Обработка персональных данных на сайте: Новые штрафы с 1 июля 2017 года

sbor_dan_soc-400

Несколько дней остается до вступления в силу поправок в КоАП РФ касающихся штрафов за нарушение положений Федерального закона №152-ФЗ («О защите персональных данных»).
Попробуем разобраться, что такое персональные данные, кого могут привлечь к административной ответственности за нарушение законодательства в этой сфере, какие штрафы придется заплатить, и что делать владельцам сайтов, чтобы избежать наступления неблагоприятных последствий.

С 1 июля 2017 года ужесточаются санкции, предусмотренные КоАП РФ за нарушение требований к cбору, обработке и хранению персональных данных. Законопроект был разработан еще в 2014 году Роскомнадзором (уполномоченный орган по защите прав субъектов персональных данных) на основании своей правоприменительной практики. В пояснительной записке к документу Федеральная служба указала, что фиксирует значительный рост нарушений в области персональных данных, при этом, действующее законодательство не позволяет в полной мере обеспечить эффективную защиту прав и интересов субъектов персональных данных и соблюдение принципа неотвратимости наказания.

Определимся с тем, что следует понимать под персональными данными

Исходя из Федерального закона №152-ФЗ «персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Так как Законом четко не определен перечень сведений, являющихся персональными данными, соответственно, к ним будут отнесены любые данные, позволяющие идентифицировать субъекта, к примеру, контактная почта, ФИО, телефон и пр.

Кого могут привлечь к административной ответственности?

Ответ здесь очень прост – операторов персональных данных. Возвращаясь к вышеуказанному №152-ФЗ — оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Что касается санкций

Предыдущая редакция статьи 13.11 КоАП РФ регламентировала ответственность за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) и в качестве санкции предусматривала:
• для физических лиц – предупреждение или штраф в размере от 300 рублей до 500 рублей;
• для должностных лиц – штраф в размере от 500 рублей до 1 тыс. рублей;
• для юридических лиц – штраф в размере от 5 тыс. рублей до 10 тыс. рублей

Теперь, вышеуказанная статья содержит дифференциацию составов административных правонарушений в области персональных данных и имеет новое название: «Нарушение законодательства Российской Федерации в области персональных данных».
Рассмотрим каждый состав по отдельности:
1. ч.1 ст.13.11 КоАП РФ предусматривает ответственность за незаконную обработку персональных данных, либо за обработку персональных данных, несовместимую с целями сбора персональных данных (за искл. части 2 указанной статьи, если эти действия не содержат уголовно наказуемого деяния) и влечет за собой:
• для физических лиц – предупреждение или штраф в размере от 1 тыс. рублей до 3 тыс. рублей;
• для должностных лиц – штраф в размере от 5 тыс. рублей до 10 тыс. рублей;
• для юридических лиц – штраф в размере от 30 тыс. рублей до 50 тыс. рублей.

2. ч.2 ст.13.11 КоАП РФ предусматривает ответственность за обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо за обработку персональных данных с нарушением установленных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных и влечет за собой:
• для физических лиц – штраф в размере от 3 тыс. рублей до 5 тыс. рублей;
• для должностных лиц – штраф в размере от 10 тыс. рублей до 20 тыс. рублей;
• для юридических лиц – штраф в размере от 15 тыс. рублей до 75 тыс. рублей.

3. ч.3 ст.13.11 КоАП РФ предусматривает ответственность за невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных и влечет за собой:
• для физических лиц – предупреждение или штраф в размере от 700 рублей до 1,5 тыс. рублей;
• для должностных лиц — от 3 тыс. рублей до 6 тыс. рублей;
• для индивидуальных предпринимателей — от 5 тыс. рублей до 10 тыс. рублей;
• для юридических лиц — от 15 тыс. рублей до 30 тыс. рублей.

4. ч.4 ст.13.11 КоАП РФ предусматривает ответственность за невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных и влечет за собой:
• для физических лиц — предупреждение или штраф в размере от 1 тыс. рублей до 2 тыс. рублей;
• для должностных лиц — от 4 тыс. рублей до 6 тыс. рублей;
• для индивидуальных предпринимателей — от 10 тыс. рублей до 15 тыс. рублей;
• для юридических лиц — от 20 тыс. рублей до 40 тыс. рублей.

5. ч.5 ст.13.11 КоАП РФ предусматривает ответственность за невыполнение оператором в сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки и влечет за собой:
• для физических лиц — предупреждение или штраф в размере от 1 тыс. рублей до 2 тыс. рублей;
• для должностных лиц — от 4 тыс. рублей до 10 тыс. рублей;
• для индивидуальных предпринимателей — от 10 тыс. рублей до 20 тыс. рублей;
• для юридических лиц — от 25 тыс. рублей до 45 тыс. рублей.

6. ч.6 ст.13.11 КоАП РФ предусматривает ответственность за невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния и влечет за собой:
• для физических лиц — штраф в размере от 700 рублей до 2 тыс. рублей;
• для должностных лиц — от 4 тыс. рублей до 10 тыс. рублей;
• для индивидуальных предпринимателей — от 10 тыс. рублей до 20 тыс. рублей;
• для юридических лиц — от 25 тыс. рублей до 50 тыс. рублей.

7. ч.7 ст.13.11 КоАП РФ предусматривает ответственность за невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных и влечет за собой:
• для должностных лиц — предупреждение штраф в размере от 3 тыс. рублей до 6 тыс. рублей.
Кроме всего прочего, полномочия по составлению протоколов об административных правонарушений, предусмотренных ст.13.11 КОАП РФ передали Роскомнадзору, ранее эту функцию выполняла прокуратура.
koap

Владельцам сайтов

Тот минимум, который необходимо успеть сделать до 1 июля:
1. В соответствии со ст. 22 Федерального закона №152-ФЗ («О защите персональных данных») необходимо уведомить Роскомнадзор о том, что Вы являетесь оператором персональных данных. Есть исключения, предусмотренные ч.2 ст. 22 №152-ФЗ, когда уведомлять гос. орган нет необходимости, в частности, когда персональные данные обрабатываются в соответствии с трудовым законодательством или обрабатываются только ФИО субъекта.

2. Чтобы избежать административного наказания, предусмотренного ч.2 ст.13.11 КоАП РФ под каждой формой обратной связи на сайте необходимо разместить текст «нажимая на кнопку Вы даете согласие на обработку своих персональных данных» и ссылку на документ – как правило, это соглашение на обработку и использование персональных данных или пользовательское соглашение.

3. В открытом доступе на сайте должен храниться документ, определяющий политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных. Административная ответственность за невыполнение данного пункта предусмотрена ч.3 ст.13.11 КоАП РФ.
Тут вы можете посмотреть пример, на основе нашего документа.

Немного судебной практики

Следует отметить, что судебная практика по статье 13.11 КоАП РФ достаточно обширна.
Например, штрафуют за отсутствие документов, определяющих политику компании.
В частности, постановление мирового судьи судебного участка № 1 Ленинского судебного района г. Перми по делу № 5-77/2016 от 24 февраля 2016 года. Суд взыскал с клиники штраф, в размере 5 тыс. рублей, в связи с тем, что последняя собирала и обрабатывала персональные данные с помощью формы обратной связи на сайте (для вызова врача на дом) не обеспечив доступа к документу, определяющему политику в отношении обработки персональных данных.
* С 1 июля 2017 г. минимальный штраф за такое правонарушение для юридических лиц составит 15 тысяч рублей.

Кому-то повезло больше, суд назначил наказание в виде предупреждения.
Постановление Мирового судьи судебного участка № 1 Октябрьского судебного района г. Екатеринбурга по делу № 5-115/2017 от 31 мая 2017 года. Индивидуальный предприниматель, в рамках своей деятельности (услуги по страхованию) создал себе сайт, после мониторинга которого Управление Роскомнадзора по УрФО выявило отсутствие документов, определяющих политику компании. Суд счел возможным назначить наказание в виде предупреждения.
* С 1 июля 2017 г. для ИП и юридических лиц отменена санкция в виде «предупреждения», а минимальный штраф за такое правонарушение для ИП составит 5 тыс. рублей.

Как итог

Внушительные штрафы, дифференциация и увеличение составов административных правонарушений, расширение полномочий Роскомнадзора, усиление государственного контроля в этой области – все это говорит о том, что Россия встала на путь сближения со странами Европы в сфере защиты персональных данных. Еще в 2008 году на конференции «Инфофорум» начальник Управления Роскомнадзора по защите прав субъектов персональных данных Л.Б. Васильева предложила разработать международные нормативные акты, которые бы содержали унифицированные требования к защите персональных данных, в том числе требования конфиденциальности.
И, напоследок, тем, кто подпадает под действие Федерального закона №152-ФЗ как оператор, остается пожелать терпения — разработка и внедрение внутренней документации в этой области достаточно кропотливый и трудоемкий процесс. С другой стороны – лучше поздно, чем никогда.

Мария Скрипова, юрист Rush Agency

Генеральный директор Rush Agency, идеолог и основатель сервиса www.rush-analytics.ru

Об этом блоге

Наше агентство специализируется на привлечении поискового трафика и увеличении продаж для наших клиентов. Мы работаем с сайтами самого различного типа.

Необходимо SEO?

Мы предлагаем честное SEO с оплатой за результат и обеспечиваем взрывной рост проектов наших клиентов.Не даром название агентства - Rush Agency. Расскажите ниже о вашем проекте и мы устроим Rush вашему бизнесу!

  • Прочитал уже с десяток подобных статей, но так и не нашел ответа на свой вопрос. Что в связи с этим законом делать владельцам обычных блогов, например на WordPress. Даже если у сайта нет формы подписки и обратной связи, то есть например форма комментариев, где есть поля Имя и email. Будет ли достаточным отключение поля email, чтобы блог не считался оператором по обработке персональных данных?

    • Мария Скрипова

      Да,будет достаточно.

      С помощью одного только «имени» невозможно идентифицировать субъекта персональных данных, что требует определение персональных данных по смыслу 152-ФЗ.

      В силу того,что Законом не установлен исчерпывающий перечень данных,являющихся персональными данными,то в каждом конкретном случае будет разбираться суд,что отнести,а что нет. Но суть остаётся та же,если по имени и контактной почте определить физическое лицо ещё получится,то сделать это только по имени не представляется возможным.

  • Nikolaos

    А если на сайте стоит только система комментариев от сервиса как у вас или от соцсетей типа VK/FB то нужна ли политика? Ведь в первом случае получается собирает Disqus, а во втором соцсеть.

Другие посты нашего блога

Смотреть все посты