данных материалы и осуществлять их последующее использование в любой форме и любым способом (исключительное право изготовителя базы данных). Изготовитель базы данных может распоряжаться указанным исключительным правом. При отсутствии доказательств иного базой данных, создание которой требует существенных затрат, признается база данных, содержащая не менее десяти тысяч самостоятельных информационных элементов (материалов), составляющих содержание базы данных (абзац второй пункта 2 статьи 1260).
Никто не вправе извлекать из базы данных материалы и осуществлять их последующее использование без разрешения правообладателя, кроме случаев, предусмотренных настоящим Кодексом. При этом под извлечением материалов понимается перенос всего содержания базы данных или существенной части составляющих ее материалов на другой информационный носитель с использованием любых технических средств и в любой форме.

Ответственность за использование базы данных:

Статья 1311. Ответственность за нарушение исключительного права на объект смежных прав
В случаях нарушения исключительного права на объект смежных прав обладатель исключительного права наряду с использованием других применимых способов защиты и мер ответственности, установленных настоящим Кодексом (статьи 1250, 1252 и 1253), вправе в соответствии с пунктом 3 статьи 1252 настоящего Кодекса требовать по своему выбору от нарушителя вместо возмещения убытков выплаты компенсации:
1) в размере от десяти тысяч рублей до пяти миллионов рублей, определяемом по усмотрению суда исходя из характера нарушения;
2) в двукратном размере стоимости контрафактных экземпляров фонограммы;
3) в двукратном размере стоимости права использования объекта смежных прав, определяемой исходя из цены, которая при сравнимых обстоятельствах обычно взимается за правомерное использование такого объекта тем способом, который использовал нарушитель.

И, как Вы уже поняли, BVI- Британские Виргинские Острова — использовать для Вашей цели смысла нет. Они полезны только для оптимизации налогообложения.

Эксперт:
1. Если я позвоню человеку из этой базы и спрошу его согласие на обработку ПД, после чего предложу свой рекламный продукт, то не возникнет ли проблем с тем, откуда у меня его номер и буду ли я нести ответственность за это, в случае подачи соответствующего заявления, являясь юр лицом?/физ лицом?
Иван

Спорный вопрос, на мой взгляд. При буквальном толковании закона — использование справочника, составленного незаконно, является незаконным использованием персональных данных. С другой — иногда буквальное толкование закона о ПДн может доходить до полнейшего абсурда, так что, возможно, буквально его толковать правоприменитель не будет.

Кроме того, в соответствии со ст. 15:

Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено

Таким образом, если вы хотите предлагать какой-то продукт — лучше всё-таки о согласии спросить заранее.

Можете попробовать зацепиться за определение персональных данных:

1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физ. лицу (субъекту персональных данных);

то есть поставить вопрос примерно так: «а можно ли по ФИО и номеру определить конкретное лицо? Паспортных данных нет, адреса нет — а мало ли Ивановых Иванов Ивановичей...».

Можно также посмотреть страницы человека в соцсетях. Может, он и сам давно выложил в открытый доступ свои данные. Тогда -

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим ФЗ. Обработка персональных данных допускается в следующих случаях:

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);

(ст. 6 Закона о ПДн).

2.Может ли компания, клиентами которой являюся лица, входящие в состав этой базы, сама подать заявление о неправомерной обработке ПД, или такое заявление может подать только лицо, чьи контактные данные были неправомерно использованы?

По идее, юр. лицо может тоже обратиться в гос. орган (например, Роскомнадзор) с заявлением о правонарушении, исходя из положений ст. 28.1 КоАП РФ:

1. Поводами к возбуждению дела об административном правонарушении являются:

3) сообщения и заявления физических и юридических лиц, а также сообщения в средствах массовой информации, содержащие данные, указывающие на наличие события административного правонарушения;3. Если я совершаю звонок на телефонный номер, не имея прав на обработку этих данных и перед началом презентации услуг задаю вопрос о согласии абонента на обработку ПД, то является ли факт данного телефонного разговора нарушением закона о ПД и понесу ли я за это ответственнсть, в случае подачи соответствующего заявления?

Опять же — трудно сказать однозначно. Я не думаю, что это будет нарушением. Ведь чтобы получить согласие или несогласие человека, надо сначала с ним связаться и спросить. Считать это нарушением закона — значит, фактически, объявить нарушителями чуть ли не всё население страны.

4. Возможно ли каким-то образом, не нарушая законодательство РФ, получить разрешение(избежать ответственности) на обработку уже имеющихся персональных данных, полученных без согласия абонента?

А почему нет? Можно понести ответственность за неправомерное использование чужих данных ДО получения согласия, но где запрет раскаяться и это согласие получить?

Эксперт:


Коллеги в целом уже ответили на Ваш вопрос, я бы хотел дополнительно от себя еще раз обратить внимание на полный перечень требований законодательства по персональным данным.
Действующее законодательство, и в первую очередь 152-ФЗ устанавливает ряд требований, касающихся обработки персональных данных. 
Основные требования:
1. На своем сайте Вы должны разместить Политику конфиденциальности. При этом нужно обратить внимание, что подойдет не каждая политика, то есть вариант «взять у конкурента» (который, как правило, сам откуда-то «взял») или просто «с интернета» не самый лучший, поскольку многие политики сделаны некачественно и основное — Вам нужна Политика, которая конкретно будет подходить под Вас.

К Политике есть ряд требований. Если говорить о самых общих моментах (перечень не исчерпывающий), то Политика должна содержать:

1.1. Перечень персональных данных, которые Вы обрабатываете.
1.2. Сведения о способах обработки персональных данных.
1.3. Должно быть прописано, что, проставляя галочку о согласии с политикой конфиденциальности Пользователь тем самым Пользователь дает свое согласие на обработку его персональных данных, указанных в Политике конфиденциальности.
1.4. Цели использования персональных данных.
1.5. Принципы обработки персональных данных, которыми Вы руководствуетесь.
1.6. Меры, применяемые для защиты персональных данных.
1.7. Очень важный момент, про который многие забывают – если в процессе использования персональных данных, эти данные становятся доступны третьим лицам, в том числе в автоматическом режиме, например, лицам, которые просто помогают Вам в управлении сайтом, маркетинговому партнеру и т.д., то об этом обязательно (!) должно быть указано в политике. Это частая ошибка, которая приводит к тому, что Вам могут вменить незаконное разглашение персональных данных, несмотря на то, что Вы даже не думали ничего не нарушать. С этим мне неоднократно приходилось сталкиваться лично, Роскомнадзор за это активно штрафует.
1.8. Также в политику конфиденциальности нужно обязательно включить положение о том, что Вы вправе в любой момент изменить условия политики конфиденциальности в одностороннем порядке. Про это тоже часто забывают.
1.9. Еще нужен ряд положений, которые касаются того, что мол проставлением отметки Пользователь подтверждает, что он согласен со всеми условиями Политики конфиденциальности, что положения ему ясны и т.д.
1.10. Также в Политике отдельное внимание должно быть уделено файлам cookie, про это тоже часто забывают, хотя это тоже важный момент.
Это самый общий ряд требований, при этом стоит отметить, что каждый пункт должен быть сформулирован грамотно и должен учитывать конкретно Ваши нюансы. 

2. На сайте должно быть Пользовательское соглашение (либо договор-оферта, либо лицензионное соглашение – в принципе это все одно и тоже).
Стоит отметить, что с одной стороны ничто не мешает «запихать» положения о персональных данных (политику конфиденциальности) в пользовательское соглашение. Однако лично я рекомендую эти документы разделять, поскольку мне лично уже приходилось сталкиваться с тем, что Роскомнадзор при проверке сайта нескольких моих клиентов просто не разглядел положения про персональные данные в пользовательском соглашении и повесил штраф. И хотя все это дело мы успешно оспорили, но лишний раз «давать повод» я не рекомендую, лучше перестраховаться.  

В ситуации же когда Политика сделана отдельно, то ее пропустить уже невозможно и соответственно риск того, что кто-то просто не разглядит эти пункты в пользовательском соглашении, отпадают. Плюс ко всему если делать нормальную качественную политику конфиденциальности, то она получается не на 1 и не на 2 страницы, не говоря уже о пользовательском соглашении и если все совмещать, то Пользовательское соглашение вполне вероятно получится чрезмерно раздутым, что не очень удобно и при этом не стоит также забывать, что на Вас лежит обязанность по доведению до клиентов всей необходимой информации о реализуемых товарах/услугах и для целей выполнения этой обязанности делать плохо читаемые раздутые и неструктурированные документы не самая лучшая идея (например, по банкам есть судебная практика когда суды не признают написанное в документах мелким шрифтом, что мол нельзя в таком виде доводить информацию до клиентов, здесь может быть применена та же логика).
Что касается требований к Пользовательскому соглашению (договору-оферте, лицензионному соглашению), то это предмет отдельного разговора, требований очень много и здесь они уже полностью зависят конкретно от Вашей ситуации и как следствие их нужно каждый раз обсуждать отдельно. Общая цель Пользовательского соглашения – расписать условия предоставления доступа к сервису и/или условия продажи товаров/услуг, описать предмет договора, права и обязанности сторон, порядок расчетов, порядок разрешения споров, ограничить Вашу ответственность (настолько, насколько это позволяет закон, частая ошибка – вопросам ответственности в Пользовательском соглашении изначально уделяют очень мало внимания и возвращаются к ним только после того как столкнутся с конкретной претензией от клиента или еще хуже с судебным иском, я всегда рекомендую все риски (настолько насколько это позволяет закон) закрывать изначально при подготовке документации).
Также в Пользовательском соглашении можно прописать условие о договорной подсудности по месту Вашего нахождения (кстати в способе описания условия о договорной подсудности очень часто допускаются ошибки, и суды потом признают пункт о договорной подсудности не согласованным, если хотите, чтобы в случае чего судебные споры были по месту Вашего нахождения (не во всех случаях применимо), то нужно к описанию этого пункта подойти максимально ответственно и с учетом судебной практики).

3. Помимо непосредственно наличия самих документов, есть требования к самому сайту, а именно: 

3.1. На сайте на абсолютно всех формах обратной связи, через которые может быть осуществлена передача персональных данных, должно быть окошечко, в котором Пользователи проставляют отметку о согласии с политикой конфиденциальности и пользовательским соглашением. Частая ошибка – делается политика конфиденциальности, а в окошечке Пользователь просто дает согласие с «обработкой персональных данных», а не с условиями Политики конфиденциальности и как следствие в этом случае фактически у Вас не будет подтверждения, что Пользователь согласился соблюдать условия политики конфиденциальности. Надо понимать, что цель политики конфиденциальности – в том числе получение от Пользователя согласия с обработкой его персональных данных, поэтому еще отдельно брать с него согласие на саму обработку уже не нужно, только согласие с политикой конфиденциальности.
3.2. Без проставления отметки о согласии с политикой конфиденциальности и пользовательским соглашением Пользователь не должен иметь возможности отправить Вам свои персональные данные. Это касается в том числе случаев даже если он Вам передает только имя, номер телефона или адрес электронной почты (это все относится к персональным данным – ст. 3 152-ФЗ).
4. Политика конфиденциальности и Пользовательское соглашение касаются урегулирования вопросов обработки персональных данных Ваших клиентов/Пользователей сервиса. Однако если у Вас есть работники, то дополнительно также нужно, чтобы был комплект документов, регулирующих вопросы обработки персональных данных Ваших сотрудников. Основным документом, который выполняет эту задачу является положение об обработке персональных данных, либо часто его называют положением о коммерческой тайне (хотя коммерческая тайна это другое, многие называют его именно так, а в содержании все равно прописывают вопросы обработки персональных данных), название тут не принципиально, строгих требований к нему нет, главное содержание. Я как правило предпочитаю объединять эти документы в один общий и именовать его «Положение о коммерческой тайне и обработке персональных данных» и в нем сразу урегулировать как вопросы коммерческой тайны, так и вопросы обработки персональных данных. Что касается требований к содержанию положения, то оно должно включать в себя:
4.1. Информацию о том, какие данные сотрудников обрабатываются.
4.2. Цели обработки персональных данных.
4.3. Порядок ознакомления сотрудников компании с положением.
4.4. Порядок и сроки уведомления работниками работодателя об изменении своих персональных данных.
4.5. Меры по защите персональных данных.
4.6. Порядок доступа отдельных работников к персональных данным сотрудников компании.
4.7. Порядок хранения персональных данных.
4.8. Условия предоставления третьим лицам персональных данных сотрудников компании.

Стоит отметить, что данное положение представляет собой локальный нормативный акт работодателя (ст. 8 Трудового кодекса РФ) и к нему применяются соответствующие требования, в частности: 1. Данное положение должно быть утверждено приказом единоличного исполнительного органа (директора) компании. 2. Работники должны быть ознакомлены под подпись с содержанием указанного положения (п.6 ч.1 ст. 18.1 152-ФЗ).

5. Помимо приказа об утверждении положения, регулирующего вопросы обработки персональных данных, также у Вас должен быть принят приказ о назначении ответственного за обработку персональных данных (ст. 22.1 ФЗ № 152-ФЗ). Чаще всего им выступает сам директор компании, но это не обязательно. Каких-либо специфичных требований к приказу здесь нет, требования к нему общие – такие, как и к любому другому внутреннему приказу.
6. Помимо указанных документов также, как правило, Вы должны направить уведомление в Роскомнадзор об обработке персональных данных (не путать с регистрацией в Роскомнадзоре).
Уведомление направляется по онлайн форме — https://pd.rkn.gov.ru/operators-registry/notification/form/и плюс должно быть продублировано в письменном виде по обычной почте. 

Здесь частая ошибка – люди считают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор.
С точки зрения закона действительно далеко не все компании должны направлять уведомление в Роскомнадзор. Например, если Вы обрабатываете персональные данные только своих контрагентов по договорам, то у Вас нет обязанности по направлению уведомления в Роскомнадзор (это лишь один пример, исключений больше).
Однако на сегодняшний день позиция Роскомнадзора такова, что уведомление нужно направлять практически всегда, поскольку практически всегда компании помимо обработки данных, которые подпадают под исключение о необходимости направления уведомления, также осуществляют иные формы обработки персональных данных. Например, если Вы храните персональные данные потенциальных или бывших клиентов (в маркетинговых, рекламных или иных целях) – то это уже не подпадает под исключение, поскольку у Вас с ними нет действующего договора. Поскольку, как правило, все хранят данные о тех клиентах, которые обратились, но еще не заключили договор или с которыми у Вас уже закончились договорные отношения, то в любом случае с точки зрения закона Вы уже не подпадаете под исключение и как следствие должны направить уведомление в Роскомнадзор по указанной выше форме.
Многие к сожалению, ошибочно полагают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор, за что потом Роскомнадзор их привлекает к ответственности.

7. Необходимо отметить, что приведенные выше требования касаются ситуации, когда Вы обрабатываете данные граждан РФ в соответствии с 152-ФЗ. Однако не стоит забывать, что если Сервис ориентирован также на международный рынок, в частности на европейских клиентов или клиентов из США, то тут возникают дополнительные требования. Особое внимание следует в этом случае обратить на Регламент №2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» General Data Protection Regulation (GDPR), который вступил в силу с 25.05.2018 г. Описывать все его требования в данном случае я думаю не совсем уместно, так как это тема отдельного полноценного разговора, но суть в том, что если Вы ориентированы на европейский рынок, то Ваша политика конфиденциальности должна быть составлена в полном соответствии со всеми требованиями GDPR. В отношении других стран также следует обратить внимание на местное законодательство, в частности, для работы с гражданами США, например, обязательно следует учесть требования Children's Online Privacy Protection Act (COPPA).  

В целом нюансов и требований в части иностранного законодательства много, но их следует прорабатывать уже индивидуально и смотреть на кого ориентирован сервис.

8. Также еще частной ошибкой является хранение персональных данных граждан РФ на зарубежных сервисах, что запрещено законом (ст. 18 152-ФЗ). Хранить персональные данные граждан РФ можно только на российских серверах, про это ни в коем случае нельзя забывать. 

Что касается ответственности, то за любое нарушение установленного законом порядка сбора, хранения или распространения информации о гражданах (персональных данных) влечет за собой ответственность по ст. 13.11 КоАП РФ (там большой перечень видов нарушений, всего 7 частей в данной статье). При этом каждое нарушение рассматривается отдельно и, соответственно наказание за каждое нарушение также назначается отдельно, максимальный размер штрафа на текущий момент – 75000 руб.
Также если речь идет о нарушении обязанностей по хранению и использованию персональных данных работников, то может грозить ответственность по ст. 5.27 КоАП, здесь помимо штрафа уже предусмотрено административное приостановление деятельности на срок до 90 суток. 
Также непредставление в органы Роскомнадзора уведомления об обработке персональных данных влечет ответственность по ст. 19.7 КоАП РФ. 

Помимо прочего стоит отметить, что Роскомнадзор неоднократно обращал внимание, что существует и уголовная ответственность за нарушение неприкосновенности частной жизни – ст. 137 УК РФ.
Стоит отметить, что в целом это основной набор требований по 152-ФЗ, однако не стоит забывать, что в зависимости от ситуации набор требований может расширяться или наоборот сужаться. При этом стоит обратить внимание, что если, например, есть требование о наличии на сайте политики конфиденциальности, то это не значит, что к нему можно подходить формально и использовать любую политику, так как просто наличие формальной бумажки на сайте с названием «политика конфиденциальности» не имеет ничего общего с выполнением требований законодательства об обработке персональных данных.
(!!!) Также обращаю ваше внимание, что, если что-то останется непонятным БОЛЕЕ ПОДРОБНУЮ УСТНУЮ ИЛИ ПИСЬМЕННУЮ КОНСУЛЬТАЦИЮ по ЛЮБЫМ вопросам обработки персональных данных, в том числе по требованиям 152-ФЗ, GDPR, COPPA, Вы всегда можете получить, обратившись ко мне в чат (кнопка «общаться в чате» возле фотографии аккаунта).

(!!!) Также обратившись в чат ЛЮБОЙ может получить ПОМОЩЬ В РАЗРАБОТКЕ НЕОБХОДИМОЙ ДОКУМЕНТАЦИИ, касающейся исполнения требований российского и/или иностранного законодательства в сфере обработки персональных данных, в том числе помощь в разработке Политики конфиденциальности, Пользовательского соглашения (договора-оферты, лицензионного соглашения), положения о коммерческой тайне и обработке персональных данных, заполнении уведомления в Роскомнадзор, проведении аудита сайта/мобильного приложения на предмет соответствия требованиям законодательства о персональных данных. Буду рад помочь.

С Уважением,

Васильев Дмитрий.

Источники

Использованные источники информации.

  • https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/obrabotka/bez-ispolzovaniya-avtomatizatsii.html
  • https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/obrabotka/avtomatizirovannaya.html
  • https://zen.yandex.ru/media/id/5b1fe8014bf161ea0168ce1f/5bf815edbddd2800abc11f9d
  • https://bizakon.ru/kadry/zakon-ob-obrabotke-personalnyh-dannyh.html
0 из 5. Оценок: 0.

Комментарии (0)

Поделитесь своим мнением о статье.

Ещё никто не оставил комментария, вы будете первым.


Написать комментарий