Заказать звонок

Спасибо!

Ваше сообщение успешно отправлено!

Юридическое сопровождение
интернет-проектов
  • Главная
  • Лайфхаки
  • Статьи
  • Новые штрафы за нарушение законодательства при сборе персональных данных – что изменилось?

Новые штрафы за нарушение законодательства при сборе персональных данных – что изменилось?

Автор статьи: Людмила Харитонова Управляющий партнёр «Зарцын и партнёры»

Практика применения ст. 13711 КОАП

1 июля 2017 введены в действие изменения ст. 13.11 КОАП, в рамках которых ответственность за нарушение законодательства о персональных данных (ПДн) сильно ужесточили.

Но, как всегда и бывает, бизнес бурно обсуждал новость несколько месяцев, а потом все снова забыли и про большие штрафы, и про необходимость соблюдения закона.

За что штрафы?

Для начала вспомним за что могут оштрафовать.

В ст. 13.11 перечислено семь составов правонарушений:

  1. Обработка персональных данных (ПДн) в случаях, не предусмотренных законом, либо когда обработка несовместимая с целями. Это может обойтись в сумму от 30 000 до 50 000 рублей.

  2. Обработка без письменного согласия или получение согласия не по форме, установленной в 152-ФЗ, обойдется в сумму от 15 000 до 70 000 рублей.

  3. Отсутствие политики обработки ПДн – от 15 000 до 30 000 рублей.

  4. Молчание на запрос об уточнении перечня и целей обработки данных субъекта ПДн штрафуется суммой от 20 000 до 40 000 рублей.

  5. Игнорирование требования субъекта ПДн об удалении или изменении ПДн карается штрафом от 25 000 до 45 000 рублей.

  6. Утечка данных, если это вызвано нарушением правил обработки, оценивается в сумму от 25 000 до 50 000 рублей.

  7. И наконец дешевле всего стоит невыполнение предписаний госорганов – от 3000 до 6000 рублей

    Штрафовать могут за каждый состав отдельно, а значит, итоговая сумма штрафа может достичь 300 000 рублей.

    При этом если вы обрабатываете данные всех пользователей без соответствующего согласия, то штрафовать будут за каждого.

Что в реальности?

Так как с момента изменений прошло уже два года, посмотрим, как статья применялась на практике.

Цели обработки

Закон обязывает обрабатывать данные только в целях, которые обозначены в согласии. Закон также запрещает обработку персональных данных, несовместимых с целями. По сути, если вы требуете слишком много персональных данных – это нарушение.
Так, в одном из решений суд проанализировал ситуации, когда для заключения договора на теплоснабжение с физических лиц требовали данные об ИНН и СНИЛС.

Суд указал, что ГК таких требований не содержит и для оказания гражданам таких услуг ИНН и СНИЛС не нужны, а значит, их сбор и последующая обработка являются излишними ( Решение по делу № 12-71/2018 от 20.12.2018. Железноводский городской суд (Ставропольский край) Решение от 20.12.2018 по делу № 12-71/2018).

Обработка без согласия

Перед началом обработки нужно получить согласие, но в ряде случаев можно обойтись и без него.

Ролик, размещенный в социальной сети, в котором изображен чиновник и названы его персональные данные, не был признан нарушающим нормы закона, так как целью размещения ролика было выявление правонарушения, совершенного должностным лицом (Постановление по делу № 12-22/2018 от 16.05.2018. Суоярвский районный суд (Республика Карелия) Постановление от 16.05.2018 по делу № 12-22/2018).

Утечка ПДн, если это вызвано нарушением правил

Произошла утечка данных, и в компании проведена проверка на предмет соблюдения правил. Выявлены нарушения:

  • отсутствие акта, закрепляющего ответственных за обработку ПДн;

  • в бухгалтерии документы хранились в незапираемых шкафах и в лотках на столе (в том числе заявления на отпуск, справки 2-НДФЛ).

Общество оштрафовано на 25 000 рублей ( Решение по делу № 12-2820/2018 от 27.12.2018. Центральный районный суд г. Волгограда (Волгоградская область) Решение от 27.12.2018 по делу № 12-2820/2018).

Какие нарушения на сайтах встречаются чаще всего

Несмотря на долгую историю применения закона о персональных данных, предприниматели до сих пор некорректно размещают у себя на сайте документы, связанные с персональными данными.

Согласие вроде бы есть, а вроде и нет

Такая ситуация возникает, когда текст о согласии есть, но его самого нет (так как увидеть полный текст нельзя). В таком случае считаем, что согласие не получено и соответственно будет зафиксировано нарушение.

image001.png

Даю согласие и соглашаюсь с Политикой обработки персональных данных

Нужно понимать, что согласие на обработку персональных данных и Политика обработки персональных данных – это два разных документа и, соответственно, схема их размещения тоже разная.

Когда пользователь предоставляет нам свои данные, он должен дать именно согласие, и подменять его акцептом Политики обработки персональных данных – категорически неверно.

image002.png

Согласие в каждой форме на каждую конкретную цель

Согласие вы должны получать каждый раз, когда собираете данные, – ведь цель сбора будет различной в зависимости от того, какую форму на сайте заполняет пользователь. Поэтому проверьте, везде ли размещены согласия и соответствуют ли они целям сбора. Например, в форме обратного звонка тоже нужно разместить согласие и целью указать получение информации об услугах, заключение договора с пользователем.

image003.png

Что нужно проверить на сайте

Вот короткий чек-лист для приведения в порядок вашего сайта

  1. Нужно получить согласие на обработку ПДн и указать цели обработки. При составлении формы согласия обязательно стоит свериться с требованиями закона.

  2. Использовать ПДн можно исключительно в целях, указанных в согласии.

    Если цели меняются, необходимо получить новое согласие. После достижения цели необходимо прекратить обработку и уничтожить данные, если в договоре с субъектом нет других правил, разрешающих более длительное хранение.

  3. На сайте должна быть размещена «Политика обработки персональных данных». Этот документ закрепляет принципы обработки данных в конкретной компании и должен быть доступен пользователю для просмотра с любой страницы сайта.

  4. Необходимо подать уведомление в Роскомнадзор о начале обработки ПДн.

    Тут нужно обратить внимание, что закон содержит перечень ситуаций, при которых уведомление можно не подавать.

  5. При поступлении запроса от субъектов персональных данных о наличии у компании его данных необходимо ответить и ознакомить с имеющимися данными в течение 30 дней с момента поступления запроса.

  6. Если после предоставления субъекту персональных данных информации он попросит изменить или удалить данные, это нужно сделать в течение 7 дней.

  7. Если пришел запрос от госорганов, на него следует ответить в течение 30 дней.

    Нужно понимать, что требования должны соблюдать вообще все, а не только крупные компании. Специалисты Роскомнадзора уже сейчас проводят проверки сайтов и по итогам визуального осмотра направляют требования об устранении нарушений, запросы о предоставлении информации.

    Первое, на что обратит внимание инспектор, это наличие политики обработки персональных данных и согласие на сбор данных. Так что эти документы нужно сделать в первую очередь.

Спасибо!

Пожалуйста, подтвердите подписку. Письмо отправлено вам на почту.

Следите за нашими новостями

Только полезные материалы.
Без спама.

+7 499 550-94-94 info@zarlaw.ru
Консультант доступен в будни, 10:00–19:00 по Москве
Заказать звонок