Заказать звонок

Спасибо!

Ваше сообщение успешно отправлено!

Юридическое сопровождение
интернет-проектов

Новые штрафы за нарушение законодательства при сборе персональных данных - что делать?

Автор статьи: Людмила Харитонова Управляющий партнёр «Зарцын, Янковский и партнёры»

С 1 июля 2017 вводятся новые правила привлечения к ответственности за нарушение в области персональных данных.

Пожалуй, бизнес как никогда всерьез воспринял эти поправки и стремится привести свою деятельность в соответствие с ними.

Что меняется

Изменения коснулись не самого 152-ФЗ, а статьи 13.11 Кодекса об административных правонарушениях. Сейчас эта статья предусматривает всего одно общее нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), с санкциями от 5 000 до 10 000 рублей для юридических лиц. Но с 1 июля появиться уже семь составов правонарушения:

  1. Обработка персональных данных (ПДн) в случаях, не предусмотренных законом либо обработка несовместимая с целями. Например, если вы получили данные от своего покупателя в целях исполнения договора, а потом данные продали как лиды другой компании. Это может обойтись в сумму от 30 000 до 50 000 рублей.
  2. Обработка без письменного согласия или получение согласия не по форме, установленной в 152-ФЗ обойдется в сумму от 15 000 до 70 000.
  3. Отсутствие политики обработки ПДн будет стоить от 15 000 до 30 000 руб.
  4. Молчание на запрос об уточнении перечня и целей обработки данных субъекта ПДн штрафуется суммой от 20 000 до 40 000 руб.
  5. Игнорирование требования субъекта ПДн об удалении или изменении ПДн карается штрафом от 25 000 до 45 000 руб.
  6. Утечка данных, если это вызвано нарушением правил обработки оценивается в сумму от 25 000 до 50 000 руб.
  7. И наконец дешевле всего стоит невыполнение предписаний гос органов от 3 000 до 6 000 руб.

Причем штрафовать могут за каждый состав отдельно, а значит итоговая сумма штрафа может достичь 300 000 (!!!) рублей.

Что нужно сделать, чтобы избежать штрафов

Любой предприниматель увидев огромные штрафы хочет понять, что же сделать, чтобы их избежать. Ответ казалось бы довольно простой – нужно не допустить тех нарушений, которые предусмотрены в статье 13.11 КОАП.

Вот конкретный перечень правил, которые нужно учесть:

  1. Нужно получить согласие на обработку ПДн и указать цели обработки. При составлении формы согласия обязательно стоит свериться с требованиями закона.
  2. Например, интернет-магазины собирают данные для исполнения договора с покупателем (т.е. продажу и доставку товара), информационных и рекламных рассылок.
    Согласие может размещаться либо в виде отдельного документа рядом с формой на которой собираются данные (в форме заказа товара или форме обратной связи), либо в договоре купли-продажи. Самое главное, чтобы согласие было получено ДО того, как вы соберете данные.
    Неверным будет вариант, когда сначала собираются данные в форме обратной связи, а согласие берется через несколько шагов, например, в момент регистрации.
    Своеобразное подписание согласия на сайте может осуществляться проставлением галочки или совершением иных действий, типа введение кода из смс. Причем доказывать факт получения согласия будет сама компания. Поэтому необходимо хранить log-файлы, подтверждающие получение согласия.


  3. Использовать ПДн можно исключительно в целях, указанных в согласии.
  4. Если цели меняются необходимо получить новое согласие. После достижения цели необходимо прекратить обработку и уничтожить данные, если в договоре с субъектом нет других правил, разрешающих более длительное хранение.

  5. На сайте должна быть размещена «Политика обработки персональных данных». Этот документ закрепляет принципы обработки данные в конкретной компании.
  6. Необходимо подать уведомление в Роскомнадзор о начале обработки ПДН.
  7. Тут нужно обратить внимание, что закон содержит перечень ситуаций, при которых уведомление можно не подавать.

  8. При поступлении запроса от субъектов персональных данных о наличии у компании его данных необходимо ответить и ознакомить с имеющимися данными в течение 30 дней с момента поступления запроса.
  9. Если после предоставления субъекту персональных данных информации он попросить изменить или удалить данные это нужно сделать в течение 7 дней.
  10. Если пришел запрос от гос органов, то на него нужно ответить в течение 30 дней.

Нужно понимать, что требования должны соблюдать вообще все, а не только крупные компании. Специалисты Роскомнадзора уже сейчас проводят проверки сайтов и по итогам визуального осмотра направляют требования об устранении нарушений, запросы о предоставлении информации.

Первое, на что обратит внимание инспектор, это наличие политики обработки персональных данных и согласие на сбор данных. Поэтому эти документы нужно сделать в первую очередь.


Спасибо!

Пожалуйста, подтвердите подписку. Письмо отправлено вам на почту.

Следите за нашими новостями

Только полезные материалы.
Без спама

Сделано в Nowmedia
+7 495 647-48-61 info@zarlaw.ru
Консультант доступен в будни, 10:00–19:00 по Москве
Заказать звонок