Обработка персональных данных: новая ответственность за нарушения

zakon o personalnih dannih7 февраля 2017 года в статью 13.11 КоАП внесены поправки, ужесточающие наказание за нарушения закона о персональных данных. В силу они вступят с 1 июля 2017 года и касаться будут всех, кто работает с любыми персональными данными (собирает их, обрабатывает и хранит).

ВЛАДЕЛЬЦЫ САЙТОВ, ВНИМАНИЕ! ИЗМЕНЕНИЯ В ЗАКОНЕ: С 1 ИЮЛЯ 2017 ГОДА ШТРАФЫ ЗА НАРУШЕНИЯ ЗАКОНА О ПЕРСОНАЛЬНЫХ ДАННЫХ ВЫРАСТУТ ДО 75 ТЫСЯЧ РУБЛЕЙ.

Теперь штрафы разделены по видам нарушений и в десятки раз увеличены. К примеру, если на сайте не размещать информацию о политике конфиденциальности, индивидуального предпринимателя могут оштрафовать на сумму в 10 тысяч рублей, а компанию — на 30 тысяч. Если обработкой персональных данных будет заниматься интернет-магазин без согласия своих клиентов или информационный ресурс — без согласия подписчиков, то штраф для юрлица назначат до 75 тысяч рублей. Руководителю компании надо будет заплатить до 20 тысяч, столько же — предпринимателю. Если нарушений обнаружится несколько, тогда и количество штрафов будет равно количеству нарушений.

Необходимо привести в порядок свои сайты и срочно — проверки уже проводятся

В настоящее время не зависит, за какое нарушение выписан штраф, — его размер для руководителя организации или ИП будет не выше 1 000 рублей, а для юридических лиц — максимум 10 тысяч рублей. Процедура проверки сайтов занимает немало времени, а суммы штрафов — маленькие. И потому проверяют не часто и не всех.

Otvetstvennost

К тому же протоколы о нарушениях пока еще может составлять только прокуратура. Но с 1 июля дело пойдет веселее, т.к. право выписывать такие протоколы появится у Роскомнадзора.

А сейчас появляется информация о том, что штрафы за нарушения положений закона о персональных данных накладываются все чаще. Мы уже писали о наказаниях в Астрахани, где местная прокуратура активно взялась штрафовать интернет-сайты, на которых не было документа, где говорилось бы про обработку персональных данных. То, что штрафам подверглись сайты «по списку», т. е. с начала алфавита, позволяет допустить, что такие проверки на местах могут продолжаться. А при новых размерах штрафов с 1 июля количество наказаний возрастет.

Кто является оператором персональных данных — как это узнать?

Оператором персональных данных может быть любое юридическое лицо, индивидуальный предприниматель, которые осуществляют обработку персональных данных.  Просто физические лица также могут быть операторами. Таким образом, надо разобраться, что такое "обработка" и какие сведения относятся к "персональным данным".

Проблема в том, что закон о персональных данных трактует эти самые «данные» размыто и неопределенно — как информацию, относящуюся к определяемому (идентифицируемому) гражданину прямо или косвенно. В результате это «косвенно» дает широкий простор для трактовки. Как считает ряд пользователей Facebook, прокомментировавших публикации на эту тему, власти используют такие размытые формулировки, чтобы в судебных разбирательствах можно было легко маневрировать при принятии решений.

Приходится соглашаться, что персональные данные — это любая информация о человеке, по которой  его можно идентифицировать. Раз уж в законе такой перечень отсутствует, можно примерный список составить самим. И учитывать, что по каким-то параметрам практически невозможно будет определить, о каком конкретном гражданине идет речь (это может быть только имя или ник), а по другим человека идентифицировать легко (к примеру, по номеру телефона).

 

Вы почти гарантированно являетесь оператором персональных данных, если вами запрашивается каким угодно способом от физических лиц следующая информация в любом ее сочетании:
фамилия семейное положение
имя профессия
отчество уровень доходов
электронная почта ссылка на персональный сайт
телефон ссылка на личную страницу в соцсетях
фотография дата или место рождения
образование адрес регистрации или проживания

Владелец сайта обрабатывает персональные данные, если осуществляет с ними хотя бы одно из следующих действий.

Personalnye_dannye

 

Значит, называть операторами персональных данных следует всех владельцев электронных ресурсов (сайтов, блогов), где имеются личные кабинеты и любые формы для обратной связи, регистрации или подписки, где можно размещать объявления, что-то покупать или заполнять анкеты. Обработкой персональных данных в свете складывающейся судебной практики может считаться даже единственная кнопка, позволяющая гражданам отправить сообщение администрации сайта или заказать обратный звонок — ведь при этом, как минимум, необходимо сообщать номер телефона или email. Впрочем, имя тоже в таких случаях нередко требуется указать. А вот указано оно подлинное или нет — проверяющих волновать не будет.

На что закон не распространяется?

Нарушением не будет считаться записывание и сохранение любой личной информации, которую планируется использовать для личных или семейных нужд. Можно записать себе телефоны родственников, контакты друзей в соцсетях, электронную почту парня или девушки на сайтах знакомств и пользоваться ими для общения. Но если такую информацию разместить где-то в объявлении или на форумах, передать коллекторам, т. е. сделать доступной для третьих лиц — это нарушение.

Как не нарушать закон при работе персональными данными?

Минимальные обязательные действия:

  • получать у каждого посетителя, подписчика или клиента письменное согласие на обработку, хранение и распространение персональных данных;
  • размещать в открытом доступе информацию о политике работы с персональными данными клиентов и посетителей;
  • запрашивать только необходимые данные, требуемые для конкретной цели. Так, для подписки на электронную рассылку можно запросить email, а вот паспортные данные или домашний адрес — нельзя;
  • использовать полученные данные только в целях, которые прописаны в документах или политике работы с персональными данными, и о которых человек предупрежден;
  • сообщать без всяких отказов клиентам по их запросам, какие о нем имеются у вас данные, для чего используются и как обрабатываются, а также — кому их передавали (если такое происходило);
  • удалять данные, которые используются для рассылки предложений и информации о скидках и акциях, по первому требованию подписчиков;
  • обеспечить сохранность и защиту базы данных от утечек взлома;
  • обучить своих сотрудников порядку работы с персональными данными, гарантирующему их сохранность;
  • зарегистрироваться в Роскомнадзоре.

Зачем уведомлять Роскомнадзор?

Операторы персональных данных по закону обязаны уведомить Роскомнадзор, для чего туда следует направить электронный документ или в форме бланка на бумажном носителе. И сделать это необходимо до начала обработки данных. Тем же операторам, которые этого не сделали, следует обратиться в Роскомнадзор, не откладывая надолго. Информация об операторе поступит в общий реестр, после чего Роскомнадзор будет выдавать ее по запросу.

zakon o personalnah dannih

Что делать владельцам сайтов, которые уже получают персональные данные?

Если требования закона не выполняются, владелец интернет-ресурса уже сейчас может быть оштрафован за нарушения. Штраф будет выписан на того, кто указан на сайте — компанию или индивидуального предпринимателя, даже если этот сайт обслуживает удаленный айтишник или веб-студия. Поэтому, если у вас имеется собственный сайт, сделайте следующее:

1) В срочном порядке подготовьте и разместите на сайте публичные документы, где пропишите условия обработки персональных данных. Доступ к ним у пользователей должен быть на любой странице сайта. Формы документов разнообразны: пользовательское соглашение, официальное уведомление, политика конфиденциальности, правила продажи, обычный договор или оферта. Необходимо выбрать тот, который подойдет конкретному сайту.

Рассматривайте чужие документы только как образец, а список данных и цель их сбора указывайте свои. Для предоставления банковских услуг, электронной рассылки  информации или доставки товара из интернет-магазина требуются различные данные — поэтому запрашивать нужно только необходимые. Запрос излишних сведений считается нарушением закона и послужит поводом для штрафа.

2) Проработайте и реализуйте возможность точно установить, что посетитель сайта согласен на обработку персональных данных. Варианты решения:

  • предупреждение (при оформлении заказа); 
  • «галочка» (в форме регистрации).

Можно для надежности заверить у нотариуса веб-страницы с этой информацией.

3) Подготовьте для сотрудников, которые работают с персональными данными, внутренние документы о порядке доступа к данным и их хранении, а также об ответственности за нарушение правил. Эти инструкции, приказы и регламенты  не подлежат размещению в общий доступ.

4) Отправьте уведомление в Роскомнадзор. Но если вы точно знаете, что вам такое уведомление отправлять не надо, тогда обязательно укажите в политике, что персональные данные получаете только для исполнения конкретного договора. Еще можно указать, что на вашем ресурсе данные по желанию пользователя могут размещаться в общем доступе.

Если вы не знаете, надо ли вам уведомлять Роскомнадзор, — обратитесь к нам за консультацией.

На каких серверах разрешено законом хранить персональные данные ?

В законе об этом говорится непонятно. С одной стороны, заявлено, что все базы данных должны собираться, обрабатываться и храниться только на российских серверах. Но имеется еще и отдельная статья о трансграничной передаче данных. Разъяснения об этом, размещенные на сайте Минкомсвязи, имеют много противоречий и вопрос не проясняют.

Для уточнения можно отправить запрос в ведомства (Минкомсвязи или Роскомнадзор). Еще вариант — узнать у своего хостера, нет ли у него готового решения для такого случая.

Надо ли действовать или можно «обождать»?

Надеяться, что нововведения в закон не будут работать или окажутся «временными трудностями», лучше не надо. Примеры наложения штрафов уже нередки. Так, прокуратурой в Тамбовской области оштрафована юридическая компания, которая заполнила форму обратной связи, не заручившись согласием пользователя на обработку его персональных данных. Это решение поддержано судом

Есть случай штрафа в отношении директора управляющей компании за передачу юристам данных о гражданах-должниках для составления исковых заявлений. Согласия жильцов на обработку персональных данных этот руководитель УК не запрашивал. Конституционный суд решение о штрафе не отменил.

О штрафах, накладываемых на владельцев сайтов прокуратурой в Астрахани, сказано выше.

Поэтому владельцам интернет-ресурсов необходимо привести свои сайты в порядок, добавив требуемую информацию. И не следует забывать, что при нарушении правил обработки персональных данных могут быть не только выписаны штрафы. Законом предусмотрена возможность взыскания компенсации за причиненный моральный вред, а также уголовная ответственность, при которой наказанием за вторжение в чью-то частную жизнь могут стать принудительные работы и даже тюремный срок.

В связи с поступлением в "Право в сети" огромного количества вопросов  по теме персональных данных и их обработке, по необходимым документам Маргарита Ледовских проведет Интенсив, на котором разложит по полочкам все спорные моменты, а также вы получите шаблоны всех необходимых документов.

Подробная информация и запись на этой странице http://lawinweb.ru/politika-konfidencialnosti-intensiv/

Короткие уточняющие вопросы пишите в комментариях к статье или во всплывающем окне.

 

Если статья была вам полезна, поделитесь с коллегами и друзьями!
Комментарии к новости "Обработка персональных данных: новая ответственность за нарушения"
Перейти к форме комментирования
  1. Добрый день! Интернет-магазин канцтоваров обязан ли уведомлять Роскомнадзор или можно не уведомлять согласно пп.2 п.2 статьи 22 ФЗ-152, если запрашиваются данные: ФИО, E-mail, телефон, адрес для доставки товара с целью доставки товара и рекламной рассылки?

    • Светлана, добрый день.

      Вам не надо Уведомлять Роскомнадзор, если обработка персональных данных осуществляется в рамках договорных отношений. При этом необходимо, чтобы на сайте была
      - публичная оферта;
      - момент акцепта в публичной оферте должен быть четко зафиксирован, мы рекомендуем чтобы моментом акцепта является момент осуществления заказа, а не оплаты;
      - вы используете данные клиентов только в рамках договорных отношений, а не в других целях, не рассылаете, например, по клиентской базе рассылку уже после выполнения всех договорных обязательств.
      Таким образом, если вы делаете по клиентской базе рекламную рассылку, вы не подпадаете под указанное вами исключение. Однако пока максимальный штраф за отсутствие уведомления составляет 10 тыс. рублей.

Здесь вы можете написать комментарий

* Обязательные для заполнения поля