Соблюдение законов как сервис: как ЦОД помогает бизнесу в работе с персональными данными. СМИ vs Роскомнадзор Сми и закон о персональных данных

Вопросы о размещении на различных сайтах в сети «Интернет» персональных данных пользователей (ПД), появляются на Праворубе с завидной регулярностью, однако, содержание как самих , так и ответов на них, свидетельствует о том, что далеко не все правильно понимают, что же такое персональные данные, каков их юридический статус, кто, и что может делать с персональными данными пользователей web-сайтов.

Поскольку мне, в качестве официального представителя портала Праворуб, регулярно приходится давать ответы на всевозможные запросы и жалобы, я попробую в этой статье разъяснить, что же это за зверь такой, и что делать в той или иной ситуации, касающейся персональных данных и их обработки.

В соответствии с ч. 1 ст. 3 закона РФ «О персональных данных» от 27.07.2006 № 152-ФЗ, персональные данные это:

любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Таким образом, на сегодняшний день, благодаря «бесконечной мудрости» и «прозорливости» наших законодателей, к персональным данным, теоретически, можно отнести почти всё, что гражданин (субъект персональных данных), либо любой государственный «контролёр» посчитает, прямо или косвенно, относящимся к конкретному физическому лицу.

Именно столь бесконечно широкое определение и вводит большинство граждан, в т.ч. и должностных лиц надзирающих и контролирующих органов, в заблуждение относительно ключевого понятия объекта правовой защиты.

Понять, что же всё-таки относится к защищаемым законом персональным данным, проще всего путём исключения из вышеприведённого определения всего того, что к ним (ПД), не относится, а перечень таких исключений прямо перечислен в ч. 2 ст. 1 закона № 152-ФЗ, т.е. личные архивы физических лиц, государственные архивы, и многочисленные государственные информационные системы этим законом не регулируются и персональными данными не являются.

Однако, даже в тех случаях, когда сведения о гражданине относятся к категории персональных данных, далеко не всегда сам субъект персональных данных вправе требовать их изменения или удаления.

Не буду утомлять читателя перечислением всех многочисленных целей и условий сбора, хранения, и обработки персональных данных, а вновь обращу внимание на исключения, то есть те случаи, когда субъект персональных данных фактически утрачивает право и возможность повлиять на сведения (информацию, ПД) о себе любимом, находящуюся у иных лиц - операторов персональных данных.

Субъект персональных данных фактически утрачивает право требования удаления информации (сведений) о себе, когда имеется совокупность обстоятельств, указанных в п. 10 или 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», то есть в тех случаях, когда гражданин сам сделал сведения о себе общедоступными (например - опубликовал в СМИ или сети «Интернет»), либо эти данные подлежат обязательному опубликованию (например - сведения о кандидатах в депутаты или данные реестра адвокатов).

Собственно именно об этом и говорится в преамбуле (ПС) портала «Праворуб», как и большинства других приличных сайтов:

Пользователь безвозмездно и бессрочно передает Владельцу сайта право использования своих произведений, сбор, обработку и опубликование своих персональных данных, в том числе своих изображений, и контактных данных

Здесь стоит напомнить, что на Праворубе, как и абсолютном большинстве web-сайтов, ничего нельзя написать без прохождения процедуры регистрации и прямого подтверждения своего согласия с условиями пользовательского соглашения.

Конечно далеко не все пользователи, даже после регистрации на сайте, удосуживаются прочесть условия пользовательского соглашения, но поставив «галочку» в регистрационной форме сайта, Вы уже совершили полный и безоговорочный акцепт () и заключили договор с владельцем сайта на условиях пользовательского соглашения.

Применительно к порталу «Праворуб», необходимо учитывать так же его особенности, в частности - систему аутентификации пользователей профессиональных категорий, и систему разграничения уровней доступа к различному контенту, и если с профессионалами, подтвердившими свою категорию, всё понятно, то с неаутотентифицированными пользователями (гости и энтузиасты) картина иная.

Если о пользователях профессиональных категорий владельцам портала известно достаточно много, то о «гостях» известно только с какого адреса электронной почты проведена регистрация аккаунта и IP-адреса с которых осуществлялась авторизация пользователя.

Однако, эти данные (E-Mail & IP), даже с большой натяжкой, вряд-ли можно отнести к категории персональных данных, поскольку сами по себе они человека однозначно не идентифицируют.

Точно так же, как не являются персональными данными всевозможные «ники» - псевдонимы, в качестве которых могут использоваться хоть собачьи клички, хоть названия любимых чипсов пользователя, и это (по крайней мере пока) право пользователя, не претендующего на получение профессиональной категории, и желающего сохранить свою анонимность, что коррелирует с отнесением к адвокатской тайне даже самого факта обращения гражданина за юридической помощью.

Тем не менее, «особо одарённые» пользователи, частенько не задумываются о последствиях своего поведения и имеющихся на большинстве сайтов технических ограничениях возможности позднего редактирования своих публикаций и комментариев, и «смело» указывают на своих личных страницах и в собственных «произведениях» массу информации о себе, а потом, опомнившись (порой через несколько лет) требуют удалить всю их писанину.

Естественно, всем таким «опомнившимся» и «прозревшим» администрация отказывает и предлагает обращаться в суд в случае несогласия, одновременно предупреждая о сомнительности этой перспективы, и взыскании судебных издержек в случае проигрыша.

И дело тут вовсе не в самоуверенности владельцев сайта, а в том, что имеются как технические и организационные, так и законодательные препятствия в удовлетворении подобных «хотелок».

С технической и организационной стороны, препятствия состоят в том, что зачастую пользователь не может даже указать точную ссылку на нужную страницу, не говоря уже о том, что обращающийся с «хотелкой» пользователь никак не может соотнести себя с автором той писанины, которую требует удалить, и не желает понимать, что невозможно «выпилить» его комментарий из ветки обсуждения, не нарушив целостность всей цепочки, и не поставив в глупое положение всех тех пользователей, которые ответили на его комментарий.

С юридической же стороны всё ещё сложнее - многие даже не подозревают о существовании ст. 10.1 федерального закона (из «пакета Яровой») от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», которая называется: «Обязанности организатора распространения информации в сети «Интернет», за нарушение требований которой установлена отнюдь не символическая ответственность, предусмотренная .

Не вдаваясь в анализ самих норм этой статьи, и множества подзаконых актов, возлагающих на организаторов распространения информации в сети «Интернет» множество весьма обременительных обязанностей, могу сказать только одно: ни один владелец сайта, представляющего хоть какую-то ценность, не станет рисковать своим сайтом ради чьих-то сомнительных хотелок.

Для тех кто «не в курсе» напомню - портал Праворуб включен в федеральный реестр организаторов распространения информации в сети «Интернет». Реестровый № 17-PP от 27.11.2014 г., о чём официально указано . Просто вдумайтесь: наш сайт включен в реестр организаторов распространения информации семнадцатым, среди тысяч других сайтов, и Вы поймёте, какое пристальное внимание ему уделяют «органы».

Всем добросовестным, но «сильно спешащим» пользователям, хочу процитировать один из стандартных ответов администрации сайта на просьбы об удалении чего бы то ни было с сайта:

Всё, что Вы написали на Праворубе, останется здесь навсегда.

Размещая своё Произведение (публикацию, вопрос, комментарий, документ - любой контент) на сайте, автор (пользователь) признаёт, что оно становится частью Сайта, как сложного составного произведения (), и предоставляет Владельцу сайта неограниченную и бессрочную лицензию (исключительные права) на безвозмездное использование любых своих произведений, добровольно размещённых пользователем на сайте, по усмотрению Владельца сайта, а так же признаёт безусловное авторское право Владельца сайта на это сложное составное произведение. Право на отзыв () к произведениям, размещённым пользователями на сайте, не применяется.

Тем же, кому действительно есть резон убрать из публичного доступа (но не удалить безвозвратно) свои необдуманные «произведения» и спрятать свои «грехи молодости», придётся воспользоваться специальным инструментом, доступным только автору публикации/вопроса, но за маскировку собственной глупости, придётся уже заплатить, хотя лично я считаю это справедливым, и оправданным «предохранителем» от возможного буйства современных «геростратов».

Ну а тем, кто пытается использовать Интернет в целях навредить кому бы то ни было, могу лишь напомнить о существовании как гражданско-правовых, так и административных и уголовных инструментов борьбы с подобными проявлениями.

Всем пользователям интернета нужно помнить, что в интернете ничего не исчезает бесследно, и каждый пользователь сам должен думать, где и что он пишет, и отвечать за последствия своего поведения в Сети.

Герман Галкин, редактор сетевого издания Lentachel.ru

С 1 июля произошло ужесточение законодательства, серьезно затрудняющее работу средств массовой информации. При этом прошедшая 28 июня видеоконференция Уральского управления Роскомнадзора не сильно внесла ясность в перечень новых запретов и ограничений. Более того, выяснилось, что сотрудники уральского и челябинского Роскомнадзора по-разному понимают вводимую систему ограничений.

О том, что можно считать главным ограничением, уже говорили. Теперь фактически закрыта сама возможность журналистских расследований, без которых журналистики вообще-то не бывает. Закон о защите персональных данных резко ужесточает ответственность за несогласованное разглашение этих самых персональных данных граждан. Понятно, что журналистов интересуют чаще всего не рядовые граждане, а политики, чиновники, известные предприниматели, руководители силовых структур. Те или иные нарушения закона допускают все вышеперечисленные категории лиц. Беда для прессы теперь в том, что, если журналисты допустили «утечку» персональных данных, это будет расцениваться как …злоупотребление свободой СМИ. А персональные данные - это фактически любая информация об объекте журналистского расследования. Редакция СМИ может в два счета получить предупреждение Роскомнадзора. Не стоит лишний раз напоминать, что два предупреждения за год - уже есть повод для иска в суд о прекращении деятельности средства массовой информации. Фактически в России таким образом запрещают журналистику.

Я не преувеличиваю. Поскольку даже при использовании данных из открытых источников прессу теперь дополнительно ограничивают. Отныне журналисты имеют право брать из открытых источников только имя и фамилию (без отчества) героя материала, а также его должность или место работы. Описывать, где человек и как живет, с кем общается, уже будет считаться нарушением закона. Причем, для СМИ будет нарушением закона опубликовать даже то, что человек сам опубликовал о себе в социальных сетях. Понятно, что можно поступить по-другому: подробно рассказать о жизни человека, но изменить имя или использовать лишь инициалы. Однако в этом случае становится уже непонятно, о ком идет речь. И теряется сам смысл журналистской работы. Благодаря прессе цивилизованное общество контролирует деятельность высокопоставленных должностных лиц, включая депутатов, мэров, губернаторов, президента.

Согласно введенным изменениям в закон о персональных данных, главным критерием для того же Роскомнадзора является объем опубликованных сведений о человеке. Если информация не способствует идентификации личности, ее можно, видите ли, свободно размещать в СМИ. Правда, возникает вопрос - кому такая информация вообще будет нужна?

На встречах с юными журналистами я всегда советую читать «Универсального журналиста» Дэвида Рэндалла. Эта книга была написана в помощь молодым журналистам именно России. Напомню ключевой, на мой взгляд, момент из этого пособия: «Хорошие журналисты во всем мире одинаково понимают свою роль. Прежде всего, это означает задавать вопросы и сомневаться. Затем:

Отыскивать и публиковать информацию вместо слухов и измышлений.

Сопротивляться правительственному контролю или вовсе избегать его.

Информировать избирателей.

Тщательно расследовать действия и бездействие правительств, выборных представителей и общественных организаций.

Исследовать мир бизнеса, обращение с рабочими и покупателями и качество продукции.

Облегчать жизнь пострадавшим и тревожить удобно устроившихся, предоставляя свой голос тем, кто лишен возможности быть услышанными.

Держать зеркало у лица общества, показывая его достоинства и пороки, развенчивая лелеемые им мифы.

Работать на торжество правосудия, демонстрируя его победы и расследуя поражения.

Содействовать свободному обмену идеями, особенно - такими, которые идут вразрез с господствующей идеологией.»

В условиях изменившегося российского законодательства выполнять свое вышеописанное предназначение СМИ в России больше не смогут. На нас надели намордник в лице указанного закона и Роскомнадзора. Теперь автор материала должен взять согласие того, чьи персональные данные он собирается опубликовать. В некоторых ситуациях это согласие должно быть дано еще и в письменной форме - эти случаи перечислены в статьях 8, 10, 11, 12 и 16 федерального закона «О персональных данных». В частности, в статье 8 говорится: «В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.» И тут же добавляется: «Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.»

Разглашение сведений, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни возможно только с разрешения человека. Как, скажите, описывать теперь работу политиков? У каждого из них каждое СМИ теперь до публикации должно спрашивать разрешения на обнародование его политических взглядов? Даже если он состоит в той или иной партии? Абсурд.

Нелегче с фото и видеоматериалами. Если на фото и видео можно опознать человека, это считается распространением биометрических данных и требует …согласия субъекта. Исключением является только публикация фотографий во время розыскных и следственных действий. Для СМИ опять-таки есть лишь один выход - публиковать фотографии без подписей или давать минимальную информацию под ними. И то это будет рискованно.

Во время видеоконференции 28 июня я, как редактор сетевого издания Lentachel.ru, задал вопрос представительнице Уральского управления Роскомнадзора, которая вела конференцию. Вопрос касался одной из прежних наших публикаций, в которой челябинское управление Роскомнадзора усмотрело нарушения и потребовало убрать подробности происшествия. А происшествие было такое. На сайте службы спасения рассказывалось, как мужчина бросился с моста в реку. И прямо говорилось про попытку суицида. В публикации на Lentachel.ru не использовались слова "суицид", "самоубийство", тем не менее челябинский Роскомнадзор решил, что детали происшествия указывают именно на попытку самоубийства и потребовал скорректировать заметку или же вовсе удалить с сайта. Мы пошли первым путем. И внесли корректировку: "Новость временно отключена в связи с жалобой от Роскомнадзора в адрес сайта Lentachel.ru. В новости была информация от пресс-службы областной поисково-спасательной службы о том, что мужчина что-то сделал, о чем нельзя говорить на нашем сайте, но можно говорить на сайте областной поисково-спасательной службы."

Я описал этот случай представительнице уральского управления Роскомнадзора в присутствии всех участников видеоконференции. В ответ услышал, что достаточно было внести слово "предположительно" рядом со словом "самоубийство". И вопрос был бы снят. Я пояснил, что у нас в заметке в принципе не было слова "самоубийство". Стало быть, и сглаживать словом "предположительно" было нечего. Ведущая видеоконференции замялась. Потом сослалась на то, что не видит контекст.

Какие можно сделать выводы? Во-первых, что журналистика посредством новых законодательных ограничений уничтожается фактически в России на корню. Цензура по Конституции запрещена. Однако есть масса ограничений, которые фактически лишают журналистов возможности заниматься журналистикой. Во-вторых, есть основания думать, что отдельно взятый челябинский Роскомнадзор превышает свои полномочия. В-третьих, что в системе Роскомнадзора нет четких критериев оценки для обнаружения нарушений. А значит, драконовские изменения в законах будут дополнительно усилены своеобразным «пониманием» их применения в данном контролирующем ведомстве.

На видеоконференции челябинские журналисты просили представителя ведомства выдать письменные инструкции, что все-таки будет запрещено с 1 июля. Однако таковых не дождались. Как пояснила представительница Уральского управления Роскомнадзора, каждый случай индивидуален. Поэтому и решать Роскомнадзор будет индивидуально с каждым. Ничего хорошего для СМИ такой подход не сулит.

При таких ограничениях, да еще и «творческих» подходах Роскомнадзора прессе работать будет чрезвычайно трудно, если вообще возможно. Надо будет, видимо, уточнить имена тех, принимал данный безумный закон. И конечно, запомнить имена тех, кто с таким усердием его исполнял. Когда придет время закон о персональных данных в его нынешнем виде отменять (не факт, что все нынешние СМИ к тому времени выживут), можно будет вспомнить "героев" поименно. И воздать им по заслугам. Разумеется, в соответствии с нормами закона!

В Роскомнадзоре уже приводили пример, когда публикация о доходах госслужащего была определена как нарушение закона! Журналист взял сведения из официальной декларации чиновника, где также был указан доход его супруги. В тексте журналист дописал должность жены служащего и прочую информацию. Последовала жалоба от «пострадавших».

Претензии теперь могут, оказывается, возникнуть даже к публикациям, где дается справка о карьерной истории чиновника - где он учился, жил, работал. И в таком случае журналисту будет необходимо брать согласие у «субъекта персональных данных».

Каковы действия редакции СМИ как оператора ПД? Какие необходимы документы? Как собирать данные? – Читайте в статье Михаила Хохолкова.

Каждая редакция СМИ является оператором персональных данных своих сотрудников, читателей, подписчиков, рекламодателей и других контрагентов и подпадает под требования закона о персональных данных. Что нужно делать редакции как оператору ПД, какие документы подготовить, как собирать данные интернет-пользователей и нужно ли подавать уведомление в Роскомнадзор – рассказывает АНРИ.

Материал подготовлен на основе вебинара , проведенного ведущим юристом Михаилом Хохолковым в рамках проекта Альянса независимых региональных издателей (АНРИ) с использованием гранта Президента РФ на развитие гражданского общества, предоставленного Фондом президентских грантов.

1. При чем тут СМИ?

Редакции СМИ имеют дело с персональными данными, когда (1) распространяют сведения в журналистских материалах; (2) выступают операторами данных и занимаются их обработкой (например, данных своих сотрудников или подписчиков).

Здесь мы рассказываем о втором случае использования персональных данных. О первом – читайте в материале «СМИ vs Роскомнадзор. Как сделать журналистский материал и не нарушить закон о персональных данных? ». В нем подробно рассказано, какие данные относятся к персональным, что понимается под их «обработкой» и как журналисту корректно работать с такими данными.

2. Кто такой оператор персональных данных?

Согласно закону №152-ФЗ «О персональных данных», оператором ПД является государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПД, а также определяющее цели обработки, состав персональных данных, действия (операции).

Другими словами, редакция СМИ обрабатывает персональные данные своих сотрудников, подписчиков, читателей, пользователей сайта, героев публикаций, рекламодателей, иных контрагентов. Соответственно, редакция является оператором ПД, даже если состоит из одного человека и не имеет юрлица.

3. Какие обязанности существуют у оператора?

Действия оператора ПД делятся на: (1) меры, направленные на защиту ПД (ст. 18.1 №152-ФЗ «О персональных данных») и (2) меры по обеспечению безопасности данных при их обработке (ст. 19 №152-ФЗ «О персональных данных»).

Оператор самостоятельно определяет состав и перечень мер, «необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством». Почему так? Все организации разные, им требуется разное количество персональных данных, которые нужно обрабатывать.

Оператор обязан:

  • предоставить по запросу субъекта данных информацию о его данных;
  • хранить личные сведения граждан с использованием баз данных только на территории РФ;
  • самостоятельно определить состав и перечень мер, необходимых для соблюдения законодательства;
  • опубликовать или иным способом обеспечить доступ к документам, определяющим политику конфиденциальности организации (если сбор ПД осуществляется на сайте, политику конфиденциальности нужно разместить так, чтобы рядовой пользователь мог легко обнаружить документ);
  • по запросу Роскомнадзора предоставить документы, обеспечивающие обработку персональных данных.

4. Что оператор должен сделать по минимуму?

Для соблюдения требований закона необходимо:

  • назначить ответственного или ответственных за обработку ПД (издать приказ) ;
  • разработать политику в отношении обработки ПД и необходимые локальные акты (ЛНА);
  • применять правовые, организационные и технические меры по обеспечению безопасности ПД: кроме издания локальных актов, сюда относится назначение ответственных лиц, установка антивирусных программ;
  • контролировать сотрудников и (или) проводить внутренний аудит обработки данных в редакции;
  • оценить вред, который может быть причинен субъектам ПД в случае нарушения законодательства: указать в специальном документе, какие ПД обрабатываются и в каких целях, какие задействованы компьютеры и программы, установлены ли пароли для защиты информационных систем и серверов;
  • ознакомить сотрудников, ответственных за обработку ПД, с положениями закона, если потребуется – обучить их. Законодательство не предъявляет конкретных требований к обучению сотрудников, поэтому в качестве такой меры можно зачесть курс вебинаров АНРИ по персональным данным. Главное – оформить это документально.

5. Какие документы должен иметь оператор персональных данных?

К локальным нормативным актам относятся инструкции, положения и отчеты. Все ЛНА и изменения к ним утверждаются руководителем организации и оформляются приказом. Работники должны быть ознакомлены с актами и изменениями (необходима физическая подпись в листах ознакомления).

Приблизительный перечень необходимых ЛНА таков:

  • Положение об обработке персональных данных: определяет правила работы с личными данными, круг должностных лиц, имеющих к ним доступ, и устанавливает ответственность за нарушение этих правил.
  • Политика информационной безопасности информационных систем по обработке ПД (ИСПД): определяет цели и задачи, а также общую стратегию системы защиты ПД. Информационная система – это любой компьютер, в котором хранятся данные, стоит учетная программа или с которого можно зайти на сервер, где хранятся данные. Оператору данных необходимо иметь перечень информационных систем и стратегию их защиты (можно ориентироваться на раздел по обеспечению конфиденциальности информации вашей учетной программы).
  • Положение по хранению и уничтожению данных.
  • Правила рассмотрения обращений субъектов данных.
  • Инструкция пользователя ПД, инструкция администратора ПД.
  • Модели угроз безопасности ПД: документ за подписью руководителя, в котором описана структура ИСПД, состав и режим обработки ПД, классификация потенциальных нарушений, оценка исходного уровня защищенности, оценка вероятности возникновения угроз и их актуальности. Базовую модель угроз безопасности ПД можно найти .
  • Руководство по работе с Интернетом.
  • Журналы (проверок, обращений граждан, учета съемных носителей).
  • Приказы (о введении режима обработки ПД, утверждения инструкций, журналов, положений политики).
  • Формы согласия на обработку ПД.

Политика оператора в отношении обработки ПД (политика конфиденциальности или пользовательское соглашение) и Положение об обработке ПД – это разные документы. Политика конфиденциальности компании – внешний общедоступный документ, положение – внутренний документ, в котором оператор определяет работу с данными внутри организации.

6. Как корректно собирать данные интернет-пользователей?

В Интернете (на своем сайте, как правило) оператор данных должен опубликовать два документа:

  • Согласие на обработку ПД.

    В идеале – технически устроить так, чтобы пользователь не мог зарегистрироваться на сайте или подписаться на рассылку, не дав согласия на обработку: как в примере тульского портала (попробуйте зарегистрироваться).

  • Политику конфиденциальности (или пользовательское соглашение).

    В политике конфиденциальности следует указать: кто собирает данные, в каком объеме и для чего, как собирается их использовать; порядок и условия обработки (будут ли сведения передаваться третьим лицам, каковы условия хранения, уничтожения и прочее). Рекомендации по составлению политики конфиденциальности размещены .

    При разработке политики конфиденциальности обратите внимание на цели и объем собираемых данных: не нужно указывать операции, которые редакция не осуществляет, – например, описывать процедуру рассылки, которой по факту не существует.

7. Как уведомить Роскомнадзор об обработке персональных данных?

До начала обработки персональных данных оператор обязан уведомить РКН о своем намерении. По сути, такое уведомление нужно подавать одновременно с созданием организации.

Уведомление требуется от организации, которая:

  • на постоянной основе обрабатывает персональные данные (в штате организации есть сотрудники, проводится подписная кампания, собираются объявления на размещение рекламы);
  • работает с внештатными сотрудниками;
  • регистрирует на своем сайте пользователей или просит заполнить онлайн-формы для различных целей (рассылка, отзывы, подача объявления, «перезвонить мне» и т.д.)

Уведомление можно подать в бумажном виде в территориальный отдел Роскомнадзора по месту регистрации редакции (с подписью уполномоченного лица), предварительно заполнив форму ).

Карточка компании попадает в . Вот, например, так выглядит ООО «Русская медиагруппа «Западная пресса».

Неподача уведомления, несвоевременная или некорректная подача являются административным правонарушением: должностные лица могут быть оштрафованы на сумму от 300 до 500 рублей, юридические – от 3 до 5 тысяч рублей (ст. 19.7 КоАП РФ). Срок давности привлечения к административной ответственности составляет три месяца с даты возникновения обязанности уведомления (ч. 1 ст. 4.5 КоАП РФ).

При внесении изменений в карточку организации необходимо уведомить Роскомнадзор в течение 10 рабочих дней в том же порядке, в каком подавалось и первоначальное уведомление.

8. Когда уведомление в Роскомнадзор можно не подавать?

В редких случаях ведомство можно не уведомлять (ч. 2 ст. 22 152-ФЗ «О персональных данных»). Из них к деятельности СМИ применимы следующие:

  • ПД обрабатываются исключительно в рамках трудовых отношений – если редакция работает с людьми, не запрашивая дополнительных ПД и не передавая их третьим лицам.
  • ПД необходимы для исполнения договора, стороной которого является субъект ПД, и при этом данные не передаются третьим лицам.
  • Субъект данных сам сделал их общедоступными.
  • Если собираемые ПД включают в себя только фамилии, имена и отчества.
  • Если ПД собираются лишь для того, чтобы однократно пропустить человека на территорию предприятия.
  • Если ПД обрабатываются без использования средств автоматизации (на бумаге).

9. В каких случаях можно не брать согласия на обработку у сотрудников?

Существуют случаи, когда работодатель может обрабатывать данные сотрудника без его согласия ( от 14 декабря 2012 года). Из них к работе СМИ применимы:

  • Случаи, предусмотренные коллективным договором, в том числе правилами внутреннего трудового распорядка, а также локальными актами работодателя.
  • При обработке ПД близких родственников работника в объеме, предусмотренном формой №Т-2 и в некоторых случаях (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат).
  • При передаче данных работника третьим лицам в случаях, когда это необходимо для предупреждения угрозы жизни и здоровью работника, и в других случаях, предусмотренных российским законодательством (например, передача сведений о работниках в ФНС, ФСС И ПФР, военкомат и профсоюзы, при командировании в гостиницы).
  • При получении мотивированных запросов от прокуратуры, полиции, ФСБ, трудовых инспекторов.
  • При передаче персональных данных работника кредитным организациям для начисления зарплаты в следующих случаях:

    а) договор на выпуск банковской карты заключался с работником напрямую, и в нем предусмотрена передача ПД;

    б) наличие у работодателя доверенности на представление интересов работника при заключении договора с финансовой организацией;

    в) соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 Трудового кодекса РФ).

  • При оформлении пропуска, если это предусмотрено коллективным договором или ЛНА.

Если редакция передает бухгалтерский и кадровый учет на аутсорсинг, ей необходимо заручиться у своих сотрудников отдельным согласием на передачу ПД третьему лицу. В договоре с аутсорсинговой организацией нужно предусмотреть ее обязанность по обеспечению защиты данных сотрудников.

10. Как должно выглядеть согласие на обработку персональных данных?

Согласие должно позволять сделать однозначный вывод о целях, способах обработки ПД с указанием действий и объеме собираемых данных (ч. 4 ст. 9 №152-ФЗ «О персональных данных»).

Согласие сотрудника может быть оформлено отдельно или включено в трудовой договор, Роскомнадзор предлагает оформлять его .

Вот примеры согласия на обработку данных посетителей сайта СМИ от и .

Согласие на обработку ПД подписчиков газеты может выглядеть .

Аналогичным образом оформляется согласие на обработку ПД рекламодателей и других контрагентов.

11. ​​​Как быть с персональными данными уволенных сотрудников?

Работодатель имеет право обрабатывать данные уволенного работника в случаях и в сроки, предусмотренные законом, согласия бывших сотрудников при этом не требуется (п. 2 ч. 1 ст. 6 ФЗ «О персональных данных»):

  • четыре года хранить документы, необходимые для исчисления, удержания или перечисления налога (подп. 5. п. 3. ст. 24 Налогового кодекса РФ);
  • хранить бухгалтерскую документацию в течение срока, установленного Госархивом, но не менее пяти лет (ст. 17 ФЗ «О бухгалтерском учете»).

По истечении установленных законом сроков личные дела работников и иные документы сдаются в архив.

12. Как обрабатывать данные соискателей?

Резюме не обходится без персональных данных, поэтому работодатель должен получить предварительное согласие соискателя на обработку его сведений до найма/отказа, кроме случаев, когда:

  • от имени соискателя действует кадровое агентство (согласие дано агенту);
  • соискатель самостоятельно разместил резюме в Интернете.

Если кандидат выслал резюме по электронной почте, работодатель может получить его согласие на обработку ПД во время личной встречи. Если о встрече не договорились, резюме уничтожается. В случае отказа в приеме на работу данные кандидата уничтожаются в течение 30 дней.

Работодатель также должен заручиться согласием соискателя, если хочет проверить его прежние рабочие места, кроме случаев, когда:

  • речь идет о приеме на работу бывшего государственного или муниципального служащего (ст. 64.1 ТК РФ);
  • речь идет о замещении вакантных должностей государственной гражданской службы (перечень документов определен ФЗ «О государственной гражданской службе»).

13. Как журналисту обрабатывать данные героев публикации, источников информации, адресные базы и прочее?

Журналист может свободно обрабатывать ПД на основании п. 8 ст. 6 №152-ФЗ «О персональных данных», когда такая обработка необходима для осуществления его профессиональной деятельности и не нарушает права и свободы субъекта.

Однако когда ПД собираются в адресные базы (источников информации, например), нужно либо получить согласие субъекта данных, либо записать только те данные, по которым человека нельзя идентифицировать.

При этом согласие можно получить и в любой форме – устной или в порядке рабочей переписки: главное, чтобы его наличие можно было подтвердить.

В управлении Роскомнадзора по УрФО прошел семинар для прессы с разъяснениями новаций в законодательстве. В ведомстве отметили, что если журналисты допустили «утечку» персональных данных, это будет расцениваться как злоупотребление свободой СМИ. В таком случае редакция рискует получить предупреждение Роскомнадзора . Два предупреждения за год – повод для обращения в суд с иском о прекращении деятельности издания. О том, как не допустить такой ситуации, и шла речь на семинаре.

Инициалы, фамилия, должность – и все на этом

Одна из главных новаций заключается в том, что теперь журналисты имеют право брать из открытых источников только ограниченную информацию. К примеру, допускается упоминание имени и фамилии (без отчества) героя материала, а также его должность или место работы. Но описание где и как он живет, с кем общается – уже считается нарушением закона, даже если человек сам опубликовал эту информацию в социальных сетях . Или журналист может поступить наоборот: максимально подробно рассказать о жизни человека, но «обезличить» текст – изменить имя или «зашифровать» его инициалами. Как пояснила начальник отдела по защите прав субъектов персональных данных управления Роскомнадзора по УрФО Анастасия Гоголева, главным критерием является объем опубликованных сведений о человеке. Если информация не способствует идентификации личности, ее можно свободно размещать в СМИ.

В любом другом случае автор материала должен взять согласие того, чьи персональные данные он собирается опубликовать. Причем в некоторых ситуациях согласие должно быть дано в письменной форме – эти случаи перечисляются в статьях 8, 10, 11, 12 и 16 федерального закона «О персональных данных». Например, по закону разглашение сведений, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни возможно только с разрешения человека. Аналогичная ситуация с фото и видеоматериалами. Если на них можно опознать человека, это считается распространением биометрических данных и требует согласия субъекта. Исключением является только публикация фотографий во время розыскных и следственных действий. Для СМИ есть один выход – публиковать фотографии без подписей или давать минимальную информацию под ними. «Если читатель не может идентифицировать человека, изображенного на фотографии, претензий не будет», – заверили представители Роскомнадзора.

Конец расследованиям

Конечно, новая трактовка защиты персональных данных возмутила журналистов. Ограничения практически ставят «крест» на расследованиях о коррумпированных чиновниках, политиках и других публичных персонах. Как можно описывать злодеяния должностного лица, скрывая от читателей его имя? Представители Роскомнадзора заявили, что не дают оценку общественно-значимой информации, а лишь проверяют соблюдение закона «О персональных данных». К примеру, если обиженный чиновник пожалуется на незаконное распространение его личных данных в каком-либо издании, Роскомнадзор будет обязан направить запрос в СМИ. Журналисты вправе ответить, что разглашение данных было в интересах общества. Тогда в этом споре будет разбираться суд. Кстати, на Урале пока таких прецедентов не было.

В то же время в Роскомнадзоре привели пример из жизни, когда публикация о доходах госслужащего была определена как нарушение закона. Журналист взял сведения из официальной декларации чиновника, где также был указан доход его супруги, и в своем тексте дописал должность жены служащего и «бэкграунд». От властной семьи незамедлительно последовала жалоба.

Претензии могут возникнуть даже к таким безобидным публикациям, где дается справка о карьерной историии чиновника – где учился и работал. В таком случае журналисту также необходимо брать согласие у «субъекта персональных данных». Хотя тут тоже есть нюансы. Как отметила Анастасия Гоголева, Роскомнадзор в основном следит за соблюдением закона в отношении несовершеннолетних, а проверка публикаций с персональными данными взрослых обычно проводится по заявлениям граждан. За год в ведомство поступает около 40 подобных обращений.

О детях – почти ничего

О жестких ограничениях Роскомнадзора относительно публикаций данных несовершеннолетних ранее уже писалось. Сегодня, сотрудники ведомства в очередной раз напомнили, что журналистский материал должен защищать права ребенка . Распространение личных данных пострадавших в результате противоправных действий детей запрещается. Причем противоправные действия могут укладываться в КоАП, то есть банальная драка в школе тоже относится к этим случаям. Публиковать фотографию несовершеннолетнего можно только с согласия его родителей или законного представителя. Если ребенок достиг 14 лет, разрешение нужно спрашивать и у него. Если совершено преступление против половой неприкосновенности несовершеннолетнего, публиковать фото жертвы нельзя, даже после окончания следственных действий. Единственным исключением может быть фото ребенка, который потерялся и его ищет полиция. После того, как ребенка нашли, СМИ лучше ограничится минимальной информацией о «потеряшке», чтобы не навлечь на себя санкции.

Практика будет нарабатываться

Представители Роскомнадзора отметили, что полномочия по наложению штрафов за несоблюдение закона «О персональных данных» переходят к ним с 1 июля. На данный момент судебной практики по разрешению спорных вопросов в этой сфере практически нет, но, как следует из вышеописанного, она не заставит себя долго ждать. По новому закону существенно увеличиваются размеры штрафов за нарушения публикаций персональных данных. Если сейчас денежные санкции составляют 5-10 тысяч рублей, то со второго полугодия штрафы для юридических лиц уже будут от 20 до 75 тысяч рублей. При этом важно помнить, что в КоАП внесено семь дополнительных составов правонарушений по персональным данным, то есть суммы штрафов за нарушения будут суммироваться.

По общему правилу, в силу ФЗ «О персональных данных», при публикации ПД необходимо получать согласие гражданина. По логике закона, данное требование направлено на обеспечение защиты прав и свобод человека и гражданина, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Каждую ситуацию надо рассматривать персонально, но мы сейчас приведем один любопытный пример, когда ПД гражданина были распространены на сайте без его согласия (речь идет об имени, отчестве, месте работы и занимаемой должности). Интересный момент: данные были о враче стоматологе, признанном виновным в причинении смерти по неосторожности Сегежским городским судом.

Управление Роскомнадзора по республике Карелии направило в редакцию сайта требование об удалении ПД. Не согласившись с контрольным органом, редактор сайта обратился в Петрозаводский городской суд с требованием о признании требования незаконным. Суд исковое требование редактора удовлетворил.

Не желая забегать вперед, мы не стали додумывать за суд и предполагать его аргументацию.

Сегодня мы получили на руки решение суда (судья Лазарева Е.В.) и приводим его доводы.

1.Суд признал врача-стоматолога Манова А.М. публичной фигурой:

Медицинский работник (тем более медицинский работник государственного учреждения здравоохранения) применительно к правовой позиции, сформулированной в п.25 постановления Пленума ВС РФ от 15.06.2010 г. № 16 «О практике применения судами Закона РФ «О средствах массовой информации», а также исходя из определения «публичная фигура», данного в Резолюции № 1165 (1998) Парламентской ассамблеи Совета Европы «О праве на неприкосновенность частной жизни», занимая должность в ГБУЗ, пользуясь государственными ресурсами и, будучи медицинским работником, т.е лицом, априори пользующимся заслуженным уважением в обществе, играет определённую роль в общественной жизни (в социальной сфере), является публичной фигурой.

2.Суд усмотрел общественный интерес в публикации данных о приговоре Манову:

Суд также полагает необходимым отметить, что сведения о факте совершения преступления, обстоятельствах его совершения (в том числе, о специальности и занимаемой должности), а также фамилии и инициалы лица, совершившего преступление в связи с ненадлежащим исполнение своих профессиональных обязанностей на занимаемой им должности, имели значительный общественный резонанс.

3.По мнению суда, обработка ПД возможна без согласия гражданина, если речь идет об информировании общества по общественно-важным темам.

Это давало заявителю, преследующему, в том числе, цель информирования общества о ненадлежащим образом оказанных медицинских услуг, повлёкших причинение смерти, возможность предупреждения неопределенного круга лиц о ненадлежащей квалификации и профессиональных качествах осужденного, право осуществить обработку его ПД для достижения общественно важных целей и защиты жизни, здоровья и иных жизненно важных интересов других лиц. При этом учитывается, что получение согласие у субъекта ПД от него самого, исходя из конкретных обстоятельств, было очевидно невозможно.

4.Суд отметил, что обязывающая часть требований, сформулирована нечетко, неконкретно, не содержала указание на то, в отношении каких именно ПД Манова должно быть обеспечено прекращение неправомерной обработки.

Отсутствие конкретных указаний очевидно не позволяло лицу, которому оно адресовано, правильно исполнить его, не ограничивая себя в правах, установленных ч.4 ст.29 Конституции РФ, п.1 ст.3 ФЗ «О персональных данных» , нарушает установленный ч.5 ст.29 Конституции РФ запрет на цензуру (выделено автором).

Роскомнадзор является контрольно-надзорным органом за СМИ и интернет сайтами. Основанная его задача – контролировать исполнение законов и в случае их несоблюдения привлекать к ответственности. Но контроль не должен быть формальным, не должен вести к замалчиванию общественно-важной информации, не должен ограничивать сайты и СМИ в праве на получение и на распространение информации. Инициируя данный судебный спор, мы именно эту позицию и хотели довести до Роскомнадзора.

Суд выступил в нашем споре независимым арбитром и усмотрел, что требование РКН о прекращении неправомерной обработки ПД вынесено в отсутствие фактических оснований и его содержание не соответствует нормативным правовым актам, регулирующих спорные правоотношения.