Новые составы и новые штрафы за нарушение закона «О персональных данных»
С 1 июля 2017 года вступает в силу новая редакция ст.13.11 КоАП РФ, устанавливающая новые, более высокие штрафы за нарушение закона «О персональных данных».
Новая редакция статьи 13.11 содержит семь составов правонарушений, устанавливает случаи, за которые оператор ПДн может понести наказание, самый высокий штраф – 75 000 руб. (для юридических лиц).
Протоколы об административных правонарушениях по новой редакции статьи 13.11, будут составлять должностные лица Роскомнадзора, а не прокуроры. Срок привлечения к ответственности останется прежний– 3 месяца со дня совершения административного правонарушения.
По 5 составам из 7 в качестве меры ответственности предусмотрено предупреждение. Что это значит? Это значит, что если правонарушение в сфере персональных данных лицом совершено впервые (в течение года, не календарного, а, например, с 1 мая 2016 по 30 апреля 2017 года), то судья вправе (не обязан !) освободить от штрафа и вынести официальное порицание (=предупреждение, см. ст. 3.4 КоАП РФ).
- Что такое персональные данные?
Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
- Кто является оператором персональных данных?
Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Иными словами, это любой из нас, независимо от правового статуса (владелец сайта, редакция, блогер, юридическое лицо, индивидуальный предприниматель), кто принимает и обрабатывает ПД граждан.
- Что понимается под действием «обработка персональных данных»?
Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Составы административных нарушений по ст.13.11 КоАП РФ с 01 июля 2017 года:
1. Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо обработка персональных данных, несовместимая с целями сбора персональных данных (за исключением случаев, предусмотренных частью 2 настоящей статьи) – нарушение ст.6 ФЗ № 152 «О персональных данных»
— предупреждение или наложение административного штрафа на граждан в размере от 1 тысячи до 3 тысяч рублей; на должностных лиц — от 5 тысяч до 10 тысяч рублей; на юридических лиц — от 30 тысяч до 50 тысяч рублей.
Примеры: когда через сайт собираются сканы паспортов, свидетельства о рождении и т.д., Роскомнадзор считает сканы документов избыточной информацией.
Обработка не в тех целях, когда это требуется (например, запросили данные для исполнения договора, но параллельно организована email-реклама).
2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных – нарушение ст.9 ФЗ № 152 «О персональных данных»
— наложение административного штрафа на граждан в размере от 3 тысяч до 5 тысяч рублей; на должностных лиц — от 10 тысяч до 20 тысяч рублей; на юридических лиц — от 15 тысяч до 75 тысяч рублей.
Пример: сбор, хранение и обработка специальных персональных данных (сведения о здоровье, о вероисповедании, политических взглядах и тд) на сайте без явного согласия на обработку таких данных.
3. Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, и сведениям о реализуемых требованиях к защите персональных данных –нарушение ст.18.1 ФЗ № 152 «О персональных данных»
— предупреждение или наложение административного штрафа на граждан в размере от 700 до 1 тысячи пятисот рублей; на должностных лиц — от 3 тысяч до 6 тысяч рублей; на индивидуальных предпринимателей — от 5 тысяч до 10 тысяч рублей; на юридических лиц — от 15 тысяч до 30 тысяч рублей.
Пример: отсутствие на сайте или странице мобильного приложения общедоступной ссылки на Политику организации в отношении обработки персональных данных.
4. Невыполнение оператором предусмотренной законодательством РФ обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных — нарушение ст.14 и ст.20 ФЗ № 152 «О персональных данных»
— предупреждение или наложение административного штрафа на граждан в размере от 1 тысячи до 2 тысяч рублей; на должностных лиц — от 4 тысяч до 6 тысяч рублей; на индивидуальных предпринимателей — от 10 тысяч до 15 тысяч рублей; на юридических лиц — от 20 тысяч до 40 тысяч рублей.
Примеры: Игнорирование запросов физических лиц по поводу обработки и защиты их персональных данных, ответ на запрос в сроки, превышающие установленные законом, предоставление ложной информации.
5. Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки — нарушение ст.21 ФЗ № 152 «О персональных данных»
— предупреждение или наложение административного штрафа на граждан в размере от 1 тысячи до 2 тысяч рублей; на должностных лиц — от 4 тысяч до 10 тысяч рублей; на индивидуальных предпринимателей — от 10 тысяч до 20 тысяч рублей; на юридических лиц — от 25 тысяч до 45 тысяч рублей.
Примеры: игнорирование запросов физических лиц и Роскомнадзора по поводу прекращения обработки персональных данных и их уничтожении, нарушение сроков предоставления ответов на поступившие запросы.
6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния –нарушение Постановления Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
— наложение административного штрафа на граждан в размере от 700 до 2 тысяч рублей; на должностных лиц — от 4 тысяч до 10 тысяч рублей; на индивидуальных предпринимателей — от 10 тысяч до 20 тысяч рублей; на юридических лиц — от 25 тысяч до 50 тысяч рублей.
Примеры: отсутствие списка лиц, допущенных к такой обработке, отсутствие раздельного хранения данных.
7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ обязанности по обезличиванию персональных данных, либо несоблюдение установленных требований или методов по обезличиванию персональных данных –нарушение Постановления Правительства Российской Федерации от 21 марта 2012 г. № 211
— предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тысяч до 6 тысяч рублей. А вот ряд советов от Максима Лагутина, основателя и ведущего эксперта сервиса Б-152 (сервис по выполнению требований о персональных данных), которые помогут выполнить требования ФЗ № 152 «О персональных данных»:
1.Под каждой формой ввода данных на сайтах и в мобильных приложениях (форма регистрации, заявки, обратной связи и т.д.) разместить текст «Нажимая на кнопку НАЗВАНИЕ_КНОПКИ, я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на сам документ. В качестве примера согласия можно посмотреть наше согласие. Вместо согласия можно использовать единую публичную оферту, но в ней будет нужно прописать, в каких целях, какие данные обрабатываются, то есть указать всё, согласно ч.4 ст.9 152-ФЗ. В этом случае обязательно хранить логин, чтобы в случае чего доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и оставлял там свои персональные данные.
2.Владельцу сайта необходимо утвердить приказом Политику в отношении обработки персональных данных и разместить её в своём офисе, на сайте и в мобильном приложении в общем доступе. Проще всего это реализовать, вставив ссылку на документ в футер. При этом с данным документом регистрирующийся не должен соглашаться при заполнении формы.
3.Перенести сайт на территорию РФ и узнать у технической поддержки хостинг-провайдера или ЦОДа адрес месторасположения вашего сервера (узнать вплоть до здания). Эту информацию Роскомнадзор умеет проверять, так как также контролирует операторов связи, обмануть его не получится.
4.Указать email, куда физическое лицо может обратиться за тем, чтобы его персональные данные были удалены, заблокированы и вообще куда он может задать вопрос по персональным данным. Можно всё отправлять и на общую почту, но вы тогда должны проконтролировать, что письмо, касающееся персональных данных, будет отфильтровано и не проигнорировано.
5.Агентству и владельцу сайтов необходимо подать уведомление об обработке персональных данных (форма тут) и помимо всего прочего указать там адреса местонахождения баз персональных данных и перечень персональных данных, которые в ней содержатся.
6.Агентству/студии и владельцу сайта, в случае если агентство имеет доступ к персональным данным из заявок, БД или просто привлекает клиентов, необходимо заключить соглашение об обеспечении безопасности персональных данных, в котором будет указано, какие персональные данные агентство/студия может обрабатывать, в каких целях и какие действия с ними выполнять. Также там должны быть требования по защите персональных данных, но защиту у частных компаний не проверяют.
7.До 1 июля 2017 года поставить на сайте дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и если он не согласен, то должен покинуть сайт. В противном случае это будет являться согласием на обработку его персональных данных.