Изменения штрафов с 1 июля. Какой штраф ждет компанию за нарушение закона о персональных данных

Татьяна Гежа,
главный эксперт-консультант ООО «ТЛС-ПРАВО»

С 01.07.2017 существенно повысилась ответственность за нарушения при обработке персональных данных. Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» внес изменения в статью 13.11 КоАП РФ. Новая редакция содержит дифференцированную шкалу штрафных санкций, вводится семь новых составов правонарушений. К ответственности будут привлекаться не только организации, но и должностные лица. Помимо тех организаций, которые обрабатывают персональные данные физических лиц - клиентов, данные изменения безусловно касаются и всех работодателей, которые обрабатывают персональные данные своих работников. Мы рассмотрим некоторые ситуации из практики, за которые работодателя могут привлечь к ответственности.

Персональные данные работников

В соответствии со ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), т. е. это любая информация о человеке, по которой его можно идентифицировать. В том числе: Ф.И.О., год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, доходы и другая информация.
Для того чтобы идентифицировать человека, порой достаточно иметь фамилию, имя и отчество и какую-нибудь дополнительную информацию, например, Ф.И.О. и номер телефона. В этом случае возможно идентифицировать личность.
Если же, например, имеется только электронный адрес и телефон, то идентифицировать личность вряд ли получится.
Чаще всего персональные данные, с которыми имеют дело кадровики, бухгалтеры, - это фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, номер телефона, семейное положение, образование, профессия.

Нужно ли брать согласие на обработку персональных данных при приеме на работу?

При заключении трудового договора в соответствии со ст. 65 ТК РФ работодатель получает от работника большой перечень персональных данных. К ним, в частности, относятся: данные документа, удостоверяющего личность, СНИЛС, трудовая книжка, данные об образовании, документы воинского учета и т. д. Все это персональные данные работника.
Так как работник выступает стороной трудового договора, получать согласие на обработку его персональных данных при заключении трудового договора не нужно (п. 5 ст. 6 Закона от 27.07.2006 № 152-ФЗ «О персональных данных».) Также на это указывает Роскомнадзор в своих Разъяснениях «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».

Имеет ли право работодатель, получив персональные данные работника при заключении трудового договора, хранить в личном деле копии паспортов, военных билетов, дипломов и т. д.?

Если кадровая служба хранит в личных делах сотрудников копии паспорта, военного билета, Роскомнадзор при проведении проверки, может привлечь работодателя к ответственности в соответствии с ч. 1 ст. 13.11 КоАП РФ за обработку избыточных персональных данных работника в случаях, не предусмотренных законодательством РФ в области персональных данных.
За это на юридическое лицо может быть возложен штраф в размере от 30 000 до 50 000 руб., а на должностное лицо - от 5 000 до 10 000 руб.
Данный вывод подтверждается судебной практикой (см. Постановление ФАС Северо-Кавказского округа от 21.04.2014 по делу № А53-13327/2013).
В данном Постановлении, в частности указано: «…суд апелляционной инстанции сделал правильный вывод о том, что для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом документа, удостоверяющего личность, в котором содержатся все необходимые сведения.
Хранение копий паспорта, страниц военного билета, свидетельства о заключении брака, свидетельства о рождении ребенка на рабочем месте превышает объем обрабатываемых персональных данных работника и действующим законодательством не предусмотрено, это нарушает права и свободы гражданина, снижает уровень прав и гарантий работника,
противоречит федеральному законодательству.
При проведении проверки… сделан правильный вывод о том, что «организация <…> производит обработку избыточных персональных данных, по сравнению с теми, которые определены к заявленным целям их обработки, что является нарушением ч. 5 ст. 5 Закона № 152-ФЗ».

Обязана ли организация, арендующая офис в здании, в котором действует пропускной режим, направляя сторонней организации персональные данные работников в целях выдачи им пропусков на проход в здание, получать от них разрешение на передачу таких данных третьим лицам?

В соответствии со ст. 88 ТК РФ работодатель не должен сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами.
В своем Письме от 13.05.2011 № 1302-6-1 Роструд разъясняет, что, если обработкой персональных данных работников занимается организация, не являющаяся стороной трудовых отношений, передача персональных данных работников данной организации для последующей обработки должна осуществляться с соблюдением ограничений, установленных ст. 88 ТК РФ.
Это означает, что для оформления пропусков организация обязана получать от работников разрешение на передачу их персональных данных третьему лицу - сторонней организации.
В противном случае к организации могут применить ч. 2 ст. 13.11 КоАП РФ: обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных <…> влечет наложение административного штрафа <…> на должностных лиц - от 10 000 до 20 000 руб.; на юридических лиц - от 15 000 до 75 000 руб.

Оформление личной карточки работника

При приеме на работу работодатель обязан оформить на работника личную карточку по форме Т-2. Необходимо ли для ее оформления брать согласие с родственников работника на обработку их персональных данных?
В соответствии с Разъяснениями Роскомнадзора обработка персональных данных близких родственников работника в объеме, предусмотренном унифицированной формой № Т-2, утвержденной Постановлением Госкомстата РФ от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», либо в случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) не требуется.
В иных случаях получение согласия близких родственников работника является обязательным условием обработки их персональных данных, иначе также возможно привлечение к ответственности в соответствии с ч. 2 ст. 13.11 КоАП РФ.

Кадровый и бухгалтерский учет осуществляется сторонней организацией. Нужно ли брать согласие от работников на обработку их персональных данных?

В соответствии с Разъяснениями Роскомнадзора при привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Федерального закона «О персональных данных», в том числе получить согласие работников на передачу их персональных данных. В противном случае возможно привлечение к ответственности работодателя в соответствии с ч. 2 ст. 13.11 КоАП РФ.

Что необходимо указать в согласии на обработку персональных данных?

В соответствии с ч. 2 ст. 13.11 КоАП РФ работодателя могут привлечь к ответственности за обработку персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных.
Согласие сотрудника на обработку персональных данных должно быть оформлено письменно. Работодателю имеет смысл разработать и утвердить в качестве приложения к положению о персональных работников бланк согласия работника на обработку и передачу его персональных данных.
Требования к содержанию письменного согласия установлены ч. 4 ст. 9 Закона № 152-ФЗ «О персональных данных».

В согласии нужно указать:
Ф.И.О., адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе;
при получении согласия от представителя работника - его Ф.И.О., адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя;
наименование или Ф.И.О. и адрес работодателя;
цель обработки персональных данных;
перечень персональных данных, которые подлежат обработке;
Ф.И.О. и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации;
перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки;
срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия;
подпись работника.

Нужно ли разрабатывать положение о персональных данных работников?

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов.
Работодатель должен определить политику организации в отношении обработки персональных данных, а также издать локальный акт, в котором будет установлен порядок обработки, хранения и защиты персональных данных работников (пп. 2 п. 1 ст. 18 Закона № 152-ФЗ «О персональных данных»).
Это означает, что работодатель должен издать локальный нормативный акт, в котором он пропишет весь порядок, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты.
С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под роспись.
Необходимость утверждения подобного документа подтверждается судебной практикой (см., например, Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06).

Примерная структура положения может быть такой:

1) «Общие положения» - в данном разделе следует указать, с какой целью принимается данное Положение и какие вопросы оно регулирует;
2) «Основные понятия. Состав персональных данных работников» - здесь следует указать, какие документы в организации содержат персональные данные;
3) «Обработка персональных данных» - в этом разделе следует указать, какие условия должны быть соблюдены при обработке персональных данных работника;
4) «Передача персональных данных» - здесь следует прописать порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам;
5) «Доступ к персональным данным» - в данном разделе должна содержаться информация о порядке доступа к персональным данным работников. Доступ делится на внутренний (предоставление персональных данных отдельным работникам организации) и внешний (передача персональных данных представителям других организаций и государственных органов);
6) «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных» - в данном разделе нужно указать, кто в организации несет ответственность за нарушение правил хранения и использования персональных данных.
Отсутствие разработанного в организации порядка хранения и использования персональных данных работников расценивается как нарушение требований ст. 87 ТК РФ и, соответственно, образует состав административного правонарушения, предусмотренного ст. 5.27 КоАП РФ. (см., например, Решение Верховного суда Республики Карелия от 11.04.2014 по делу № 21-153/2014).

Здравствуйте, дорогой коллега!

Если у вас есть сайт, то с 1-го июля вы можете попасть на штрафы до 300000 руб. просто за то, что не разметили нужную информацию.

В феврале 2017 года были внесены поправки в Федеральный закон 152 по поводу нарушений закона о персональных данных.

Поправки вступают в силу 1 июля 2017 года и коснутся всех, кто обрабатывает и хранит на сайте любые персональные данные.

Являетесь ли вы оператором персональных данных?

Являетесь, если используете следующие инструменты:

• обратная связь (форма обратной связи, заказ обратного звонка, форма любой заявки),
• пользователи (регистрация, авторизация, данные соц.сетей),
• продажи (данные для доставки и связи с клиентом),
• е-маил маркетинг (подписка на новости, рассылку, на лидмагнит).

Персональные данные - это любая информация о пользователе, по которой его можно идентифицировать.

Например, по имени и логину понять что за человек нельзя. А вот по логину и е-маилу уже можно. Также можно определить пользователя по установленному пикселю ретаргетинга на сайте.

Поэтому вы являетесь оператором персональных данных, если пользователи на вашем сайте оставляют в любом сочетании следующие данные:

• е-маил
• телефон
• адрес
• образование, семейное положение, уровень доходов,
• cookie
• данные об IP адресе и местоположении

Что делать с сайтом?

1. Хостинг и база данных должны располагаться на территории России
   По хранению персональных данных в ФЗ 152 не все прозрачно и понятно, поэтому, чтобы не было проблем лучше руководствоваться требованием ФЗ-242 и хранить данные на территории РФ.
2. Согласие на обработку персональных данных
   Под каждой формой разместить текст "Нажимая на кнопку, вы даете согласие на обработку своих персональных данных" и ссылка на документ.
3. Разместить в футере ссылку на политику работы с персональными данными
   Необходимо подготовить документы по работе с персональными данными (по закону эти документы можно объединить в один).
4. Зарегистрироваться в Роскомнадзоре
   Ссылка на регистрацию http://pd.rkn.gov.ru/operators-registry/notification/form/ .
5. Разместить на сайте всплывающую информацию о сборе cookies.

Кроме этого нужно:

1. Сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали
2. Удалять по первому требованию данные, которые используются для рассылки
3. Подписать с сотрудниками обязательства о неразглашении персональных данных
4. Защищать сайт и базу данных от взлома и утечки

Зачем нужна регистрация в Роскомнадзоре?

По закону операторы персональных данных должны уведомить Роскомнадзор, причем сделать это нужно до начала обработки данных или хотя бы до 1 июля 2017 г.

Уведомление можно не подавать если:

1. Обрабатываются только данные сотрудников.
2. Персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более распространяться.
3. Человек сам опубликовал эти данные в общем доступе.
4. У вас есть только ФИО клиента.

Штрафы

Штраф не зависит от вида нарушения. Для ИП или директора 1000 руб., для юр.лица - 10000 руб.

Выпиской штрафов занимается прокуратура. Процедура длительная, сумма не высокая, поэтому на этот счет не было особых переживаний.

7 видов нарушений, общий штраф до 295000 руб.

• Нет политики конфиденциальности - штраф 10 тыс.руб. для ИП, 30 тыс.руб. для юр.лица.
• Нет согласия на обработку персональных данных клиента магазина или подписчика на информационный курс - штраф 20 тыс.руб. для ИП, 75 тыс.руб. для юр.лица.
• В форме обратной связи нет ссылки на обработку персональных данных, то штраф для юр.лица 50 тыс.руб.
• За отказ в уточнении или удалении персональных данных штраф 20 тыс.руб. для ИП и 45 тыс.руб. для юр.лица.

Выпиской штрафов занимается Роскомнадзор, решение принимается быстро.

Перед наложением штрафа Роскомнадзор присылает уведомление о нарушении и требование предоставить документы.

Будут ли штрафовать на самом деле?

Как говорится, время покажет. Но на данный момент в Тамбовоской области и в Астрахани прокуратура идет просто по списку сайтов и штрафует за формы обратной связи.

Может быть им делать больше нечего, может нагнетают страха перед введением закона. Но так или иначе, лучше подготовиться.

На портале правовой информации размещен подписанный Президентом РФ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», устанавливающий новые размеры штрафов за нарушение законодательства Российской Федерации в области персональных данных, которые вступят в силу с 1 июля 2017 года .

Положения Федерального закона уточняют основания для применения мер административной ответственности за нарушение законодательства Российской Федерации в области персональных данных с учётом изменений, внесённых в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Изменения вносятся в основном в статью 13.11, а также в статьи 28.3 и 28.4 КоАП РФ.

Итак, что же изменится в области персональных данных с 1 июля 2017 года. Новая редакция статьи 13.11 содержит теперь семь конкретных составов правонарушений и предусматривает соответствующие им штрафы с самым высоким из них – 75 тысяч рублей (для юридических лиц). В отличие от прошлой редакции ст.13.11, новая редакция статьи четко устанавливает случаи, за которые оператор ПДн может понести наказание. Например, по ст.13.11 можно было наказать за нарушение ФЗ №242, с новой редакцией сделать это будет невозможно, так же как и сложно будет наказать за отсутствие уведомления Роскомнадзора.

Тексты статьи 13.11 коротко представлены на рисунке ниже. Более развернутое описание — можно скачать в виде таблицы . А постатейный разбор приведен в статье.

Напомним, что изменения в ст.13.11 готовились еще с декабря 2014 года, но работа над ними была надолго заморожена законодателями. Самым существенным моментом ранней версии этого законопроекта был относительно большой (до 300 000 рублей) штраф за неправомерную обработку персональных данных специальных категорий, но в принятой версии этот текст был убран:

Обработка специальных категорий персональных данных , касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости в случаях, не предусмотренных законодательством Российской Федерации о персональных данных,
— влечет наложение административного штрафа на граждан от трех тысяч до пяти тысяч рублей; на должностных лиц — от десяти тысяч до двадцати пяти тысяч рублей; на индивидуальных предпринимателей — от пятидесяти тысяч до ста тысяч рублей; на юридических лиц — от ста пятидесяти тысяч до трехсот тысяч рублей .

Какие основные последствия принятия поправок? Их несколько:

1. В связи с тем, что формулировка ст.13.11 стала более конкретна, многие эксперты выражают обеспокоенность ( , ), что схема назначения взыскания может измениться принципиально. Если по текущей редакции наказание могло быть одно за «нарушение установленного законом порядка…» , по совокупности, сколько бы нарушений найдено не было, то новая формулировка ст.13.11 поменялась и она просто перечисляет семь составов правонарушений, за которые возможно составление отдельного протокола и назначение отдельного штрафа. Видимо, стоит ожидать увеличения общей суммы штрафа при проверке.
2. Протоколы об административных правонарушениях, квалифицируемых по новой редакции статьи 13.11, будут после 1 июля составлять должностные лица Роскомнадзора и его территориальных управлений, а не прокуроры, как сейчас. Срок привлечения к ответственности остается как и раньше – 3 месяца, но процедура привлечения к ответственности существенно упростилась: цепочка «территориальное управление Роскомнадзора» — «Прокуратура» — «Суд» сократилась, материалы будут двигаться быстрее и штрафов, скорее всего, станет больше.
3. Не за все ранее квалифицируемые по ст.13.11 нарушения могут быть привлечены операторы в соответствии с новой редакцией: данная статья не предусматривает, например, ответственности за невыполнение ФЗ № 242 о локализации баз персональных данных.

С 1 июля 2017 года усилена административная ответственность за нарушение законодательства в области персональных данных и их обработку.

ВНИМАНИЕ!

В настоящее время проверочные действия в Интернет госструктурами ведутся очень активно, штрафы значительные и исчисляются суммарно по каждому нарушению.

Внимательно изучите данную статью или воспользуйтесь нашими услугами по проведению всех необходимых мероприятий.

Федеральный закон от 07.02.2017 N 13-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"

С этой целью новой редакцией статьи 13.11 КоАП РФ расширен перечень составов правонарушений, а также увеличены размеры штрафов.

Так, в частности, установлена административная ответственность за:

Обработку персональных данных в случаях, не предусмотренных законодательством в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния (повлечет предупреждение или наложение штрафа на граждан в размере от 1000 рублей до 3000 рублей, на должностных лиц - от 5000 рублей до 10000 рублей, на юридических лиц - от 30000 рублей до 50000 рублей);

Обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством, если эти действия не содержат уголовно наказуемого деяния, либо обработку персональных данных с нарушением установленных законодательством в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных;

Невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных;

Невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.

Составление протоколов по административным делам данной категории отнесено к компетенции должностных лиц Роскомнадзора (ранее дела данной категории возбуждались прокурором).

В прежней редакции статьи 13.11 КоАП РФ была установлена ответственность лишь за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), которая предусматривала предупреждение или наложение штрафа на граждан в размере от 300 рублей до 500 рублей, на должностных лиц - от 500 рублей до 1000 рублей, на юридических лиц - от 5000 рублей до 10000 рублей.

Как соблюдать закон о персональных данных 2017 года

Вниманию сайтовладельцев! С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей (за одно обнаруженное нарушение).

У вас на сайте есть контактная форма?

Значит, скорее всего это касается и вас. Прокуратуры уже штрафуют компании и суды их поддерживают. Помимо штрафов в пользу государства за нарушение правил обработки персональных данных может быть также взыскана компенсация морального вреда и определена иная ответственность.

Правила безопасности при работе с персональными данными

В феврале 2017 года внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных, которые вступят в силу 1 июля. Нововведения коснутся всех, кто получает, собирает, обрабатывает или хранит персональные данные.

Штрафы увеличены в десятки раз и разделены по видам нарушений. Так, если на сайте не размещена политика конфиденциальности, то штраф для ИП составит 10 тысяч рублей, а для компании — 30 тысяч. До 75 тысяч рублей составит штраф для юрлица, если посредством сайта обрабатываются персональные данные клиента интернет-магазина или подписчика на информационный ресурс без его согласия (директор компании или ИП должен будет заплатить до 20 тысяч).

И т.д. Если будет зафиксировано несколько нарушений, штрафов будет тоже несколько.

Что делать? Срочно привести сайты в порядок! Проверки уже начались

Сейчас протоколы о нарушениях имеет право выписывать только прокуратура, и размер штрафа вне зависимости от вида нарушения составляет для юрлица 10 тысяч рублей, а для ИП или директора — 1000 рублей. С 1 июля уже в соответствии с более высокими ставками и, по всей видимости более рьяно, выписывать протоколы будет Роскомнадзор.

Как узнать, являетесь ли вы тем самым оператором персональных данных?

Персональные данные согласно Федеральному закону «О персональных данных» — это любые данные о человеке, по которым его можно идентифицировать. При этом в законе не содержится перечня типов таких данных, поэтому приходится исходить из общей логики закона и практики, и «дуть на воду». К примеру, по имени пользователя или логину нельзя понять, что это за человек, то по имени и телефону или ФИО и электронной почте уже можно некоторым образом идентифицировать человека, а значит получение подобного сочетания уже может определяться как сбор и хранение персональных данных.

Итак, скорее всего, вы уже являетесь оператором персональных данных, если каким-то образом получаете от людей, к примеру, следующую информацию (в любом сочетании): фамилию, имя, отчество, какой-либо физический адрес, электронную почту, номер телефона, дату или место рождения, фото, ссылку на персональный сайт или соцсети, профессию, образование, уровень доходов, семейное положение и т.д.

На практике это означает, что все владельцы сайтов, которые содержат личные кабинеты, формы обратной связи, подписки или регистрации, анкеты и т.д., одним словом заполняемые формы, где посетитель должен оставить свои данные — это операторы персональных данных. Даже если на сайте есть лишь популярные нынче кнопки заказа обратного звонка (пользователь оставляет имя и номер телефона) или отправки сообщения (имя и электронный адрес) — это тоже может быть квалифицировано как обработка персональных данных.

А записи в моей телефонной книжке тоже считаются сбором и хранением персональных данных?

Нет. На данные, которые вы храните для личных и семейных нужд, данный закон не распространяется. Но если вы передадите эти данные лицу или организации, которая согласно данному закону является оператором персональных данных или опубликуете сведения, это будет считаться нарушением.

Как работать с персональными данными, не нарушая закон?

Как минимум необходимо выполнить и соблюдать 10 нижеследующих правил:

• публиковать в открытом доступе всю информацию о ваших принципах взаимодействия и работы с персональными данными клиентов и посетителей вашего предприятия или ресурса;
• запрашивать только те данные, которые нужны для каждой конкретной цели. Например, нельзя запрашивать паспортные данные или домашний адрес для осуществления рассылки по электронной почте ;
• перед получением персональных данных, которые предполагается публиковать в общедоступных источниках, получать письменное согласие у каждого посетителя, клиента или подписчика на их обработку, хранение и распространение. В случае, если данные не публикуются, а используются исключительно для обработки внутри компании, необходимо явным образом ограничить возможность передачи вам персональных данных без согласия на их обработку;
• использовать данные только для тех целей, о которых вы предупредили человека и которые указаны в опубликованных вами документах, касающихся работы с персональными данными;
• сообщать по запросу человека, какие у вас есть данные о нём, как и для чего они обрабатываются и кому вы их передавали;
• удалять данные по первому требованию лица, персональные данные которого хранятся в вашей базе;
• хранить базы данных в надёжном месте, защищать их от взлома и утечки (требования определены законодательством!) ;
• назначить лицо, ответственное за обеспечение безопасности персональных данных и соблюдения определённых ФЗ N152 правил работы с персональными данными;
• обучить сотрудников работе с персональными данными;
• зарегистрироваться в Роскомнадзоре.

Согласно Закону обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Законе, возлагается на оператора.

Почему владелец сайта должен регистрироваться?

По закону операторы персональных данных должны уведомить Роскомнадзор. Причем сделать это нужно до начала обработки данных или вскоре после начала осуществления данной деятельности. Роскомнадзор внесёт информацию об операторе в Реестр операторов персональных данных.

Уведомление можно не подавать, если:

• обрабатываются только данные сотрудников;
• персональные данные получены только для исполнения конкретного договора с конкретным человеком и не будут распространяться и использоваться никак иначе;
• у вас хранятся только ФИО клиента;
• данные опубликованы в общем доступе самим человеком или кем либо по его поручению.

Что делать, если ваш сайт содержит формы и позволяет получать персональные данные?

Если ваш сайт даёт возможность получать персональные данные и вы до сих пор не выполнили перечисленные выше условия, то уже сейчас может быть зафиксировано нарушение и уже сейчас вас могут оштрафовать. Даже в том случае, если ваш сайт обслуживается другой компанией или специалистом на аутсорсинге, штраф будет выписан на компанию или ИП, которые указаны на сайте в качестве владельца и, следовательно, получателя персональных данных.

Как избежать возможных проблем (необходимая программа-минимум):
1) Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны с любой страницы вашего сайта. Это может быть уведомление, пользовательское соглашение, правила продажи или политика в отношении обработки персональных данных.
Как бы не назывался этот документ, он должен содержать правила и условия обработки персональных данных.

2) Не используйте документы других компаний без обработки. Их можно использовать в качестве шаблона, но список данных и цели использования персональных данных необходимо прописать свои. То, что требуется типографии для оформления заказа или интернет-магазину для доставки товара, не понадобится для e-mail рассылки. Запрос излишних данных может быть расценен как нарушение закона и стать поводом для штрафа.

3) Реализуйте программное решение, которое гарантирует однозначное установление того, что человек согласился на обработку персональных данных. Это может быть чек-бокс в форме регистрации, в котором необходимо поставить галочку, или кнопка согласия с условиями использования, без активации которых человек не сможет отправить сообщение или оформить заказ.
Для подстраховки можно заверить у нотариуса распечатанные скриншоты веб-страниц с формами, прокомментировав их сопроводительным текстом (к примеру, «на момент заверения указанные на данной распечатке кнопки работали согласно описанному в преамбуле функционалу и без их активации пересылка данных была технически невозможна»).

4) Подготовьте внутренние документы, регламентирующие правила хранения и обработки персональных данных, и ответственности сотрудников, которые имеют к ним доступ.

5) Отправьте, если сайт подпадает под требования Закона, уведомление в Роскомнадзор. Если стопроцентно уверены, что отправка уведомления не требуется, оформите всю документацию так, чтобы это было явно понятно и возможным проверяющим. Например, можно указать в политике работы с персональными данными, что они используются только для исполнения конкретных договоров, или зафиксировать в документации, что данные открыты для общего доступа по желанию пользователя (но помните, что доказывание этого факта Закон возлагает на оператора).

Здравствуйте, уважаемые читатели! Совсем недавно вступили в силу изменения в ст. 13.11 КоАП РФ, внесенные Федеральным законом от 07.02.2017 № 13-ФЗ. Персональные данные с 1 июля 2017 года стали для кого-то головной болью, а кто-то на эти изменения не обратил внимания. Как выясняется при анализе поправок — зря.

Законодательство о персональных данных весьма сложное и непонятное. Но ориентироваться в нем сейчас совершенно необходимо, чтобы не попасть под крупный штраф.

Если объяснять суть изменений в двух словах, то штрафы выросли на несколько порядков (до 75 тыс. руб. за одно нарушение), а совершить правонарушение без знания закона можно запросто даже не подозревая об этом.

Поэтому давайте по порядку разбираться во внесенных и вступивших в силу изменениях, на которые многие упорно не обращают внимание.

Сперва давайте в целом поговорим о том, что такое персональные данные.

Что относится к персональным данным физического лица

Отношения, возникающие по поводу обработки персональных данных регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Ключевым понятием, вокруг которого вертится все остальное, является понятие самих персональных данных.

В соответствии с п. 1 ст. 3 указанного закона это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Из этого определения следуют два важных вывода:

1. Субъектом персональных данных может быть только физическое лицо. Сведения о юридическом лице не являются и не могут являться персональными данными.
2. Чтобы сведения о физическом лице признавались персональными данными, они должны позволять идентифицировать его.

С первым выводом все понятно. Со вторым возникает серьезный вопрос: при каких условиях информация, имеющая отношение к человеку, начинает рассматриваться как персональные данные? Что является персональными данными по закону?

При ответе на этот вопрос выделяют два подхода:

1. Это только та информация, из которой можно сделать однозначный вывод о том, что речь идет о конкретном человеке.
2. Это любая информация, которая имеет отношение к физическому лицу и позволяет выделить его из общей массы людей.

Но это теоретические подходы. Правильный выбор затруднен из-за отсутствия в законе перечня примеров возможных видов персональных данных. В определенной степени этот пробел восполняется судебной практикой.

Например, в Определении Верховного Суда РФ от 24.06.2015 № 18-АПГ15-7 указано:

«...К данным сведениям относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация».

Апелляционное определение Санкт-Петербургского городского суда от 13.12.2016 N 33-26115/2016 по делу N 2-3830/2016 повторяет то же самое.

Особого внимания заслуживает информация, которую пользователи оставляют на посещаемых сайтах в сети Интернет. Анализ самой последней судебной практики (в частности, Постановления Девятого арбитражного апелляционного суда № 09-АП-17574/2016 от 23.05.2016 по делу № А40-14902/2016) позволяет сделать вывод, что сведения об IP-адресе пользователя, cookie, сведения о географическом местоположении устройства пользователя и т. п. тоже считаются персональными данными.

В целом суды придерживаются первого подхода — к персональным данным относится только та информация, из которой можно сделать однозначный вывод о том, что речь идет о конкретном человеке.

Обычно это связка «имя» и что-то еще. Например, номер мобильного телефона. Или адрес электронной почты. Или те же cookie и иные метаданные.

Поэтому если на сайте есть какая-либо форма для заполнения пользователями, в которой есть поле «Имя», то вместе с передаваемыми метаданными (IP, cookie) вся эта информация будет относиться к персональным данным, а значит владелец этого интернет-ресурса является оператором их обрабатывающим.

Если совсем по-простому, то при наличии на вашем сайте формы обратной связи, то вы обрабатываете персональные данные. А если есть форма подписки, как у меня, то и подавно.

Роскомнадзор придерживается позиции, что персональные данные — это любая информация, относящаяся к физическому лицу. Такую информацию озвучивает само ведомство. Факт идентификации или неидентификации субъекта персональных данных оператором не влияет на статус данных как персональных.

Отговорка «я не обрабатывают персональные данные, я их только собираю», не сработает.