Персональные данные: новые штрафы заставляют вчитаться в Закон...

Дата публикации: 05 октября 2017

С лета 2017 года штрафы могут достигать 75 тыс. руб

Игорь ЖУРИКОВ, директор ООО ЦПС «Лексфорт»

Марина МОМЗИКОВА, юрист ООО ЦПС «Лексфорт»

 

Каждый человек ежедневно передает на обработку свои персональные данные. О персональных данных в последнее время говорят много и часто, но не у всех владельцев бизнеса появилось осознание того, что проблема защиты персональных данных касается и их тоже.

Штрафы увеличились

Юрист везде видит нарушения законодательства и потенциальные риски для собственника бизнеса. Например, заходишь на некий сайт по заказу обеда в офис и видишь, что для заказа необходимо заполнить Google-форму: проставить галочки с выбором блюд, заполнить имя, фамилию, телефон, адрес электронной почты, адрес доставки. Все просто: сделал, отправил, тебе привозят заказ.

Вот тут и начинается самое интересное. Политики в области обработки персональных данных на сайте нет, согласия на обработку персональных данных никто не запрашивает. А использование Google-форм вообще не соответствует требованию о локализации персональных данных.

Ответственность за нарушение Закона "О персональных данных" предусмотрена Кодексом об административных правонарушениях. Была безобидная статья 13.11 но, что называется, "заиграла" она красками и полутонами именно этим летом.

С июля этого года вместо одной общей санкции за нарушение законодательства о персональных данных появилось семь новых составов вместо одного.

Было: за нарушение порядка сбора, хранения, использования, распространения персональных данных. Формулировка достаточно размытая и неконкретная. Максимальный штраф: до 10 000 руб. на юридическое лицо. И штраф этот применялся не так уж часто, постоянно у контролирующих органов возникали вопросы: что именно является хранением, использованием и распространением, например?

С 01 июля 2017 года все изменилось. Теперь составов семь:

– обработка данных без законных целей или не соответствующая этим целям – максимальный штраф 50 000 рублей;

– обработка данных гражданина без его письменного согласия – максимальный штраф 75 000 рублей;

– отсутствие доступа к политике в отношении обработки персональных данных – максимальный штраф 30 000, отдельно для ИП – 10 000;

– непредоставление лицу сведений об обработке его данных – максимальный штраф 40 000, отдельно для ИП – 15 000;

– невыполнение требования об уточнении, блокировке, удалении неполных, неточных, устаревших, незаконно полученных данных – максимальный штраф 45 000, отдельно для ИП – 20 000;

– необеспечение сохранности и конфиденциальности материальных носителей с данными, если это привело к неправомерному доступу к данным, их уничтожению, блокированию, копированию и т.п. – максимальный штраф 50 000, отдельно для ИП – 20 000;

– невыполнение муниципальным или государственным органом обязанностей в области обезличивания персональных данных – штраф на должностное лицо до 6 000.

Если Роскомнадзор обнаружит сразу несколько нарушений – считайте сами, могут фигурировать уже сотни тысяч рублей. А наш опыт работы с административными проверками клиентов говорит о том, что беда одна не приходит...

Неприятности возможны

Цифры солидные. И они очень многих касаются, причем зачастую компании и предприниматели не подозревают, что находятся в зоне риска. Зато не сомневаемся, что об этом отлично знает Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций). И нарабатывает технологии быстрого охвата и штрафования всех причастных и еще не пуганных.

А теперь включите воображение и проанализируйте ваш сайт с этой точки зрения возможных нарушений. Разместили ли вы политику в области обработки персональных данных? Получаете ли согласие на обработку персональных данных посетителей сайта?

Если ответ «нет» – неприятности возможны.

Итак, персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. Фото, имя, данные документов личности, что-то иное... Можно по данным идентифицировать человека – значит, это они, персональные.

Если задуматься, очень много людей ежедневно передают на обработку свои персональные данные. Многие организации и предприниматели эти данные получают и обрабатывают. Заполнение типовых форм, анкет в магазинах, формы обратной связи и так далее, и тому подобное... А специфические организации – например СМИ, организаторы различных мероприятий – вообще постоянно в зоне риска.

В итоге, как видится, в большинстве случаев совершаются нарушения закона о персональных данных. И появляются основания для применения мер ответственности, указанных в данной статье. Если на сегодня кто-то еще не столкнулся с применением к нему таких мер, то это вообще не значит, что этого не произойдет завтра. Как в той фразе, приписываемой Ф.Э. Дзержинскому: "Отсутствие у вас судимости – это не ваша заслуга, а наша недоработка".

Кстати, есть и уголовная ответственность за использование персональных данных. Очень надеемся, что она все-таки не коснется подавляющего большинства владельцев компаний, но, впрочем, это зависит только от них. Это п. 2 ст. 173.2. УК РФ – за использование персональных данных, полученных незаконным путем, если эти деяния совершены для внесения в единый госреестр юрлиц сведений о подставном лице, может грозить до трех лет лишения свободы.

Типичные нарушения

Возвращаясь к административной ответственности: для понимания потенциальных рисков привлечения к ответственности вот вам несколько типичных нарушений (изучая множество интернет-ресурсов, сталкиваясь с различными опросами – запросами – оформлениями, мы можем сказать, что данные нарушения распространены очень широко):

Нет политики в области обработки персональных данных на сайте. Или она так запрятана, что можно признать наличие ограничений в доступе к этому документу.

Не запрашивается согласие на обработку персональных данных (хотя сделать это – предельно просто при сборе данных).

Нарушение целей сбора данных. К примеру – собираем персональные данные для доставки обеда, а потом начинаем рассылать рекламу.

О других нарушениях, вроде непредставления сведений лицам об использовании их данных и иных подобных – неизвестно, насколько часто они встречаются. А вот нарушения при обработке (в частности хранении) персональных данных на материальных носителях – очень даже можем себе представить. Так и видится – коробка в магазине, в которой навалом лежат заполненные бланки на выдачу дисконтных карт, например. Подходи – смотри. Можно дать волю фантазии и представить себе десятки и сотни подобных ситуаций.

Также нужно понимать, что при обработке персональных данных собственных сотрудников действуют те же правила. Опять-таки, представьте – шкафчик с личными делами сотрудников или электронные папки на сервере компании, которые может посмотреть теоретически любой в офисе.

То есть нужно правильно хранить информацию, без доступа посторонних. Получать от всех сотрудников согласие на обработку персональных данных. Такое же согласие нужно от всех, кто оказывает услуги на нетрудовом договоре. А еще обязанности по ознакомлению работников с политикой в области обработки персональных данных, назначению лица, ответственного за работу с персональными данными и т.д.

Нет задачи в этой статье подробно указать и проанализировать все возможные нарушения и риски. Каждая несчастливая семья несчастлива по-своему. Поэтому заинтересованный владелец бизнеса должен сам проанализировать – что у него происходит в этой сфере. Или поручить кому-нибудь.

Локализация

Напоследок остановимся только на одном неочевидном, но весьма распространенном нарушении. Оно опасно тем, что ты его совершаешь, но часто даже не догадываешься об этом. Речь о нарушении в области локализация персональных данных.

Локализация персональных данных – требование к оператору о том, что при сборе персональных данных необходимо обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации. Физически находящихся. Это требование предусмотрено ч. 5 ст. 18 Закона о персональных данных.

Чтобы понять, нарушаете ли вы данное требование, нужно владеть знаниями о порядке обработки информации и используемых вами сервисах. Так, например, использование Google-форм для любых целей с указанием персональных данных – строго говоря, нарушение требований о локализации. Ибо систематизация, накопление и другие действия с персональными данными происходят с использованием баз данных за пределами территории РФ.

Ранее появлялась информация о том, что Google планировал перенести часть своих серверов на территорию РФ. Но сейчас ответы из службы поддержки Google подтверждают – баз данных на территории РФ у компании нет. А значит, действия по обработке персональных данных осуществляются с нарушением требований российского законодательства.

Аналогичная ситуация с сервисами Eventbright (сервис для организации мероприятий), MailChimp (сервис бесплатных почтовых рассылок) и другими подобными.

Что печально, за нарушение данного требования возможна блокировка интернет-сайта, где обрабатывают данные с нарушением законодательства. Осуществляться блокировка может на основании решения суда по иску Роскомнадзора.

В качестве резюме: суды чаще принимают сторону контролирующих органов. К ответственности привлекают, штрафы взыскивают, сайты блокируют (если вы не слышали про дело LinkedIn Corporation, то советуем почитать парочку статьей на эту тему). Привлекают к ответственности всех, кто не соблюдал установленный порядок: образовательные учреждения, должностных лиц органов местного самоуправления, предприятия, коммерческие лица и т.д.

Общий вывод: если не заниматься вопросами персональных данных, можно и нарваться на неприятности. Сейчас много штрафов в самых разных областях деятельности. Времена непростые – даже небольшие дополнительные деньги, изымаемые в виде штрафа, часто весьма чувствительны. Уже молчим про блокировку сайта. А "подстелить соломку" в области персональных данных не так сложно и не дорого. Это тебе не лестницу в офисе перестроить, потому что она слишком узкая и не соответствует правилам пожарной безопасности.



© 2001—2013 ООО ИЗДАТЕЛЬСКИЙ ДОМ «КВ».
http://kvnews.ru/gazeta/2017/oktyabr/38/personalnye-dannye-novye-shtrafy-zastavlyayut-vchitatsya-v-zakon