Автор статьи: Людмила Харитонова Управляющий партнёр «Зарцын и партнёры»
Практика применения ст. 13711 КОАП
1 июля 2017 введены в действие изменения ст. 13.11 КОАП, в рамках которых ответственность за нарушение законодательства о персональных данных (ПДн) сильно ужесточили.
Но, как всегда и бывает, бизнес бурно обсуждал новость несколько месяцев, а потом все снова забыли и про большие штрафы, и про необходимость соблюдения закона.
За что штрафы?
Для начала вспомним за что могут оштрафовать.
В ст. 13.11 перечислено семь составов правонарушений:
-
Обработка персональных данных (ПДн) в случаях, не предусмотренных законом, либо когда обработка несовместимая с целями. Это может обойтись в сумму от 30 000 до 50 000 рублей.
-
Обработка без письменного согласия или получение согласия не по форме, установленной в 152-ФЗ, обойдется в сумму от 15 000 до 70 000 рублей.
-
Отсутствие политики обработки ПДн – от 15 000 до 30 000 рублей.
-
Молчание на запрос об уточнении перечня и целей обработки данных субъекта ПДн штрафуется суммой от 20 000 до 40 000 рублей.
-
Игнорирование требования субъекта ПДн об удалении или изменении ПДн карается штрафом от 25 000 до 45 000 рублей.
-
Утечка данных, если это вызвано нарушением правил обработки, оценивается в сумму от 25 000 до 50 000 рублей.
-
И наконец дешевле всего стоит невыполнение предписаний госорганов – от 3000 до 6000 рублей
Штрафовать могут за каждый состав отдельно, а значит, итоговая сумма штрафа может достичь 300 000 рублей.
При этом если вы обрабатываете данные всех пользователей без соответствующего согласия, то штрафовать будут за каждого.
Что в реальности?
Так как с момента изменений прошло уже два года, посмотрим, как статья применялась на практике.
Цели обработки
Закон обязывает обрабатывать данные только в целях, которые обозначены в согласии. Закон также запрещает обработку персональных данных, несовместимых с целями. По сути, если вы требуете слишком много персональных данных – это нарушение.
Так, в одном из решений суд проанализировал ситуации, когда для заключения договора на теплоснабжение с физических лиц требовали данные об ИНН и СНИЛС.
Суд указал, что ГК таких требований не содержит и для оказания гражданам таких услуг ИНН и СНИЛС не нужны, а значит, их сбор и последующая обработка являются излишними ( Решение по делу № 12-71/2018 от 20.12.2018. Железноводский городской суд (Ставропольский край) Решение от 20.12.2018 по делу № 12-71/2018).
Обработка без согласия
Перед началом обработки нужно получить согласие, но в ряде случаев можно обойтись и без него.
Ролик, размещенный в социальной сети, в котором изображен чиновник и названы его персональные данные, не был признан нарушающим нормы закона, так как целью размещения ролика было выявление правонарушения, совершенного должностным лицом (Постановление по делу № 12-22/2018 от 16.05.2018. Суоярвский районный суд (Республика Карелия) Постановление от 16.05.2018 по делу № 12-22/2018).
Утечка ПДн, если это вызвано нарушением правил
Произошла утечка данных, и в компании проведена проверка на предмет соблюдения правил. Выявлены нарушения:
-
отсутствие акта, закрепляющего ответственных за обработку ПДн;
-
в бухгалтерии документы хранились в незапираемых шкафах и в лотках на столе (в том числе заявления на отпуск, справки 2-НДФЛ).
Общество оштрафовано на 25 000 рублей ( Решение по делу № 12-2820/2018 от 27.12.2018. Центральный районный суд г. Волгограда (Волгоградская область) Решение от 27.12.2018 по делу № 12-2820/2018).
Какие нарушения на сайтах встречаются чаще всего
Несмотря на долгую историю применения закона о персональных данных, предприниматели до сих пор некорректно размещают у себя на сайте документы, связанные с персональными данными.
Согласие вроде бы есть, а вроде и нет
Такая ситуация возникает, когда текст о согласии есть, но его самого нет (так как увидеть полный текст нельзя). В таком случае считаем, что согласие не получено и соответственно будет зафиксировано нарушение.
Даю согласие и соглашаюсь с Политикой обработки персональных данных
Нужно понимать, что согласие на обработку персональных данных и Политика обработки персональных данных – это два разных документа и, соответственно, схема их размещения тоже разная.
Когда пользователь предоставляет нам свои данные, он должен дать именно согласие, и подменять его акцептом Политики обработки персональных данных – категорически неверно.
Согласие в каждой форме на каждую конкретную цель
Согласие вы должны получать каждый раз, когда собираете данные, – ведь цель сбора будет различной в зависимости от того, какую форму на сайте заполняет пользователь. Поэтому проверьте, везде ли размещены согласия и соответствуют ли они целям сбора. Например, в форме обратного звонка тоже нужно разместить согласие и целью указать получение информации об услугах, заключение договора с пользователем.
Что нужно проверить на сайте
Вот короткий чек-лист для приведения в порядок вашего сайта
-
Нужно получить согласие на обработку ПДн и указать цели обработки. При составлении формы согласия обязательно стоит свериться с требованиями закона.
-
Использовать ПДн можно исключительно в целях, указанных в согласии.
Если цели меняются, необходимо получить новое согласие. После достижения цели необходимо прекратить обработку и уничтожить данные, если в договоре с субъектом нет других правил, разрешающих более длительное хранение. -
На сайте должна быть размещена «Политика обработки персональных данных». Этот документ закрепляет принципы обработки данных в конкретной компании и должен быть доступен пользователю для просмотра с любой страницы сайта.
-
Необходимо подать уведомление в Роскомнадзор о начале обработки ПДн.
Тут нужно обратить внимание, что закон содержит перечень ситуаций, при которых уведомление можно не подавать. -
При поступлении запроса от субъектов персональных данных о наличии у компании его данных необходимо ответить и ознакомить с имеющимися данными в течение 30 дней с момента поступления запроса.
-
Если после предоставления субъекту персональных данных информации он попросит изменить или удалить данные, это нужно сделать в течение 7 дней.
-
Если пришел запрос от госорганов, на него следует ответить в течение 30 дней.
Нужно понимать, что требования должны соблюдать вообще все, а не только крупные компании. Специалисты Роскомнадзора уже сейчас проводят проверки сайтов и по итогам визуального осмотра направляют требования об устранении нарушений, запросы о предоставлении информации.
Первое, на что обратит внимание инспектор, это наличие политики обработки персональных данных и согласие на сбор данных. Так что эти документы нужно сделать в первую очередь.
'%3E%3Cpath d='M32 0C23.5131 0 15.3737 3.37142 9.37258 9.37258C3.37142 15.3737 0 23.5131 0 32C0 40.4869 3.37142 48.6263 9.37258 54.6274C15.3737 60.6286 23.5131 64 32 64C40.4869 64 48.6263 60.6286 54.6274 54.6274C60.6286 48.6263 64 40.4869 64 32C64 23.5131 60.6286 15.3737 54.6274 9.37258C48.6263 3.37142 40.4869 0 32 0Z' fill='%230096D1'/%3E%3Cpath d='M50.8997 22.5962C50.9726 22.3647 51.0074 22.15 50.9979 21.9583C50.9742 21.4033 50.5799 21 49.6521 21H45.507C44.4604 21 43.9775 21.6133 43.6957 22.2282C43.6957 22.2282 41.1117 27.3787 38.1335 30.775C37.1677 31.7579 36.6769 31.7333 36.1544 31.7333C35.8741 31.7333 35.1664 31.4052 35.1664 30.5051V22.5548C35.1664 21.4907 34.8925 21 34.0074 21H26.6466C26.0022 21 25.6665 21.4907 25.6665 21.9829C25.6665 23.0056 27.0883 23.2509 27.2498 26.1167V31.672C27.2498 33.0213 27.0076 33.2667 26.4851 33.2667C25.0759 33.2667 22.302 28.6667 20.4447 22.6376C20.0426 21.4508 19.6404 21 18.5938 21H14.4091C13.2011 21 13 21.5735 13 22.1868C13 23.2923 13.95 29.2693 19.1353 36.1417C22.8957 41.125 27.8499 44 32.2357 44C34.8925 44 35.1648 43.3453 35.1648 42.3225V37.7655C35.1664 36.5373 35.4561 36.3333 36.3016 36.3333C36.9048 36.3333 38.1351 36.7167 40.51 39.4C43.2492 42.4943 43.7463 44 45.317 44H49.4621C50.4247 44 50.9773 43.609 50.9995 42.85C51.0042 42.6568 50.9757 42.4406 50.9108 42.1999C50.6037 41.3167 49.1945 39.1577 47.437 37.1C46.4633 35.9607 45.5022 34.8322 45.0605 34.2189C44.7644 33.8187 44.652 33.5365 44.6662 33.2667C44.6805 32.983 44.8325 32.7131 45.0605 32.3359C45.0193 32.3359 50.3773 25.0511 50.8997 22.5962Z' fill='white'/%3E%3C/g%3E%3Cdefs%3E%3CclipPath id='clip0_8_203'%3E%3Crect width='64' height='64' fill='white'/%3E%3C/clipPath%3E%3C/defs%3E%3C/svg%3E%0A)
'%3E%3Cpath d='M32 0C14.328 0 0 14.328 0 32C0 49.672 14.328 64 32 64C49.672 64 64 49.672 64 32C64 14.328 49.672 0 32 0ZM47.7173 21.9227L42.464 46.6693C42.0773 48.424 41.032 48.8507 39.5733 48.024L31.5733 42.1307L27.7173 45.848C27.344 46.328 26.7653 46.6347 26.1173 46.6347C26.112 46.6347 26.1093 46.6347 26.104 46.6347L26.672 38.4907L41.4987 25.0987C42.1387 24.5307 41.3547 24.208 40.504 24.776L22.1867 36.312L14.2933 33.848C12.5867 33.3067 12.5387 32.1413 14.6533 31.304L45.496 19.416C46.9307 18.8933 48.1787 19.7573 47.7147 21.9253L47.7173 21.9227Z' fill='%230096D1'/%3E%3C/g%3E%3Cdefs%3E%3CclipPath id='clip0_8_214'%3E%3Crect width='64' height='64' fill='white'/%3E%3C/clipPath%3E%3C/defs%3E%3C/svg%3E%0A)