С лета 2017 года штрафы могут достигать 75 тыс. руб
Игорь ЖУРИКОВ, директор ООО ЦПС «Лексфорт»
Марина МОМЗИКОВА, юрист ООО ЦПС «Лексфорт»
Каждый человек ежедневно передает на обработку свои персональные данные. О персональных данных в последнее время говорят много и часто, но не у всех владельцев бизнеса появилось осознание того, что проблема защиты персональных данных касается и их тоже.
Штрафы увеличились
Юрист везде видит нарушения законодательства и потенциальные риски для собственника бизнеса. Например, заходишь на некий сайт по заказу обеда в офис и видишь, что для заказа необходимо заполнить Google-форму: проставить галочки с выбором блюд, заполнить имя, фамилию, телефон, адрес электронной почты, адрес доставки. Все просто: сделал, отправил, тебе привозят заказ.
Вот тут и начинается самое интересное. Политики в области обработки персональных данных на сайте нет, согласия на обработку персональных данных никто не запрашивает. А использование Google-форм вообще не соответствует требованию о локализации персональных данных.
Ответственность за нарушение Закона "О персональных данных" предусмотрена Кодексом об административных правонарушениях. Была безобидная статья 13.11 но, что называется, "заиграла" она красками и полутонами именно этим летом.
С июля этого года вместо одной общей санкции за нарушение законодательства о персональных данных появилось семь новых составов вместо одного.
Было: за нарушение порядка сбора, хранения, использования, распространения персональных данных. Формулировка достаточно размытая и неконкретная. Максимальный штраф: до 10 000 руб. на юридическое лицо. И штраф этот применялся не так уж часто, постоянно у контролирующих органов возникали вопросы: что именно является хранением, использованием и распространением, например?
С 01 июля 2017 года все изменилось. Теперь составов семь:
– обработка данных без законных целей или не соответствующая этим целям – максимальный штраф 50 000 рублей;
– обработка данных гражданина без его письменного согласия – максимальный штраф 75 000 рублей;
– отсутствие доступа к политике в отношении обработки персональных данных – максимальный штраф 30 000, отдельно для ИП – 10 000;
– непредоставление лицу сведений об обработке его данных – максимальный штраф 40 000, отдельно для ИП – 15 000;
– невыполнение требования об уточнении, блокировке, удалении неполных, неточных, устаревших, незаконно полученных данных – максимальный штраф 45 000, отдельно для ИП – 20 000;
– необеспечение сохранности и конфиденциальности материальных носителей с данными, если это привело к неправомерному доступу к данным, их уничтожению, блокированию, копированию и т.п. – максимальный штраф 50 000, отдельно для ИП – 20 000;
– невыполнение муниципальным или государственным органом обязанностей в области обезличивания персональных данных – штраф на должностное лицо до 6 000.
Если Роскомнадзор обнаружит сразу несколько нарушений – считайте сами, могут фигурировать уже сотни тысяч рублей. А наш опыт работы с административными проверками клиентов говорит о том, что беда одна не приходит...
Неприятности возможны
Цифры солидные. И они очень многих касаются, причем зачастую компании и предприниматели не подозревают, что находятся в зоне риска. Зато не сомневаемся, что об этом отлично знает Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций). И нарабатывает технологии быстрого охвата и штрафования всех причастных и еще не пуганных.
А теперь включите воображение и проанализируйте ваш сайт с этой точки зрения возможных нарушений. Разместили ли вы политику в области обработки персональных данных? Получаете ли согласие на обработку персональных данных посетителей сайта?
Если ответ «нет» – неприятности возможны.
Итак, персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. Фото, имя, данные документов личности, что-то иное... Можно по данным идентифицировать человека – значит, это они, персональные.
Если задуматься, очень много людей ежедневно передают на обработку свои персональные данные. Многие организации и предприниматели эти данные получают и обрабатывают. Заполнение типовых форм, анкет в магазинах, формы обратной связи и так далее, и тому подобное... А специфические организации – например СМИ, организаторы различных мероприятий – вообще постоянно в зоне риска.
В итоге, как видится, в большинстве случаев совершаются нарушения закона о персональных данных. И появляются основания для применения мер ответственности, указанных в данной статье. Если на сегодня кто-то еще не столкнулся с применением к нему таких мер, то это вообще не значит, что этого не произойдет завтра. Как в той фразе, приписываемой Ф.Э. Дзержинскому: "Отсутствие у вас судимости – это не ваша заслуга, а наша недоработка".
Кстати, есть и уголовная ответственность за использование персональных данных. Очень надеемся, что она все-таки не коснется подавляющего большинства владельцев компаний, но, впрочем, это зависит только от них. Это п. 2 ст. 173.2. УК РФ – за использование персональных данных, полученных незаконным путем, если эти деяния совершены для внесения в единый госреестр юрлиц сведений о подставном лице, может грозить до трех лет лишения свободы.
Типичные нарушения
Возвращаясь к административной ответственности: для понимания потенциальных рисков привлечения к ответственности вот вам несколько типичных нарушений (изучая множество интернет-ресурсов, сталкиваясь с различными опросами – запросами – оформлениями, мы можем сказать, что данные нарушения распространены очень широко):
Нет политики в области обработки персональных данных на сайте. Или она так запрятана, что можно признать наличие ограничений в доступе к этому документу.
Не запрашивается согласие на обработку персональных данных (хотя сделать это – предельно просто при сборе данных).
Нарушение целей сбора данных. К примеру – собираем персональные данные для доставки обеда, а потом начинаем рассылать рекламу.
О других нарушениях, вроде непредставления сведений лицам об использовании их данных и иных подобных – неизвестно, насколько часто они встречаются. А вот нарушения при обработке (в частности хранении) персональных данных на материальных носителях – очень даже можем себе представить. Так и видится – коробка в магазине, в которой навалом лежат заполненные бланки на выдачу дисконтных карт, например. Подходи – смотри. Можно дать волю фантазии и представить себе десятки и сотни подобных ситуаций.
Также нужно понимать, что при обработке персональных данных собственных сотрудников действуют те же правила. Опять-таки, представьте – шкафчик с личными делами сотрудников или электронные папки на сервере компании, которые может посмотреть теоретически любой в офисе.
То есть нужно правильно хранить информацию, без доступа посторонних. Получать от всех сотрудников согласие на обработку персональных данных. Такое же согласие нужно от всех, кто оказывает услуги на нетрудовом договоре. А еще обязанности по ознакомлению работников с политикой в области обработки персональных данных, назначению лица, ответственного за работу с персональными данными и т.д.
Нет задачи в этой статье подробно указать и проанализировать все возможные нарушения и риски. Каждая несчастливая семья несчастлива по-своему. Поэтому заинтересованный владелец бизнеса должен сам проанализировать – что у него происходит в этой сфере. Или поручить кому-нибудь.
Локализация
Напоследок остановимся только на одном неочевидном, но весьма распространенном нарушении. Оно опасно тем, что ты его совершаешь, но часто даже не догадываешься об этом. Речь о нарушении в области локализация персональных данных.
Локализация персональных данных – требование к оператору о том, что при сборе персональных данных необходимо обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации. Физически находящихся. Это требование предусмотрено ч. 5 ст. 18 Закона о персональных данных.
Чтобы понять, нарушаете ли вы данное требование, нужно владеть знаниями о порядке обработки информации и используемых вами сервисах. Так, например, использование Google-форм для любых целей с указанием персональных данных – строго говоря, нарушение требований о локализации. Ибо систематизация, накопление и другие действия с персональными данными происходят с использованием баз данных за пределами территории РФ.
Ранее появлялась информация о том, что Google планировал перенести часть своих серверов на территорию РФ. Но сейчас ответы из службы поддержки Google подтверждают – баз данных на территории РФ у компании нет. А значит, действия по обработке персональных данных осуществляются с нарушением требований российского законодательства.
Аналогичная ситуация с сервисами Eventbright (сервис для организации мероприятий), MailChimp (сервис бесплатных почтовых рассылок) и другими подобными.
Что печально, за нарушение данного требования возможна блокировка интернет-сайта, где обрабатывают данные с нарушением законодательства. Осуществляться блокировка может на основании решения суда по иску Роскомнадзора.
В качестве резюме: суды чаще принимают сторону контролирующих органов. К ответственности привлекают, штрафы взыскивают, сайты блокируют (если вы не слышали про дело LinkedIn Corporation, то советуем почитать парочку статьей на эту тему). Привлекают к ответственности всех, кто не соблюдал установленный порядок: образовательные учреждения, должностных лиц органов местного самоуправления, предприятия, коммерческие лица и т.д.
Общий вывод: если не заниматься вопросами персональных данных, можно и нарваться на неприятности. Сейчас много штрафов в самых разных областях деятельности. Времена непростые – даже небольшие дополнительные деньги, изымаемые в виде штрафа, часто весьма чувствительны. Уже молчим про блокировку сайта. А "подстелить соломку" в области персональных данных не так сложно и не дорого. Это тебе не лестницу в офисе перестроить, потому что она слишком узкая и не соответствует правилам пожарной безопасности.