Номер телефона личные данные
Вопрос о том, может ли номер телефона быть персональными данными (ПД), в последние годы остро стоит перед многими компаниями, которые в силу своей деятельности занимаются обработкой персональных данных, например, банковские организации, торговые сети. В Законе № 152-ФЗ «О персональных данных» указано, что оператор, осуществляющий обработку ПДн, полученных от субъекта, не вправе разглашать информацию без получения его согласия. За нарушение положений закона Роскомнадзор может наложить на оператора штраф.
В соответствии со статьей 3 Закона № 152-ФЗ к персональным данным относится информация, относящаяся к прямо или косвенно субъекту персональных данных, которым может быть физическое или юридическое лицо. Это может включать номер телефона.
Статья 3 содержит понятие обезличивания персональных данных. Под анонимизацией понимаются действия, не позволяющие установить принадлежность данных конкретному лицу (организации) без использования сторонних методов и устройств, позволяющих получить доступ к информации о субъекте.
При рассылке рекламных рассылок абонентам операторы, осуществляющие обработку персональных данных, должны руководствоваться ст. 44 п. 1 Закона «О связи» (№ 126-ФЗ), в соответствии с которым при возможности идентификации абонента по его номеру, в том числе с использованием дополнительной информации, необходимо получить его согласие.
Закон № 152-ФЗ закрепляет понятие оператора персональных данных (ОПД). Оператор – лицо или государственный (муниципальный) орган, осуществляющий обработку персональных данных. ПДО вправе передавать персональные данные третьим лицам с согласия субъекта. Данное положение закреплено в ч. 3 ст.
6 вышеуказанного закона.
ПДО несет ответственность перед субъектом за действия, совершенные с персональными данными третьими лицами (организациями). Как правило, это облачные провайдеры, различные сервисные центры. Примечательно, что они не несут никакой ответственности перед субъектом, а несут ответственность перед оператором.
Должен ли оператор публиковать политику конфиденциальности?
Согласно закону «О персональных данных» ПДн обязан предоставлять документы, определяющие политику в области обработки ПДн, в том числе при использовании интернет-ресурсов (ст. 18.1 ч. 2 п. 1). Однако в первую очередь это положение распространяется на юридических лиц (ст. 18.1 ч. 1). В частности, в статье отмечается, что для выполнения своих обязанностей оператор, являющийся юридическим лицом, обязан опубликовать (опубликовать) документы, устанавливающие политику обработки ПДн.
Нужно ли PDO получать согласие на обработку ПД?
Статья 6 требует, чтобы оператор получил согласие субъекта в письменной форме.
Нужно ли включать PDO в реестр Роскомнадзора?
ч. 1 ст. 22 выдвигает требование к оператору, осуществляющему обработку данных, уведомлять соответствующие органы о намерении ее осуществить. PDO освобождается от обязанности по направлению уведомления в Роскомнадзор в следующих случаях:
- при получении данных в связи с заключением договора, одной из сторон которого является субъект ПДн, при условии, что его данные не подлежат дальнейшему распространению;
- данные будут использоваться исключительно для выполнения контракта;
- данные получены оператором из общедоступных источников.
Закон не запрещает трансграничную передачу данных при наличии разрешения субъекта и защиты информации государством, которое будет получать информацию.
Обобщая вышеизложенное, мы можем сделать следующие выводы:
1. Оператор вправе осуществлять обработку данных без уведомления Роскомнадзора. Для этого достаточно предоставить пользовательское соглашение, играющее роль контракта. Пользовательское соглашение позволяет PDO связываться с пользователем по номеру и адресу, в том числе для рекламных рассылок.
2. Если физическое (юридическое) лицо получило персональные данные от ОПД, то оно не несет ответственности за субъекта персональных данных, а несет ответственность исключительно перед самим ОПД.
3. При наличии данных в общедоступных источниках (доски объявлений, интернет-ресурсы, открытые страницы в социальных сетях) СОД требуется получение согласия на обработку по ст.3.
В статье 9 № 152-ФЗ указано, что:
- субъект должен быть готов предоставить данные свободно, в своем интересе и по своей воле;
- субъект должен предоставить согласие заведомо и в развернутой форме;
- субъект должен предоставить согласие в такой форме, которая позволяла бы подтвердить факт его предоставления ОПД;
- подтверждение согласия субъекта или получение доказательств наличия оснований для продолжения обработки данных без него остается заботой оператора.
Сбор данных о пользователях в социальных сетях и других открытых источниках без разрешения субъекта остается незаконным. Нарушение этого положения влечет за собой ответственность по ст. 13.11 КоАП РФ.
25.11.2020
Политика в отношении персональных данных
1. Общие положения
Настоящая Политика персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению безопасность персональных данных, принимаемых ООО «ГРЮНВАЛЬД» (далее — Оператор).
1.1. Соблюдение прав и свобод человека является средством и конечной целью всех действий Оператора. Тот же принцип распространяется и на обработку персональных данных: Оператор обеспечивает соблюдение прав и свобод гражданина, в том числе его личную и семейную тайну.
1.2. Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) распространяется на всю информацию, которую Оператор может получить о посетителях сайта https://www.grunwald.ru.
2. Основные понятия, используемые в Политике
2.1. Автоматизированная обработка персональных данных – обработка персональных данных с использованием средств вычислительной техники.
2.2. Блокирование персональных данных – временное приостановление обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
2.3. Сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети Интернет по адресу в сети Интернет https://www.grunwald.ru.
2.4. Информационная система персональных данных – совокупность персональных данных, содержащихся в базах данных, и информационных технологий и технических средств, обеспечивающих их обработку.
2.5. Обезличивание персональных данных — действия, направленные на обезвреживание данных, содержащих какую-либо информацию, позволяющую идентифицировать конкретного Пользователя или иного субъекта персональных данных (далее — Субъект данных).
2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, осуществляющие организацию и обработку персональных данных самостоятельно или совместно с другими лицами, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, совершаемые действия (операции).
с личными данными.
2.8. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому Пользователю сайта https://www.grunwald.ru/.
2.9. Персональные данные, разрешенные к распространению Субъектом данных – персональные данные Субъекта данных, на распространение которых Субъект данных дал согласие и которые будут доступны неограниченному кругу лиц в порядке, предусмотренном Законом о персональных данных ( далее – персональные данные, разрешенные к распространению).
2.10. Пользователь – любой посетитель сайта https://www.grunwald.ru.
2.11. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.12. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или в результате которых персональные данные становятся недоступными.
Эти действия могут включать, но не ограничиваться, публикацией персональных данных в средствах массовой информации, размещением в информационно-телекоммуникационных сетях либо предоставлением доступа к персональным данным иным способом.
2.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу иностранного государства, иностранному физическому или иностранному юридическому лицу.
2.14. Уничтожение персональных данных – любые действия, в результате которых персональные данные удаляются безвозвратно с невозможностью их дальнейшего восстановления и (или) уничтожения физических носителей персональных данных.
3. Основные права и обязанности Оператора
3.1. Оператор имеет право:
– получать достоверные и достоверные персональные данные и/или документы, содержащие персональные данные, от Субъекта данных;
– возобновить обработку персональных данных без согласия Субъекта данных по основаниям, указанным в Законе о персональных данных, в случае отзыва Субъектом данных согласия на обработку персональных данных;
– самостоятельно определить структуру и перечень мер, необходимых и достаточных для обеспечения исполнения обязанностей, предусмотренных Законом о персональных данных и иными нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или иными федеральными законами.
3.2. Оператор обязан:
– предоставлять Субъекту данных информацию об обработке его персональных данных по его запросу;
— обрабатывать персональные данные в порядке, установленном действующим законодательством Российской Федерации;
– отвечать на запросы Субъектов данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
— предоставить необходимую информацию органам, уполномоченным на защиту личных прав Субъекта данных, в течение 30 дней с момента получения их запроса;
– опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
– принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий в отношении персональных данных;
– прекратить передачу (распространение, предоставление, доступ к персональным данным), прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;
– выполнять иные обязанности, предусмотренные Законом о персональных данных.
4. Основные права и обязанности Субъектов данных
4.1. Субъекты данных имеют право:
– получать информацию об обработке своих персональных данных, за исключением случаев, предусмотренных федеральными законами. Информация, предоставляемая Оператором Субъекту данных, должна быть в доступной форме, не содержать персональных данных, относящихся к другим Субъектам данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлены в Законе о персональных данных;
— требовать от Оператора подтверждения персональных данных, блокирования или удаления либо в случае, если персональные данные являются неполными, устаревшими, недостоверными, полученными незаконным путем или не соответствующими заявленной цели обработки, а также принять предусмотренные законодательством меры по защите их права;
– устанавливать условия о предварительном согласии при обработке персональных данных в целях продвижения товаров, работ, услуг;
– отозвать согласие на обработку персональных данных;
– обращаться в уполномоченный орган по защите прав Субъектов данных, либо обжаловать в судебном порядке неправомерные действия или бездействие Оператора при обработке их персональных данных;
— осуществлять иные права, предусмотренные законодательством Российской Федерации.
4.2. Субъекты данных обязаны:
— предоставлять Оператору достоверные данные о себе;
– сообщать оператору об изменении своих персональных данных.
4.3. Лица, предоставившие Оператору недостоверную информацию о себе или другом Субъекте данных без согласия последнего, несут ответственность в соответствии с законодательством Российской Федерации.
5. Оператор может обрабатывать следующие персональные данные Пользователя
5.1. Фамилия, имя, отчество.
5.2. Адрес электронной почты.
5.3. Телефонные номера.
5.4. Обратите внимание, что сайт также собирает и обрабатывает анонимные данные пользователей (включая файлы cookie) с помощью сервисов интернет-статистики, таких как Google Analytics, Яндекс Метрика и других.
5.5. Все вышеупомянутые данные включены в общий термин «Персональные данные» для целей настоящей Политики.
5.6. Оператор не обрабатывает специальные категории персональных данных, касающиеся расы, национальности, политических взглядов, религиозных или философских убеждений, частной жизни.
5.7. Обработка персональных данных, разрешённых к распространению, в том числе специальных категорий персональных данных, указанных в части 1 статьи 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», допускается при соблюдении запретов и условий, предусмотренных в 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
5.8. Согласие Пользователя на обработку разрешенных к распространению персональных данных оформляется отдельно от иных согласий на обработку его персональных данных. Соблюдаются условия, предусмотренные статьей 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Требования к содержанию такого согласия устанавливаются органами, уполномоченными на защиту личных прав Субъекта данных.
5.8.1 Согласие на обработку персональных данных, разрешенных к распространению, Пользователь предоставляет непосредственно Оператору.
5.8.2 Оператор обязан опубликовать информацию обо всех условиях обработки не позднее трех рабочих дней с момента получения согласия Пользователя.
5.8.3 Субъект данных имеет право в любое время потребовать прекращения передачи (распространения, обмена, доступа) своих персональных данных. Запрос должен включать полное имя, контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) Субъекта данных, а также список персональных данных, которые подлежат удалению. Персональные данные, указанные в настоящем запросе, могут быть обработаны только Оператором, которому он направлен.
5.8.4 Согласие на обработку персональных данных, разрешённых к распространению, прекращается с момента получения Оператором запроса, указанного в п. 5.8.3 настоящей Политики, в отношении обработки персональных данных.
6. Принципы обработки персональных данных
6.1. Оператор обрабатывает персональные данные на законной и добросовестной основе.
6.2. Персональные данные обрабатываются для достижения законных, заранее определенных, специально заявленных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
6.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых друг с другом.
6.4. Обработке подлежат только персональные данные, соответствующие целям их обработки.
6.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываются только те данные, которые соответствуют заявленным целям обработки.
6.6. При обработке персональных данных Оператор обеспечивает их достоверность, достаточность и соответствие целям обработки персональных данных. Оператор принимает необходимые меры для удаления и обновления неполных или неточных данных.
6.7. Неанонимизированные персональные данные хранятся не дольше, чем этого требуют цели обработки данных, если срок хранения не установлен федеральным законом и/или договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении указанных целей, если иное не предусмотрено федеральным законом.
7. Цели обработки персональных данных
7.1. Цель обработки персональных данных Пользователя:
– информирование Пользователя путем отправки электронных писем;
– предоставление Пользователю доступа к услугам, информации и/или материалам, содержащимся на сайте https://www.grunwald.ru.
7.2. Также Оператор вправе направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отозвать свое согласие на получение информационных сообщений от Оператора, направив электронное письмо на адрес [email protected] с темой «Отказ от дальнейших уведомлений о новых продуктах, услугах и специальных предложениях».
7.3. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации об активности Пользователей на сайте, улучшения качества сайта и его содержания.
8. Правовые основания обработки персональных данных
8.
1. Правовыми основаниями обработки персональных данных Оператором являются:
– учредительные документы (учредительные документы) Оператора;
– договоры, заключенные между Оператором и Субъектом данных;
– федеральные законы и иные нормативные правовые акты в области защиты персональных данных;
– согласие Пользователя на обработку его персональных данных, на обработку персональных данных, разрешенных для распространения.
8.2. Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы на сайте https://www.grunwald.ru или направления Оператору по электронной почте. Заполняя соответствующие формы и/или направляя Оператору свои персональные данные, Пользователь соглашается с настоящей Политикой.
8.3. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено настройками браузера Пользователя (включены файлы cookie и JavaScript).
8.4. Субъект данных делится своими личными данными самостоятельно и соглашается добровольно, свободно и в своих интересах.
9. Условия обработки персональных данных
9.1. Обработка персональных данных может осуществляться с согласия Субъекта данных на обработку его персональных данных.
9.2. Обработка персональных данных осуществляется для достижения целей, предусмотренных международным договором Российской Федерации или законом, а также для выполнения функций, полномочий и обязанностей, возложенных на Оператора законодательством Российской Федерации.
9.3. Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта иного органа или должностного лица, подлежащего исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.
9.4. Обработка персональных данных необходима для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является Субъект данных, а также для заключения договора по инициативе Субъекта данных или договора, по которому Субъект данных будет бенефициаром или поручителем.
9.5. Обработка персональных данных необходима для реализации прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что права и свободы Субъекта данных не нарушаются.
9.6. Обработке подлежат персональные данные, которые могут быть доступны неограниченному кругу лиц с согласия или запроса Субъекта данных (далее — общедоступные персональные данные).
9.7. Обрабатываются персональные данные, подлежащие опубликованию или обязательному раскрытию в соответствии с федеральным законом.
10. Порядок сбора, хранения, передачи и иных видов обработки персональных данных
Безопасность персональных данных, обрабатываемых Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для полного соблюдения требований действующего законодательства в области защиты персональных данных.
10.1. Оператор обеспечивает безопасность персональных данных и обеспечивает доступ к ним только уполномоченных лиц.
10.2. Персональные данные Пользователя никогда, ни при каких обстоятельствах не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства или если Субъект данных дал согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договор.
10.3. В случае выявления Пользователем неточностей в своих персональных данных, Пользователь может актуализировать их самостоятельно, направив уведомление на адрес электронной почты Оператора [email protected] в теме «Актуализация персональных данных».
10.4. Срок обработки персональных данных определяется достижением целей, для которых осуществлялся сбор персональных данных, если иной срок не предусмотрен договором или действующим законодательством.
Пользователь может в любое время отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на адрес электронной почты Оператора [email protected] в теме «Отзыв согласия на обработку персональных данных».
10.5. Вся информация, собираемая сторонними сервисами, в том числе платежными системами, средствами связи и другими поставщиками услуг, хранится и обрабатывается этими субъектами (Операторами) в соответствии с их Пользовательским соглашением и Политикой конфиденциальности. Субъект данных и/или Пользователь обязаны своевременно ознакомиться с этими документами. Оператор не несет ответственности за действия третьих лиц, в том числе поставщиков услуг, указанных в настоящем пункте.
10.6. Ограничения, установленные на передачу персональных данных (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных к распространению Субъектом данных, не применяются в случаях обработки персональных данных. в государственных, общественных и иных общественных интересах, определенных законодательством Российской Федерации.
10.7. При обработке персональных данных Оператор обеспечивает их конфиденциальность.
10.8. Оператор хранит неанонимизированные персональные данные не дольше, чем этого требуют цели обработки данных, если срок хранения не установлен федеральным законом и/или договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект данных.
10.9. Прекращение обработки персональных данных может произойти в следующих случаях: в случае достижения целей обработки персональных данных, в случае истечения срока действия согласия Субъекта данных или отзыва указанного согласия, а также в случае неправомерной обработки персональных данных.
11. Перечень действий, совершаемых Оператором с полученными персональными данными
11.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление доступа), обезличивание, блокирование, удаление и уничтожение персональных данных.
11.2. Оператор осуществляет автоматизированную обработку персональных данных с получением и/или передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.
