FAQ по Роскомнадзору

1. Что делать в связи с новым законом об уведомлении в Роскомнадзор? Есть какие-либо официальные рекомендации от вас?

Нового закона об уведомлении Роскомнадзора не существует. 01.07.2017 года вступили в силу изменения к статье 13.11 Кодекса об Административных Правонарушениях, которые установили конкретные нарушения закона о Персональных данных, а также размер штрафов за такие нарушения. Актуальная редакция статьи 13.11 доступна по ссылке.

2. Подскажите, пожалуйста, планируется ли регистрация GetCourse в реестре операторов персональных данных Роскомнадзора или под каким наименованием компания там проходит? 

GetCourse планирует зарегистрироваться в реестре операторов, осуществляющих обработку

Персональных данных.

3. Подскажите, пожалуйста, где конкретно располагаются ваши сервера, на которых обрабатываются данные ваших клиентов, являющихся операторами данных. Мы должны подавать в Роскомнадзор уведомления?

ЦОД находится в дата-центре компании Селектел. Адрес: Санкт-Петербург, ул. Цветочная, д. 19.

В Роскомнадзор вы должны будете подавать уведомление в случае, если обрабатываете персональные данные без согласия субъекта, и в случае, если вы не попадаете под перечень оснований, установленных законом о персональных данных, допускающих обработку персональных данных без согласия субъекта и без уведомления Роскомнадзора.

4. Каким образом ваш клиент, который с вашей помощью сам становится оператором персональных данных, может подтвердить местонахождение ваших серверов с его данными в случае возникновения у Роскомнадзора вопросов к нему на эту тему?

В случае возникновения вопросов у Роскомнадзора вы можете сообщить, что платформа пользуется услугами дата-центра компании Селектел. Адрес ЦОД, где хранятся сервера платформы: Санкт-Петербург, ул. Цветочная, д. 19. В случае проверки Роскомнадзора мы можем предоставить копию договора между ООО «ГТК Сервис» и дата-центром.

5. Могли бы вы в интересах своих клиентов внести в документы с вашими заказчиками, подписываемые на сайте (в оферту, условия, в политику обработки данных), явное указание на адрес размещения серверов, на которых хранятся данные?

Внесем в ближайшее время.

6. Возникает ли у ваших клиентов — авторов и владельцев учебных курсов — обязанность уведомлять Роскомнадзор о том, что они обрабатывают персональные данные? По идее, клиент использует ваш сервис для работы со своими клиентами и на обработку их данных получает согласие при подписке, он не продает базу на сторону, но тем не менее, он данные обрабатывает по полной программе.

Вы должны будете подавать уведомление в Роскомнадзор в случае, если обрабатываете персональные данные без согласия субъекта, и в случае, если вы не попадаете под перечень оснований, установленных законом о персональных данных, допускающих обработку персональных данных без согласия субъекта и без уведомления Роскомнадзора.

Авторы и владельцы курсов не уведомляют Роскомнадзор в случае, если у них размещен договор (оферта), принимая которую, пользователь становится стороной договора. Или у вас существует форма, в которую пользователь вносит свои данные, и перед регистрацией соглашается с обработкой персональных данных в соответствующем «окне» формы. Если договор и форма у вас отсутствуют, вам необходимо уведомить Роскомнадзор об обработке персональных данных.

Согласие на рассылку не является согласием на обработку. Получая согласие на рассылку, вы соблюдаете ст. 18 закона о рекламе, согласно которой рассылка должна осуществляться только с согласия получателя.

7. Что конкретно берёт на себя в вопросе соблюдения закона 152-Ф3 Геткурс?

Платформа принимает все необходимые меры для защиты персональных данных при их обработке. С политикой обработки вы можете ознакомится здесь. Серверы платформы находятся на территории РФ, трансграничная передача персональных данных не производится. Дата центр, в котором находятся серверы платформы, принадлежит компании Селектел. Указанный дата-центр соответствует международному стандарту TierIII и требованиям безопасности банков, платежных систем и предприятий электронной коммерции PCI DSS.

8. Для регистрации в Роскомнадзоре как оператора персональных данных мне нужны следующие сведения:

1. Наименование используемых криптографических средств.
2. Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ (Адрес ЦОД).
3. Осуществляется ли трансграничная передача персональных данных.

1. Криптографические средства не используются. 

2. Санкт-Петербург, ул. Цветочная, д. 19.

2. Не осуществляется.

9. В случае, если Платформа станет оператором персональных данных, нужно ли авторам и владельцам курсов регистрироваться в Роскомнадзоре в качестве операторов, или регистрации платформы в таком случае достаточно?

Если платформа будет внесена в реестр операторов, это не отменяет обязанности владельца курса или его автора:

• либо реализовать меры, при которых уведомлять РКН не требуется
• либо встать в реестр операторов, обрабатывающих персональные данные.

10. Я являюсь пользователем вашей платформы и преподаю свой авторский курс. Что я должен сделать, чтобы не регистрироваться в Роскомнадзоре в качестве оператора по обработке персональных данных?

При регистрации на вашем сайте у клиента должна быть техническая возможность дать согласие на обработку своих данных. Эту возможность можно реализовать двумя способами.

1 вариант. Вы создаёте на сайте форму, заполнив которую, клиент проставляет «галочку» или, наоборот, оставляет ее рядом с фразой «Согласен на обработку добровольно предоставленных мною персональных данных для цели получения услуг» (товаров/работ, то есть того, что вы предлагаете). Здесь нужно перечислить все цели использования персональных данных. Если целей много, то лучше использовать второй вариант (договор-оферту).

2 вариант. Вы составляете и размещаете на сайте договор (договор-оферта, пользовательское соглашение, публичный договор и т.п.) с чек-боксом, где бы пользователь проставил «галочку» или, наоборот, оставил бы ее в разделе «с текстом договора согласен». В соответствии с Федеральным законом «О персональных данных» согласие субъекта персональных данных не требуется, если он является стороной по договору. Таким образом, если вы реализуете согласие вашего клиента указанными выше способами, вам не нужно вставать в реестр операторов персональных данных.