Сайт нарушает закон о персональных данных

Содержание:

Ответственность за нарушение закона о персональных данных

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Таблица 1. «Виды ответственности за нарушение закона о персональных данных»

Вид ответственности

Нарушение

Санкция

Норма

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации

Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.

Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 3 тыс. руб.;
  • на должностных лиц – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 30 тыс. до 50 тыс. руб.

Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие

  • на граждан – от 3 тыс. до 5 тыс. руб.;
  • на должностных лиц – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 75 тыс. руб.

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных

Предупреждение или административный штраф:

  • на граждан – от 700 до 1 тыс. руб.;
  • на должностных лиц – от 3 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 30 тыс. руб.

Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 15 тыс. руб.;
  • на юридических лиц – от 20 тыс. до 40 тыс. руб.

Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 45 тыс. руб.

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них

  • на граждан – от 700 до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 50 тыс. руб.

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов

Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.

Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде

  • на граждан – от 100 до 300 руб.;
  • на должностных лиц – от 300 до 500 руб.;
  • на юридических лиц – от 3 тыс. до 5 тыс. руб.

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ

Ш траф до 200 тыс. руб., либо обязательные работы на срок до 360 ч асов , либо исправительны е работы на срок до одного года, либо принудительные работы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет или без такового ) , либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет )

То же деяние, совершенное с использованием служебного положения

Ш траф от 100 тыс. до 300 тыс. руб. , либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет или без такового ) , либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет )

Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий

Ш траф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительны е работ ы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет или без такового ), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет )

Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан

Ш траф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование

Ш траф до 200 тыс. руб. , либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительны е работ ы на срок до двух лет, либо лишение свободы на тот же срок

Причинение лицу убытков в результате нарушения правил обработки его персональных данных.

Под убытками при этом понимаются:

  • расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права;
  • утрата или повреждение его имущества;
  • неполученные доходы, которые лицо получило бы, не будь его право нарушено.

Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных

Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)

Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей

Иные нарушения в области персональных данных при их обработке

Закон №152-ФЗ о персональных данных: как обезопасить бизнес от штрафов?

Нарушение №1: Обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями сбора персональных данных – самостоятельные виды административного нарушения (ч. 1 ст. 13.11 КоАП РФ).
Приведем пример: организация-работодатель собирает персональные данные работников в отношении их религиозных предпочтений. Или организация передает персональные данные сторонним компаниям в рекламных целях (передаются ФИО, телефоны, регионы проживания, уровень дохода).
Если в таких действиях работодателя не будет выявлено уголовного состава преступления, то можно будет применить административную ответственность. Штраф в данном случае:
для граждан — в размере от 1000 до 3000 руб.;
для должностных лиц – от 5 000 до 10 000 руб.;
для юридических лиц – от 30 000 до 50 000 руб.

Нарушение №2: Обработка персональных данных работодателем, по общему правилу, возможна только с письменного согласия работников. Обработка персональных данных без согласия работника в письменной форме, либо если письменное согласие не содержит обязательные сведения – это самостоятельное административное нарушение, предусмотренное в части 2 статьи 13.11 КоАП РФ. За него возможны штрафные санкции:
для граждан – в размере от 3000 до 5000 руб.;
для должностных лиц (например, директор, кадровик или ИП) – от 10 000 до 20 000 руб.;
для организаций – от 15 000 до 75 000 руб.

Нарушение №3: Оператор персональных данных (например, работодатель или интернет-сайт) обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных в Интернете (например, через сайт), обязан опубликовать в Интернете документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу. Штраф в данном случае предусмотрен пунктом 2 статьи 18.1 Закона №152-ФЗ (ч.3 статьи 13.11 КоАП РФ):
для граждан – от 700 до 1500 руб.;
для должностных лиц (например, директора или главбуха) – от 3000 до 6000 руб.;
для индивидуальных предпринимателей – от 5000 до 10 000 руб.;
для организаций – от 15 000 до 30 000 руб.

Нарушение №4: Субъект персональных данных, то есть, физическое лицо, кому принадлежат эти данные, имеет права на получение информации, касающейся обработки его персональных данных, в том числе содержащей (ч. 7 ст. 14 Закона №152-ФЗ):
— подтверждение факта обработки персональных данных оператором;
— правовые основания и цели обработки персональных данных;
— цели и применяемые оператором способы обработки персональных данных;
— наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
— сроки обработки персональных данных, в том числе сроки их хранения;
— порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
— информацию об осуществленной или о предполагаемой трансграничной передаче данных;
— наименование или фамилию, имя, отчество и ад-рес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
— иные сведения, предусмотренные Федеральным законом или другими федеральными законами.
В этом случае административная ответственность:
для граждан – от 1000 до 2000 руб.;
для должностных лиц (например, директора, кадровика или бухгалтера) – от 4000 до 6000 руб.;
для индивидуальных предпринимателей – от 10 000 до 15 000 руб.;
для юридических лиц (организаций) – от 20 000 до 40 000 руб.

Нарушение №5: Статья 21 Закона №152-ФЗ «О персональных данных» предусматривает, что в ряде случаев оператор обязан уточнять, блокировать или уничтожать персональные данные физических лиц. Невыполнение оператором требования субъекта персональных данных или его представителя об уточнении, блокировке, уничтожении данных (если данные неполные, устаревшие, неточные, незаконно получены или не являются необходимыми для заявленной цели обработки).
Административная ответственность в этом случае:
для граждан – от 1000 до 2000 руб.;
для должностных лиц (например, директора, кадровика или главбуха) – от 4000 до 10 000 рублей;
для ИП – от 10 000 до 20 000 рублей;
для юридических лиц – от 25 000 до 45 000 руб.

Нарушение №6: Многие работодатели собирают персональные данные работников только «на бумаге» и не ведут никакой автоматизированной обработки, не имеют специальных программ для обработки баз данных. Законодатели выделили для таких операторов (в частности, работодателей) новый вид правонарушения за необеспечение оператором при обработке персональных данных без использования средств автоматизации обязанности по сохранности персональных данных при хранении их материальных носителей, если это привело к неправомерному или случайному доступу к персональным данным. А это, в свою очередь, послужило причиной их уничтожения, изменения, блокирования, копирования, предоставления, распространения либо иного неправомерного действия. Если это произошло, то административная ответственность может наступить в виде административного штрафа:
для граждан – от 700 до 2000 руб.;
для должностных лиц (например, руководителя) – от 4000 до 10 000 руб;
для индивидуальных предпринимателей – от 10 000 до 20 000 руб;
для организаций – от 25 000 до 50 000 руб.
Указанные штрафы налагаются за каждое допущенное нарушение, поэтому изначально заявленная сумма штрафа от 15 000 до 75 000 руб. в итоге может вырасти до весьма внушительных размеров.

Согласно ч. 1 ст. 57 ТК РФ в трудовом договоре обязательно указываются фамилия, имя, отчество работника, сведения о документах, удостоверяющих его личность, ИНН. Это значит, что каждый работодатель, заключая трудовой договор, получает информацию, относящуюся к персональным данным. Такая информация содержится в документах, предъявляемых работником при приеме на работу:
— в паспорте;
— в военном билете (у военнообязанных);
— в свидетельстве о присвоении ИНН;
— в страховом пенсионном свидетельстве;
— в документах об образовании;
— в водительском удостоверении и документах на машину, если это требуется в связи с исполнением трудовой функции;
— в медицинской справке о прохождении медицинского осмотра (медицинской книжке), если это необходимо в связи с исполнением работником трудовой функции.
Вся эта информация относится к персональным данным, и ее можно получить только от сотрудника. Если персональные сведения возможно получить только от третьих лиц, то сначала уведомите об этом сотрудника и получите от него письменное согласие. При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и о последствиях отказа сотрудника дать согласие на их получение. Такой порядок предусмотрен в пункте 3 части 1 статьи 86 Трудового кодекса РФ.
Работодатель не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника, например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п. Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в пункте 4 час-ти 1 статьи 86 Трудового кодекса РФ и статье 10 Закона №152.
Получив персональные данные, работодатель обязуется их не распространять и не раскрывать треть-им лицам без согласия на то сотрудника (ст. 7 Закона №152-ФЗ).

К сведению:
Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Материал подготовлен с помощью СПС Консультант Плюс.
Партнер рубрики «Аграрное право»

Информационное агентство «Светич»
Журнал «Нивы России» №11 (155), декабрь 2017

Всем, у кого есть сайт! С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей

В феврале внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Они вступят в силу 1 июля 2017 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные .

Штрафы разделили по видам нарушений и увеличили в десятки раз. Например, если не разместить на сайте политику конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а компанию — на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юрлица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч . Если нарушений несколько, то и штрафов будет несколько.

Нужно срочно привести в порядок свои сайты. Проверки уже идут 💻

Сейчас протоколы о нарушениях может выписывать только прокуратура. Штраф не зависит от вида нарушения и составляет для ИП или директора максимум 1000 рублей, а для юрлица — 10 тысяч рублей. Процедура занимает много времени, штрафы маленькие, поэтому проверяют редко и не всех.

С 1 июля выписывать протоколы будет Роскомнадзор — дело пойдет быстрее.

Как узнать, являюсь ли я оператором персональных данных?

Персональные данные — это любые данные о человеке, по которым его можно идентифицировать. В законе нет перечня таких данных, поэтому приходится догадываться самим. Например, по имени или логину нельзя понять, что это за человек, а по имени и телефону или имени и электронной почте — можно.

Скорее всего, вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:

  • фамилию,
  • имя,
  • отчество,
  • какой-то физический адрес,
  • электронную почту,
  • телефон,
  • дату или место рождения,
  • фотографию,
  • ссылку на персональный сайт или соцсети,
  • профессию,
  • образование,
  • уровень доходов,
  • семейное положение.

Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, — это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения — это тоже обработка персональных данных.

А если я записываю телефон друга или электронную почту девушки на сайте знакомств, мне нужно соблюдать этот закон?

Нет, не нужно. На данные для личных и семейных нужд закон не распространяется. Но если передать телефон друга коллекторам или опубликовать объявление с почтой девушки на форуме женоненавистников — это уже нарушение.

Как правильно работать с персональными данными, чтобы не нарушить закон?

Как минимум нужно:

  • получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
  • публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
  • запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
  • использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
  • сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
  • удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
  • хранить базы данных в надежном месте, защищать их от взлома и утечки;
  • научить сотрудников работать с персональными данными;
  • зарегистрироваться в Роскомнадзоре.

Что? Я должен еще где-то зарегистрироваться?

Да, по закону операторы персональных данных должны уведомить Роскомнадзор. Причем сделать это нужно до начала обработки данных или как можно скорее. Роскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более — распространяться;
  • человек сам опубликовал эти данные в общем доступе;
  • у вас есть только ФИО клиента и больше ничего.

У меня есть сайт, и я получаю персональные данные. Что мне делать?

Если вы до сих пор ничего не сделали, то вы уже нарушаете закон и вас уже сейчас могут оштрафовать. Даже если ваш сайт обслуживает веб-студия или удаленный айтишник, штраф всё равно выпишут на ту компанию или ИП , которые указаны на сайте.

Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны на всех страницах. Это может быть пользовательское соглашение, как у «Ламоды», правила продажи, как у «Читай-города», официальное уведомление, как у «М-видео», политика конфиденциальности, как у «Рестора», «Адидаса» или «Озона». Можно прописать условия обработки персональных данных в обычном договоре или оферте, как это делает Сбербанк.

Не используйте чужие документы. Их можно взять для ориентира, но список данных и цели использования нужно прописывать свои. То, что нужно банку для оформления кредита или интернет-магазину для доставки товара, не понадобится для электронной рассылки или доски объявлений. Запрашивать ненужные данные — нарушение закона и повод для штрафа.

Реализуйте решение, которое позволит четко установить, что человек согласился на обработку персональных данных. Это может быть галочка в форме регистрации или предупреждение при оформлении заказа. Для надежности заверьте веб-страницы у нотариуса.

Подготовьте внутренние документы о хранении персональных данных и ответственности сотрудников, которые с ними работают. Приказы, регламенты и должностные инструкции не нужно выкладывать в общий доступ.

Если нужно, отправьте уведомление в Роскомнадзор. Если уверены, что уведомление отправлять не нужно, оформите документы так, чтобы это было понятно при проверке. Например, пропишите в политике, что используете персональные данные только для исполнения конкретного договора. Или укажите, что создаете ресурс, на котором данные размещаются в общем доступе по желанию пользователя.

Если не знаете, нужно ли вам отправлять уведомление, лучше отправьте.

Это правда, что хранить персональные данные можно только на российских серверах? Если у меня хостинг в Европе, я нарушаю закон?

В законе много непонятного по этому поводу. С одной стороны, собирать, обрабатывать и хранить базы данных нужно на российских серверах. Но при этом есть отдельная статья про трансграничную передачу данных. На сайте Минкомсвязи опубликованы разъяснения по этому поводу, но в них тоже много противоречий.

Сами делайте выводы, где хранить данные. Если не знаете, что делать, отправьте запрос в Роскомнадзор или Минкомсвязи. Еще можно обратиться к своему хостеру: чаще всего у таких компаний есть готовые решения.

Да успокойтесь вы все! Никого не будут штрафовать из-за каких-то форм на сайте и ненужных бумаг.

В Тамбовской области прокуратура оштрафовала юридическую компанию за заполнение формы обратной связи без согласия пользователя на обработку персональных данных. Суды поддержали.

Директора управляющей компании оштрафовали за то, что он передал юристам данные должников, чтобы составить исковые заявления. Согласие на обработку персональных данных у жильцов он не получил. Конституционный суд ему не помог.

В Астрахани прокуроры штрафуют владельцев сайтов за формы обратной связи по алфавиту.

Кроме штрафов в пользу государства за нарушение правил обработки персональных данных могут взыскать компенсацию морального вреда и даже посадить в тюрьму.

В законе про персональные данные много непонятного. Мы разобрались и ответили на сложные вопросы.

Сайт нарушает закон о персональных данных

Cегодня практически каждый сайт или веб сервис, оказывающий какие-либо услуги в Рунете, будь то новостной сервис или социальная сеть, имеет дело с персональными данными (или ПДн) своих пользователей, посетителей, подписчиков. C 1 июля 2017 года ответственность за нарушение законов в области персональных данных существенно увеличилась . Обновленная статья 13.11 КоАП расширилась и теперь в ней семь видов правонарушений, самый высокий штраф для юридических лиц – 75 000 рублей, который в совокупности нарушений может достигать 295 000 рублей. В России помимо административной ответственности несоблюдение законов о защите данных может повлечь также гражданскую (возмещение морального вреда) и уголовную ответственность (например, тюремное заключение).

Роскомнадзор вправе возбуждать административные дела в области персональных данных, ранее подобные дела инициировали только прокуроры. Кроме того, есть риск блокировки ресурса Роскомнадзором в случае неустранения нарушений закона о персональных данных, но только по решению суда.

Отчет Роскомнадзора показывает, что с момента начала реализации закона о локализации персональных данных (242-ФЗ) было проведено 2256 плановых проверок, 192 внеплановые проверки (по жалобе субъекта персональных данных) и более 3000 мероприятий систематического наблюдения, по итогам которых выявлено 56 нарушений требований, связанных с локализацией персональных данных, что составляет около 1 % от общего числа выявленных нарушений. План проверок управления Роскомнадзора публикуют на своих сайтах.

Другие надзорные органы: Федеральная служба по техническому и экспортному контролю России (регулирует вопросы технической защиты информации в нашей стране) и ФСБ России (регулирует вопросы криптографии (шифрования). Стоит здесь отметить громкое дело о требовании ФСБ расшифровать переписку мессенджера Телеграм (Telegram), где пересекаются, с одной стороны, интересы частных лиц и их право на неприкосновенность частной жизни, и, с другой стороны, интересы общества, госбезопасности.

Настоящая статья поможет разобраться, как сайту или веб сервису соответствовать законодательству о персональных данных и избежать штрафов.

Какие законы?

Основные действующие в России законы, касающиеся персональных данных:

  • Страсбургская «Конвенция о защите физических лиц при автоматизированной обработке персональных данных» 1985 года, была ратифицирована в России в 2005 году.
  • Конституция РФ. Статьи 23 и 24.
  • Федеральный закон «О персональных данных» от 27.07.2006 (далее «закон о персональных данных«)
  • Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006

Также существуют специальные нормы по отраслям права: КоАП РФ (статья 13.11), как упоминалось выше, Трудовой кодекс РФ (глава 14), Воздушный кодекс РФ (ст. 85.1), ФЗ Об основах охраны здоровья граждан в РФ и другие. Кроме того, разными ведомствами, например, Роскомнадзором или Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Федеральной службой безопасности издаются подзаконные акты, устанавливающие порядок сбора, обработки, хранения, защиты персональных данных.

Давайте разберемся с понятиями.

Персональные данные

Законодатель отнес любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 ФЗ о персональных данных). В силу такого широкого определения ПДн в законе, определить какие данные подпадают под охрану закона, а какие нет — дело не простое. Поэтому следует руководствоваться позицией регулятора — Роскомнадзора.

Пункт 2.5 Методических рекомендаций Роскомнадзора по уведомлению о начале обработки персональных данных раскрывает в скобках, какая это может быть информация: фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных.

В любом случае, согласно закону, который имеет превалирующую силу над подзаконным актом (методические рекомендации), конкретный перечень видов персональных данных не определен, что дает правоприменительным органам волю интерпретации.

Оператор персональных данных

Любая организация, ИП и физическое лицо является оператором и, таким образом, попадает под действие закона о персональных данных, если

  • самостоятельно или с другими лицами (юридическими или физическими) организует и(или) осуществляет обработку персональных данных,
  • а также определяет цель такой обработки, состав персональных данных, действия (операции).

Проще говоря, если вы обрабатываете и контролируете персональные данные, то вы оператор.

Обработка персональных данных

Если вы совершаете хотя бы одно из нижеперечисленных действий, то вы обрабатываете персональные данные и обязаны подчиняться закону о персональных данных:

  • Сбор
  • Запись
  • Систематизация
  • Накопление
  • Хранение
  • Уточнение (обновление, изменение)
  • Извлечение
  • Использование
  • Передача (распространение, предоставление, доступ)
  • Обезличивание
  • Блокирование
  • Удаление
  • Уничтожение персональных данных.

ЧТО НУЖНО СДЕЛАТЬ ДЛЯ СОБЛЮДЕНИЯ ЗАКОНА?

1. УВЕДОМИТЕ РОСКОМНАДЗОР

Если вы обрабатываете персональные данные, как описано выше, то вы обязаны уведомить об этом Рoскомнадзор (управление Роскомнадзора по субъекту по месту регистрации в налоговом органе) до начала обработки (ст. 22 закона о персональных данных). Вы можете это сделать в письменном виде путем направления письма или электронно на сайте Роскомнадзора (бумажную версию также необходимо выслать. После чего в течение 30 дней со дня получения уведомления Роскомнадзором вносится запись в реестр операторов персональных данных, вы получаете выписку о внесении. По состоянию на 27 октября 2017 года 400 098 операторов зарегистрировано. Сведения об операторах и находятся в общем доступе (за исключением способов обеспечения безопасности персональных данных, более подробно об этом ниже).

Важно отметить, что вы обязаны не просто заполнить уведомление и направить его, но также выполнить то, что вы в нем написали.

Как и везде, существуют исключения. Поэтому сначала проверьте основания обработки персональных данных БЕЗ уведомления уполномоченного органа (ст. 22 закона о персональных данных). В частности, например, следующие основания для неуведомления:

  • данные, обрабатываемые в соответствии с трудовым законодательством (это не освобождает от защиты персональных данных ваших сотрудников и соблюдения трудового законодательства)
  • персональные данные были получены в связи с договором с субъектом персональных данных при условии, что (1) данные не передаются третьим лицам без согласия субъекта, (2) используются только для целей исполнения договора с субъектом
  • если данные общедоступны
  • у вас есть только ФИО клиента и др.

Если вы все-таки не попадаете под основания для исключения, то форма уведомления есть в Рекомендациях Роскомнадзора (приложение 1). Подробнее поговорим о некоторых сведениях, которые требуется указать в Уведомлении.

Какие действия вы совершаете с персональными данными и какие способы обработки используете. В большинстве случаев обработка данных владельцами сайтов/веб сервисов является автоматизированной (есть также неавтоматизированная и смешанная). Здесь следует указать, куда передается информация: по внутренней сети оператора (то есть доступна только определенным сотрудникам), с использованием интернета или не передается вообще.

Другой важный момент касается мер для обеспечения выполнения обязанностей по закону о персональных данных.

  • Издание документов и локальных актов о порядке обработки, изменения, копирования, распространения персональных данных, о правилах доступа, о мерах предотвращения неправомерного доступа к персональным данным и прочее. См. также Рекомендации Роскомнадзора по составлению подобных документов.
  • Технические меры, например, защита паролем, антивирусные средства Если вы используете криптографические (шифровальные) средства, то нужно указать наименование таких средств и их класс (см. Приказ ФСБ России).

Если вы передаете персональные данные на территорию иностранного государства его органу власти, иностранному физическому или юридическому лицу (п. 11 ст. 3 закона о персональных данных), то нужно указать какие именно стране. Допускается трансграничная передача на территорию стран — членов Совета Европы , а также иных государств, где персональные данные адекватно защищаются и есть комплексный закон, регулирующий данную область.

Неуведомление Роскомнадзора грозит штрафом для юридических лиц от 3000 до 5000 р. (см. ст. 19.7 КоАП РФ). Такие дела рассматриваются судом (ст. 23.1 КоАП). Роскомнадзор вправе потребовать уточнения данных путем направления вам письма с перечнем недостающих сведений (ст.22 закона о персональных данных и п.3.3. Рекомендаций Роскомнадзора). В случае каких-либо изменений информации, которую вы указали в уведомлении, то требуется в течение 10 дней с момента возникновения изменений сообщить об этом управление Роскомнадзора (форма есть в приложении 2 к Рекомендациям Роскомнадзора).

2) ХРАНИТЕ БАЗУ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ В РОССИИ

С 1 сентября 2015 года хостинг, база, центр обработки персональных данных должны располагаться на территории России (ст.16 закона об информации). И несмотря на то, что закон о “локализации персональных данных” назвали законом ручного применения и под его раздачу недавно попала лишь сеть профессиональных контактов LinkedIn , не исключено, что похожее может произойти и с Фэйсбуком и рядом других крупных сервисов, после чего правоприменение по подобного рода делам может развернуться куда шире. Закон одинаково распространяется и на иностранные организации, которые обрабатывают персональные данные россиян и чьи услуги, сервисы направлены на пользователей в России. Если сбор данных осуществляется не в ходе функционирования крайне чувствительных веб-сервисов (тематических форумов, сайтов знакомств, UGC-ориентированных ресурсов), на которых организатору сервиса надлежит обеспечить максимальную безопасность данных своих пользователей, то размещение баз данных на серверах внутри страны способно минимизировать риски претензий Роскомнадзора в связи с несоблюдением закона. Однако решение об этом следует принимать в индивидуальном порядке, оценивая тематику, функционал и аудиторию ресурса. Пока же мы видим, что мелкие и средние веб-сайты, сервисы и приложения россиян в части соблюдения “закона о локализации” ведомство интересуют не сильно.

Адрес местонахождения баз данных необходимо сообщить Роскомнадзору. Если Вы все таки решили локализовать данные, то обратитесь к вашему хостинг провайдеру для получения адреса расположения вашего сервера. Здесь можно ознакомиться более подробно с темой локализации данных в России.

3) СОЗДАЙТЕ ПОЛИТИКУ КОНФИДЕНЦИАЛЬНОСТИ И ПОЛУЧИТЕ СОГЛАСИЕ НА ОБРАБОТКУ

Согласно позиции РКН, в отношении использования веб-ресурсов не требуется рукописного согласия на обработку персональных данных, однако критически важным является наличие на сайте Политики обработки персональных данных либо Политики конфиденциальности с положениями о порядке сбора, хранения и обработки ПДн. Наиболее известен случай из практики о привлечении к адм. ответственности юридической компании за отсутствие на сайте политики обработки персональных данных. Поэтому наличие подобной политики на сайте во многих случаях считается уже достаточным, чтобы соответствовать закону.

Утвердите приказом политику конфиденциальности, разместив ее на сайте, (мобильном приложении, если имеется) так, чтобы пользователю было не трудно найти ее, например, в футер. В политике нужно отразить категории персональных данных, виды обработки, цели обработки, меры защиты, какие действия вы выполняете с данными. Уведомляйте посетителей сайта, что их персональные данные обрабатываются в целях функционирования сайта и получайте их согласие на обработку. Можно посмотреть, как это делают другие сайты. Например, Яндекс в своей политике конфиденциальности указал, что использование сервисов является согласием на обработку: “Использование Сервисов Яндекса означает безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями Пользователь должен воздержаться от использования Сервисов”.

Похожее положение в политике конфиденциальности Рамблера : “При регистрации на Интернет-ресурсе заполняя размещенную на Интернет-ресурсе Рамблера регистрационную форму и предоставляя свои персональные данные Рамблеру, Пользователь подтверждает, что он достиг возраста 14 лет и что он принимает настоящий Регламент и дает согласие на обработку своих персональных данных Рамблеру в соответствии с Политикой в отношении обработки персональных данных в Рамблере и сведениями о реализуемых требованиях к защите персональных данных, а также изложенными в ней правилами обработки персональных данных”.

Таким образом, в регистрационные и иные формы заполнения на вашем сайте, можно под кнопкой добавить следующую фразу со ссылкой на правила пользования сервисом, куда вы также включаете политику конфиденциальности. Такой подход также подтверждается и позицией Роскомнадзора.

В июле 2017 Роскомнадзор опубликовал Методические рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных. При написании Политики на сайте, необходимо руководствоваться этими рекомендациями.

Несмотря на то, что политика конфиденциальности является юридическим документом, вы должны обеспечить, чтобы текст был легко понятен и точен. Нежелательно использовать скрытые предложения в тексте или делать его слишком расплывчатым, поскольку это может повлиять в общем на авторитетность и репутацию вашего сервиса.

4) ДОБАВЬТЕ В ПОЛИТИКУ КОНФИДЕНЦИАЛЬНОСТИ ПУНКТ О COOKIES

Cookie-файлы — небольшие информационные маркеры (копии веб-страниц, картинок, видеороликов и другого контента, просмотренного с помощью браузера), которые ваш сайт может записывать на жесткий диск компьютера посетителя. Благодаря cookies ваш сайт может:

  • узнавать пользователей и их предпочтения
  • подстраивать веб-контент, отображаемый на вашем сайте, под отдельных пользователей
  • собирать информацию о том, как посетители используют ваш сайт
  • помогать Вам совершенствовать ваши продукты и сайты

В российском законе нет понятия cookies, каких-либо определенных специальных требований в их отношении, они формально не признаются персональными данными. Нет необходимости российскому сайту брать отдельное согласие посетителя путем нажатия кнопки при входе на его сайт, как некоторые сайты это делают. Дело в том, что иностранные компании, которые подчиняются юрисдикциям других государств, обязаны независимо от местонахождения пользователей, получать согласие на использование файлов cookies. Например, в Евросоюзе веб-сайт должен получить разрешение от посетителей прежде, чем записывать свои cookies на их компьютеры.

Однако, лучше себя обезопасить, ведь определение персональных данных расплывчато, а Роскомнадзор не дремлет с проверками. Без каких-либо всплывающих окон и кнопок можно просто написать в политике конфиденциальности, что под персональной информацией пользователя также понимаются: “IP-адрес хоста, данные файлов cookie, информация о браузере пользователя, местоположение”. Как компании формулируют пункты о cookies, вы также можете посмотреть в их политиках, размещенных на официальных веб-ресурсах.

5) ДОБАВЬТЕ В ПОЛИТИКУ КОНФИДЕНЦИАЛЬНОСТИ EMAIL И АДРЕС, КУДА ПОЛЬЗОВАТЕЛЮ МОЖНО ОБРАТИТЬСЯ С ЗАПРОСОМ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Например, об их удалении. Не игнорируйте письма с подобными запросами и удаляйте персональные данные по первому требованию, если это возможно сделать без болезненного изменения структуры и контента сайта. Ведь чья-то жалоба может стать поводом для внеплановой проверки Роскомнадзором и(или) судебной тяжбы.

6) НАЗНАЧЬТЕ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обязательным требованием является назначение соответствующим приказом ответственного за организацию обработки данных (ст.22.1 закона о персональных данных). Это может быть как физическое, так и юридическое лицо (по договору). Такой человек (или компания) должен следить за изменениями в законодательстве о персональных данных, информировать, обучать, обновлять политику конфиденциальности и иные акты о персональных данных.

7) ПРИМИТЕ ТЕХНИЧЕСКИЕ МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Меры по обеспечению безопасности персональных данных при их обработке установлены в ст.19 закона о персональных данных. Их вы также указываете в уведомлении Роскомнадзора.

Правительство РФ устанавливает уровни защищенности персональных данных при их обработке в информационных системах персональных данных и требования по обеспечению безопасности. Эти требования содержатся в Постановлении Правительства №1119 от 01.11.2012. Во исполнений указанных положений появился следующий приказ: Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Вы можете принять меры как самостоятельно, так и с привлечением юридического лица (или ИП), имеющего лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации. Существует множество организаций, предлагающих программные комплексы, IT решения, средства защиты персональных данных. Если вы нанимаете организацию и используете разработанные ею средства защиты, то удостоверьтесь, что они прошли в установленном порядке процедуру оценки соответствия (сертификация проводимая ФСТЭК).

Вы также можете сами получить лицензию ФСТЭК. Это открывает возможности самим оказывать услуги в области защиты данных, в том числе для государственных организаций.

Применение сертифицированных средств защиты или получение лицензии ФСТЭК — это дорогостоящий процесс и времязатратный, который чаще всего позволяют себе большие компании. Но можно рассматривать это как инвестицию, ведь подтверждается надежность и безопасность персональных данных клиентов и, таким образом, возрастает привлекательность вашего бизнеса.

Все же нет обязательного требования привлекать специалистов — подрядчиков, можно это сделать самостоятельно. Все зависит от модели вашего бизнеса, сложности баз данных, процессов и финансовых возможностей.

Несколько советов по принятию мер безопасности персональных данных самостоятельно:

  • Обследуйте свои информационные системы персональных данных, поймите, где именно и какие данные располагаются, как они двигаются и циркулируют, кто имеет к ним доступ
  • Классифицируйте свои информационные системы персональных данных (есть разные факторы классификации, например, расовая и национальная принадлежность, численность субъектов). Чем выше класс, тем серьезнее должна быть защита
  • Постройте модель угроз
  • Составьте список мер защиты и выполняйте их на основе классов информационных систем (включить в уведомление Роскомнадзора перечень таких мер)
  • Можете также привлечь сторонние организации частично по каким-то отдельным задачам. Определите степень привлечения.
  • Обучайте своих технических сотрудников
  • Проводите проверку эффективности мер самостоятельно или с привлечением подрядной организации не реже 1 раза в 3 года (п.6 Приказа ФСТЭК)