Персональные данные ответственность

Содержание

Нарушение законодательства Российской Федерации в области персональных данных

1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, —

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от тридцати тысяч до пятидесяти тысяч рублей.

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, —

влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от пятнадцати тысяч до семидесяти пяти тысяч рублей.

3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных —

влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц — от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от пятнадцати тысяч до тридцати тысяч рублей.

4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, —

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц — от двадцати тысяч до сорока тысяч рублей.

5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, —

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до сорока пяти тысяч рублей.

6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния —

влечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до пятидесяти тысяч рублей.

7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных —

влечет предупреждение или наложение административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.

8. Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, —

влечет наложение административного штрафа на граждан в размере от тридцати тысяч до пятидесяти тысяч рублей; на должностных лиц — от ста тысяч до двухсот тысяч рублей; на юридических лиц — от одного миллиона до шести миллионов рублей.

9. Повторное совершение административного правонарушения, предусмотренного частью 8 настоящей статьи, —

влечет наложение административного штрафа на граждан в размере от пятидесяти тысяч до ста тысяч рублей; на должностных лиц — от пятисот тысяч до восьмисот тысяч рублей; на юридических лиц — от шести миллионов до восемнадцати миллионов рублей.

П р и м е ч а н и е. За административные правонарушения, предусмотренные частями 8 и 9 настоящей статьи, статьями 13.31, 13.35 — 13.37, 13.39 и 13.40 настоящего Кодекса, лица, осуществляющие предпринимательскую деятельность без образования юридического лица, несут административную ответственность как юридические лица.

Последние изменения ст. 13.11

2 декабря 2019., в соответствии с законом № 405-ФЗ от 02.12.2019 г., настоящая статья дополнена новыми частями 8, 9 и примечанием.

1 июля 2017 г., в соответствии с Федеральным Законом № 13-ФЗ от 07.02.2017 г., настоящая статья изложена в новой редакции.

С 1 июля 2017 года вступили в силу поправки в статью 13.11 КоАП. Они связаны с нарушением Закона о персональных данных и касаются абсолютно всех.

Что нужно знать про работу с личной информацией россиян

Персональные данные — это любая информация о человеке, по которой его можно идентифицировать, в том числе: Ф.И.О., год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, доходы и другая информация.

  • Любая компания, которая собирает, систематизирует, анализирует информацию о своих клиентах, подпадает под действие поправок к статье 13.11 КоАП. Сбор данных о сотрудниках, который происходит на этапе заключения трудового договора, также относится к сбору персональных данных.
  • Если в вашей фирме хотя бы один работник или один клиент — физическое лицо, то законодательство о персональных данных налагает на вас серьезные обязательства.

Штраф за нарушение закона о персональных данных

  • вы не разместили на сайте компании политику конфиденциальности.
    Штраф для ИП — 10 000 рублей, для компании — 30 000 рублей;
  • вы обрабатываете персональные данные, не получив согласие от клиента.
    Штраф для компании — 75 000 рублей, для директора или ИП — 20 000 рублей.

Законом также предусмотрено уведомление Роскомнадзора. Но санкции за нарушение этого требования пока не введены. О том, кто должен регистрироваться, расскажем в этой статье чуть дальше.

Какие еще есть требования

К основаниям для наложение штрафа на оператора персональных данных относятся:

  • невыполнение требований по уничтожению персональных данных,
  • невыполнение требований по их обезличиванию,
  • игнорирование запросов субъекта и отсутствие политики конфиденциальности при работе с персональными данными.

Сбор персональных данных внутри компании

Заключая трудовой договор с новым сотрудником, вы получаете от него множество персональной информации: данные паспорта, место прописки, номера телефонов, СНИЛС, информацию о семейном положении и т.д. Все вместе — это персональные данные.
В соответствии с Законом вы должны получить согласие на обработку персональных данных. Такое согласие пишется в произвольной форме. Вам нужно всего лишь вложить в личное дело каждого сотрудника такую бумагу. Второй вариант — включить пункт о персональных данных в трудовой договор.

Сбор персональных данных на рынке

Закон о защите персональных данных требует обеспечить конфиденциальность при обработке персональных данных. Получать данные, хранить, систематизировать, создавать базы адресов для рассылки и базы телефонов для обзвона разрешено только с письменного согласия человека, чьи данные обрабатываются.

Правда, важно помнить, что мы говорим о клиентах — физических лицах. Если вы продаете свои товары и услуги юридическим лицам, этот Закон мало повлияет на вашу деятельность.

В Законе есть семь исключений, но только одно из них можно применить к предпринимательской деятельности: когда обработка персональных данных осуществляется с целью исполнения конкретного договора, одной из сторон которого является обладатель персональных данных.

Если к вам придут с проверкой, по умолчанию будет считаться, что согласие владельца персональных данных отсутствует, если вы не докажете, что оно было получено.

Безопасность обработки персональных данных

В любой компании должны быть приняты «необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий» в соответствии с пунктом 1 статьи 19 Федерального закона о персональных данных.

Довольно непростое требование для многих компаний с организационной и финансовой точек зрения. Ранее Правительством РФ были приняты Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных и Положение о методах и способах защиты информации в информационных системах персональных данных.

Вы имеете право самостоятельно выбрать методы и способы защиты информации в своей компании. Сделать это нужно на основе выявленных вами угроз безопасности персональных данных и в зависимости от класса информационной системы.

Как не нарушить Закон

В компании собираются и хранятся персональные данные сотрудников. Чтобы обезопасить себя от штрафов и претензий со стороны проверяющих, нужно:

  1. разработать положение о защите персональных данных. В него включить информацию о мерах как технического, так и организационного плана по защите данных. В том числе установить запрет на копирование, редактирование, пересылку и любое несанкционированное использование данных;
  2. приказом утвердить список лиц, имеющих доступ к персональным данным;
  3. внести пункт об использовании персональных данных во внутренние правила трудового распорядка, если такой документ есть в вашей компании;
  4. получить от каждого сотрудника письменное согласие на обработку данных.

Чтобы безопасно работать с персональными данными клиентов, заказчиков, подрядчиков, если они физические лица, нужно выполнить ряд требований законодательства, провести ревизию договоров, сайтов, дополнить документы необходимыми пунктами и обеспечить контроль.

Поделиться с друзьями Ссылки по теме: Защита персональных, личных данных… С 1 июля 2017 года вступили в силу поправки в статью 13.11 КоАП. Они связаны с нарушением Закона о персональных данных и касаются … 2158 11-10-2018 Адрес и место жительства являются персональными … С 1 июля 2017 года вступили в силу поправки в статью 13.11 КоАП. Они связаны с нарушением Закона о персональных данных и касаются … 19946 3-26-2018Использование фотографий посторонних людей… С 1 июля 2017 года вступили в силу поправки в статью 13.11 КоАП. Они связаны с нарушением Закона о персональных данных и касаются … 3548 2-20-2018Определении ВС РФ от 10.05.2011 № 58-Впр11-2… С 1 июля 2017 года вступили в силу поправки в статью 13.11 КоАП. Они связаны с нарушением Закона о персональных данных и касаются абсолютно … 3548 11-3-2018

В последние годы проблема защиты персональных данных (ПД) приобрела особенную остроту. Социальными сетями и медиаплатформами пользуется огромное количество пользователей по всему миру, предоставляя свою личную информацию в обмен на возможность присоединиться и воспользоваться определенными услугами. При этом в руках крупных IT-компаний оказываются огромные массивы данных, расшифровав которые можно узнать любые подробности жизни человека.

Реклама

Когда мы отдаем свои персональные данные, порядочные компании обещают их защищать — к этому их обязывает законодательство. По словам технического директора ООО «ТСС», специализирующегося на информационной безопасности, Ильи Шарапова, защитить персональные данные — не такая уж невыполнимая задача.

Это может быть достигнуто с помощью шифровальных (криптографических) средств, средств предотвращения несанкционированного доступа, утечки информации по техническим каналам (DLP-системы), а также с помощью других технических и организационных мер.

По словам Шарапова, в современном обществе проблема утечек встала остро в связи с несколькими факторами.

«Во-первых, это вызвано халатностью или злым умыслом сотрудников, их некомпетентностью, выполнением требований закона «для галочки», а не по факту (мы сами становились свидетелями того, как в некоторых российских ведомствах и министерствах устанавливались средства НСД, но они не использовались сотрудниками). Наконец, проблема коррупции: сами сотрудники часто торгуют базами данных», — пояснил собеседник «Газеты.Ru».

В России использование и защита персональных данных регулируется многими документами, в частности, 152-ФЗ «О персональных данных», 149-ФЗ «Об информации, информационных технологиях и о защите информации», КоАП, УК РФ, ТК РФ и ГК РФ.

В российском законодательстве довольно четко прописана ответственность за нарушение закона о персональных данных. Она включает как административные, гражданско-правовые и дисциплинарные, так и уголовные меры.

Как отмечает специалист по информационной безопасности и генеральный директор «Лаборатории Цифровой Форензики» Александр Мамаев, на бумаге все довольно четко прописано и зафиксировано. Однако даже законодатели зачастую плохо владеют предметом.

«Не так давно председатель Госдумы Вячеслав Володин, например, предложил создать рабочую группу по защите персональных данных. Он заявил: «Это не сворованные хакерами данные, это системы реестра Минфина, Минюста, Минтруда, электронные торговые площадки. Это говорит об отсутствии защиты этих данных, и, в принципе, большая часть информации — она находится в открытом доступе, ее надо найти, систематизировать и использовать». Но, как уже было сказано выше, законы есть, и они четко классифицируют требования и правила использования персданных.

Однако, персональные данные россиян действительно часто утекают в открытые источники, или же становятся предметом купли-продажи. Согласно исследованию компании Dentsu Aegis Network, лишь 29% россиян считают, что их персональные данные защищены в достаточной степени.

В ноябре 2018 года «Лаборатория Касперского» объявила, что «цифровая личность» человека в даркнете продается за $50. Здесь имеются в виду реквизиты банковских карт и счетов, аккаунты в социальных сетях, удаленный доступ к серверам и персональным компьютерам, а также сведения из приложений для знакомств и полный список посещаемых порносайтов.

Согласно данным компании Comparitech, скан паспорта россиянина в даркнете продается за $10-11. Этого порой оказывается достаточно, чтобы оформить счет или кредит на имя жертвы в банке.

По словам Александра Мамаева, рассчитывать на то, что жертвам утечек удастся отсудить существенные компенсации у частных компаний или госорганов, не приходится.

«Один подобный процесс, увенчавшийся успехом, может привести к цепной реакции, когда каждый пользователь, сталкивавшийся с утечкой данных, обратится в суд за компенсацией. Учитывая низкий уровень защиты персданных в России, это может обернуться разорением банков, IT-ритейлеров, сервисов по покупке билетов и т.д. Следом иски можно вчинить и госорганам, которые, несмотря на требования закона, весьма халатно относятся к защите персональных данных россиян. Подобные иски могут очень больно ударить по бюджету страны», — заключил собеседник «Газеты.Ru».

Действующий закон «О персональных данных» позволяет физическим лицам требовать в суде возмещения имущественного и морального вреда, причиненного вследствие нарушения требований к обработке персональных данных. Основная проблема на пути самостоятельной защиты гражданами своих прав – трудность доказывания размера убытков, а также неготовность судов к присуждению существенных сумм компенсации морального вреда, рассказывает партнер юридической компании 2b law office Антон Городецкий.

«Именно поэтому в России число судебных дел в данной категории исчисляется десятками, что, очевидно, несопоставимо с количеством нарушений в данной сфере», — пояснил Городецкий.

По мнению Антона Городецкого, первая проблема – относительно небольшой размер штрафов. Штрафы для юридических лиц за нарушение порядка обработки персональных данных находятся в диапазоне от 15 000 до 75 000 рублей. Это сумма может быть существенной для небольших компаний, но для крупных игроков рынка персональных данных, зарабатывающих огромные деньги на торговле персональными данными, такие штрафы не могут играть сдерживающей функции.

«Сравните, например, размер наших штрафов, со штрафами, предусмотренными Общим регламентом о защите персональных данных (GDPR), где верхняя граница штрафа составляет 20 миллионов евро, или 4% от мирового оборота компании-нарушителя», — заявил эксперт.

Другая проблема, препятствующая эффективной защите прав субъектов персональных данных (самостоятельной и силами органов государственной власти) – отсутствие физического представительства и какого-либо имущества компаний нарушителей на территории России, что делает невозможным фактическое исполнение принятых судебных актов. В таких случаях у остаётся единственный инструмент – блокировка сайтов компаний-нарушителей, что также не всегда способно достичь цели защиты персональных данных.

Есть несколько прецедентов, когда в России штрафовали крупные иностранные компании. Так, Facebook и Twitter были оштрафованы на 3 тыс. руб. каждая за непредоставление информации о переносе персональных данных российских пользователей в Россию. Обязанность хранить данные граждан РФ на российских серверах появилась у интернет-компаний после вступления в силу закона «О персональных данных» в сентябре 2015 года.

При этом официально у Facebook, Twitter и некоторых других компаний Кремниевой долины нет российских юридических лиц и постоянного представительства в России, то есть у них формально нет обязанности отвечать на запросы Роскомнадзора и подчиняться российским законам. В апреле 2019 года АНО «Цифровая экономика», занимающаяся реализацией одноименной программы, выступила с предложением запретить таким компаниям иметь доступ к персональным данным россиян. Одной из причин называются нечестные условия конкуренции зарубежных и российских IT-компаний, так как к последним предъявляются более жесткие требования.

Как следует из документа,

«необходимо избежать ситуации, когда иностранные компании, которые не соблюдают требования законодательства Российской Федерации, устанавливающего ограничения доступа к данным, будут иметь более привилегированное положение по отношению к российским компаниям, которые данные требования соблюдают».

Эта проблема касается и «Яндекса», которым владеет компания, зарегистрированная в Нидерландах. В том числе поэтому в конце июля в Госдуму был также внесен проект об ограничении в 20% на иностранное владение информационными ресурсами, которые будут признаны «значимыми» для России. Этот критерий предлагается оценивать по количеству активных российских пользователей сервиса. Автор законопроекта депутат от «Единой России» Антон Горелкин утверждает, что если ресурс является «значимым», то его основной владелец должен быть зарегистрирован в России.

Впрочем, у «Яндекса» есть зарегистрированное юридическое лицо в России, он обязан соблюдать российское законодательство и подчиняться требованиям Роскомнадзора.

За рубеж руки не дотянутся

В Европейском союзе на страже персональных данных пользователей стоит Общий регламент по защите данных (GDPR), принятый в мае 2018 года. Как объяснил руководитель юридического отдела хостинг-провайдера REG.RU Павел Патрикеев, одна из ключевых особенностей GDPR заключается в том, что действие данных правил применяется к компаниям, обрабатывающим персональные данные резидентов и граждан ЕС и явно нацеленных на такую обработку, независимо от местонахождения такой компании.

Практика привлечения европейских компаний к ответственности за нарушение постепенно формируется: ещё в 2018 году в связи с утечкой данных и нарушением условия о необходимости хранения данных пользователей в зашифрованном виде на 20 тысяч евро была оштрафована немецкая компания Knuddels GmbH & Co KG (компания-владелец немецкого онлайн-чата и сервиса для знакомств Knuddels). За похожее нарушение, связанное с предоставлением недостаточной степени защиты пользовательских данных на случай утечки, на 183 млн фунтов стерлингов была оштрафована и авиакомпания British Airways.

Одним из наиболее крупных примеров привлечения к ответственности не эндемика, иностранной компании по GDPR в настоящий момент является штраф американской компании Google регулятором Франции (CNIL) в размере 50 млн евро за предоставление неполной и непрозрачной информации владельцам ОС Android, а также за ряд иных смежных нарушений в области обработки персональных данных (однако это не единственный случай привлечения к ответственности по GDPR американской компании — так, штрафы по данному Регламенту уже получили Uber и Facebook).

«Как уже было показано выше, факт наличия или отсутствия офиса компании (ее представительства) на территории ЕС не является принципиальным: в GDPR заложен принцип экстерриториальности, а значит предписания могут быть направлены и иностранным организациям, присутствующим в Европе лишь виртуально, но при этом дежурно обрабатывающих данные европейских граждан — примером такого кейса служит предписание британского регулятора по GDPR канадской компании AggregateIQ Data Services», — рассказывает Патрикеев.

Однако, в случае если ни организация-оператор ПД, ни субъект ПД не являются резидентом ЕС, либо не находятся на территории Союза — в таком случае компания не может быть привлечена за нарушение. И уж тем более гражданин не может с ней судиться лично.

В свою очередь, 152-ФЗ имеет ряд существенных отличий от GDPR, одно из которых — требования о локализации баз данных с данными россиян на территории России.

В широком смысле, 152-ФЗ экстерриториального действия не имеет и не распространяется на нерезидентов (лиц, не имеющих официальное присутствие в России), собирающих персональные данные Россиян за границей. Однако, в контексте необходимости локализации данных на территории РФ, значение имеет наличие у иностранной организации целенаправленной деятельности по сбору данных.

Получается, что GDPR является более продвинутой версией 152-ФЗ, позволяя привлекать к ответственности за утечку персональных данных даже те компании, которые не являются резидентами ЕС, но имеют доступ к информации граждан Европейского союза.

«Таким образом, в настоящий момент GDPR представляет собой более совершенный инструмент по привлечению иностранных компаний к ответственности за нарушение национальных требований к обработке персональных данных, так как в нем изначально отсутствует ограничение сферы действия только по национальному принципу (месту инкорпорации компании). Хотя по ряду оснований по 152-ФЗ иностранная компания также может быть привлечена к ответственности за нарушение правил (например, при неисполнении требований о локализации данных), тем не менее 152-ФЗ не предоставляет такого гибкого инструментария субъектам ПД по привлечению иностранных компаний, обрабатывающих их данные за рубежом, к ответственности на территории Российской Федерации», — заключил собеседник «Газеты.Ru».

Что же касается ситуации в США, то защита персональных данных пользователей регулируется отдельными отраслями. Специального федерального закона о ПД на территории страны не существует — его заменяют локальные нормативные акты, зачастую действующие на территории отдельных штатов, и узкоспециальные законы.

Часть работы по защите ПД берет на себя Федеральная торговая комиссия (FTC) США, которая следит за соблюдением ряда законов и соглашений. Так, например, именно FTC оштрафовала социальную сеть Facebook на $5 млрд за скандал с Cambridge Analytica, который привел к утечке личной информации 87 млн пользователей, не дававших согласия на ее использование.

Отсутствие универсального закона по защите ПД в США является существенной проблемой для страны, на чьей территории расположена Кремниевая долина, являющаяся средоточием крупнейших IT-компаний. За принятие в Америке аналога GDPR выступают как законодатели, так и сами резиденты Долины — например, Microsoft и Apple.

В 2018 году Калифорния приняла закон о приватности данных потребителей (California Consumer Privacy Act, или CCPA), который повторяет некоторые принципы GDPR. Этот закон должен вступить в силу уже в 2020 году. Некоторые представители IT-индустрии поддержали инициативу, назвав ее важным шагом на пути к единому федеральному закону по защите персональных данных.

Получите личную консультацию у автора статьи Задать вопрос

Как многим известно, с 1 июля КоАП РФ пополнился новыми штрафами за «неправильную» обработку персональных данных («ПДн»).

В основном, внимание привлекает размер новых штрафов в статье 13.11 КоАП РФ. Если раньше с юр.лица могли потребовать до 10 тыс. руб. за нарушение, то теперь эта сумма увеличилась до 75 тыс. руб. Опасность создает и то, что штраф взыскивается за каждый случай нарушения, а, значит, компания может понести немалые потери при большом объеме работы с персональными данными, которая ведется юридически некорректно.

Неудивительно, что многие компании заинтересовались тем, касаются ли их нововведения и нужно ли им что-то предпринимать. Давайте разбираться.

Что такое персональные данные?

Формально ответ содержится в п. 1 ст. 3 ФЗ «О ПДн». Это:

«любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

Можно заметить, что буквальное толкование этого определения позволяет относить к ПДн практически любые сведения о человеке. Неудивительно, что на практике это вызывает споры о том, являются ли персональными данными сам по себе адрес электронной почты или, например, ФИО.

Справедливости ради, нужно отметить, что текущая судебная практика в большей степени склоняется к ограничительному толкованию рассматриваемого понятия и стоят на той позиции, что ПДн – это лишь те данные, которые позволяют идентифицировать конкретного гражданина.

Однако это не значит, что случайно попавший к вам адрес электронной почты imya.otchestvo.familiya@mestoraboty.ru не будет признаваться персональными данными.

Следовательно, даже собирая email’ы через форму обратной связи на сайте, ваша компания может обрабатывать персональные данные.

Что такое обработка персональных данных и кто такой оператор?

Законодательство часто использует термин «обработка персональных данных».

Может сложиться впечатление, что речь идет о некой специфической деятельности. Однако это не так. Обработкой считается любое действие или операция с персональными данными, в том числе их хранение (п. 3 ст. 3 ФЗ «О ПДн»).

Оператор персональных данных – это тот, кто осуществляет их обработку. В ряде случаев оператор обязан уведомлять Роскомнадзор о начале обработки персональных данных, однако компания будет признаваться оператором даже без такого уведомления.

За какие ошибки можно поплатиться?

Итак, мы определились с понятиями. Теперь попробуем выяснить, за что и кого у нас будут штрафовать:

Ошибка № 1. Вы обрабатываете персональные данные без законных оснований (ч. 1 ст. 13.11 КоАП РФ)

Штраф: 50 000 ₽ (речь идет о максимальном штрафе для юридического лица).

Использовать чужие персональные данные нельзя просто так. Для этого нужно одно из оснований, перечисленных в ст. 6 ФЗ «О ПДн».

Самое банальное: получение согласия гражданина – субъекта персональных данных.

Но встречаются и другие основания. Например, обработка осуществляется в целях исполнения договора с субъектом персональных данных.

Проще говоря, либо нужно получить согласие на обработку персональных данных, либо убедиться, что закон разрешает вам такую обработку и без согласия гражданина.

Кстати, оператор должен заранее определять цели обработки ПДн и соблюдать их. Если вы выходите за пределы заявленных целей, то вас тоже ждет штраф до 50 тыс. рублей.

Кейс. Суды признали законным предписание Роскомнадзора, выданное в связи с тем, что коммунальная компания без согласия должников передавала сведения о них иной организации – расчетному центру (Постановление ФАС Уральского округа от 26.02.2014 № Ф09-73/14 по делу № А71-6910/2013).

Ошибка № 2. Вы не получили письменное согласие на обработку персональных данных (ч. 2 ст. 13.11 КоАП РФ)

Штраф: 75 000 ₽

В определенных случаях нужно получать письменное согласие на обработку персональных данных гражданина, которое составляется по определенной форме. Если письменное согласие не содержит всю информацию согласно перечню из ч. 4 ст. 9 ФЗ «О ПДн», то можно считать, что у вас его нет, и вы все равно будете нести ответственность.

Письменное согласие по специальной форме требуется, например:

  • при обработке особых категорий «персональных данных» (речь идет о sensitivedata: сведениях о состоянии здоровья, интимной жизни, национальной принадлежности и т.д.);
  • при обработке биометрических данных для установления личности гражданина (в том числе если речь идет об идентификации по фото);
  • при передаче ПДн в страну, которая, по мнению Роскомнадзора, не обеспечивает их «адекватную защиту»* (например, в США, Гонконг или Швейцарию).

*В последнем пункте речь идет о странах, не являющихся участницами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не перечисленных в Приказе Роскомнадзора от 15.03.2013 № 274.

Кейс. Компания «Скартел» (бренд Yota) осуществляла трансграничную передачу персональных данных в США без получения письменных согласий. Это послужило одним из оснований выдачи Роскомнадзором предписания об устранении нарушений законодательства, которое было признано судами законным (Постановление Девятого арбитражного апелляционного суда от 16.08.2016 по делу № А40-17595/16).

Ошибка № 3. Вы не опубликовали политику конфиденциальности (ч. 3 ст. 13.11 КоАП РФ)

Штраф: 30 000 ₽

Сведения о том, как вы защищаете чужие персональные данные и вообще какой политики придерживаетесь при их обработке, должны содержаться в специальном документе – политике конфиденциальности.

Этот документ предназначается и должен быть доступен для неограниченного круга лиц. Если Вы собираете данные через Интернет (в том числе через формы регистрации / опроса / подписки на новости), то политика конфиденциальности должна быть опубликована на вашем сайте.

Кейс. Юридическая компания опубликовала на сайте форму обратной связи, предусматривающую поля лишь для имени пользователя, темы сообщения и самого сообщения. Суд счел, что собираемые таким образом сведения могут относиться к ПДн, а, следовательно, на сайте должна быть опубликована политика конфиденциальности. Поскольку этого не было сделано, суд признал законным привлечение юридической фирмы к ответственности. Помимо прочего, суд отклонил довод о том, что отсутствие компании в реестре операторов персональных данных имеет значение для спора (Постановление Тамбовского областного суда от 04.10.2016 по делу № 4А-288/2016).

Ошибка № 4. Вы проигнорировали запрос гражданина о том, как обрабатываются его персональные данные (ч. 4 ст. 13.11 КоАП РФ)

Штраф: 40 000 ₽

Граждане вправе запрашивать информацию, касающиеся обработки их персональных данных. Например:

  • на каком основании и для чего данные обрабатываются?
  • кто имеет доступ к данным, кроме самого оператора и его работников?
  • будут ли персональные данные передаваться за рубеж?

Если запрос содержит все необходимые реквизиты, подписан субъектом ПДн или его представителем («живой» или электронной подписью), то ответ на него, как правило, обязателен. Оператор вправе отказать в ответе, если в течение последних 30 дней уже дал достаточную информацию по такому же запросу.

Кейс. Заемщица обратилась в суд с требованием к микрофинансовой организации «Фреш кэш» предоставить информацию, касающуюся обработки ее персональных данных, предоставленных при заключении договора займа. Ответчик не смог представить суду доказательства о направлении ответа на данное требование, поэтому суд не только обязал МФО предоставить запрошенную информацию, но и взыскал символические 2000 ₽ морального вреда (Апелляционное определение Санкт-Петербургского городского суда от 18.04.2016 № 33-6906/2016 по делу № 2-8320/2015).

Ошибка № 5. Вы игнорируете требование об уточнении, блокировании или уничтожении персональных данных (ч. 5 ст. 13.11 КоАП РФ)

Штраф: 45 000 ₽

Ст. 21 ФЗ «О ПДн» устанавливает для операторов специальную процедуру того, что делать, если, по мнению субъекта персональных данных или Роскомнадзора, обработка ведется незаконно.

  1. На период проверки обоснованности запроса персональные данные должны быть заблокированы.
  2. Если ПДн будут окажутся неточными, то их нужно скорректировать в течение 7 рабочих дней после получения уточнений.
  3. В течение 3 рабочих дней после получения соответствующего запроса неправомерная обработка ПДн должна быть прекращена оператором. Если обеспечить законные основания для обработки не удается в течение 10 рабочих дней, то данные должны быть уничтожены.

К слову, если цели обработки ПДн достигнуты оператором, то использование персональных данных нужно прекратить в течение 30 дней, уничтожив персональные данные. То же самое касается и случаев, когда согласие субъекта персональных данных было им отозвано. Обратите внимание, что последние два положения являются диспозитивными и могут изменяться условиями договора, заключенного с субъектом персональных данных.

Кейс. Компания «Скартел» (бренд Yota) не уничтожала персональные данные, содержавшиеся в резюме кандидатов, в течение 30 дней после принятия решения о приеме на работу. Это послужило одним из поводов для выдачи предписания Роскомнадзором, которое было признано судами законным (Постановление Девятого арбитражного апелляционного суда от 16.08.2016 по делу № А40-17595/16).

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *