Персональные данные – 2018: как избежать штрафов
Дата публикации:

Персональные данные – 2018: как избежать штрафов

2fd6b5dc

Закрыть Каждый год компания СКБ Контур проводит конкурс для предпринимателей «», в нем участвуют сотни бизнесменов из разных городов России — от Калининграда до Владивостока. Благодаря конкурсу мы создали вдохновляющую коллекцию бизнес-историй, рассказанных людьми, которые превращают небольшие стартапы в успешные компании.

Их опыт и cоветы будут полезны каждому, кто задумывается об открытии своего дела. Для старта необходимы некоторые предварительные условия: идея, немного денег и, что самое важное, желание начать Фред ДеЛюка Основатель Subway Подписка на уведомления о новых статьях Подписаться Мне не интересно

15 марта 2018 Письмо-предупреждение Роскомнадзора о нарушении положений Федерального закона от 27.07.2006 № 152-ФЗ к вам не придет, если вы берете согласие на обработку персональных данных, правильно составили Политику обработки персональных данных и предусмотрели другие важные детали. 1 июля 2017 года вступил в силу , который внес поправки в .

В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Основание Размер штрафа Физлица Должностные лица Юрлица ИП Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн предупреждение или штраф — от 1000 до 3000 руб. предупреждение или штраф — от 5000 до 10 000 руб. предупреждение или штраф — от 30 000 до 50 000 руб.

Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб.

от 10 000 до 20 000 руб. от 15 000 до 75 000 руб.

Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДн от 700 до 1500 руб. от 3000 до 6000 руб. от 15 000 до 30 000 руб. от 5000 до 10 000 руб. Непредоставление субъекту ПДн информации по их обработке предупреждение или штраф — от 1000 до 2000 руб.

предупреждение или штраф — от 4000 до 6000 руб. предупреждение или штраф — от 20 000 до 40 000 руб. предупреждение или штраф — от 10 000 до 15 000 руб. Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки) предупреждение или наложение штрафа в размере от 1000 до 2000 руб. Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки) предупреждение или наложение штрафа в размере от 1000 до 2000 руб.

предупреждение или штраф — от 4000 до 10 000 руб. предупреждение или штраф — от 25 000 до 45 000 руб. предупреждение или штраф — от 10 000 до 20 000 руб.

Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования от 700 до 2000 руб. от 4000 до 10 000 руб. от 25 000 до 50 000 руб.

от 10 000 до 20 000 руб. Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн предупреждение или наложение административного штрафа — от 3000 до 6000 руб.

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб. В связи с этим возникает много вопросов, наиболее часто задаваемые:

  1. Что делать владельцу сайта, чтобы избежать штрафов?
  2. Распространяется ли на меня закон о персональных данных?
  3. Являюсь ли я оператором персональных данных?
  4. Как уведомить Роскомнадзор об обработке персональных данных?

Давайте разбираться со всеми вопросами по порядку. В дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  1. email
  2. телефон
  3. ссылка на персональный сайт
  4. ФИО (вместе и даже по отдельности)
  5. фотография
  6. адрес
  7. ссылка на профиль в социальных сетях
  8. дата рождения

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных.

Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы.

Так, например, для физлиц они заметно ниже, чем для юрлиц. Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов.

ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан.

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение

«Даю согласие на обработку своих персональных данных»

и окошко для галочки. Шаг 2. Сопроводите предложение

«Даю согласие на обработку своих персональных данных»

гиперссылкой на документ, в котором прописываются условия обработки ПДн.

Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально.

На сайте Microsoft этот документ называется . Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании. Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст.

9 Федерального закона № 152-ФЗ):

  1. наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  2. подпись субъекта ПДн.
  3. наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  4. цель обработки ПДн;
  5. ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  6. перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  7. перечень ПДн, на обработку которых субъект дает согласие;
  8. срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);

Обратите внимание!

Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, тот же Microsoft.

Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «» Шаг 5. Подайте об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст.

22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн. При обработке ПДн, если они:

  1. относятся к субъектам, которых связывают с оператором трудовые отношения;
  2. получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  3. включают только ФИО субъектов ПДн;
  4. нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  5. включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
  6. являются общедоступными ПДн;
  7. обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В соответствии с обеспечение конфиденциальности персональных данных не требуется:

  1. если данные включают только фамилии, имена и отчества субъектов персональных данных;
  2. если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  3. в отношении общедоступных персональных данных;
  4. в случае обезличивания персональных данных;
  5. для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  6. если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Согласно согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных: 1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора; 1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии; 2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных; 3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных; 4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; 5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи; 6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных; 7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности. В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2021 году.

Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор. Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152 Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152 Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Рекомендуем прочесть:   Как узнать за что оплачен налог по квитанции

Подготовить заявление на отзыв согласия. Отзыв пишется в свободной форме, главное указать от кого вы направляете его и кому.2.

Если вы обратитесь к оператору лично, то дайте ему два заявления, на одном пусть представитель оператора напишет, что документ принят. Укажет дату принятия, входящий номер, свою должность и Ф.И.О. Этот экземпляр вы заберёте себе.3.

По истечению 30 дней с момента подачи заявления оператору, он должен уничтожить ваши персональные данные. О чём необходимо составить акт.

Вы можете обратиться с запросом о предоставлении вам информации об уничтожении ваших персональных данных.4. Если оператор не реагирует на ваши запросы, вы можете подать жалобу в надзорную инстанцию. ФАС оштрафует, например, за недобросовестное распространение рекламы, если вы её получаете на свою почту или телефон.

5. В том случае, если оператор отказал вам в отзыве согласия и уничтожении данных, он должен сообщить о причинах такого отказа.Чаще всего отзывают согласие на обработку персональных данных у банков. И, практически всегда, банк отказывается это сделать.

Отказ может быть связан с двумя причинами. Первая — вы ещё состоите с банком в договорных отношениях, вторая — банк ссылается на Федеральный закон № 115-ФЗ

«О противодействии легализации (отмыванию) доходов, полученных преступным путем»

.В обоих случаях отказ банка будет правомерен.

Например, в соответствии с п. 4 ст. 7 Федерального закона № 115-ФЗ, банк обязан хранить ваши персональные данные пять лет, и предоставлять их уполномоченному органу по его запросу, такому как Росфинмониторинг (финансовая разведка). 115-ФЗ связан с соблюдением правопорядка, поэтому он имеет главенствующее значение.Имеется судебная практика.

Согласно апелляционному определению Московского городского суда от 14 июня 2021 года по делу № 33-25479, отказ банка, со ссылкой на 115-ФЗ, в отзыве согласия, был правомочным.Ссылки:жалобы сюда — либо сюда — заявление здесь —