Мобильный логотип Юридический блог Альберта Садыкова

Профессиональный перевод законов с юридического языка на русский и жизнь юриста, как она есть

Персональные данные с 1 июля 2017 года: как не попасть под крупный штраф

Персональные данные пользователей

Здравствуйте, уважаемые читатели! Совсем недавно вступили в силу изменения в ст. 13.11 КоАП РФ, внесенные Федеральным законом от 07.02.2017 № 13-ФЗ. Персональные данные с 1 июля 2017 года стали для кого-то головной болью, а кто-то на эти изменения не обратил внимания. Как выясняется при анализе поправок — зря.

Законодательство о персональных данных весьма сложное и непонятное. Но ориентироваться в нем сейчас совершенно необходимо, чтобы не попасть под крупный штраф.

Если объяснять суть изменений в двух словах, то штрафы выросли на несколько порядков (до 75 тыс. руб. за одно нарушение), а совершить правонарушение без знания закона можно запросто даже не подозревая об этом.

Поэтому давайте по порядку разбираться во внесенных и вступивших в силу изменениях, на которые многие упорно не обращают внимание.

Содержание:

  • Что относится к персональным данным физического лица?

  • Общий обзор изменений законодательства о персональных данных.

  • Основные риски и как их устранить.

  • Нюансы, которые надо знать.

  • Сперва давайте в целом поговорим о том, что такое персональные данные.

    Что относится к персональным данным физического лица


    Отношения, возникающие по поводу обработки персональных данных регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Ключевым понятием, вокруг которого вертится все остальное, является понятие самих персональных данных.

    В соответствии с п. 1 ст. 3 указанного закона это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

    Из этого определения следуют два важных вывода:

    1. Субъектом персональных данных может быть только физическое лицо. Сведения о юридическом лице не являются и не могут являться персональными данными.
    2. Чтобы сведения о физическом лице признавались персональными данными, они должны позволять идентифицировать его.

    С первым выводом все понятно. Со вторым возникает серьезный вопрос: при каких условиях информация, имеющая отношение к человеку, начинает рассматриваться как персональные данные? Что является персональными данными по закону?

    При ответе на этот вопрос выделяют два подхода:

    1. Это только та информация, из которой можно сделать однозначный вывод о том, что речь идет о конкретном человеке.
    2. Это любая информация, которая имеет отношение к физическому лицу и позволяет выделить его из общей массы людей.

    Но это теоретические подходы. Правильный выбор затруднен из-за отсутствия в законе перечня примеров возможных видов персональных данных. В определенной степени этот пробел восполняется судебной практикой.

    Например, в Определении Верховного Суда РФ от 24.06.2015 № 18-АПГ15-7 указано:

    «...К данным сведениям относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация».

    Апелляционное определение Санкт-Петербургского городского суда от 13.12.2016 N 33-26115/2016 по делу N 2-3830/2016 повторяет то же самое.

    Особого внимания заслуживает информация, которую пользователи оставляют на посещаемых сайтах в сети Интернет. Анализ самой последней судебной практики (в частности, Постановления Девятого арбитражного апелляционного суда № 09-АП-17574/2016 от 23.05.2016 по делу № А40-14902/2016) позволяет сделать вывод, что сведения об IP-адресе пользователя, cookie, сведения о географическом местоположении устройства пользователя и т. п. тоже считаются персональными данными.

    В целом суды придерживаются первого подхода — к персональным данным относится только та информация, из которой можно сделать однозначный вывод о том, что речь идет о конкретном человеке.

    Обычно это связка «имя» и что-то еще. Например, номер мобильного телефона. Или адрес электронной почты. Или те же cookie и иные метаданные.

    Поэтому если на сайте есть какая-либо форма для заполнения пользователями, в которой есть поле «Имя», то вместе с передаваемыми метаданными (IP, cookie) вся эта информация будет относиться к персональным данным, а значит владелец этого интернет-ресурса является оператором их обрабатывающим.

    Если совсем по-простому, то при наличии на вашем сайте формы обратной связи, то вы обрабатываете персональные данные. А если есть форма подписки, как у меня, то и подавно.

    Роскомнадзор придерживается позиции, что персональные данные — это любая информация, относящаяся к физическому лицу. Такую информацию озвучивает само ведомство. Факт идентификации или неидентификации субъекта персональных данных оператором не влияет на статус данных как персональных.

    Отговорка «я не обрабатывают персональные данные, я их только собираю», не сработает.

    Согласно п. 3 ст. 3 Закона № 152-ФЗ обработкой персональных данных является любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными. Эти действия включают в себя:

    • сбор;
    • запись;
    • систематизацию;
    • накопление;
    • хранение;
    • уточнение (обновление, изменение);
    • извлечение;
    • использование;
    • передачу (распространение, предоставление, доступ);
    • обезличивание;
    • блокирование;
    • удаление;
    • уничтожение персональных данных.

    Так что сбор персональных данных уже является их обработкой. За что можно получить штраф и как исключить этот риск? Об этом читайте далее.

    Обработка персональных данных

    Основные изменения законодательства о персональных данных

    Не будет преувеличением назвать последние изменения в законодательстве о персональных данных самыми масштабными с момента принятия Закона № 152-ФЗ.

    Одним предложением эти изменения можно описать так — ужесточение ответственности за допускаемые операторами при обработке персональных данных нарушения.

    Что же именно изменилось?

    1. Перечень нарушений конкретизирован. Если раньше ст. 13.11 КоАП РФ устанавливала ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах, то сейчас предусмотрено семь самостоятельных составов правонарушений.
    2. Размер штрафов значительно вырос. По старой редакции ст. 13.11 КоАП РФ самый большой штраф, который можно было получить, составлял 10 тыс. рублей для юридических лиц. Сейчас верхняя планка для них — 75 тыс. руб. И это только за одно правонарушение!
    3. Раньше возбудить дело по ст. 13.11 КоАП РФ могла только прокуратура, у которой других забот хватает. Теперь к административной ответственности будет привлекать непосредственно сам Роскомнадзор, который давно этого ждал. Так что наказывать за нарушения при обработке персональных данных будут чаще.

    Это главное, что стоит уяснить. А сейчас давайте подробно проанализируем новую редакцию ст. 13.11 КоАП РФ.

    Основные риски и как избежать штрафа

    Новая редакция ст. 13.11 КоАП РФ включает в себя семь самостоятельных составов правонарушений. Части 1 — 6 этой статьи касаются бизнеса, часть 7 — государственных и муниципальных органов, для которых размер штрафа минимален — до 6 тыс. рублей на должностных лиц.

    Поэтому в первую очередь нас интересуют первые шесть частей ст. 13.11. Далее я решил рассмотреть отдельно каждый состав по существу — за что именно можно получить штраф и какие меры необходимо предпринять, чтобы этого избежать.

    1. Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо обработка персональных данных, несовместимая с целями сбора персональных данных.

    За что могут привлечь к ответственности?

    • В политике в отношении обработки персональных данных цели этой обработки либо не указаны, либо указаны неграмотно.
    • Связь между целью обработки персональных данных и собираемыми сведениями «притянута за уши» или вовсе отсутствует. Поясню на примере моего блога. У меня есть форма подписки на обновления блога, с помощью которой я осуществляю сбор имени и электронной почты пользователя. Это соответствует моей цели обработки этих данных — ведение информационной рассылки. А вот если бы я, допустим, паспортные данные собирал, то это было бы нарушением.
    • Принудительная регистрация в личном кабинете интернет-магазина при заказе товара, работы, услуги. Часто сопровождается заполнением анкеты, через которую к тому же собираются «избыточные» данные о клиенте.

    Ответственность. Предупреждение или штраф в размере от 30 до 50 тыс. рублей для юридических лиц.

    Как избежать риска? Внимательно отнеситесь к составлению необходимых документов, четко пропишите цель обработки персональных данных.

    Возникает вопрос — как определить эту цель? На помощь приходят Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее — Рекомендации), разработанные самим Роскомнадзором.

    В п. 3.2 Рекомендаций как раз говорится откуда могут происходить цели обработки. Ориентироваться нужно на фактически осуществляемую оператором деятельность и конкретные бизнес-процессы.

    2. Обработка персональных данных без письменного согласия субъекта персональных данных, когда оно предусмотрено законодательством

    За что могут привлечь к ответственности? Законодательство предусматривает ряд случаев, когда конкретные персональные данные могут быть получены только с письменного согласия физического лица. Соответственно отсутствие такого согласия будет считаться нарушением.

    На самом деле риск невелик. Перечень случаев, когда требуется письменное согласие, ограничен. Рекламная деятельность с целью продвижения товаров, работ и услуг к таковым не относится. И совсем неверным будет такое понимание, что нужно получать письменное согласие от… каждого подписчика на сайте (я себе даже представить себе этого не могу).

    Чтобы не быть голословным, приведу цитату из ч. 1 ст. 9 Закона № 152-ФЗ:

    «Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом».

    А в ч. 4 уже указывается, что письменное согласие необходимо только в оговоренных законом случаях.

    Например, это сведения о расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п. 1 ч. 2 ст. 10 Закона № 152-ФЗ), биометрические персональные данные (ст. 11 того же закона).

    Ответственность. Штраф в размере от 15 до 75 тыс. рублей для юридических лиц.

    Как избежать риска? Тут все просто — не обрабатывать указанные выше данные. Разумеется, если ваша деятельность с ними не связана. В 95% случаев так оно и будет. А если обрабатываете, то не забывайте обзавестись письменным согласием.

    3. Невыполнение оператором обязанности по обеспечению доступа к политике в отношении обработки персональных данных

    За что могут привлечь к ответственности? В противоположность предыдущему — это самый серьезный риск. Если на сайте имеется какая-либо форма сбора сведений о пользователе, то на этом же ресурсе политика в отношении обработки персональных данных должна быть, как минимум, опубликована.

    Вот я это уже сделал. В нижней части сайта — в «подвале» — есть ссылка на мою «Политику конфиденциальности», а также «Пользовательское соглашение» и «Согласие с рассылкой».

    Наиболее оптимальный вариант не просто опубликовать такие документы, но и во всех формах сбора данных около кнопки отправки заполненной анкеты поместить фразу о том, что пользователь нажимая ее подтверждает, что он прочитал Политику в отношении обработки персональных данных (с гиперссылкой на сам документ) и согласен с ней.

    Самый продвинутый вариант — еще установить чекбокс напротив этой фразы, в котором пользователь должен перед нажатием кнопки поставить «галочку», подтвердив тем самым свое согласие.

    И еще один момент касается метаданных — использования cookie и т. п. Техническое описание того, что это такое, можете поискать в Интернете, а на вашем сайте лучше сделать небольшое всплывающее окно, в котором сообщается, что интернет-ресурс использует cookie для наилучшего отображения сайта и продолжая им пользоваться посетитель с этим соглашается.

    Возможно, вы заметили, что я это тоже реализовал (у кого сайт работает на CMS «WordPress», рекомендую использовать плагин Cookie Notice by dFactory).

    Ответственность. Предупреждение или штраф в размере от 5 до 10 тыс. рублей для индивидуальных предпринимателей и от 15 до 30 тыс. рублей для юридических лиц.

    Как избежать риска? Как минимум опубликовать Политику в отношении обработки персональных данных и поместить ссылку на нее на сайте. Но лучше еще и непосредственно у кнопки отправки данных поместить фразу о согласии пользователя на обработку.

    При составлении политики воспользуйтесь Рекомендациями Роскомнадзора, которые упоминались выше.

    Я при составлении документов использовал специальный онлайн-сервис 152ФЗ.рф. Там на выбор есть три тарифа — один бесплатный и два платных. Я воспользовался бесплатным тарифом, создал необходимые документы и скачал их. Потом немного отредактировал под свои нужды.

    Вы можете сделать то же самое, если у вас небольшой интернет-ресурс.

    И сразу учитывайте все эти технические и юридические детали, заключая договор на разработку сайта и создавая техническое задание.

    4. Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

    За что могут привлечь к ответственности? Согласно ст. 14 Закона № 152-ФЗ лицо вправе получать информацию об обработке его персональных данных. Для этого необходимо направить оператору соответствующий запрос.

    Есть случаи, когда оператор обязан предоставить определенную информацию, касающуюся обработки данных, не дожидаясь запроса. Эта обязанность предусмотрена  ч. 3 ст. 18 Закона № 152-ФЗ и касается она случаев получения данных не от самого субъекта, а от третьего лица, например, в рамках партнерских программ, при смене подрядчика в маркетинговых кампаниях и т. п.

    Соответственно, за невыполнение этой обязанности оператор может быть привлечен к ответственности.

    Ответственность. Предупреждение или штраф от 10 до 15 тыс. рублей для индивидуальных предпринимателей и от 20 до 40 тыс. рублей для юридических лиц.

    Как избежать риска? Не стоит игнорировать запросы о предоставлении информации, касающейся обработки персональных данных, а также не забывать уведомлять людей об обработке данных, если они получены от третьего лица. Порядок уведомления прописан в самом Законе № 152-ФЗ.

    5. Невыполнение оператором в установленные сроки требования об уточнении, блокировании, уничтожении персональных данных

    За что могут привлечь к ответственности? Риск на сегодняшний день не самый существенный.

    Субъект вправе не только получать по запросу информацию, касающуюся обработки его персональных данных, но и требовать от оператора уточнения, блокирования или уничтожения этих данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

    А несущественен этот риск потому, что мало кто заморачивается по поводу всего этого. Количество подобных запросов не особо велико.

    Но если уж требование поступило, то оператор обязан исполнить требование в сроки, установленные ст. 21 Закона № 152-ФЗ.

    Ответственность. Предупреждение или штраф от 10 до 20 тыс. рублей для индивидуальных предпринимателей и от 25 до 45 тыс. рублей для юридических лиц.

    Как избежать риска? Не игнорировать требования об уточнении, блокировании, уничтожении персональных данных. В том числе и требования, направленные не по форме, установленной законом. Если покупатель вашего интернет-магазина просто прислал вам в службу поддержки электронное письмо с просьбой больше не беспокоить его рекламой ваших товаров, то лучше выполнить его просьбу.

    Иначе можно заиметь проблемы не только с Роскомнадзором, но и с Федеральной антимонопольной службой по поводу соблюдения требований Федерального закона «О рекламе».

    6. Невыполнение оператором обязанности по надлежащему хранению материальных носителей персональных данных, если это повлекло неправомерные действия в отношении них

    За что могут привлечь к ответственности? В зоне риска находятся операторы, которые обрабатывают персональные данные без использования средств автоматизации, т. е. в бумажном виде (бумажные анкеты, заявки, запросы и т. п.).

    Ответственность наступает, если халатное отношение к хранению материальных носителей персональных данных повлекло за собой неправомерный или случайный доступ к ним третьих лиц, а также:

    • их уничтожение;
    • изменение;
    • блокирование;
    • копирование;
    • предоставление;
    • распространение;
    • иные неправомерные действия.

    Ответственность. Штраф в размере от 10 до 20 тыс. рублей для индивидуальных предпринимателей и от 25 до 50 тыс. рублей для юридических лиц.

    Как избежать риска? Предусмотреть меры безопасности в отношении места хранения данных. Посторонние лица не должны иметь к нему доступ.

    Как минимум шкаф, в котором данные хранятся, должен запираться. Как альтернативу можно предложить перевод архива в электронный вид.

    Политика конфиденциальности на сайте

    Нюансы, о которых надо знать


    В целом все риски довольно очевидны, хотя каждый из них можно рассмотреть более подробно. Если будете соблюдать «технику безопасности», то штрафы вам не грозят.

    Тем не менее очень важно иметь в виду некоторые моменты.

    Мало того, что размер штрафов вырос, раньше он вообще был один. Т. е. до 1 июля за невыполнение требования об удалении персональных данных и за отсутствие письменного согласия на их обработку юридическое лицо получило бы один штраф не более 10 тыс. рублей.

    Сейчас это два самостоятельных состава и два штрафа — до 45 тыс. рублей и до 75 тыс. рублей соответственно.

    Это первое. Далее...

    Многие риски касаются не только индивидуальных предпринимателей и юридических лиц. Да, я указывал размеры штрафов только для них. Но ответственность предусмотрена также для обычных граждан.

    Так что блогерам, веб-мастерам, у которых есть свои сайты, тоже не стоит расслабляться и как минимум озаботиться составлением и размещением на сайте политики в отношении обработки персональных данных пользователей.

    Продумайте и меры безопасности. Если пользуетесь каким-либо сервисом рассылок, то придумайте надежный пароль. Банальная рекомендация, но сколько уже веб-мастеров, блогеров и интернет-предпринимателей погорело на этом. И все не впрок. Базы клиентов и подписчиков продолжают «уводить».

    Еще один вопрос, который волнует многих владельцев сайтов — так ли уж необходимо уведомлять Роскомнадзор об осуществлении обработки персональных данных? Напомню, такая обязанность предусмотрена ч. 1 ст. 22 Закона № 152-ФЗ.

    Да, в ч. 2 этой статьи указываются исключения из правила. Например, без уведомления вправе обрабатывать персональные данные своих работников работодатель (там вообще свои правила, см. главу 14 ТК РФ).

    Перечень исключений не очень широкий. Но советую обратить внимание на п. 2 ч. 2 ст. 22 Закона № 152-ФЗ:

    «Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных».

    Роль договора на сайте играет пользовательское соглашение, на основании которого обрабатываются персональные данные. Это договор, заключаемый путем клика мышью (click-wrap соглашение).

    А чтобы полностью обезопасить себя от претензий Роскомнадзор лучше и уведомление направить. Тем более это будет первый документ, который Роскомнадзор запросит в случае проверки. А оправдываться, что, дескать, я обрабатываю данные на основании пользовательского соглашения и т. д. скорее всего придется уже через суд при обжаловании наложенного штрафа.

    В целом эти изменения можно оценить, как… позитивные. Да, именно так. Хоть обработка персональных данных с 1 июля 2017 года стала головной болью для предпринимателей, веб-мастеров и даже обычных блогеров, надо признать, что многих из них надо дисциплинировать. До сих пор отношение к персональным данным пользователей и покупателей в сети Интернет было довольно безалаберным даже у крупных игроков на этом рынке.

    Сплошь и рядом «сливы» и взломы баз данных, а также то самое не соответствующее целям неправомерное использование сведений и сбор «избыточных» данных о пользователе.

    Очень часто людей даже не раздражает, а бесит чересчур агрессивная реклама и навязчивая активность бизнеса. Некоторые по нескольку раз в день (!) бомбят своих подписчиков письмами с призывом «купи, купи, купи». Особенно раздражает, когда от такой рассылки не удается отписаться с первого раза.

    Поэтому эти изменения в законодательство о персональных данных — повод четко определить принципы работы с персональными данными и исходя из них грамотно выстроить бизнес-процессы, маркетинговую политику и программы лояльности.

    На этом все, спасибо, что дочитали статью до конца, надеюсь она была для вас полезной. Не забудьте подписаться на мою e-mail-рассылку и мой Telegram-канал «Правовые смыслы».


    Получай актуальные материалы по праву на свой e-mail
    * Нажимая на кнопку "Подписаться", я даю согласие на рассылку и принимаю Политику конфиденциальности.
    Ваши данные не разглашаются и не передаются третьим лицам для коммерческого и некоммерческого использования



    правила комментирования

    Комментарии WordPress
    Комментарии VK, Facebook, Twitter