С 1 июля 2017 года вступают в силу изменения в статью 13.11. КоАП РФ, устанавливающие новые санкции за нарушение законодательства в области персональных данных. Появилось 6 новых составов административных правонарушений в рамках данной статьи. Увеличены штрафы в десятки раз!
Например, при сборе персональных данных при отсутствии на сайте условий о конфиденциальности или порядка обработки данных о пользователях, индивидуального предпринимателя могут оштрафовать на 10000 рублей, а юридическое лицо — на 30000 рублей. Если же заниматься обработкой персональных данных без письменного на то согласия, то штраф может достигать 75000 рублей! Должностному лицу, к которым относится как директор, так и индивидуальный предприниматель, придётся выложить 20000 рублей. При наличии нескольких нарушений законодательства в области защиты персональных данных контролирующие органы могут наложить несколько штрафов.
В зоне риска прежде всего владельцы многочисленных сайтов, где предусмотрена регистрация, оформление заказов, прием заявок. Именно так чаще всего собираются персональные данные о человеке в Интернете. Чтобы избежать ответственности за нарушения в области защиты персональных данных, мы расскажем об основных требованиях, предъявляемых государством к операторам персональных данных — всем тем, кто занимается получением, обработкой и хранением информации о гражданах РФ. А также расскажем, что должно быть отражено в положении об обработке персональных данных.
Что такое персональные данные?
Источником информации для данной статьи послужил Федеральный закон «О персональных данных» от 27.07.2006г. №152. Далее по тексту, ссылаясь на закон, мы будем подразумевать именно его.
Законом дано определение понятия персональных данных. К ним относится любая информация, относящаяся прямо или косвенно к определенному физическому лицу. Такое лицо является субъектом персональных данных. В тоже время законом не раскрывается конкретный перечень сведений, относящихся к персональным данным. Представляется, что к персональным данным можно отнести:
- Фамилию, имя, отчество;
- Адрес места жительства или проживания;
- Адрес электронной почты;
- Контактный телефон;
- Дата и место рождения;
- Паспортные данные;
- Сведения о воинской обязанности;
- Фотографии;
- Ссылки на аккаунты в соцсетях;
- Сведения об образовании, профессии, опыте работы;
- Сведения о финансовом состоянии;
- Сведения о семейном положении.
Указанный выше перечень достаточно условный и предусматривает наиболее часто собираемые данные. Они относятся к общим персональным данных.
Есть еще и специальные персональные данные, сбор, обработка и хранение которых не допускается, за исключением некоторых случаев. К таким данным относятся данные о расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни.
Также есть и биометрические персональные данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Они могут собираться только при наличии письменного согласия.
Какую бы информацию о человеке вы не собирали, для ее получения всегда требуется согласие субъекта персональных данных.
Кто относится к операторам персональных данных?
Оператором персональных данных может быть любое лицо, осуществляющее обработку этих данных. Это могут быть как юридические, так и физические лица. Если на вашем сайте можно зарегистрироваться, оставить заявку на обратный звонок, оформить заказ, приобрести какой-либо товар, подписаться на рассылку, заполнить анкету, пройти опрос, то вас можно смело отнести к оператором персональных данных. Независимо от того, кто осуществляет администрирование сайта, ответственным лицом за нарушение законодательства о персональных данных будет признан непосредственно владелец сайта (юридическое или физическое лицо).
Кто осуществляет контроль в области защиты персональных данных?
В настоящее время уполномоченным органом на проведение проверок и составление протоколов об административных правонарушениях являются органы прокуратуры. Однако с 1 июля 2017 года выписывать протоколы об административных правонарушениях будет Роскомнадзор. Передача функций этому органу позволит эффективнее и быстрее привлекать к ответственности нарушителей законодательства о персональных данных. Почему быстрее? Сократится цепочка уполномоченных органов, задействованных в расследовании нарушений в этой сфере.
Раньше Роскомнадзор обращался в Прокуратуру, затем Прокуратура передавала материалы в суд. Сейчас Роскомнадзор будет передавать материалы по административным правонарушениям не в Прокуратуру, а напрямую в суд. Ожидается, что Роскомнадзор поставит на поток привлечение владельцев сайтов к административной ответственности за нарушение законодательства в области обработки персональных данных. Нарушителей будет выявляться больше, бюджет РФ будет систематически пополняться штрафами по ст. 13.11 КоАП РФ.
Что необходимо сделать для соблюдения законодательства о персональных данных?
Чтобы неукоснительно соблюдать требования законодательства, мы рекомендуем:
- Разместить на сайте в открытом доступе положение об обработке персональных данных, ознакомившись с которым пользователь сайта сможет выразить свое согласие на обработку персональных данных. Вы можете получить такое согласие, разместив флажок ознакомления с указанным положением, нажатие на который, приведет к автоматическому согласию с условиями использования его персональных данных.
- Запрашивать только те данные, которые необходимы для достижения ваших целей. Не следует для оформления простой подписки на рассылку по электронной почте запрашивать паспортные данные. Эта излишняя информация может стать основанием для привлечения вас к административной ответственности.
- Предоставлять субъекту персональных данных информацию о том, какие сведения о нём хранятся в ваших базах данных, для чего вы обрабатываете полученную информацию и кому вы её передавали.
- Удалить всю информацию о пользователе после получения соответствующего запроса.
- Осуществлять хранение персональных данных в защищённом месте, исключающем доступ третьих лиц.
- Разработать положение об обработке персональных данных и ознакомить с ним своих работников под роспись.
- Зарегистрироваться в качестве оператора персональных данных в Роскомнадзоре.
Что должно быть отражено в положении об обработке персональных данных?
Размещая на сайте положение об обработке персональных данных, не забудьте в нем указать:
- Исчерпывающий перечень запрашиваемой информации;
- Конкретные цели сбора этой информации;
- Порядок обработки персональных данных с указанием исчерпывающего перечня действий, которые могут осуществляться с персональными данными;
- Наименование и адрес организации, осуществляющей на обработку персональных данных;
- Срок, в течение которого действует согласие на обработку персональных данных, способ отзыва согласия.
Подробнее о регистрации в качестве оператора персональных данных в Роскомнадзоре
По закону оператор персональных данных должен уведомить Роскомнадзор о желании заниматься обработкой персональных данных до начала обработки. Уполномоченный орган внесёт информацию в реестр операторов персональных данных и будет выдавать любому лицу информацию об операторах при вводе наименования организации, ИНН или регистрационного номера.
Законом также предусмотрены случаи, когда Роскомнадзор уведомлять необязательно. Например, в случае обработки персональных данных:
- Работников в соответствии с Трудовым кодексом РФ.
- Стороны по договору, если персональные данные не распространяются, не передаются третьим лицам без письменного согласия и используются исключительно в целях исполнения договора.
- Членов общественных общественного объединения или религиозной организации, если персональные данные не распространяются, не передаются третьим лицам без согласия субъекта персональных данных, используются исключительно для достижения целей, предусмотренных учредительными документами.
- Сделанных субъектом персональных данных доступными широкому кругу лиц.
- Включающих только фамилии, имена и отчества субъектов персональных данных.
- Необходимых для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- Включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- Обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
- Обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Если вы не знаете подпадаете ли вы под указанный выше перечень, советуем подать в Роскомнадзор уведомление о включении в реестр операторов персональных данных.
Обязан ли я хранить персональные данные на российских серверах?
В Законе сказано, что при сборе персональных данных оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Таким образом, собирать, обрабатывать и хранить базу персональных данных о российских гражданах можно только на серверах, размещённых в России. Если у вас сайт находится на иностранном хостинге, и вы при этом осуществляете сбор и обработку данных о гражданах РФ, то ваш домен могут включить в Реестр нарушителей прав субъектов персональных данных. Ведением этого реестра занимается также Роскомнадзор. Попасть в него легко. Достаточно нарушить требования законодательства в области защиты персональных данных, дождаться, когда на вас обратит внимание Роскомнадзор, а суд вынесет соответствующее решение.
В тоже время законодатель предусмотрел возможность трансграничной передачи персональных данных граждан РФ на территорию иностранных государств. Отдельного разрешения на такую передачу у Роскомнадзора запрашивать не требуется. Трансграничная передача данных допускается, если:
- Есть письменное согласие на такую передачу данных.
- Она предусмотрена международным договором или федеральными законами.
- Она необходима для исполнения договора, стороной которого является владелец данных, или требуется для защиты его жизни, здоровья и иных жизненно важных интересов, при невозможности получения согласия в письменной форме.
Но имейте ввиду, что передача данных о гражданах РФ на иностранные серверы должна отвечать конкретным и законным целям. Если даже вы получите письменное согласие, но обработка, сбор и хранение данных за рубежом будут признаны необоснованными, то можно оказаться в числе нарушителей Закона «О персональных данных» со всеми вытекающими последствиями.
Минкомсвязи России дало некоторые разъяснения по вопросу практического применения Закона «О персональных данных», но они вряд ли чем помогут. Уж больно много в них противоречий. Если вы не можете сменить хостера, или без трансграничной передачи персональных данных никак не обойтись, советуем задать все интересующие вопросы напрямую в Минкомсвязь и (или) в Роскомнадзор.
Всё очень сложно? Вы не знаете как собирать и обрабатывать персональные данные правильно?
Для соблюдения требований законодательства в области защиты персональных данных без компетентного специалиста не обойтись. Можно, конечно, использовать готовые положения о конфиденциальности, взяв их с различных сайтов. Но их использование не гарантирует, что вы не будете привлечены к административной ответственности. Уж очень много в Законе специфичных требований и обязанностей операторов персональных данных.
Поэтому наши юристы готовы проконсультировать вас относительно действующего законодательства, составить положение об обработке персональных данных, о работе с персональных данными, другие локальные нормативные акты (если они у вас отсутствуют), а также проверить действующие положения об обработке персональных данных на соответствие законодательству. Обращайтесь — мы будем рады вам помочь!