Главная-Обувь- Поправки к закону о персональных данных: что нам приготовил Роскомнадзор

Поправки к закону о персональных данных: что нам приготовил Роскомнадзор

Буквально через пару дней, 1 июля 2017 года, вступят в силу поправки, внесенные в Кодекс об административных нарушениях и ужесточающие ответственность за несоблюдение (далее по тексту – Закон №152-ФЗ). Достаточно на эту тему было информации, писал об этом и "Клерк".

Но все еще остаются вопросы.

Читайте подробнее об ответственности за хранение персональных данных:

Такое ощущение, что вокруг этой темы просто нагоняется ажиотаж. А что, собственно, произошло-то? В целом, закон не изменился. В него внесли изменения только в части штрафов.

Сейчас по ст. 13.11 КоАП есть только одно нарушение со штрафом 10 000 рублей для юрлиц. После 1 июля их станет семь и общий штраф может составить до 295 000 рублей.

Почему за персональные данные власти взялись именно сейчас? Все штрафы, которые вступают в силу с 1 июля - это самые частые нарушения, выявляемые Роскомнадзором в течение последних пяти лет.

Один из главных вопросов: действительно ли всем сайтам нужно регистрироваться как оператор персональных данных в Роскомнадзоре?

Оказывается, нет. Есть возможность избежать такой необходимости. А как? Данные, которые поступают от пользователей, должны обрабатываться на основании пользовательского соглашения. Подпункт 2 пункта 2 статьи 22 закона №152-ФЗ предусматривает следующее.

Цитируем: «…2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

…2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;»

Если на сайте организации или физического лица есть форма для сбора данных посетителей - например, форма обратной связи, строка для подписки на рассылку, регистрации или личный кабинет, это считается обработкой персональных данных.

C 1 июля вступают в силу февральские поправки в статью 13.11 КоАП. Они касаются операторов персональных данных: всех, кто собирает, хранит и обрабатывает личные данные пользователей любым способом. Количество единовременных штрафов вырастет до 7, максимальный размер одного штрафа увеличится до 75 тысяч рублей, формулировка закона станет более конкретной, а следить за соблюдением порядка будет не прокуратура, а Роскомнадзор.

Закон умер, да здравствует закон: что нас ждет 1 июля

Семь однозначно определенных составов административных правонарушений

Если раньше могли наказать за размытое «нарушение установленного законом порядка», то теперь есть четкая формулировка. По каждому из семи пунктов могут выписать отдельный штраф. Для тех, кто не является государственным или муниципальным органом, предусмотрено только 6 составов правонарушения.

Максимальный размер штрафа по одному правонарушению – 75 тысяч рублей

Для юридических лиц. Для простых граждан потолок одного штрафа – 5 тысяч рублей, для индивидуальных предпринимателей – 20 тысяч. Оглашаем весь список (по клику – версия побольше):


Прокуратура теперь этим не занимается

Вместо нее – Роскомнадзор. Раньше цепочка выглядела как «нарушение выявляет Роскомнадзор – направление результатов расследования в прокуратуру – возбуждение административного делопроизводства – протокол – суд». Удаление двух звеньев из цепочки приведет к ускорению расследования и уменьшению количества дел, закрытых из-за сроков давности.

Понятие личных данных: все еще ничего не понятно

В статье 13.11 КоАП нет точного определения персональных данных. Нет и списка данных, которые относятся к личным. Под общее определение – любая информация, которая прямо или косвенно относится к определенному физическому лицу – подпадает:

  • фамилия, имя отчество;
  • дата рождения;
  • паспортные данные;
  • адрес прописки;
  • номер телефона, ссылка на социальные сети;
  • семейное положение;
  • образование и место работы.

Список неполный; в него входит все, что так или иначе может характеризовать человека, найти его или привязать виртуальный образ к реальной личности.

Что такое обработка личных данных: под паровоз закона попадают все

Закон не касается тех, кто собирает информацию для личных нужд – только тех, кто обрабатывает ее, использует для проведения торговых операций, транзакций или передает третьим лицам.

Записать номер лечащего врача – не нарушение. Выложить его в интернет без согласия владельца – нарушение и штраф.

Если у вас на сайте есть форма обратного звонка, регистрация с обязательным указанием персональных данных, форма заказа или личный кабинет – вы попадаете под действие закона. И пора что-то предпринять.

Что предпринять сейчас

  1. Укажите на сайте, каким образом и зачем обрабатывается персональная информация пользователей, как запретить ее обрабатывать и любую другую информацию, которая касается обработки данных. Формат – вольный: пользовательское соглашение, политика конфиденциальности, условия оказания услуг. Страница с этой информацией должна быть доступна из любого места сайта. Или добавьте ее на страницу с формой, в которую пользователь вводит данные.
  2. Сделайте однозначное определение того, что пользователь согласился на обработку своих персональных данных. Самый популярный вариант – галочка-чекбокс. Если его не отметить, данные пользователя не передаются и действие (регистрация, покупка, заказ) не совершается.
  3. Составьте четкие инструкции и регламенты по обработке персональных данных пользователей для своих сотрудников.
  4. Зарегистрируйте свой сайт в Роскомнадзоре. Чем раньше, тем лучше.

Регистрация в Роскомнадзоре необязательна, если вы:

  • используете данные только для выполнения договорных обязательств;
  • используете публичные данные, которые были размещены владельцем;
  • обрабатываете данные сотрудников своей компании, например в корпоративном портале;
  • используете только ФИО пользователя.

В этом случае подготовьте документы, которые при проверке убедят представителей Роскомнадзора в правомерности ваших действий.

Что предпринять потом

  • Обрабатывать личные данные пользователя только после его письменного согласия или файла электронной цифровой подписи. Звучит абсурдно, но есть один нюанс.

Цитата Роскомнадзора:

… предложения оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта. Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.

  • Не перегибать палку и запрашивать только то, что нужно. Не требуйте данные об образовании и семейном положении у людей, которые покупают себе кроссовки. Похвастаться исследованиями своей ЦА на конференции теперь стоит дорого.
  • Использовать данные только для того, о чем сообщили пользователю: проведения акций, персонализации рекламы, оформления заказа и доставки и так далее. Запрашиваемые данные и цели их сбора идут в связке, а правомерность использования проверяется Роскомнадзором.
  • Наладить обратную связь с пользователями. По запросу предоставлять информацию: какая личная информация пользователя у вас есть, как она используется и кому передается. Удалять и отзывать данные, которые используются для рекламных рассылок.

Передача данных за границу: игра в бисер законов

Есть два факта.

  • Собирать и обрабатывать данные нужно только на территории России – Федеральный закон № 242-ФЗ от 21.07.2014.
  • Допускается трансграничная передача персональных данных – Федеральный закон № 152-ФЗ, статья 12.

Абсурдность сосуществования этих двух законов только кажущаяся. Все дело в тонкостях формулировок.

Согласно 242-ФЗ в перечень запретов не входит передача данных. Оператор может копировать и передавать данные за границу, не нарушая действующего законодательства – нужно только соблюдать условия 152-ФЗ.

Актуальная база данных по-прежнему находится на территории России, а у зарубежного оператора – ее копия. Копия может использоваться и актуализироваться только на условиях договора двух операторов и законодательства стран, в которых эти операторы находятся. При этом российский оператор не отвечает за действия, которые зарубежный оператор производит с копией базы.

Итог: хранить и обрабатывать данные можно только на территории России, но и передавать базу персональных данных пользователей за границу никто не запрещал – достаточно соблюдать требования 152-ФЗ.

Если вы все еще не уверены, сделайте запрос в Роскомнадзор, Минкомсвязи или в свою хостинг-компанию.

Вывод: штрафы близко

Можно бесконечно перетирать абсурдность некоторых положений, расплывчатость понятия «персональные данные» и сетовать на то, что опять законы становятся жестче, а условия их соблюдения – непонятнее. Но на сегодняшний день факты выглядят так:

  • Шесть штрафов могут быть выписаны единовременно по результатам проверки. Семь – для государственных и муниципальных учреждений.
  • Максимальный штраф – 75 тысяч рублей.
  • Начинать подводить свой сайт под требования обновленного Федерального закона нужно уже сейчас. Роскомнадзор отличается скоростью проверки и наказания.

Есть заблуждение, что с персональными данными работают только мобильные операторы и банки. На самом деле это не так. Любая компания обрабатывает персональные данные как минимум своих работников, а еще контрагентов, клиентов, посетителей офисов и т.д. В статье мы рассказали, что такое персональные данные и как их правильно обрабатывать. Читайте и не нарушайте закон - с 1 июля штрафы для компаний вырастут в семь раз.

С персональными данными работает каждая компания, но не каждый юрист знает, что такое персональные данные и как их правильно обрабатывать. Если до 1 июля 2017 года это было еще не так страшно - штрафы за нарушения были невелики, то теперь ситуация изменилась. С этой даты вступают в силу поправки в КоАП РФ, которые увеличивают штрафы для компаний за нарушения при обработке персональных данных и вводят 7 новых составов правонарушений (Федеральный закон от 07.02.17 № 13-ФЗ). Штрафы будут платить не только компании, но и работники, которые нарушили закон - включая юристов. Мы решили помочь вам не нарушать закон и рассказали про азы обработки персональных данных, которые касаются каждой компании.

Какая информация относится к персональным данным

Персональные данные - это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (п. 1 ст. 3 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных»; далее - Закон № 152-ФЗ). Более конкретно перечень такой информации определен в Указе Президента РФ от 06.03.97 № 188 «Об утверждении Перечня сведений конфиденциального характера»: это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, которые позволяют идентифицировать его личность, за исключением сведений, подлежащих распространению в СМИ в случаях, установленных законом.

В работе юридических и кадровых служб компаний обрабатываемые персональные данные обычно включает в себя следующие сведения о лице:

  • фамилия, имя, отчество;
  • год, месяц, дата и место рождения;
  • адрес;
  • семейное, социальное, имущественное положение;
  • образование, профессия, должность, доходы;
  • биометрические персональные данные.

Судебная практика расширяет перечень персональных данных. Например, суды признавали персональными данными:

  • сведения о смерти гражданина (постановление АС Поволжского округа от 25.09.14 по делу № А49-2005/2014);
  • номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.13 по делу №33-9241/2015);
  • фотографии гражданина (апелляционное определение Свердловского областного суда от 09.04.15 по делу № 33-5232/2015).

В последнее время есть явная тенденция - перечень сведений, которые составляют персональные данные, становится все шире. Так, Европейский суд справедливости в Решении от 19.10.16 по делу № 582/14 (Патрик Брейр против Германии) признал, что при определенных условиях даже IP-адрес интернет-пользователя может признаваться персональными данными.

Что такое обработка персональных данных

Обработка персональных данных - это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 Закона № 152-ФЗ).

Например, компания обрабатывает персональные данные, если собирает анкеты клиентов (в бумажном виде или через сайт), ведет и хранит клиентскую базу, передает контакты клиентов в call-центр, фиксирует паспортные данные посетителей офиса на контрольно-пропускном пункте и т.д. Фактически персональные данные обрабатывает любая компания.

Nota bene!
Дополнительные условия для обработки персональных данных соискателей и работников установлены гл. 14 ТК РФ и разъяснениями Роскомнадзора от 14.12.12 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».

Когда нужно уведомлять Роскомнадзор

Если компания обрабатывает персональные данные, она является оператором (п. 2 ст. 3 Закона № 152-ФЗ). Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении (п. 1 ст. 22 Закона № 152-ФЗ).

Направлять уведомление не требуется (п. 2 ст. 22 Закона № 152-ФЗ), если компания-оператор обрабатывает персональные данные, в частности:

  • только своих работников;
  • для целей заключения и исполнения договоров (например, персональные данные контрагентов);
  • для однократного пропуска лица на территорию компании;
  • без использования средств автоматизации (персональные данные используют, уточняют, распространяют и уничтожают при непосредственном участии человека - см. Постановление Правительства РФ от 15.09.08 № 687).

Проверьте, подпадает ли компания под исключения, которые указаны в Законе № 152-ФЗ. Если нет - составьте уведомление по официальной форме (Приложение № 2 к административному регламенту, утв. Приказом Минкомсвязи России от 21.12.11 № 346). Затем направьте его в территориальный орган Роскомнадзора по месту регистрации компании. Отправить уведомление можно как на бумажном носителе, так и в форме электронного документа через портал «Госуслуги» (gosuslugi.ru) или официальный сайт Роскомнадзора (pd.rkn.gov.ru/).

Роскомнадзор внесет сведения о компании в реестр операторов в течение 30 дней с даты поступления уведомления. Проверить, включена ли компания в реестр, можно на официальном сайте ведомства (pd.rkn.gov.ru/).

Как правильно собирать персональные данные

По общему правилу, чтобы собирать персональные данные, нужно получить согласие их владельца - субъекта персональных данных (пп. 1 п. 1 ст. 6 Закона № 152-ФЗ). Согласие должно быть конкретным, информированным и сознательным (п. 1 ст. 9 Закон № 152-ФЗ). Это значит, что перечень оснований для обработки персональных данных должен быть указан как можно более конкретно, а также содержать срок обработки и порядок отзыва согласия (постановление АС Уральского округа от 29.09.14 по делу № А60-31459/2013, постановление Пятого ААС от 13.08.14 по делу № А59-48/2014).

Закон не устанавливает форму согласия на обработку персональных данных, за исключением особых сведений. Субъект может дать согласие в любой форме, которая позволит подтвердить факт его получения (п. 1 ст. 9 Закона № 152-ФЗ). В частности, согласие может быть выражено в электронной форме путем заполнения анкеты на сайте (постановление ФАС Северо-Западного округа от 13.12.10 по делу № А56-73636/2009, апелляционное определение Омского областного суда от 07.08.13 по делу № 33-5139/2013).

СНОСКА
Письменное согласие субъекта нужно для обработки специальных категорий персональных данных - например, о национальной принадлежности и состоянии здоровья лица (ст. 10 Закона № 152-ФЗ). Согласие можно получить на бумажном носителе или в электронной форме с усиленной квалифицированной электронной подписью.

Получать согласие на обработку в типовой форме договора рискованно, если пункт о согласии просто включен в текст. Суд может признать такой способ ненадлежащим, если потребитель не может изменить это условие - например, сделать отметку о своем согласии или отказе (постановление АС Северо-Западного округа от 18.07.16 по делу № А44-9647/2015, постановление АС Уральского округа от 22.12.16 по делу № А76-5164/2016).

В случае проверки или судебного спора именно оператор обязан доказать, что получит согласие на обработку персональных данных (п. 3 ст. 9 Закона № 152-ФЗ). Поэтому заранее определите, какой тип персональных данных обрабатывает ваша компания. В зависимости от этого разработайте форму получения согласия на обработку. Важный момент - субъект вправе в любое время отозвать свое согласие (п. 2 ст. 9 Закона № 152-ФЗ). Если в компанию поступило такое обращение - она обязана прекратить обработку персональных данных.

Nota bene!
Согласие на обработку персональных данных не нужно, если субъект сам сделал их общедоступными. Например, при регистрации на форуме или в социальной сети. Если субъект потом отзовет согласие на обработку - его можно не учитывать (пп. 10 п. 1 ст. 6, пп. 2 п. 2 ст. 10 Закона).

Как получить согласие у работников

Работников надо ознакомить под роспись с документами компании, которые устанавливают порядок обработки персональных данных, а также их права и обязанности в этой сфере (п. 8 ст. 86 ТК РФ). Такой порядок можно прописать в самом трудовом договоре, приложениях к нему, правилах внутреннего трудового распорядка или других локальных актах - например, политике компании об обработке персональных данных. Факт ознакомления работников с этими документами нужно отдельно фиксировать - например, в специальном журнале.

СНОСКА
За нарушения при обработке персональных данных работников компанию могут привлечь к ответственности по ст. 5.27 КоАП РФ (до 80 тыс рублей штрафа).

Согласие работника на обработку персональных данных не нужно в следующих случаях (см. разъяснения Роскомнадзора от 14.12.12 «Вопросы, касающиеся обработки персональных данных работников, соискателей…»):

  • обработка персональных данных близких родственников работника в объеме, предусмотренном личной карточкой по форме Т-2;
  • получение мотивированных запросов от прокуратуры, правоохранительных органов, органов безопасности, государственных инспекторов труда;
  • обработка нужна для исполнения заключенного с работником договора или возложенных на работодателя обязанностей;
  • обработка связана с выполнением работником его трудовых обязанностей, в том числе, при отправлении его в командировки.

Как обеспечить безопасность персональных данных

Персональные данные относятся к конфиденциальным сведениям (ст. 7 Закона № 152-ФЗ). Операторы и иные лица, получившие к ним доступ, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта. Оператор обязан обеспечить безопасность персональных данных. Меры зависят от способа обработки данных - с использованием средств автоматизации или вручную.

Если компания ведет автоматизированную обработку персональных данных, на нее распространяются Требования к защите персональных данных при их обработке в информационных системах, утв. постановлением Правительства РФ от 01.11.12 № 1119 и Приказ ФСТЭК России от 18.02.13 № 21. Чтобы выполнить эти требования, нужно привлекать IT-специалистов.

Для защиты персональных данных без автоматизации предусмотрены рекомендательные меры (ст. 19 Закона № 152-ФЗ и п. 13-15 Положения, утв. постановлением Правительства РФ от 15.09.08 № 687). Одна из таких мер - определить во внутренних документах компании перечень лиц, которые обрабатывают персональные данные или имеют к ним доступ. Можно обеспечить безопасность данных, если раздельно хранить носители персональных данных, которые обрабатываются в различных целях (например, раздельно хранить данные работников, посетителей офисов и клиентов).

Что и кому грозит за нарушения в сфере персональных данных

За нарушения при обработке персональных данных компанию могут привлечь к гражданско-правовой и административной ответственности по ст. 13.11 КоАП РФ. До 1 июля 2017 года максимальным наказанием для должностного лица был штраф в 1 тысячу рублей, а для компании - до 10 тысяч рублей.

С 1 июля 2017 года вступают в силу поправки, которые усиливают административную ответственность (Федеральный закон от 07.02.17 № 13-ФЗ). Поправки вводят дополнительные составы правонарушений в ст. 13.11 КоАП РФ и увеличивают штрафы. В частности, закон вводит ответственность юридических лиц за следующие нарушения:

  • обработку персональных данных в случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП РФ) - штраф от 30 тыс до 50 тыс рублей;
  • обработку персональных данных без согласия в письменной форме, когда закон требует получить такое согласие (ч. 2 ст. 13.11 КоАП РФ) - штраф от 15 до 70 тыс рублей;
  • неопубликование оператором политики в отношении обработки персональных данных, когда такая обязанность предусмотрена законом (ч. 3 ст. 13.11 КоАП РФ) - штраф от 15 до 30 тысяч рублей.

Работника могут привлечь к административной ответственности, но не только. Дополнительно он несет материальную (п. 7 ст. 243 ТК РФ) дисциплинарную (пп. «в» п. 6 ч. 1 ст. 81 ТК РФ) и даже уголовную ответственность (ч. 2 ст. 137 УК РФ).

К ответственности привлекут как работника-нарушителя (например, скопировавшего базу клиентов на свою флешку и передавшего ее конкуренту), так и работника, который несет ответственность за обработку персональных данных в компании.



Похожие публикации: