Фз об отказе персональных данных. Защита персональных данных

Изменения в закон о защите персональных данных 2017 года повлияли на работу коммерческих организаций, особенно тех, чей бизнес представлен в интернет-пространстве. Последние изменения в данный закон вступили в силу 1 июля текущего года, но многие фирмы еще не успели привести свои дела в соответствие с новыми правилами. Следует обобщить данные о том, что нужно сделать организациям для избежания штрафа и на что стоит обращать внимание физическим лицам.

Закон о персональных данных: последняя редакция 2017

На все личные данные человека распространяется защита, гарантированная государством. Это регулируется Федеральным законом № 152-ФЗ, который был принят 27 июля 2006 года, но за время своего существования уже не раз подвергался корректировкам. Однако последние поправки оказались весьма существенными. 13-ФЗ от 7 февраля 2017 года внес изменения в редакцию закона, в частности, были ужесточены санкции за нарушения в сфере персональных данных.

Обратимся к основным понятиям закона:

• персональные данные (ПД – далее) – сведения, являющиеся неотъемлемой принадлежностью человека – конкретного физического лица.
• оператор – физлицо, госорган, орган муниципальной власти, электронные СМИ, коммерческая или иная организация, которая в каком-либо виде занимается сбором, обработкой, накоплением, хранением этих индивидуальных сведений.
• обработка ПД – автоматизированный или иной комплекс манипуляций, направленный на выполнение указанных действий с ПД.

Федеральный закон о защите персональных данных не дает абсолютно ясной формулировки, что же является ПД, однако можно сделать вывод, что это любая информация о лице, которая позволяет его идентифицировать. Элементами персональных данных выступают: ФИО, город рождения и проживания, даты, контактные данные – от телефонов до страниц в соцсетях, адреса, фото и т.д.

Важный аспект! Когда речь идет только о ФИО – это не те данные, по которым возможна идентификация отдельного человека, поскольку есть однофамильцы. Но когда ФИО сопровождается фото – это уже выделяет одного человека из множества других.

Если организация имеет доступ и оперирует подобными ПД, закон 152-ФЗ о персональных данных предъявляет к ней повышенные требования. Наказание в виде штрафа теперь может составить до 75 000 рублей!

Закон о неразглашении персональных данных – что нужно знать операторам?

Операторы различаются между собой охватом ПД, методами их обработки, целями сбора и накопления данных. Если физическое лицо записывает контакты своих знакомых в блокнот, чтобы просто не забыть поздравить их с днем рождения – это не сбор ПД. Если тоже лицо выступает в качестве ИП, оказывая частные услуги на дому, к примеру, делает маникюр, и ведет такую запись – это сбор ПД. У клиентов в этом случае надо спрашивать согласие на него и нести ответственность за разглашение, если таковое случится.

Сейчас каждый интернет-магазин требует предоставления данных от посетителя сайта. Обычно это происходит в форме обратной связи или при регистрации, которую человек должен заполнить, чтобы получить консультацию или более точные сведения об услугах. Это типичный пример, как происходит сбор личной информации. При этом владелец ресурса каждому физическому лицу обязан гарантировать конфиденциальность и нераспространение полученных в сети сведений.

Как вести себя владельцам интернет-ресурсов, чтобы избежать неприятностей с Роскомнадзором? Рекомендуем ознакомиться с простой инструкцией.

Если на сайте есть формы для получения ПД, под каждой из них надо поставить окно для согласия, где проставлением знака человек выразит его.

В открытом доступе на веб-ресурсе обязательно надо разместить 2 документа, доступных и наглядных, где в тексте прописываются условия сохранения, хранения, передачи данных (пользовательское соглашение, к примеру) и положение о том, как именно будет гарантироваться тайна полученной информации (это обычно политика конфиденциальности).

Если компания не уверена, что ее аналогичные документы соответствуют основным требованиям отраслевого закона, можно поступить просто: открыть известный сайт популярного бренда и посмотреть, как вышли из положения они. Их соглашение можно взять в качестве образца, адаптировав его условия под особенности своего бизнеса.

Надо непременно корректно отразить в документе все данные оператора ПД, то есть самой организации. Это полные реквизиты, наименование, адрес, место и орган регистрации, для ИП – ФИО и паспортные данные. Там также нужно привести целостный перечень ПД, которые запрашиваются от пользователя, и отразить, для чего это делается. Также стоит указать срок, на который пользователь предоставляет свое согласие.

Нужно встать на учет в Роскомнадзоре России в качестве оператора ПД. Это нужно было сделать до 01.07.2017. Но лучше подать уведомление сейчас, с опозданием, но в добровольном порядке, чем когда это нарушение выявит Роскомнадзор. Форму заявления можно посмотреть на официальном сайте этого органа.

Кто освобожден от этой обязанности?

Некоторых субъектов коммерческой деятельности 152-ФЗ обходит стороной. Уведомлять вышеупомянутую инстанцию не надо, если:

• основные данные получаются от субъекта при оформлении трудовых отношений;
• ПД стали известны при заключении договора для идентификации его стороны, но никак не обрабатываются и не распространяются;
• ПД общеизвестны, публичны;
• Когда сбор разрешен нормативными актами и производится без средств автоматизации;
• ПД требуются для оформления однократных пропусков и т.д.

Гражданам – как сберечь свои персональные данные?

Обновленный закон призван регулировать управление ПД и их распространение в социуме. Интернет-пользователи обычно не обращают внимания на то, какие ресурсы уже владеют информацией о них. Соответственно, они не могут проверить, надлежащим ли образом используются их личные данные. Поэтому возник проект создания единого портала, посвященного защите и учету распространения персональных данных. Он должен быть реализован до 2019 года. С его помощью каждый человек сможет проверить, кому он уже доверил свои ПД и надежно ли они защищены.

С 1 июля выросли штрафы за нарушение обработки личных данных работников, поэтому стоит навести порядок в документах и проинструктировать персонал. Подробнее о работе с персональными данными с 1 июля 2017 года - в этой статье.

Персональные данные - это любая информация, относящаяся к конкретному сотруднику. Например, Ф. И. О., дата и место рождения, место проживания и др. Работодатель - организация или ИП - в этом случае выступает оператором данных , которые ему становятся известны о сотруднике, и обязан хранить такие сведения в соответствии с установленным порядком.

Личные данные работодателю сообщают только сами работники. После такие сведения, как правило, обобщаются в личных карточках или делах. Если же персональные сведения можно получить от третьих лиц, то об этом следует уведомить работника и получить от него письменное согласие (п. 3 ч. 1 ст. 86 ТК РФ).

Работодатели не вправе получать и обрабатывать персональные данные, которые не относятся к трудовой деятельности, например сведения о личной или семейной жизни. А распространять и раскрывать персональные данные третьим лицам можно только с согласия работника (ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ).

С 1 июля 2017 года введены новые штрафы за нарушения требований обработки и защиты персональных данных. Поэтому следует навести порядок в документах и проинструктировать подчиненных, чтобы компания и лично главбух избежали штрафов.

Обработка персональных данных с 1 июля 2017 года

Основная задача работодателя - защита персональных данных сотрудников. Порядок получения, обработки, передачи и хранения персональных данных должен быть закреплен в локальном акте организации, например в Положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ).

В организации должен быть официально назначен сотрудник, отвечающий за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Это может быть, например, работник отдела кадров.

Организация должна принимать необходимые меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения. Меры безопасности при обработке персональных данных прописаны подробно в статье 19 закона № 152-ФЗ. Напомним о них.

Для обеспечения безопасности персональных необходимо своевременно определять угрозы безопасности при обработке, применять надежные средства защиты и оценивать эффективность защиты, принимать меры для предотвращения незаконного доступа к данным, установить правила доступа к данным, регистрировать и вести учет всех действий при работе с данными.

С 1 июля 2017 года расширен перечень оснований, по которым работодателя привлекут к административной ответственности , если выяснится, что нарушен порядок работы с данными. Изменения внес Федеральный закон от 07.02.2017 № 13-ФЗ. Расскажем о них подробнее.

Вместо одного вида административной ответственности, который был раньше. теперь статья 13.11 КоАП РФ предусматривает семь пунктов. Шесть из них касаются организаций и ИП. То есть за различные нарушения работодателей при работе с персональными данными можно будет применять разные штрафы.

Примеры ошибок обработки персональных данных с 1 июля 2017 года

Оставили документы с личными данными на столе . Штраф за это нарушение - 50 тыс. рублей на компанию, 10 тыс. рублей на главбуха (ч. 6 ст. 13.11 КоАП РФ). Оставлять документы работников на всеобщее обозрение нельзя. Информацией о сотруднике могут воспользоваться посторонние.

Надо разработать порядок работы с персональной информацией. Например, запретить оставлять на столе бумаги с личными данными и выносить их за пределы кабинета. А документы хранить в сейфе или шкафу, где доступ к ним будет ограничен.

Не выдали работнику документы с его данными . Сокрытие от человека его персональных данных - тоже нарушние. Штраф - 50 тыс. рублей на компанию, 5 тыс. рублей на главбуха (ст. 5.27 КоАП РФ).

Выдавайте работникам расчетные листки. Для этого теперь даже не надо тратиться на бумагу. Можно разослать листки на электронную почту либо сообщением на корпоративном сайте вашей организации. Сведения о стаже выдавайте в течение 5 календарных дней с момента, когда за ними обратится работник, а также в день увольнения.

Не обновили старые данные . Штраф составит 45 тыс. рублей на компанию, 10 тыс. рублей - на главбуха (ч. 5 ст. 13.11 КоАП РФ). Данные работника могут меняться, поэтому их надо обновлять по просьбе сотрудника. Например, сотрудница вышла замуж и сменила фамилию, адрес или реквизиты счета. Если компания не обновит информацию, то нарушит правила работы с данными.

Сразу вносите новые сведения в базу, если сотрудник принес документы. Так вам будет проще заполнять отчетность.

Разместили информацию на стенде . Штраф - 75 тыс. рублей на компанию, 20 тыс. рублей на главбуха (ч. 2 ст. 13.11 КоАП РФ). Личные данные можно раскрыть и случайно. Например, главбух разместил на стенде копию заявления сотрудника на имущественный вычет как образец. В документе личные реквизиты, поэтому это нарушение. Сотрудник не давал согласие, чтобы информация о нем стала общедоступной. Размещать информацию нельзя и на доске позора. Для этого необходимо запросить согласие работника.

Не разглашайте сведения о сотрудниках без согласия. Если нужно вывесить образец, используйте вымышленные сведения.

Передали имя, адрес или номер телефона сотрудника . Цена нарушения - 50 тыс. рублей на компанию, 10 тыс. рублей на главбуха (ч. 1 ст. 13.11 КоАП РФ). Информацию о сотрудниках запрещено передавать третьей стороне без согласия, например банкам или коллекторским агентствам. Чтобы передать информацию, запросите согласие работника.

Передавать информацию о сотруднике по просьбе другой организации или «физика» можно, только если работник выдал им доверенность на получение сведений. Согласие работника на обработку данных не требуется только в случаях, которые предусмотрены законом. Например, если работник покупает что-то у компании и хочет получить на почту или телефон электронный чек (письмо Минкомсвязи России от 07.07.2017 № П11-15054-ОГ).

Федеральный Закон 152 «О персональных данных» регулирует всю деятельность, связанную с обработкой персональных данных. Он призван защищать права и свободу любого гражданина Российской Федерации, защитить семейные тайны, личную и частную жизнь каждого человека.

Общие положения

Закон о персональных данных 152 регулирует все правоотношения и условия обработки личной информации любым органом, физическим или юридическим лицом. Краткое содержание закона в том, что любые органы или лица могут автоматизировать сбор и обработку персональных данных, вносить их в материальные носители или картотеки и имеют право на доступ к ним.

Использовать этот закон можно не только внутри правовых органов, но и в информационно-телекоммуникационных сетях и организациях. Принят он был 8 июля 2006 года Государственной Думой и 14 июля того же года одобрен Советом Федераций. Состоит из шести глав и 25 статей. Последние изменения в него были внесены первого июля 2017 года.

Структура закона:

• В первой главе объясняется суть закона, его цель, основные термины и понятия, на какую сферу влияет и распространяется;
• Во второй главе объясняется принцип работы с персональными данными в соответствии с законом. Какие условия должны соблюдаться, конфиденциальность данных пользователей, их согласие на обработку данных, специальные категории и т. д.;
• В третьей главе описываются права, которыми обладают субъекты, чьи данные собираются и используются;
• В четвертой главе описываются обязанности лиц, занимающихся сбором, анализом, использованием данных. Такие лица называются операторами;
• В пятой главе говорится об ответственности операторов и каким образом государство контролирует выполнение обязательств и служение закону;
• В шестой главе оформлены все дополнительные и заключительные положения.

С каждым изменением в законе растут требования по отношению к организациям, собирающим личную информацию граждан и к операторам.

Особенности использования персональных данных по ФЗ 152

Главное условие использования персональных данных по ФЗ 152 - сбор, обработка и использование должны быть на законных и справедливых основаниях.

Органы, которые могут использовать 152 федеральный закон:

• Федеральный орган государственной власти;
• Муниципальные органы;
• Органы государственной власти субъектов Российской Федерации;
• Органы местного самоуправления;
• Иные государственные органы.

Использование данных лицами разрешено в случаях:

• Предварительно определены законные и действительные цели для использования;
• Личная информация актуальна, полна и ее достаточно для выполнения поставленной цели. При недостаточном количестве информации для выполнения задач оператор дополняет их, при избыточном количестве информации, оператор ее удаляет;
• Если информация обрабатывается и используется в поставленные для этого сроки. Храниться данные должны в форме, позволяющей в любой момент определить субъекта. По достижению цели оператор обезличивает данные или удаляет всю информацию.

Описываемый закон принят Государственной Думой и использование личной информации для органов, организаций и определенных физических лиц разрешено Правительством Российской Федерации.

Какие были внесены поправки?

Начиная с 2009 года было внесено множество поправок в закон о персональных данных.

В статье номер 3 по последней поправке перечислены термины и определения этих терминов, статья называется «Основные понятия, используемые в настоящем Федеральном законе». В тексте объясняется что такое персональные данные, трансграничная передача персональных данных, кто такой оператор, что такое информационная система персональных данных, как происходит обработка и что это, обезличивание, автоматизация, распространение, уничтожение, предоставление и блокирование персональных данных.

В статье номер 5 последние поправки были произведены 25 июля 2011 года при помощи закона Согласно новой редакции 5 статьи, использование и обработка личной информации справедлива и законна. Все цели и задачи, по которым происходит сбор и обработка информации, законны и определены предварительно. В последней редакции 5 статьи определены условия хранения такого вида информации и способы обновления и удаления ее оператором.

В статье номер 7 по последним поправкам определена суть конфиденциальности персональных данных. Оператор не имеет права распространять ее третьим лицам без согласия на то субъекта.

Поправки произошли и в статье номер 9. Новая редакция этой статьи определяет согласие субъекта на распространение и обработку персональных данных. Дееспособный субъект может согласиться на условия оператора в любой доступной ему форме, в собственных интересах и по свободной воле. Субъект имеет право отозвать согласие.

Письменное согласие субъекта на предоставление персональных данных выглядит следующим образом:

• ФИО, адрес, идентификационный номер паспорта, информация о документе (дата и место) и т. д.;
• Информация из доверенности при наличии представителя субъекта;
• ФИО, адрес и должность оператора, получающего документ;
• Цель, для чего нужны данные субъекта;
• Перечень персональной информации субъекта, которая будет использована оператором;
• Список действий оператора, которые он произведет по согласию субъекта;
• Срок использования и способы отзыва документа;
• Подпись субъекта и оператора с расшифровками.

Поправки были внесены и в статью номер 19. В тексте этой редакции говорится о мерах безопасности, которые используются для защиты прав и свободы субъектов. Оператор обязан использовать все имеющиеся меры по безопасности и защите персональных данных от неправомерного или случайного доступа к ним третьих лиц. Происходит применение технических мер, контроль, установление порядка, установление правил, учет, восстановление и обнаружение фактов взлома и т. д. Требования к защите устанавливаются Правительством Российской Федерации. Каждая организация или орган принимают определенный устав или правовые нормы, положения которых обязуют сотрудников принимать определенные меры для безопасности личной информации субъектов и конфиденциальности.

Скачать последнюю редакцию ФЗ 152

Последняя редакция Федерального Закона номер 152 «О персональных данных» была произведена 29 июля 2017 года. Закон 152 ФЗ о защите персональных данных в последней редакции потерпел изменения в статьях 1, 2, 3 и 6.

Чтобы защититься от проникновения в личное пространство, защитить собственную свободу и права, субъект, чья личная информация используется, может изучить 152 Федеральный Закон.

Поправки и редакции Федерального Закона номер 152 «О персональных данных» можно скачать

Одно из важнейших изменений в законодательстве, которое ждет кадровиков летом 2018 года, следующее – с 1 июля увеличатся штрафы за персональные данные. Если ранее максимальный штраф составлял 10 000 рублей, то теперь он может достигать 75 000 рублей. Кроме того, с 1 июля штрафовать работодателей сможет непосредственно Роскомнадзор, а раньше дела такой категории возбуждала прокуратура. Разберемся подробнее, как с 1 июля увеличатся штрафы за персональные данные.

Из статьи вы узнаете:

Персональные данные работников

Прежде чем рассматривать штрафы за персональные данные в 2018 году, выясним, что относится к таким данным. Персональные данные работников – это сведения, которая как прямо, так и косвенно относятся к физическому лицу. Это информация о фактах, событиях и перепитиях частной жизни, которые дают возможность идентифицировать личность человека, за исключением сведений, которые подлежат распространению в СМИ (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ, далее – Закон № 152-ФЗ, Указ Президента РФ от 6 марта 1997 г. № 188).

Скачайте документы по теме:

Выделяют три вида персональных данных работников: общие, специальные и биометрические. К общим относят:

Ф. И.О., место жительства;

паспортные данные;

сведения об образовании;

семейное положение;

Общие персональные данные работников содержатся в паспорте, дипломе, военном билете, личной карточке, трудовой книжке и других документах.

С 1 июля увеличатся штрафы за персональные данные за обработку в нарушение запрета специальных данных. К ним относится информация о (ч. 1 ст. 10 Закона № 152-ФЗ):

расовой, принадлежности, национальности;

политических взглядах;

религиозных или философских убеждениях;

состоянии здоровья и тому подобное.

Специальные персональные данные работников могут быть в анкете, которую сотрудник заполняет при приеме на работу, медицинском заключении и т. д.

Серьезные штрафы за нарушение закона о персональных данных грозят при нарушении порядка работы с биометрическими данными. Это сведения о физиологических и биологических особенностях человека, по которым можно установить его личность. К примеру, такие особенности, как:

• дактилоскопические данные;
• радужная оболочка глаз;
• анализы ДНК;
• рост, вес и прочее.

Обратите внимание! Фотография или видеозапись также относятся к биометрическим персональным данным, если по ним можно идентифицировать человека. Исключение составляют фото- и видеозаписи, которые сделали на массовых и публичных мероприятиях (п. 1 ст. 152.1 ГК РФ).

Новые штрафы: персональные данные

В 2017 году с 1 июля увеличатся штрафы за персональные данные. Поправки в КоАП РФ внес Федеральный закон от 07.02.2017 № 13-ФЗ. Изменения размеров новых штрафов за персональные данные существенные. Поэтому операторам персональных данных, к которым относятся все работодатели, нужно тщательно подготовиться к изменениям.

Действующая в текущий момент редакция статьи 13.11 КоАП РФ содержит только одно общее основание, чтобы привлечь организацию к административной ответственности – за нарушение определенного законом порядка сбора, хранения, использования или распространения персональных данных. С 1 июля увеличатся штрафы за персональные данные и видов нарушений, за которые можно наказать, будет семь.

Важно: сейчас максимальный размер штрафных санкций составляет 1 000 руб. (для должностных лиц) и 10 000 руб. (для юридических лиц). С 1 июля максимум возрастет до 20 000 и 75 000 руб. соответственно.

С 1 июля увеличатся штрафы за персональные данные и одновременно изменится порядок, в котором заводят дела об административных правонарушениях в области персданных. Сейчас такие дела возбуждают прокуроры (п. 1 ст. 28.4 КоАП РФ). С 1 июля 2017 года указанные полномочия передаются должностным лицам Роскомнадзора (подп. 58 п. 2 ст. 28.3 КоАП РФ в новой редакции). Они смогут сами налагать новые штрафы за персональные данные:

• штраф за разглашение персональных данных;
• штрафы за неправильную обработку персональных данных;
• штраф за распространение персональных данных;
• штрафы за нарушение работы с персональными данными и так далее.

Передача функций по возбуждению административных дел Роскомнадзору ускорит процесс привлечения работодателей к ответственности. В настоящее время такие органы лишь собирают информацию о нарушениях и передают ее в прокуратуру для решения вопроса о применении административного наказания.

Закон о персональных данных: штрафы

С 1 июля увеличатся штрафы за персональные данные. Рассмотрим семь составов, которые вводятся с 1 июля (таблица ниже). За нарушение закона о персональных данных штрафы для организаций составят от 15 000 до 75 000 рублей.

Штрафы за нарушение закона о персональных данных с 1 июля 2017 года

Чтобы избежать повышенных новых штрафов за персональные данные в 2018 году, работодателям необходимо проанализировать, правильно ли они организовали систему работы с персональными данными, выявить и ликвидировать недочеты. В частности, важно проверить, получал ли работодатель письменное согласие сотрудников на обработку данных в тех случаях, когда оно требуется.

Согласие на обработку персональных данных в письменной форме надлежит получить, когда (подп. 1 п. 2 ст. 10, п. 1 ст. 11, подп. 1 п. 4 ст. 12 Закона № 152-ФЗ):

• речь идет о их передаче в государство, не обеспечивающее необходимую защиту персональных данных;
• обрабатываются биометрические данные, чтобы установить личность;
• обрабатываются специальные категорий и сведений, которые касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Здравствуйте, уважаемые читатели! Совсем недавно вступили в силу изменения в ст. 13.11 КоАП РФ, внесенные Федеральным законом от 07.02.2017 № 13-ФЗ. Персональные данные с 1 июля 2017 года стали для кого-то головной болью, а кто-то на эти изменения не обратил внимания. Как выясняется при анализе поправок — зря.

Законодательство о персональных данных весьма сложное и непонятное. Но ориентироваться в нем сейчас совершенно необходимо, чтобы не попасть под крупный штраф.

Если объяснять суть изменений в двух словах, то штрафы выросли на несколько порядков (до 75 тыс. руб. за одно нарушение), а совершить правонарушение без знания закона можно запросто даже не подозревая об этом.

Поэтому давайте по порядку разбираться во внесенных и вступивших в силу изменениях, на которые многие упорно не обращают внимание.

Сперва давайте в целом поговорим о том, что такое персональные данные.

Что относится к персональным данным физического лица

Отношения, возникающие по поводу обработки персональных данных регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Ключевым понятием, вокруг которого вертится все остальное, является понятие самих персональных данных.

В соответствии с п. 1 ст. 3 указанного закона это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Из этого определения следуют два важных вывода:

1. Субъектом персональных данных может быть только физическое лицо. Сведения о юридическом лице не являются и не могут являться персональными данными.
2. Чтобы сведения о физическом лице признавались персональными данными, они должны позволять идентифицировать его.

С первым выводом все понятно. Со вторым возникает серьезный вопрос: при каких условиях информация, имеющая отношение к человеку, начинает рассматриваться как персональные данные? Что является персональными данными по закону?

При ответе на этот вопрос выделяют два подхода:

1. Это только та информация, из которой можно сделать однозначный вывод о том, что речь идет о конкретном человеке.
2. Это любая информация, которая имеет отношение к физическому лицу и позволяет выделить его из общей массы людей.

Но это теоретические подходы. Правильный выбор затруднен из-за отсутствия в законе перечня примеров возможных видов персональных данных. В определенной степени этот пробел восполняется судебной практикой.

Например, в Определении Верховного Суда РФ от 24.06.2015 № 18-АПГ15-7 указано:

«...К данным сведениям относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация».

Апелляционное определение Санкт-Петербургского городского суда от 13.12.2016 N 33-26115/2016 по делу N 2-3830/2016 повторяет то же самое.

Особого внимания заслуживает информация, которую пользователи оставляют на посещаемых сайтах в сети Интернет. Анализ самой последней судебной практики (в частности, Постановления Девятого арбитражного апелляционного суда № 09-АП-17574/2016 от 23.05.2016 по делу № А40-14902/2016) позволяет сделать вывод, что сведения об IP-адресе пользователя, cookie, сведения о географическом местоположении устройства пользователя и т. п. тоже считаются персональными данными.

В целом суды придерживаются первого подхода — к персональным данным относится только та информация, из которой можно сделать однозначный вывод о том, что речь идет о конкретном человеке.

Обычно это связка «имя» и что-то еще. Например, номер мобильного телефона. Или адрес электронной почты. Или те же cookie и иные метаданные.

Поэтому если на сайте есть какая-либо форма для заполнения пользователями, в которой есть поле «Имя», то вместе с передаваемыми метаданными (IP, cookie) вся эта информация будет относиться к персональным данным, а значит владелец этого интернет-ресурса является оператором их обрабатывающим.

Если совсем по-простому, то при наличии на вашем сайте формы обратной связи, то вы обрабатываете персональные данные. А если есть форма подписки, как у меня, то и подавно.

Роскомнадзор придерживается позиции, что персональные данные — это любая информация, относящаяся к физическому лицу. Такую информацию озвучивает само ведомство. Факт идентификации или неидентификации субъекта персональных данных оператором не влияет на статус данных как персональных.

Отговорка «я не обрабатывают персональные данные, я их только собираю», не сработает.