V únoru Státní duma přijala ve třetím čtení návrh zákona zpřísňujícího správní odpovědnost za porušení v oblasti ochrany osobních údajů občanů. Pokuty se pak v průměru zdvojnásobí. Tato novinka se týká i redaktorů médií a vlastníků internetových zdrojů. Jsou na vašem webu zveřejněny zásady ochrany osobních údajů? Je správně zkompilován? Kdo potřebuje zveřejňovat takové dokumenty a proč? Pojďme na to společně s odborníky z Centra pro ochranu mediálních práv.
KOHO SE TOTO TÝKÁ?
Každý, kdo používá stránky ke shromažďování osobních údajů občanů, musí na webu zveřejnit své zásady ochrany osobních údajů. Pro začátek si proto připomeňme, že osobní údaje zahrnují veškeré informace, které lze použít k identifikaci osoby: příjmení, jméno a příjmení, datum narození, adresa, fotografie atd.
Provozovatelem osobních údajů jste, pokud na svém webu:
— uživatelé vyplňují profily při registraci;
— stránka má mechanismus předplatného, například pro seznam adresátů;
— uživatelé vyplňují formuláře zpětné vazby, zasílají inzeráty, zadávají objednávky atd.
V tomto případě nezáleží na tom, kdo je vlastníkem stránek – občan nebo právnická osoba. Bude podléhat požadavkům části 2 čl. 18.1 Federální zákon „O osobních údajích“:
Provozovatel je povinen zveřejnit nebo jinak umožnit neomezený přístup k dokumentu definujícímu jeho zásady týkající se zpracování osobních údajů, k informacím o realizovaných požadavcích na ochranu osobních údajů. Provozovatel shromažďující osobní údaje prostřednictvím informačních a telekomunikačních sítí je povinen zveřejnit v příslušné informační a telekomunikační síti dokument vymezující jeho zásady zpracování osobních údajů a informace o realizovaných požadavcích na ochranu osobních údajů, jakož i poskytnout možnost přístupu k uvedenému dokumentu pomocí příslušné informační a telekomunikační sítě.
Kromě toho je třeba říci, že v praxi Roskomnadzor jako orgán, který dohlíží na dodržování legislativy o osobních údajích, vyžaduje zveřejnění zásad ochrany osobních údajů, a to i v případě, že ze shromážděných údajů nelze přesně identifikovat totožnost uživatele. Pokud například shromažďujete pouze jméno a e-mail pro přihlášení k odběru e-mailového zpravodaje, budete muset také zveřejnit zásady ochrany osobních údajů.
JAKÉ JSOU ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ?
Jak jsme viděli výše, zákon vyžaduje zveřejnění „dokumentu definujícího zásady týkající se zpracování osobních údajů“. V zákoně nejsou žádné přesné požadavky na název takového dokumentu, lze jej tedy nazvat jinak: zásady ochrany osobních údajů, uživatelská smlouva, nařízení o zpracování osobních údajů nebo jinak. Pointa není v názvu dokumentu, ale v jeho obsahu a umístění.
CO BY MĚLY OBSAHOVAT ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ?
Dokument by měl obsahovat následující informace:
1. Informace o operátorovi. Zde musíte uvést skutečnou právnickou osobu nebo fyzickou osobu – vlastníka webu, nikoli název internetového zdroje. Pokud se jedná o web registrovaného média, musí být uveden název redakce.
2. Účely použití údajů. Uživatel musí rozumět tomu, kde a k čemu budou jeho data použita. Toto je velmi důležitá část dokumentu. Pokud se později ukáže, že provozovatel používá uživatelská data k účelům, které nejsou uvedeny v zásadách (například je předává třetím stranám), bude to považováno za porušení.
3. Jaké osobní údaje provozovatel shromažďuje. Zde stojí za to vědět, že politika Roskomnadzoru je tato: provozovatel by neměl shromažďovat více osobních údajů, než je nezbytné pro jeho činnost. To znamená, že pokud například nabídnete odběr novinek, ale zároveň se zeptáte na datum narození a adresu bydliště uživatele, bude to vypadat divně a může to být považováno za porušení. V takových případech musíte vysvětlit účely, pro které takové informace shromažďujete.
4. Postup a podmínky zpracování osobních údajů. Popisuje, jak budou data uložena, kdy a jak budou zničena a jak budou (pokud existují) předána třetím stranám. V druhém případě musí provozovatel zajistit, aby při předávání uživatelských dat někomu jinému upozornil na nutnost zachování důvěrnosti údajů.
Tato část obsahuje také prakticky významné informace: jaká má uživatel práva, kam se může obrátit s žádostí o zpracování svých údajů, s žádostí o odvolání souhlasu atd.
KDE PUBLIKOVAT?
Zákon přesně neurčuje, kde by měly být zásady ochrany osobních údajů na webových stránkách umístěny. Ale podle požadavků a současné praxe musí být odkaz na dokument umístěn tak, aby měl uživatel možnost se s textem zásad seznámit v okamžiku, kdy vyplní formulář svými údaji. Tedy přímo pod tímto formulářem.
Nejlepší možností je získat potvrzení od uživatele. To znamená, že po vyplnění formuláře svými údaji musí návštěvník webu zaškrtnout políčko vedle textu jako „Přijímám podmínky zásad ochrany osobních údajů“. V tomto případě je fráze „zásady ochrany osobních údajů“ hypertextovým odkazem na text dokumentu. Jestli si to uživatel přečte nebo ne, je jeho věc. Dokud však políčko nezaškrtne, odeslání formuláře nebude možné.
Případně můžete použít text bez zaškrtnutí s přibližně následujícím obsahem: „Kliknutím na tlačítko „Odeslat“ („Zaregistrovat se“, „Přihlásit se k odběru“ atd.) přijímám podmínky zásad ochrany osobních údajů“ (poslední dvě slova jsou opět hypertextovým odkazem na dokument) .
Odkaz na zásady ochrany osobních údajů lze dodatečně umístit do „zápatí“ webu.
COOKIES A IP ADRESY JSOU TAKÉ DATA
Když uživatel komunikuje s webem, některé informace o něm zůstávají na serveru. Za zmínku stojí i samostatně.
Nejprve webový server zaznamená IP adresy zařízení, přes které uživatel na stránky přistupuje. Ve většině případů je lze použít k určení geografické polohy návštěvníka a jeho poskytovatele internetu.
Většina webových stránek používá k provozu soubory cookie – malé datové soubory. Webový server odešle soubory cookie do počítače uživatele a prohlížeč je poté odešle zpět. Takto server například „zjistí“, které stránky webu již uživatel navštívil, jaké údaje zadal a další informace.
Roskomnadzor se v souladu s mezinárodní praxí domnívá, že informace o IP adresách uživatelů a cookies jsou také údaje, k jejichž použití musí dojít se svolením návštěvníka zdroje. To znamená, že na to by měl být uživatel upozorněn hned na začátku své práce s webem.
TROCHU O ODPOVĚDNOSTI
Za porušení právních předpisů o osobních údajích je stanovena správní odpovědnost podle čl. 13.11 odst. XNUMX zákona o správních deliktech.
Nedostatek zásad ochrany osobních údajů nyní také čelí pokutě. Pro právnické osoby to bude 15–30 tisíc rublů, v blízké budoucnosti se zvýší na 30–60 tisíc rublů.
Nezapomeňte, že zásady ochrany osobních údajů je třeba nejen zveřejňovat, ale je třeba je dodržovat. V opačném případě vám také hrozí pokuta. Jeho velikost bude záviset na konkrétním přestupku, ale obecně to bude 30–50 tisíc rublů pro právnické osoby (brzy se zvýší na 50–100 tisíc rublů).
A ještě jeden důležitý bod: podle současné legislativy musí být osobní údaje Rusů uloženy v Rusku. Toto upozornění je relevantní pro ty, kteří pro své weby používají zahraniční hosting. Pokuta za nedodržení této podmínky je závažná: například pro právnické osoby to bude 1–6 milionů rublů.
