Автор статьи: Людмила Харитонова Управляющий партнёр «Зарцын и партнёры»
Практика применения ст. 13711 КОАП
1 июля 2017 введены в действие изменения ст. 13.11 КОАП, в рамках которых ответственность за нарушение законодательства о персональных данных (ПДн) сильно ужесточили.
Но, как всегда и бывает, бизнес бурно обсуждал новость несколько месяцев, а потом все снова забыли и про большие штрафы, и про необходимость соблюдения закона.
За что штрафы?
Для начала вспомним за что могут оштрафовать.
В ст. 13.11 перечислено семь составов правонарушений:
-
Обработка персональных данных (ПДн) в случаях, не предусмотренных законом, либо когда обработка несовместимая с целями. Это может обойтись в сумму от 30 000 до 50 000 рублей.
-
Обработка без письменного согласия или получение согласия не по форме, установленной в 152-ФЗ, обойдется в сумму от 15 000 до 70 000 рублей.
-
Отсутствие политики обработки ПДн – от 15 000 до 30 000 рублей.
-
Молчание на запрос об уточнении перечня и целей обработки данных субъекта ПДн штрафуется суммой от 20 000 до 40 000 рублей.
-
Игнорирование требования субъекта ПДн об удалении или изменении ПДн карается штрафом от 25 000 до 45 000 рублей.
-
Утечка данных, если это вызвано нарушением правил обработки, оценивается в сумму от 25 000 до 50 000 рублей.
-
И наконец дешевле всего стоит невыполнение предписаний госорганов – от 3000 до 6000 рублей
Штрафовать могут за каждый состав отдельно, а значит, итоговая сумма штрафа может достичь 300 000 рублей.
При этом если вы обрабатываете данные всех пользователей без соответствующего согласия, то штрафовать будут за каждого.
Что в реальности?
Так как с момента изменений прошло уже два года, посмотрим, как статья применялась на практике.
Цели обработки
Закон обязывает обрабатывать данные только в целях, которые обозначены в согласии. Закон также запрещает обработку персональных данных, несовместимых с целями. По сути, если вы требуете слишком много персональных данных – это нарушение.
Так, в одном из решений суд проанализировал ситуации, когда для заключения договора на теплоснабжение с физических лиц требовали данные об ИНН и СНИЛС.
Суд указал, что ГК таких требований не содержит и для оказания гражданам таких услуг ИНН и СНИЛС не нужны, а значит, их сбор и последующая обработка являются излишними ( Решение по делу № 12-71/2018 от 20.12.2018. Железноводский городской суд (Ставропольский край) Решение от 20.12.2018 по делу № 12-71/2018).
Обработка без согласия
Перед началом обработки нужно получить согласие, но в ряде случаев можно обойтись и без него.
Ролик, размещенный в социальной сети, в котором изображен чиновник и названы его персональные данные, не был признан нарушающим нормы закона, так как целью размещения ролика было выявление правонарушения, совершенного должностным лицом (Постановление по делу № 12-22/2018 от 16.05.2018. Суоярвский районный суд (Республика Карелия) Постановление от 16.05.2018 по делу № 12-22/2018).
Утечка ПДн, если это вызвано нарушением правил
Произошла утечка данных, и в компании проведена проверка на предмет соблюдения правил. Выявлены нарушения:
-
отсутствие акта, закрепляющего ответственных за обработку ПДн;
-
в бухгалтерии документы хранились в незапираемых шкафах и в лотках на столе (в том числе заявления на отпуск, справки 2-НДФЛ).
Общество оштрафовано на 25 000 рублей ( Решение по делу № 12-2820/2018 от 27.12.2018. Центральный районный суд г. Волгограда (Волгоградская область) Решение от 27.12.2018 по делу № 12-2820/2018).
Какие нарушения на сайтах встречаются чаще всего
Несмотря на долгую историю применения закона о персональных данных, предприниматели до сих пор некорректно размещают у себя на сайте документы, связанные с персональными данными.
Согласие вроде бы есть, а вроде и нет
Такая ситуация возникает, когда текст о согласии есть, но его самого нет (так как увидеть полный текст нельзя). В таком случае считаем, что согласие не получено и соответственно будет зафиксировано нарушение.
Даю согласие и соглашаюсь с Политикой обработки персональных данных
Нужно понимать, что согласие на обработку персональных данных и Политика обработки персональных данных – это два разных документа и, соответственно, схема их размещения тоже разная.
Когда пользователь предоставляет нам свои данные, он должен дать именно согласие, и подменять его акцептом Политики обработки персональных данных – категорически неверно.
Согласие в каждой форме на каждую конкретную цель
Согласие вы должны получать каждый раз, когда собираете данные, – ведь цель сбора будет различной в зависимости от того, какую форму на сайте заполняет пользователь. Поэтому проверьте, везде ли размещены согласия и соответствуют ли они целям сбора. Например, в форме обратного звонка тоже нужно разместить согласие и целью указать получение информации об услугах, заключение договора с пользователем.
Что нужно проверить на сайте
Вот короткий чек-лист для приведения в порядок вашего сайта
-
Нужно получить согласие на обработку ПДн и указать цели обработки. При составлении формы согласия обязательно стоит свериться с требованиями закона.
-
Использовать ПДн можно исключительно в целях, указанных в согласии.
Если цели меняются, необходимо получить новое согласие. После достижения цели необходимо прекратить обработку и уничтожить данные, если в договоре с субъектом нет других правил, разрешающих более длительное хранение. -
На сайте должна быть размещена «Политика обработки персональных данных». Этот документ закрепляет принципы обработки данных в конкретной компании и должен быть доступен пользователю для просмотра с любой страницы сайта.
-
Необходимо подать уведомление в Роскомнадзор о начале обработки ПДн.
Тут нужно обратить внимание, что закон содержит перечень ситуаций, при которых уведомление можно не подавать. -
При поступлении запроса от субъектов персональных данных о наличии у компании его данных необходимо ответить и ознакомить с имеющимися данными в течение 30 дней с момента поступления запроса.
-
Если после предоставления субъекту персональных данных информации он попросит изменить или удалить данные, это нужно сделать в течение 7 дней.
-
Если пришел запрос от госорганов, на него следует ответить в течение 30 дней.
Нужно понимать, что требования должны соблюдать вообще все, а не только крупные компании. Специалисты Роскомнадзора уже сейчас проводят проверки сайтов и по итогам визуального осмотра направляют требования об устранении нарушений, запросы о предоставлении информации.
Первое, на что обратит внимание инспектор, это наличие политики обработки персональных данных и согласие на сбор данных. Так что эти документы нужно сделать в первую очередь.