数か月前、個人データに関する法律の変更について誇大宣伝が上がりました。 機知に富んだ弁護士は、サイト上のフィードバックまたはコールバック注文ウィジェットがユーザーの個人データの処理を示していることを説得するために互いに競い合いました。Roskomnadzorはすでに違反の罰金を科されており、登録が急務です。
この誇大広告はすべて、個人データに関する神話に基づいています。 実際に何が起こったのか、何が脅威にさらされているのか、どのように回避するのかを見てみましょう。
個人データを処理するためのルールは変更されていません。 2017年7月、ロシア連邦行政法の改正が施行され、個人データ法の違反に対する責任が強化されました。 新しい犯罪が導入され、罰金の額は75,000ルーブルに増加しました。 これは本当です。
しかし、個人の罰金の額は桁違いであり、起業家の場合、法人の罰金よりも何倍も低いことを理解する必要があります。 最大75千ルーブルの罰金。 法人向けに7つの構成のうちの1つを確立しました。 その他の場合、最大罰金の範囲は3万から5万ルーブルです。
不快から-さまざまな組成物の罰金を部分的に加算することができます。 特に考えられる違反には次のものがあります。
- 法律で規定されていない場合、または個人データを収集する目的と矛盾する場合の個人データの処理。
- 被験者の書面による同意がない場合の個人データの処理。
- 個人データ処理ポリシーの公開の失敗。
ただし、ほとんどの場合、これに関する懸念は、個人データに関する法律の表面的な理解が原因です。 正義をもたらすリスクを評価するために、インターネットコミュニティの心をさまよう個人データに関する最も人気のある5つの神話を検討してください。
1.個人データとは、個人に関する情報です
一見そうです。
「個人データ-決定または決定された個人(個人データの対象)に直接的または間接的に関連する情報」(連邦法「個人データに関する」第3条の第1部)。ただし、この規範が共通言語に移行される場合、個人の身元を確認できる情報、または身元が間違いなく知られている人物に関連する情報のみが個人データです。
電話番号またはメールアドレスに関する情報の論文を確認します。 メールサービスのサブスクライバベースまたはユーザーベースへの法的アクセス権がありません。 したがって、この情報だけでは、それらを使用する人の身元を確認することはできません。
したがって、追加情報を使用せずに個人を特定できない場合、データを個人と見なすことはできません。
この規範の解釈についてまだ疑問がある場合は、RoskomnadzorのWebサイトでソースに精通することができます。 文字通り、個人データの自動処理に関する個人の保護に関する条約の基準は次のとおりです。
「個人データとは、特定または特定の人物に関するデータ(「データ主体」)を意味します」(条約第2条)。言い換えると、「X」氏はあなたには知られていないが、あなたは彼に関するデータを違反なく保存することができる。 たとえば、シークレットの電話番号については、Roskomnadzorの地域オフィスから直接回答があります。
「加入者番号(電話番号)は、加入者デバイスを接続する際に通信ネットワーク内の加入者の端末を示し、識別するために使用されます。つまり、所有者を示さない電話番号は、この人物(個人データの件名)は明確に識別でき、その使用は所有者の個人データの処理を意味することはできません。
結論
フィードバックフォームが、電話番号または電子アドレスに加えて、ユーザーを識別する追加情報を提供することを意味しない場合、そのような情報は個人データには適用されません。 名前のリクエストとユーザーの電話番号またはメールは、データを個人的なものにするものではありません。 名前は市民を識別しません。
「市民は、法律または国の慣習(ロシア連邦民法第19条の第1部)で別段の定めがない限り、姓と名、ミドルネームを含む自分の名前で権利と義務を取得し、行使します。」したがって、民法の観点からすると、名前だけでは法的結果には不十分です。 少なくとも、ミドルネームと姓も必要です。
同様に、サイトまたはユーザーのアプリケーションでのアクティビティに関連して自動的に収集されたIP情報、Cookie、およびその他のデータは、PDには適用されません。
2.個人処理オペレーターは、それらを処理する人です
「オペレーター-独立して、または個人データを整理および(または)処理する他の人と共同で、個人データを処理する目的、処理する個人データの構成、アクション(操作)を決定する、州機関、地方自治体、法人または個人、個人データを使用してコミット」(パート2、記事3)。ただし、このルールには例外があります。
「オペレーターは、連邦法により別途定められている場合を除き、この人物と締結した契約に基づいて、個人データの処理を個人データの対象の同意を得て他の人物に委託する権利を有します」(第6部第3部)。これらの人物は、「個人データの処理目的、処理される個人データの構成、個人データで実行されるアクション(操作)」を決定しないため、個人データのオペレーターとは見なされません。
実際には、このようなコンサルティング会社には、クラウドサービスを含むコンサルティングおよびサービス会社が含まれます。 個人データは顧客から提供され、処理の合法性についても責任を負います。
同様に、どのサービスも、自分でダウンロードした顧客の従業員の個人データを処理する責任を負わないようにする必要があります。 適切な方法でサービスとその処理に転送するには、個人データの対象の同意を取得する必要があるのはクライアントです。
結論
3.すべてのサイトはプライバシーポリシーを公開する必要があります
実際、「個人データに関する」連邦法には、プライバシーポリシーの公開に関するルールがあります。
「情報および通信ネットワークを使用して個人データを収集する事業者は、適切な情報および通信ネットワークに、個人データの処理に関するポリシーおよび実装されている個人データの保護要件に関する情報を定義し、この情報へのアクセスを提供する文書を公開する義務があります適切な情報通信ネットワークの手段を使用した文書」(第18.1部第2部)。ただし、この規則の例外の可能性を忘れないでください。
まず、個人に関するすべての情報が個人データを指すわけではありません(神話1を参照)。
第二に、そのような規則は、オペレーターに代わって個人データを処理する人には課せられません(上記の神話2を参照)。
第三に、「個人データに関する連邦法」自体は、個人(IPを含む)に個人データの処理に関するオペレーターのポリシーを定義する文書を公開する義務を課すものではありません。 このような文書は、法人のみが公開する必要があります(第18.1部第1部第2項)。
4.個人データの処理には書面による同意が必要です
実際、個人データの処理の最初の条件は、個人データの主題に対する個人データの処理に対する同意です(連邦法「個人データに関する」第6条の第1部1)が、個人データの主題の手書き署名を用紙に同意することは必ずしも必要ではありません。 追加のルールまたは相互に排他的なルールがいくつかあります。
1. PDの処理に対する同意は、オペレーターに代わって行動する人には必要ありません(第6条のパート4)
2.オペレーターがPD処理を実行する場合、個別の同意は必要ありません。
- 受益者または保証人のいずれかが個人データ主体である契約を締結または実行する目的のため(パラグラフ5、パート1、記事6)。
- 個人データの件名によって、または彼の要求に応じて、人の無制限のサークルにアクセスが許可されます(パラグラフ10、パート1、記事6)。
したがって、ユーザー契約に同意した場合、ユーザーに個人データの処理について通知するだけで十分です。
3.別の形式でオペレーターに同意を与えることができます
「個人データの処理に対する同意は、連邦法で別途定められていない限り、個人データの対象者またはその代表者が受領の事実を確認できる形式で提供することができます」(第9条第1部)。
言い換えれば、連邦法が書面による同意の取得を必要としない場合、要求されたアクションを実行するなど、他の方法で許可することができます。 たとえば、そのようなアクションは、SMSで示された確認コードの方向、アカウントへの登録時にユーザーの電子メールに送信された次のリンクなどを認識する場合があります。
4.書面による同意は、電子署名によって署名される場合があります
「電子署名によって連邦法に従って署名された電子文書の形式での同意は、個人データ主体の署名を含むハードコピーの書面による同意と同等であると認識されます」(第9条第4部)電子署名とは、拡張された資格のある電子署名を意味することを考慮する必要があります(2011年6月4日の連邦法第18条の第3部N63-「電子署名について」を参照)。
5.各PDオペレーターは、Roskomnadzorのレジスターに含める必要があります
多くのコンサルタントは、このルールを参照して、個人データオペレーターのレジストリに含めるためにRoskomnadzorに通知を送信することを推奨しています。
「オペレーターは、個人データを処理する前に個人データを処理する意思があることを、個人データ主体の権利の保護のために認定機関に通知する義務があります」(第22条第1部)。しかし、彼らは、法律の同じ条項がこの規則の例外を規定していることを忘れています。 プライベートインターネットサービスによるPD処理の考慮される状況には、通知を送信する義務を免除するための少なくとも2つの理由が含まれます。
特に、オペレーターはRoskomnadzorへの通知なしに以下の個人データを処理する権利があります。
「個人データの対象者が当事者であり、個人データの対象者の同意なしに第三者に提供されない場合、個人データの対象者が当事者である契約の締結に関連してオペレーターによって受信され、この契約の実行および個人データの対象者との契約の締結のためにのみオペレーターによって使用されます」第2部第2部第22条)
「公開されている個人データを対象に作成」(第22条第2部第4段落)
結論
1)最初の場合、Roskomnadzorの通知なしにPDを処理するには、ユーザーにユーザー契約(基本的には契約)に同意するように招待するだけで十分です。 電話番号と電子メールアドレスへのメッセージを受信するには、いずれの場合もユーザーの同意を得る必要があります。したがって、ユーザー契約の承認により、同時に2つの問題が解決されます。必要に応じてニュースレターを含むアドレス。
2)規則の2番目の例外は、公開されているデータに関するものです。 これは、ソーシャルネットワーク、掲示板、またはユーザーが自分自身に関する情報を独自に利用できる求人検索サイトに役立ちます。 この場合、Roskomnadzorにこのカテゴリの個人データの処理を通知するだけでなく、処理に関する追加のユーザーの同意を取得する必要もありません。
3)これに加えて、PDを処理するすべての人がオペレーターと見なされるわけではないことに注意してください。 それらのいくつかは、オペレーターに代わって行動します(上記の神話2を参照)。 したがって、オペレーターが提供する個人データの処理に関する通知をRoskomnadzorに送信する必要はありません。
4)特別な言及は、「何が起こっても」登録することをお勧めします。 これはすべての点で悪いアドバイスです、なぜなら Roskomnadzorは、レジストリに含まれるオペレーターの定期検査を実施する必要があります。 そして、単純なプライバシーポリシーは役に立ちません。情報セキュリティに関するすべての内部規制を求め、実際の実装を確認します。
詳細に注意してください-悪魔の
出所