Закон № 152-ФЗ о персональных данных: как избежать новых штрафов

Штрафы за несоблюдение требований Федерального закона от 27.07.2006 № 152ФЗ «О персональных данных» (далее – Закон № 152ФЗ, Закон о персональных данных) были повышены в соответствии с Федеральным законом от 07.02.2017 № 13-ФЗ. Новые штрафы, по сравнению с действующими ранее, выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тыс. руб., максимальный штраф для индивидуальных предпринимателей (ИП) увеличили до 20 тыс. руб. При этом, если раньше в КоАП существовал только один, общий для всех случаев состав правонарушения в области персданных (ст. 13.11 КоАП РФ), то теперь в данной статье появилось целых семь составов. Чтобы избежать штрафов, компаниям и ИП с 01.07.2017 следует внимательнее подходить к соблюдению требований Закона о персональных данных.

Кого касаются новые штрафы

Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. По закону они отнесены к операторам персональных данных и обязаны соблюдать законодательные ограничения. Закон не содержит конкретного перечня таких организаций. Однако к ним можно отнести банки, страховые компании, операторов мобильной связи и интернета, медицинские организации, транспортные компании, учебные заведения и все те компании, при обращении в которые граждан просят указать личные данные или заполнить анкету.

Но и это еще не все. Закон распространяется на всех без исключения работодателей, получающих сведения от сотрудников как по трудовым договорам, так и по договорам гражданско-правового характера. Работодатели тоже являются операторами персональных данных с небольшой оговоркой. Если работодатель состоит с гражданином в трудовых или гражданско-правовых отношениях, ему не требуется уведомлять Роскомнадзор об обработке личной информации (ч. 2 ст. 22 За кона № 152-ФЗ).

Также к операторам персональных данных относятся все компании, имеющие собственные сайты с обратной формой связи и регистрацией пользователей, у которых запрашиваются личные сведения.

Как обезопасить себя от штрафов 

Исключить случаи нецелевого сбора и обработки данных

Под данное нарушение подпадают и случаи сбора излишней информации о гражданах. Например, когда сайт для новостной рассылки по e-mail требует от посетителей предоставить, скажем, паспортные данные. Это считается обработкой данных не по назначению, поэтому исключите подобные случаи из практики работы своей компании и сайта.

Данные действия образуют состав правонарушения по части 1 статьи 13.11 КоАП РФ. Штраф для предпринимателей – от 5 до 10 тыс. руб., а для организаций – от 30 до 50 тыс. руб.

Получать письменное согласие граждан на обработку их данных

Согласие граждан необходимо в обязательном порядке получать в соответствии с частью 4 статьи 9 Закона № 152-ФЗ.

Исключений из этого правила не так много. Например, не требуется письменного согласия при получении персональных данных в личных, семейных целях, если при этом не нарушаются права субъектов перс.данных (ч. 2 ст. 1 Закона № 152-ФЗ).

В большинстве же случаев дополнительно к основному договору стороны должны подписывать соглашение об обработке персональных данных. Это соглашение может включаться в текст основного договора, или выступать в качестве отдельного документа. Согласие должно поступить лично от гражданина. Без его ведома передавать данные нельзя.

КОРОТКО

1. С 01.07.2017 введены повышенные административные штрафы за несоблюдение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». 

2. Новые штрафы, по сравнению с действующими ранее, выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тыс. руб., максимальный штраф для ИП увеличили до 20 тыс. руб. 

3. Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. Закон не содержит конкретного перечня таких организаций. 

4. Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре. 

5. Обезопасить себя от штрафов можно, соблюдая 6 правил: 

– исключить случаи нецелевого сбора и обработки данных; 

– получать письменное согласие граждан на обработку их данных; 

– знакомить граждан с политикой обработки персональных данных; 

– отвечать на вопросы граждан о том, каким образом используются их персональные данные;

– выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении; 

– обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т. д. 

6. С 01.07.2017 действует упрощенный порядок привлечения к административной ответственности. Дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры.

Самый банальный пример злоупотреблений в этой части – когда кредиторы передают третьим лицам информацию о должниках для взыскания с них займов, кредитов и процентов. Или, скажем, оператор мобильной связи передает контакты абонентов без их ведома сторонним компаниям, и на телефонные номера граждан начинает поступать всевозможный спам.

Если письменного соглашения на обработку данных у компании нет, на граждан наложат штраф в размере от 3 до 5 тыс. руб., на должностных лиц – от 10 до 20 тыс. руб., а на юр.лиц – от 15 до 75 тыс. руб. (ч. 2 ст. 13.11 КоАП РФ). Судя по судебной практике, ИП первый раз штрафуют как физлиц, а если нарушение повторяется, то уже как должностных лиц-руководителей ИП, так как во втором случае штраф выше. Последствия неполучения письменного согласия контролерам будут неважны, а важен будет сам факт наличия или отсутствия такого согласия в письменной форме.

Знакомить граждан с политикой обработки персональных данных

Эта информация должна находиться в свободном доступе, и с ней должен иметь возможность ознакомиться каждый. Например, сайты вывешивают информацию о порядке работы с перс-данными на отдельных своих страницах.

В противном случае наступит ответственность по части 3 статьи 13.11 КоАП РФ. ИП заплатят штраф в раз мере от 5 до 10 тыс. руб., а организации – в размере от 15 до 30 тыс. руб.

Отвечать на вопросы граждан об их перс.данных

На практике бывают случаи, когда данные «утекают» третьим лицам, и клиентам компании начинает поступать всевозможная реклама от магазинов, медицинских центров и кредитных организаций. В этом случае клиент может потребовать от оператора персональных данных предоставить информацию о том, как используются и хранятся его личные сведения. За игнорирование обращений граждан операторы перс.данных несут ответственность по части 4 статьи 13.11 КоАП РФ. Штраф для ИП – от 10 до 15 тыс. руб., а для юрлиц – от 20 до 40 тыс. руб.

Выполнять требования граждан об уточнении перс.данных, их блокировании или уничтожении

Это нужно делать в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Неисполнение этой обязанности грозит штрафом по части 5 статьи 13.11 КоАП РФ. Для ИП штраф составит от 10 до 20 тыс. руб., для организаций – от 25 до 45 тыс. руб.

Ответственность за необеспечение сохранности личных сведений, если это повлекло их утечку, порчу, кражу, копирование и т. д., установлена частью 6 статьи 13.11 КоАП РФ. Для предпринимателей – от 10 до 20 тыс. руб., для компаний – от 25 до 50 тыс. руб

Ответственность для органов власти РФ

Штрафная ответственность предусмотрена и для государственных и муниципальных органов власти (ч. 7 ст. 13.11 КоАП РФ). В своих документах (протоколах, сводках, решениях и т. д.) они должны обезличивать персональные данные граждан, не допуская указания их места жительства и полных ФИО. В противном случае придется заплатить штраф в размере от 3 до 6 тыс. руб.

Что делать сайтам

Основная масса нарушений связана именно с нецелевым сбором и использованием персональных данных (ч. 1 ст. 13.11 КоАП РФ).

Например, нередко в форме регистрации на сайте используются такие поля, как «дата рождения» и «телефон», а в форме профиля пользователя – «отчество», «дата рождения», «место жительства».

Для регистрации пользователя на большинстве сетевых ресурсов не требуется знать такие данные, как теле фон и место жительства/регистрации пользователя. Из формы регистрации эти сведения следует убрать.

А из формы личного профиля лучше убрать такие сведения, как «профессия», «www-страница», Skype (или другой мессенджер) и «дата рождения».

Посторонним лицам (а ваша компания и является таким лицом) знать эту информацию ни к чему. Форма подписки на новости сайта должна собирать информацию только об e-mail пользователей. Форма регистрации может собирать имя, фамилию, e-mail и пол пользователя.

Сбор лишней информации при проверке могут посчитать нарушением.

Если раньше Закон о персональных данных обходил вашу компанию стороной, и никакой ответственности за его нарушение вы не несли, то с 1 июля все может измениться кардинальным образом.

Дело в том, что с этой даты начинает действовать упрощенный порядок привлечения к административной ответственности. Раньше дела в этой сфере возбуждала прокуратура (ст. 28.1 КоАП РФ). По новым же правилам (п. 58 ч. 2 ст. 28.3 КоАП РФ) дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры. На практике это означает, что количество штрафов и доведенных до суда дел может значительно увеличиться, и уйти от ответственности станет сложнее. 

Регистрация операторов персональных данных в Роскомнадзоре

Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре. Для этого необходимо подать уведомление об обработке (о намерении осуществлять обработку) персональных данных (ч. 3 ст. 22 Закона № 152-ФЗ). 

Для подачи уведомления об обработке персональных данных необходимо заполнить электронную форму на Портале персональных данных Роскомнадзора (https://rkn.gov.ru/personal@data/portal/). Электронная форма уведомления об обработке персональных данных и порядок его заполнения также размещены на Едином портале государственных и  муниципальных услуг (функций) (https:// www.gosuslugi.ru/). 

После заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных ее следует отправить в информационную систему Уполномоченного органа по защите прав субъектов персональных данных. Затем заполненную форму нужно распечатать и заверить надлежащим образом, скрепив подписью и печатью организации, после чего направить в соответствующий территориальный орган Роскомнадзора по месту регистрации компании-оператора персональных данных (http://pd.rkn. gov.ru/authority/authority@contacts/).