Об увеличении штрафов за нарушение закона о персональных данных

С февраля 2017 года были предложены правки в статье 13.11 КоАП, которые ужесточают ответственность за нарушение требований закона относительно использования персональных данных. Они приняты и начинают действовать с 1.06.2017 года. Они коснуться тех, кто имеет отношение к сбору, обработке или хранению различных персональных данных.

Штрафы теперь разделены по типам нарушений, а размеры их возросли на порядок. Так, за не размещение на ресурсе мероприятий по политике конфиденциальности, ИП может быть оштрафован на 10 000 рублей, компания — на 30 000 рублей. При обработке персональных данных без ведома клиентов интернет магазина или подписчиков на какой-либо ресурс, штраф для юридических лиц возрастает до 75 000 рублей. Руководитель компании или бизнесмен (владелец сайта) будет оштрафован на сумму до 20 000 рублей. При выявлении нескольких нарушений, владелец ресурса облагается штрафами по их количеству.

Необходимо срочно приводить в соответствие закону свои интернет площадки, так как проверки уже начались.

Сегодня протоколы о правонарушениях могут составлять только органы прокуратуры. Штраф независим от вида правонарушения и может составлять для ИП или руководителя 1000 рублей максимум, для юридического лица — 10 тысяч рублей. Процедура занимает довольно много времени, а штрафы незначительные, поэтому проверки осуществляются редко, проверяют далеко не всех.

С 01.07.17 контролировать ситуацию будет Роскомнадзор, и дело пойдет значительно быстрее.

Как выяснить, отношусь ли я к операторам по персональным данным?

Персональные данные — это самые различные данные о конкретном человеке, пригодные для его идентификации. В существующем законе точного списка этих данных не имеется, поэтому о нем каждый догадывается самостоятельно. При регистрации логина и имени, например, понять что-либо о человеке, их владельце, невозможно, а при регистрации имени и номера телефона – это возможно.

По сути, вы – оператор персональных данных, если получили самыми различными способами от разных людей в произвольном сочетании следующую информацию:

• ФИО;
• Адрес проживания;
• Адрес электронной почты;
• Номер телефона;
• Дату и место рождения;
• Профессия;
• Образование;
• Уровень дохода;
• Семейное положение;
• Фотография;
• Ссылка на персональный сайт или страницу социальной сети.

Следовательно, все обладатели веб ресурсов с личными кабинетами, формами обратной связи, регистрациями или подписками, возможностью что-либо купить, заполнить анкету или поместить объявление являются операторами персональных данных. Сайты с кнопками «Заказ звонка» или «Отправка сообщения» тоже относятся к категории операторов.

Если я записал телефон сослуживца или электронный адрес девушки на сайте знакомств, распространяется на меня этот закон 152-фз «О персональных данных»?

Нет. Действие закона не распространяется на любые данные для личных или семейных нужд. При передаче телефона коллеги компании коллекторов или публикации электронной почты подруги на тематическом форуме, ваше действие будет нарушением закона.

Как правильно обрабатывать персональные данные без нарушения закона?

Минимальные требования для этого:

• заручиться письменным согласием всех посетителей, клиентов или подписчиков на возможность обработки, хранения и распространения их личных данных;
• сделать доступной информацию, касающуюся данных клиентов или посетителей вашего сайта;
• выяснять и использовать лишь необходимые данные, требуемые для каждого конкретного случая. Нельзя, например, требовать от клиентов сведения о домашнем адресе, паспортных данных при организации подписки на рассылку электронной почтой;
• заранее предупреждать клиента о целях использования его данных, использовать данные только для целей, одобренных клиентом;
• отвечать на запрос человека о том, какие именно данные о нем имеются у вас, как и для каких целей они обрабатываются, кому передаются;
• удалять данные, используемые для рассылок информации на скидки или акции, по первому требованию клиента;
• гарантировать сохранность баз личных данных, оберегать их от взломов и возможных утечек;
• обучать и обязать своих сотрудников соблюдать конфиденциальность при обработке персональных данных;
• обязательная регистрация в Роскомнадзоре.

Где и зачем мне еще нужно зарегистрироваться?

По требованиям принятого закона операторы персональных данных в обязательном порядке должны поставить в известность Роскомнадзор еще перед началом работы с персональными данными или как можно быстрее. Роскомнадзор вносит информацию в общий специальный реестр об операторе и обязуется выдать ее по вашему запросу.

Уведомление не требуется, если:

• вы обрабатываете персональные данные только своих сотрудников;
• персональные данные используются исключительно по индивидуальному договору с конкретным человеком, а потом не используются и не распространяются;
• посетитель или клиент опубликовал эти данные самостоятельно;
• вам известны лишь ФИО клиента.

У меня интернет ресурс и уже получаю и использую персональные данные. Каковы мои действия?

В случае если вы на данный момент еще ничего не сделали, то вы автоматически нарушаете закон, и уже сейчас вы можете быть оштрафованы. Не важно, что сайтом управляет посторонний IT-менеджер или веб-компания. Штрафные санкции будут выписаны на имя компании – владельца сайта или ИП.

Сделайте доступными свои документы: в виде пользовательского соглашения, как у фирмы «Ламода», правил продажи, как у «Читай-города», официального уведомления, как с компании «М-видео», политики конфиденциальности - «Рестора» и «Озона». Пропишите условия использования персональных данных в пунктах договора или оферты, как Сбербанк.

Не нужно использовать кальки чужих документов. Возьмите их за образец, а список необходимых данных и цели их использования следует прописать самостоятельно. Тот объем и вид данных, которые обрабатывает банк для оформления кредита или интернет магазин при адресной доставке товара не понадобится при электронной рассылке и на доску объявлений. Требование лишних данных противозаконно и является поводом для штрафных санкций.

Используйте решение, где четко видно, что человек соглашается на обработку своих личных данных: галочка в специальной графе при регистрации или запрос на подтверждение в каждом оформлении заказа. Для подстраховки рекомендуется заверить веб-страницы в нотариальной конторе.

Оформите внутреннюю документацию о порядке хранения персональных данных и персональной ответственности сотрудников, имеющих к ним доступ. Приказы, регламенты и должностные инструкции в общий доступ выкладывать не нужно.

Уведомите Роскомнадзор.

Хранить личные данные разрешено только на российских серверах. Так ли это? Мой хостинг в ЕС, нарушаю ли я закон?

В представленном законе много противоречий по этому вопросу. Сбор, обработка и хранение баз персональных данных требуется на серверах в РФ. Но имеется отдельная статья о трансграничной передаче данных. Сайт Минкомсвязи опубликовал разъяснения по этому вопросу, но и в них много нестыковок.

Предлагаем самим сделать выводы, где сохранять данные. Сомневаетесь, отправьте запрос в адрес Роскомнадзора или Минкомсвязи. Еще вариант решения — обратиться к хостеру: часто они имеют готовые решения.

Да, ладно вам! Никого не оштрафуют из-за форм на сайтах и оформления лишних бумаг

Прокуратура Тамбовской области наложила штраф на юридическую компанию, заполнившую форму обратной связи без разрешения пользователя на обработку личных данных. Суд удовлетворил требование прокуратуры.

Директор управляющей компании был оштрафован за передачу данных должников юристам с целью составления исковых заявлений. Согласия на обработку персональных данных у жильцов получено не было. Конституционный суд его кассацию не удовлетворил.

Астраханские прокуроры штрафуют владельцев веб ресурсов за размещение форм обратной связи в алфавитном порядке.

Помимо штрафов в пользу государства за нарушение закона об обработке персональных данных суд может взыскать компенсацию за моральный вред или даже лишить свободы.