Ответственность за персональные данные. Что нужно знать про новые правила хранения персональных данных

В составе сведений, размещаемых в интернете на официальном сайте ФНС, произошли изменения. Минфином России добавлены еще две позиции к прежнему списку - электронные адреса ИП и организаций, а также информация из корпоративных договоров. Эти сведения будут запрашиваться дополнительно...

В Барнауле бывшего помощника депутата регионального заксобрания от КПРФ Владислава Конопихина повторно привлекли к ответственности по статьям 20.3 КоАП (публичная демонстрация нацисткой и экстремисткой символики) и 20.29 КоАП (распространение экстремистских материалов). Гражданин...

Все новости

Маргарита Ледовских

Рада приветствовать вас на нашем сайте. Меня зовут Маргарита Ледовских, я медиаюрист. 17 лет я работаю в сфере информационного права, из них 4 года руковожу проектом "Право в сети".

Поиск по сайту

Оказываем услуги по регистрации сайтов в качестве СМИ

В России в качестве сетевого СМИ могут быть зарегистрированы домены только второго уровня. Это связано с тем, что одним из документов, который требуется предоставить в регистрирующий орган (Роскомнадзор), является справка о владельце доменного имени. А в соответствии с действующими на сегодняшний момент правилами, эту справку хостинговая компания не имеет права выдавать на домены третьего уровня. […]

Думаю, каждому владельцу СМИ известно, что деятельность его издания, сервиса или программы должна сопровождаться соблюдением действующего законодательства. Отсутствие знаний законов, регламентирующих такую деятельность, может обернуться штрафами и прекращением работы СМИ. Чтобы этого не происходило, давайте осветим некоторые стороны закона, о которых многие собственники средств распространения массовой информации не знают. Есть несколько случаев, когда деятельность […]

Учредитель СМИ и редакция СМИ - два основных действующих лица, которые должны быть, чтобы СМИ выходило в свет. Учредитель создает СМИ, то есть только после его действий по регистрации СМИ в Роскомнадзоре сайт получает новый правовой статус - статус СМИ. Но на этом роль учредителя не заканчивается, у него есть определенные права и обязанности и […]

Часто к нам на сайт от посетителей, от наших клиентов, которым мы помогаем с регистрацией СМИ, поступают различные вопросы о регистрации сайта в качестве СМИ. В этой статье рассмотрим некоторые повторяющиеся вопросы, основные моменты, касающиеся учредителей сетевого СМИ, выбора названия СМИ и защиты названия сайта, отчетности и обязанностей владельца сайта, плюсов регистрации сетевого издания. […]

В ноябре 2012 года в России вступил в действие закон 139-ФЗ, призванный защитить детей от потенциально вредной для них информации, поступающей из всевозможных СМИ, интернета, других информационных источников. Данный закон предусматривает маркирование информационной продукции в соответствии с возрастом, чтобы дети могли безопасно для своего развития и здоровья вливаться в информационный поток, а родители могли сориентироваться […]

Данная статья для тех, кто решил, например, создать журнал, газету или телеканал, а точнее, кто уже задумался над совершением такой процедуры, как регистрация СМИ. Также вы найдете для себя полезную информацию, если вы подумываете о новом формате уже существующего печатного издания - смена названия или выпуск электронной версии газеты. Ведь среди идей о тематике, выборе […]

С 1 января 2015 году пошлина за регистрацию сетевого издания составляет 10 000 рублей. Законом о «О внесении изменений в главу 25.3 части второй Налогового кодекса Российской Федерации» предусмотрено и повышение пошлины за регистрацию и других видов СМИ. Однако для регистрации СМИ, которые будут распространяться на территории Республики Крым и города федерального значения Севастополя, до […]

Всемирная сеть продолжает развиваться. Сейчас сложно найти СМИ, у которого нет онлайн версии в Интернете, каждый день открываются новые информационные проекты, которые пытаются заинтересовать и привлечь внимание людей. Интернет – это один из самых эффективных каналов, который максимально быстро передает информацию, и он конкурирует с традиционными СМИ и даже превосходит их, так как у многих […]

Очень часто, если человек чем-то недоволен, обижен, от него можно услышать такие слова: «Да я на тебя подам иск о компенсации морального вреда». И вот уже может показаться, что если человек переживает, если в интернете о нем распространена какая-то негативная информация, он недоволен покупкой в интернет-магазине, в негодовании, что на него, по его мнению, подали […]

Постоянную блокировку получают на основании решений Мосгорсуда ещё пять информационных интернет-порталов. Эти решения уже поступили в Роскомнадзор. «Пиратские» сайты занимались распространением мультимедийного контента, нарушая права авторские и/или смежные. Поводом к решению послужило обращение правообладателя - Общества с ограниченной ответственностью «Централ Партнершип Сейлз Хаус», - с заявлением. Сервис similarweb.com предоставил сведения, по которым посещаемость блокируемых интернет-порталов […]

Именно столько взыскано судом с ОАО «Первый канал» по иску, поданному ООО «Национальное музыкальное издательство». Общество-правообладатель потребовало взыскания с ответчика компенсации за использование «Темной ночи». Эта песня прозвучала в измененном виде - с новой аранжировкой. Истец посчитал, что этим нарушены его права, как владельца лицензии. Арбитраж Москвы, который был судом первой инстанции, заявление истца отклонил, […]

В Арбитражном суде Москвы 10 июля будет начато новое рассмотрение иска с требованием от «Первого канала» суммы компенсации в размере 300 тыс. рублей. Иск подан компанией «Музыкальное право» (ООО). Эта фирма владеет авторскими правами на все произведения известного рок-музыканта и исполнителя Виктора Цоя. Обращение в суд вызвано использованием музыкального произведения Цоя «Кукушка» в одном из […]

Цитировать произведения без согласия автора и при этом бесплатно - закон разрешает. А фотографии - относятся ли они к таким произведениям, можно ли цитировать их? Этот вопрос возник при рассмотрении иска Ильи Варламова к архитектурному порталу «Архи.ру». Варламов - популярный блогер, он известен своими фотоотчетами, которые публикует в блоге во время путешествий по России. СМИ, чаще всего […]

На ресурсе VICE Spain опубликована история Никколо Массарьелло, жителя Барселоны. Он рассказал, что испортил себе жизнь, приняв однажды участие в фотосессии. Никколо тогда испытывал материальные трудности, потому и согласился на предложение приятеля сфотографироваться для фотобанка. После съемок Никколо подписал документ, где говорилось, что снимки будут принадлежать фотографу, который сможет их продать. Через какое-то время испанец […]

Клевета, оскорбления, высказывания экстремистского характера - всё это правонарушения, совершенные в устной или письменной форме. Защитить себя от них можно при помощи лингвистической экспертизы. Как это сделать, рассказывает Ольга Матвеева - кандидат филологических наук, директор АНО «Лингвистический экспертно-консультационный центр» http://www.lingva-expert.ru/ Маргарита: В каких случаях в судебном разбирательстве придется прибегнуть к лингвистической экспертизе? Ольга: Спектр дел, […]

В последние годы у нотариусов прибавилось дел. С распространением интернета по всему миру у многих людей появились свои веб-ресурсы: сайты, блоги, каналы. И нередки случаи, когда воруют не только тексты, которые написал сам владелец или заказал у авторов, но и личные фотографии, а иногда и сайт полностью, т. е. нарушают авторские права на сайт. Не […]

В рамках проекта «Право в сети» уже рассматривались многие виды авторских договоров. Для того чтобы информация у читателя разложилась в голове по полочкам, сделаем обзор только трёх основных авторских договоров, наиболее часто встречающихся в работе писателя, блогера или инфобизнесмена. Это: Статья будет полезна всей целевой аудитории сайта (авторам, фрилансерам, инфобизнесменам, программистам, блогерам и др.), так […]

Уже слышали, что Яндекс ужесточил санкции за кликджекинг – сайты, которые используют технологии, похищающие личные данные посетителей, существенно понижаются в выдаче.

Cайты, которые используют технологии, похищающие личные данные посетителей, существенно понижаются в выдаче. С 01.07.2017 сильнее карать за подобные махинации будет и законодательство: штрафы за несоблюдение закона о персональных данных будут увеличены до 75 000 рублей. Изменения коснутся интернет-ресурсов, собирающих, обрабатывающих и хранящих персональные данные любого рода.

Штрафы теперь не только увеличены во много раз, но и подразделяются по видам нарушений. Если, допустим, на сайте не изложена политика конфиденциальности, то индивидуального предпринимателю могут наложить штраф на 10 000 р., а компании - на 30 000 р. В случае, если подвергаются обработке персональные данные заказчика интернет-магазина или подписчика на информационный ресурс, а своего согласия на это они не давали – сумма штрафа для юридического лица приближается к 75 000 р., для директоров предприятий или предпринимателей – до 20 000. Разумеется, число взысканий будет равняться количеству допущенных нарушений.

Всем владельцам сайтов необходимо в кратчайшие сроки приводить их в порядок. Проверки уже начались!

В настоящее время лишь прокуратура имеет право выписывать протоколы о правонарушениях в указанной сфере, никакого различия для видов нарушений не делается, а сама сумма невелика: для ИП или директора она составит 1 000 р. максимум, для юридического лица - 10 000 р. Кроме того, сама процедура связана с большими временными затратами, а значит проверяют далеко не всех и крайне редко. Однако с 1 июля всё изменится: составлять протоколы уполномочен будет Роскомнадзор, а значит, на судебные проволочки рассчитывать больше не приходится.

Теперь - краткие ответы на самые популярные вопросы, которые могут возникнуть у владельцев сайтов и других интернет-ресурсов.

А кто вообще является оператором персональных данных?

Под такими данными понимаются любые сведения о человеке, которые можно использовать для его идентификации. Законодательством круг этих данных четко не очерчен, так что надо догадываться самостоятельно, исходя из логики. Допустим, по одному имени или никнейму невозможно понять, кто конкретно имеется в виду, а вот по имени и телефонному номеру (или имени и e-mail) - вполне возможно.

Итак, вероятнее всего, вы можете быть признаны оператором персональных данных, если любым способом получаете, подвергаете обработке и храните сведения о людях, сходные с перечисленными ниже (сочетания могут быть любыми):

Любой физический адрес;
E-mail;
Телефонный номер;
Сведения о дате и/ или месте рождения;
Личное фото;
Адрес персонального сайта или ссылку на страницу в любой из соцсетей;
Данные о профессии или роде занятий;
Сведения об образовании, доходах и т.д.

Следовательно, все люди, владеющие интернет-ресурсами, где имеются личные кабинеты, любые формы обратной связи, возможность подписаться или зарегистрироваться, совершить покупку, разместить объявление или заполнить какую-либо анкету - это всё операторы персональных данных. Даже в том случае, когда на ресурсе присутствует одна лишь кнопка, нажатием на которую можно заказать обратный звонок или отправить сообщение - это всё равно будет признано обработкой персональных данных.

В случае если я записал номер приятеля или e-mail девушки на сайте знакомств, я тоже нарушил закон?

Информацию для собственных нужд можно сохранять сколько угодно. Правонарушением будет, если вы вышлете номер приятеля в коллекторскую фирму, а e-meil девушки вместе с её фото опубликуете на сайте по предложению интимных услуг.

Я не хочу нарушать закон! Скажите, как грамотно работать с личными данными пользователей ресурса?

Для этого необходимо:

Получить согласие в письменном виде у всех ваших посетителей в том случае, если ему необходимо передать вам какую-либо информацию о себе;
Вы можете запрашивать только данные, необходимые для определенной цели. К примеру, просить физический адрес или номер паспорта для новостийной рассылки - подозрительно;
Использовать полученные данные строго для целей, перечисленных в документах, и о которых пользователь предупрежден;
по первому требованию пользователя сообщить, какая информация о нем у вас хранится, с какой целью она используется и кому вы её передали (в том случае если такой факт имел место);
В случае поступления требования от пользователя - немедленно удалить данные, использующиеся для рассылок о скидках, акциях и т.д.;
защищать базы данных от взлома, не допускать утечек информации;
пройти регистрацию в Роскомнадзоре.

Что? Какая регистрация? Где?

В соответствии с законодательством операторы персональных данных обязаны поставить в известность Роскомнадзор. Сделать это необходимо до того, как данные начнут обрабатываться, а вообще – чем скорее, тем лучше. Роскомнадзор занесет сведения об операторе в сводный реестр и будет выдавать по запросу.

Уведомление подавать необязательно в следующих случаях:

обработке подвергаются только информация о сотрудниках;
информацию вы получили исключительно для осуществления конкретного договора с указанным лицом и никаким иным образом не будут использованы или переданы;
пользователь сам опубликовал свои данные в общем доступе;
в вашей базе хранится только ФИО заказчика.

Я являюсь владельцем сайта и получаю указанные данные от пользователей. Каковы мои действия?

А вы всё ещё ничего не предприняли? Значит, вы уже нарушаете действующее законодательство, и вам прямо сейчас могут выписать штраф. Даже в том случае, если ваш интернет-ресурс обслуживается сторонней web-студией, занимающейся продвижением сайтов , взыскание так или иначе будет выписано на организацию, название которой прописано на интернет-ресурсе.

Необходимо подготовить публичные документы, после чего на вашем ресурсе сделать их доступными во всех разделах. Либо изложите условия обработки пользовательских данных в оферте либо обыкновенном договоре.

На сайте обязательно должно присутствовать решение, ясно дающее понять, что пользователь разрешил обработку его данных: галочка в регистрационной форме, информирование о сборе данных при оформлении заказа и т.д. Будет лучше, если вы заверите веб-страницу в нотариальной конторе.

Главное правило: если вы сомневаетесь, надо или нет высылать в Роскомнадзор уведомление - лучше вышлите.

Да ладно, ерунда это! Кому надо штрафовать кого-то из-за отсутствия каких-то там оферт и форм регистрации?

Вынуждены расстроить: прецедентов уже достаточно. Прокуратура Тамбовской области выписала штраф фирмы, оказывающей юридические услуги, за обработку информации о пользователях без их на то согласия. Суд решение поддержал.

А астраханская прокуратура налагает штрафы на владельцев интернет-ресурсов за формы обратной связи по алфавиту.

Ну и стоит добавить, что за подобные нарушения могут не только вдобавок к штрафу взыскать компенсацию морального ущерба, но и дать вполне реальный тюремный срок.

Вывод для всех владельцев сайтов: пишем в Роскомнадзор и живём спокойно.

Персональные данные работников есть у всех компаний. С 1 июля 2017 года применяются новые штрафы. Они больше прежних. Подскажем, как работать без нарушений.

С 1 июля 2017 года повышается ответственность за нарушения в работе с персональными данными. Изменения затронут всех без исключения работодателей, у которых в распоряжении есть личные сведения сотрудников и других физлиц.

Что относится к персональным данным в 2017 году

Под персональными данными понимается любая информация о физлице (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ). К таким сведениям, относятся фамилия, имя, отчество, пол, возраст, образование, место жительства физического лица и т.д.

А значит, все документы с персональными данными физлиц работодатель должен обрабатывать, хранить и уничтожать в соответствии с требованиями законодательства.

К таким документам относятся:

трудовая книжка;
паспорт или иной документ, удостоверяющий личность;
страховое свидетельство обязательного пенсионного страхования;
документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
документы об образовании и (или) о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
документы (справки) содержащие сведения о состоянии здоровья работника;
документы (справки) содержащие сведения о возрасте или семейном положении работника.

июля

2017 года увеличатся штрафы за нарушения правил работы с персональными данными

Как обеспечить защиту персональных данных

Рассмотрим, что нужно предпринять в хозяйстве в связи с защитой персональных данных сотрудников и других физлиц. Всего пять шагов.

Шаг 1. Закрепите порядок получения, обработки, передачи и хранения персональных данных в локальном акте организации. Например в положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 № 152-ФЗ).

Шаг 2. Назначьте работника, ответственного за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Это может быть сотрудник отдела кадров, который взаимодействует с личными делами сотрудников. Он будет получать согласие работников на обработку персональных данных, вести карточки сотрудников и т.д.

Шаг 3. Подготовьте шаблон согласия на обработку персональных данных. Без него запрашивать личные сведения физлиц нельзя. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ):

ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате и месте выдачи документа;
наименование или ФИО и адрес работодателя, который получает согласие сотрудника;
цель обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие;
наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
подпись работника.

Образец согласия на обработку персональных данных

Фамилия, имя, отчество (последнее - при наличии) субъекта персональных данных

Адрес места жительства _________________________________________________________

______________________________________________________________________________

Документ, удостоверяющий личность субъекта персональных данных, дата его выдачи и выдавший орган ________________________________________________________________

______________________________________________________________________________

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Настоящим выражаю согласие на обработку моих персональных данных, предусмотренную частью 3 статьи 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ, в целях предоставления Федеральной службой по интеллектуальной собственности (Роспатент) в соответствии с Федеральным законом от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» государственной услуги по государственной регистрации изобретения и выдаче патента на изобретение, его дубликата.

______________________________________________________________________________

(указывается название изобретения)

№ заявки ______________________________________________________________________

(указывается при наличии регистрационного номера заявки)

Заявитель _____________________________________________________________________

______________________________________________________________________________

(указываются фамилия, имя, отчество (последнее - при наличии) и место жительства)

Мне известно, что предоставленные мною персональные данные, которые не являются необходимыми для предоставления указанной государственной услуги, будут подвергнуты обработке, предусмотренной Федеральным законом от 27 июля 2006 г. № 152-ФЗ, при этом публикация моих персональных данных будет произведена Роспатентом в соответствии с действующим законодательством.

Мне известно, что настоящее согласие действует бессрочно. В случае отзыва согласия на обработку персональных данных Федеральная служба по интеллектуальной собственности вправе продолжить обработку персональных данных без моего согласия в соответствии с частью 2 статьи 9, пунктом 4 части 1 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ.

Подпись _______________________________________________

фамилия, имя, отчество (последнее - при наличии)

Дата _____________

Шаг 4. Предоставить по запросу физлица информацию, которая касается обработки его персональных данных (ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ). Среди таких сведений, например:

подтверждение факта обработки персональных данных;
цели обработки персональных данных;
способы обработки персональных данных;
наименование и адрес работодателя, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные по закону и т. д.

Как работать с персональными данными на сайте

Опубликуйте или иначе обеспечьте неограниченный доступ к документу, который определяет политику обработки персональных данных. Если хозяйство собирает персональные данные в интернете, этот шаг тоже нужно сделать (п. 2 ст. 18.1 Закона от 27 июля 2006 г. № 152-ФЗ).

Например, на некоторых сайтах пользователь указывает свои ФИО и e-mail при регистрации или отклике на вакансию. Тогда на сайте нужно разместить ссылки на документы:

«Политика обработки персональных данных»;
«Положение об обработке персональных данных» и т.п.

Сколько хранить персональные данные

Персональные данные нужно уничтожить через 30 дней с той даты получения согласия на обработку его персональных данных. Другой срок можно установить в договоре или соглашении с физлицом.

Если у хозяйства нет возможности уничтожить персональные данные в срок, сведения нужно заблокировать. После этого уничтожить личные сведения нужно не позднее, чем через шесть месяцев (ч. 6 ст. 21 Закона № 152-ФЗ).

Уничтожает персональные данные комиссия на основании приказа руководителя. Результат нужно оформить в виде акта о прекращении обработки персональных данных. Еще вариант - можно сделать запись об уничтожении в специальном журнале.

Кому грозят новые штрафы за нарушение работы с персональными данными

С 1 июля 2017 года расширится перечень оснований для привлечения работодателя к административной ответственности в области защиты персональных данных. Кроме того, увеличатся размеры штрафов (Федеральный закон от 7 февраля 2017 г. №13-ФЗ).

Раньше штраф был только один: от 500 руб. до 1000 руб. для директора и от 5000 руб. до 10 000 руб. для юрлица (ст. 13.11 КоАП РФ). Теперь будет шесть видов ответственности. За разные нарушения работодателей в сфере персональных данных проверяющие смогут применять несколько штрафов. Подробнее о видах нарушения и штрафах - в таблице.→00

Штрафы за нарушение правил работы с персональными данными

Нарушение
Незаконно обработали персональные данные либо обработали не по заявленной цели. Например, компания передала ФИО, телефоны, адреса юрлицу для рекламных рассылок.	Предупреждение или штраф: для физических лиц от 1000 до 3000 руб.; для руководителя или главбуха - от 5000 до 10 000 руб.; для юридических лиц - от 30 000 до 50 000 руб.
Обработали персональные данные без согласия физлица	для физических лиц - от 3000 до 5000 руб.; для руководителя или главбуха - от 10 000 до 20 000 руб.; для юридических лиц - от 15 000 до 75 000 руб.
Не разместили в свободном доступе документы о политике по обработке персональных данных	для физических лиц - от 700 до 1500 руб.; для директора или главбуха - от 3000 до 6000 руб.; для индивидуальных предпринимателей - от 5000 до 10 000 руб.; для юридических лиц - от 15 000 до 30 000 руб.
Не предоставили физлицу информацию, которая касается обработки его персональных данных	для физических лиц - от 1000 до 2000 руб.; для директора, кадровика или бухгалтера - от 4000 до 6000 руб.; для индивидуальных предпринимателей - 10 000 до 15 000 руб.; для юридических лиц - от 20 000 до 40 000 руб.
Не уничтожили или не заблокировали персональные данные	для граждан - от 1000 до 2000 руб.; для директора или главбуха - от 4000 до 10 000 руб.; для юридических лиц - 25 000 до 45 000 руб.
Собрали персональные данные работников только на бумаге и не вели никакой автоматизированной обработки, нет специальных программ для обработки	для физических лиц - от 700 до 2000 руб.; для руководителя или главбуха - от 4000 до 10 000 руб.; для индивидуальных предпринимателей - от 10 000 до 20 000 руб.; для юридических лиц - от 25 000 до 50 000 руб.

Эксперт Илья Шагаев рассказывает об изменениях в законе о персональных данных: что изменится, какие будут последствия и как к этому подготовиться.

Илья Шагаев, генеральный директор CRM-агентства « ДМ Базис ». Персональными данными занимается с 2006 года, входил в Консультативный совет при Роскомнадзоре, в рабочие группы различных ассоциаций по 152-ФЗ.

Приверженец подхода «закон о персональных данных - это не о безопасности баз данных, а о правильной работе с данными частного лица - потенциального клиента, покупателя, работника».

В законодательстве произошли большие изменения, но про них практически не говорят. Так что давно пора привлечь к этому внимание широкой общественности.

Законодательство нас часто пугает и порой кажется тайной даже для людей, знакомых с языком договоров, приложений и прочей формальной документации. Поэтому статья написана простым языком, в первую очередь - для представителей бизнес-аудитории, которые используют персональные данные (далее - ПДн) для рекламы и маркетинговых акций.

Как правило, юристы не любят законодательство о персональных данных - мутное, непонятное, примеры не проработаны. При появлении вопросов о ПДн им проще запретить, чем искать пути решения проблемы. Поэтому российскому бизнесу необходимо уметь ориентироваться в этих вопросах, хотя бы для правильной постановки задач юристам и правильного контроля.

В поисковиках мне удалось найти только три статьи на тему изменений в Законе N 152-ФЗ с 1 июля; во всех трёх грубейшие ошибки в трактовке законодательства и изменений. Правда же в том, что некоторые ужесточения не особо страшны, а вот на другие советуем обязательно обратить внимание.

Государство предприняло самый значимый шаг в законодательстве о ПДн со времени появления самого закона 152-ФЗ. С 1 июля 2017 года вступит в силу закон 13-ФЗ от 07.02.2017, вносящий поправки в КоАП. Ужесточается ответственность за нарушения, которые могут допустить операторы (читаем - бизнес) в работе с ПДн.

Если коротко, то штрафы выросли почти на порядок (до 75 тысяч рублей). Причём за нарушения, которые допустить очень легко и которые видны на каждом шагу. Проверяющим и надзорным органам в том числе.

А привлечь к ответственности стало существенно проще. Если раньше это можно было сделать через прокуратуру (которой этими вашими ПДн заниматься некогда), то сейчас возбудить дело об административном правонарушении может непосредственно регулятор - Роскомнадзор. Который, можете быть уверены, заниматься этим хочет и давно уже ждал изменений в КоАП.

Главное

«Кошмарить бизнес» за нарушения 152-ФЗ стало гораздо выгоднее. Штраф был до 10 000 рублей, стал до 75 000 рублей.

Привлекать к ответственности стало проще. Раньше была прокуратура, которой было не до того, чтобы этим заниматься, а стал Роскомнадзор - регулятор, в зоне ответственности которого и находится 152-ФЗ.

Бизнес, однако, расслаблен, и угрозы не заметил.

Давайте разберёмся, будут ли «кошмарить», за что конкретно и зачем это нужно. Где кошмар, а где нет?

Как было раньше и почему не волнуются сейчас

Небольшое сравнение законодательства и поведения операторов (бизнеса, компаний, юрлиц) «раньше и сейчас».

152-ФЗ «О персональных данных» появился в 2006 году. Всё прошло тихо, и люди всполошились не сразу. Довольно долгое время (год–два) к закону не было подзаконной нормативной базы на тему его применения.

Тем не менее, году в 2008–2009 благодаря появлению нормативки (от Роскомнадзора, ФСТЭК и ФСБ) и более активной работе СМИ некоторый мандраж наступил. Не знающих о законе почти не осталось, а отношение к нему было очень разным.

С операторами-клиентами в то время много общались мои сотрудники в рамках наших CRM-проектов (мы ведём крупные проекты, и клиенты были озадачены), я сам выступал и писал на эту тему, как раз в те годы я входил в Консультативный совет при РКН.

По степени реакции на происходящее в законодательстве выделим четыре категории компаний

2. «Знаем, но не обращаем внимания и считаем это всё полной ерундой. Ещё один неработающий закон: как применять - непонятно, и чем грозит - непонятно».

3. «Знаем, смотрим в ту сторону. Как применять - непонятно, чем грозит - непонятно... Немножко что-то сделаем, типа подготовились».

4. «Знаем и подготовимся по полной программе, насколько это можно в непонятном законодательстве».

Последняя категория позволила хорошо заработать интеграторам и компаниям, специализирующимся на информационной безопасности. Стоимость услуги по подготовке документации «на соответствие 152-ФЗ» могла превышать 2 млн рублей, хотя сама услуга была достаточно типовая.

К 2012 году рынок понял, что «реальной опасности» законы о ПДн не представляют - штрафы мизерные, вчинить их довольно сложно, требования умозрительные, проверки редкие и так далее. Операторы из категорий 3 и 4 плавно перетекли в категорию 2; а категория 4 при этом почувствовала себя обманутой - сначала услуги по подготовке подешевели до 600–500 тысяч, потом до 300 тысяч, а после появились сайты, предлагающие типовой пакет документов за 20–30 тысяч рублей.

Что мы имеем сейчас? Пассивность и нежелание бизнеса обращать внимание на изменения. Несмотря на то, что с изменениями «поймать штраф» до 30 тысяч рублей теперь легко может каждый второй интернет-магазин, а в более запущенных случаях и до 75 тысяч рублей, а в инфопространстве тишина и покой! К моему большому удивлению, ничего не обсуждается, подготовка не ведётся - это отчётливо видно по тем же интернет-сайтам, где штрафы можно просто поставить на поток.

Очевидно, что первая волна 2009–2012 годов, всколыхнувшая операторское сообщество, качнула маятник в другую сторону - от волнений тогда до равнодушия сейчас. Прошедшее время показало, что «выиграли» те, кто не готовился - категория 2. Они и время, и деньги сэкономили, и ничего им за это не было. Не обращать внимания, переждать, а потом оно само уляжется - тактика сработала.

И сейчас уже опытный бизнес, как будто бы поднаторевший на ниве ПДн, не воспринимает серьёзно нынешние изменения, поскольку «всё уже знаем, не пугайте, ничего за это не будет».

Но когда изменения в КоАП уже внесены, риски стали значительно выше.

Изменения в 152-ФЗ. Как стало сейчас, и почему риски операторов увеличились

Как я уже упомянул в начале статьи, буду говорить о примерах, актуальных для наиболее многочисленной группы операторов - тех, кто использует персональные данные частных лиц в целях продвижения товаров, работ и услуг. Это - бизнес, использующий CRM-проекты, программы лояльности, интернет-магазины, финансовые сервисы, такси, мобильные приложения и так далее.

Несмотря на десятилетнюю историю законодательства в сфере ПДн, читают закон и нормативные акты к нему очень плохо и воспринимать их не хотят. Поэтому изменения заслуживают более глубокого анализа, сравнения с самим законом и нормативкой в целом.

Терминологию упрощу, а штрафы приведены в отношении юридических лиц. Хотя в изменениях в КоАП ещё есть штрафы в отношении граждан, должностных лиц.

Теперь протоколы об административных правонарушениях будет составлять Роскомнадзор. Это ключевой регулятор в сфере ПДн, и он давно ждал изменений в КоАП. Потому что возбуждать дела через прокуратуру и в итоге выставлять штраф в 5–10 тысяч рублей очень муторно. А ускорить процесс, проведя всё самостоятельно, и выставить в десять раз больше - гораздо интереснее.

Интерес ведомства значим ещё и потому, что РКН желал увеличения штрафов, определяемых КоАП, до 500 тысяч рублей. Хорошо, что этого не случилось (пока), иначе риски бизнеса взлетели бы до небес. Но и увеличение от 5–10 тысяч рублей до 50–75 тысяч рублей, согласитесь, тоже неплохо.

Итак, КоАП с 1 июля 2017 года, статья 13.11. Семь пунктов, нас касаются первые шесть. Седьмой - про операторов, являющихся государственным или муниципальным органом, и это не про нашу тему.

Шесть пунктов

1. Обработка ПДн в случаях, не предусмотренных законодательством РФ, или обработка ПДн, несовместимых с целями обработки. Штраф от 30 до 50 тысяч рублей

В зоне риска:

Операторы, не указавшие цели обработки или указавшие их неграмотно. Встречается сплошь и рядом.

Операторы, собирающие данные, связь которых с целью обработки очень натянута или вообще необъяснима. Самый частый пример - сбор в анкетах программ лояльности паспортных данных. Это частое требование юристов, плохо читавших закон, и которое теперь может привести к штрафам.

Сюда же может быть отнесена принудительная регистрация в личном кабинете интернет-магазина при покупке. Если цель - продажа товара (доставка по указанному адресу), то запрашиваемая для регистрации информация (и сама регистрация) - избыточна и несовместима с целями.

2. Обработка ПДн без письменного согласия в случаях, когда оно должно быть по закону. Штраф от 15 до 75 тысяч рублей

Может показаться странным, но тут риск невелик. Дело в том, что перечень случаев, когда нужно письменное согласие (в терминах 152-ФЗ), ограничен, и продвижение товаров и услуг к нему не относится. А то, что многие называют сбором письменных согласий (в виде анкет), - это неверное понимание и трактовка законодательства. Недавно мне попалась на глаза одна из немногих разъяснительных статей по изменениям с 1 июля - и даже в экспертной статье неверно объясняются принципы письменного согласия. И вообще прелестно выглядит в другой статье рекомендация «получать письменное согласие у каждого подписчика на сайте».

3. Невыполнение оператором обязанности по обеспечению доступа к политике обработки ПДн. Штраф от 15 до 30 тысяч рублей

Вот здесь как раз группа риска огромна.

Любой сбор данных, относящихся к категориям ПДн в формах на сайтах, должен сопровождаться указаниями на политику обработки этих данных. То есть, программа минимум - на любом сайте необходимо реализовать такой документ. И совсем хорошо, когда из формы сбора данных дана ссылка на него. Отсутствие этого документа - повод для штрафа.

Вот примеры того, как обычно бывает:

Ни ссылок из анкет, ни самой политики обработки персональных данных в открытом доступе на сайтах этих интернет-магазинах нет. Кстати, за примерами далеко ходить не надо - это первые два магазина, где я пытался совершить нужную мне покупку. Это обычная ситуация, но получить с магазина от 30 до 50 тысяч рублей штрафа с 1 июля будет просто.

А вот так должно быть:

Годится, если на сайте просто где-то в футере есть ссылка на политику обработки данных или политику конфиденциальности. Пользовательское соглашение, в котором прописаны пункты о соответствии 152-ФЗ, тоже подходит.

4. Невыполнение оператором обязанности по предоставлению частному лицу информации об обработке его ПДн. Штраф от 20 до 40 тысяч рублей

Зона риска:

С одной стороны, сам порядок запроса субъектом информации об обработке его ПДн довольно сложен (он прописан в 152-ФЗ). И редкий субъект его выполнит

С другой, обязанность о предоставлении информации об обработке ПДн возникает при получении данных через третье лицо. Например, в партнёрских программах, различных кросс-промо, сменах подрядчиков в маркетинговых кампаниях и так далее.

В самом 152-ФЗ прописано, когда и как необходимо уведомлять субъекта.

5. Невыполнение в установленные сроки требования (частного лица, его представителя, уполномоченного органа) о блокировании-уничтожении-изменении ПДн. Штраф от 25 до 45 тысяч рублей

Зона риска:

Как упомянул выше, порядок запроса со стороны субъекта довольно сложен, поэтому таких запросов ещё очень мало. В этом смысле пункт оператору особо не угрожает

Будут ли при трактовке этого пункта сюда относить, например, отказ от email-рассылки или SMS, это вопрос...

Это заслуживает отдельного изучения. Формально никакого «упрощённого» порядка отзыва субъектом своего согласия на обработку данных законодательство не предусматривает. Но не рекомендовал бы пренебрегать остановкой коммуникаций с покупателем, если он попросил не беспокоить его. Кстати, в этом случае можно поиметь ещё и претензии ФАС в соответствии с законом «О рекламе».

6. Невыполнение обязанностей по хранению материальных носителей ПДн. Штраф от 25 до 50 тысяч рублей

Зона риска:

Если вы храните свои бумажные архивы (анкеты, договоры с частными лицами, заявки-запросы) очень долго, убедитесь, что это хранение обеспечивает конфиденциальность. Простой склад по соседству вряд ли подходит, должно быть что-то более безопасное. Либо проработайте с юристами механику перевода архива в электронный вид.

На всякий случай подчеркну, что выше упрощены трактовки и термины и даны самые быстрые и очевидные рекомендации. Этого достаточно, чтобы в целом понять состав изменений и их трактовать.

Если углубляться, то интересных выводов будет ещё много. Как минимум три-четыре пункта из приведённых заслуживают отдельного рассмотрения.

Может, так нам и надо?

Напоследок выскажу такую крамольную мысль. Может, она и странно прозвучит из уст представителя операторов, но скажу. Тем более, она впрямую следует из хронологии событий и моих тезисов «почему сообщество расслаблено».

Давайте честно признаемся - бизнес относится к персональным данным частных лиц довольно халатно. Большие компании стараются выстроить правильную политику работы с ними, но даже крупный бизнес ещё далеко не весь обратил внимание на качественные принципы работы с ПДн. А уж средний и малый - тем более. Многие даже не понимают, что данные покупателей - это ценность, и что нужно уважать права частного лица при работе с его данными. И что сам закон не про информационную безопасность, а про соблюдение прав.

По-прежнему имеют место сливы баз данных «налево», неправомерное использование данных (то самое «не соответствующее целям»). Покупателей раздражает чрезмерная коммуникативная активность бизнеса, тем более когда от неё не удаётся отказаться с первого раза.

Всё это - неверные принципы и неверные бизнес-процессы работы с данными. Непонимание и неверные коммуникационные стратегии как основа, и огульное использование данных как следствие.

Как знать, может быть, огромной массе операторского сообщества и нужна увесистая дубина в виде повышенного внимания надзорного органа и применения штрафов?

Грамотный маркетинговый подход к CRM и лояльности - это то, что называется permission-marketing (разрешительный маркетинг). Правильно выстроенные CRM-процессы и процессы обработки данных могут и должны дружить с законодательными требованиями (в случаях, когда эти требования ясны, конечно).

И необходимо обратить внимание ещё на один важный момент. При увеличении штрафов и ускорении возможного наказания можно найти позитивный момент в изменениях - конкретизацию состава нарушений. В предыдущей редакции была очень общая формулировка «Нарушение установленного законом порядка...» и она могла трактоваться весьма широко. Сейчас же семь (шесть, касающихся бизнеса) пунктов достаточно конкретизированы и понятны. Это, на мой взгляд, хороший шаг государства навстречу прозрачности законодательства в этой сфере.

Помните известное «не умеешь - научим, не хочешь - заставим».

увеличат старые штрафы или
установят новые.

Так, КоАП РФ предусмотрел изменения:

для розничного продавца алкоголя;
строительной саморегулируемой организации;
строительной или проектной организации;
субъектов, которые используют ГМО;
операторов персональных данных.

Розничный продавец алкоголя

Розничный продавец понесет ответственность за продажу алкоголя в полимерной потребительской таре объемом более 1,5 литра.

Установили штраф:

должностному лицу и предпринимателю – от 100 тыс. до 200 тыс. руб.;
организации – от 300 тыс. до 500 тыс. руб.

Помимо штрафа, суд вправе применить конфискацию продукции.

Эти изменения установили в части 2.2, которой дополнили статью 14.16 КоАП РФ (ст. 2 Федерального закона от 23 июня 2016 г. № 202-ФЗ «О внесении изменений в Федеральный закон "О государственном регулировании производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции и об ограничении потребления (распития) алкогольной продукции" и Кодекс Российской Федерации об административных правонарушениях»).

Строительная саморегулируемая организация

Появится два новых состава.
Непредставление сведений в госреестр (ст. 14.63 КоАП РФ).

Строительная саморегулируемая организация (СРО) понесет ответственность, если для госреестра (ч. 1):

дне представит или нарушит срок предоставления сведений;
представит недостоверные сведения.

Установили штраф:

должностному лицу и предпринимателю – от 1 тыс. до 2 тыс. руб.;
организации – от 5 тыс. до 10 тыс. руб.

За повторное нарушение в течение года (ч. 2) – штраф:

должностному лицу и предпринимателю – от 20 тыс. до 30 тыс. руб.;
организации и предпринимателю – от 100 тыс. до 200 тыс. руб.

Должностное лицо или предпринимателя могут вместо штрафа дисквалифицировать на срок от шести месяцев до одного года
Отсутствие обязательных градостроительных документов (ст. 14.64 КоАП РФ).
Строительная СРО понесет ответственность, если не исполнит требования о хранении обязательных градостроительных документов.

Штраф:

должностному лицу и предпринимателю – от 2 тыс. до 5 тыс. руб.;
организации – от 20 тыс. до 50 тыс. руб.

Строительная или проектная организация

Статью 9.5.1 КоАП РФ, которая устанавливает ответственность за выполнение работ без свидетельства, изложат в новой редакции. Изменений два.

1. По части 1 ответственность наступит, если одновременно лицо:

обязано быть членом СРО в области проектирования и строительства;
не входит в состав такой СРО;
выполняет строительные или проектные работы.

Изменение связано с тем, что с 1 июля для строительных и проектных работ не нужно будет свидетельство о допуске, которое сейчас выдает СРО, а достаточно просто быть членом СРО.

2. По части 2 ответственность наступит, если юридическое лицо или предприниматель нарушило требования:
1) законодательства о градостроительной деятельности, к лицам, которые имеют право:

выполнять инженерные изыскания,
подготавливать проектную документацию,
вести строительство, реконструкцию, капитальный ремонт объектов капитального строительства;

2) по договорам:

о выполнении инженерных изысканий,
подготовке проектной документации,
строительстве, реконструкции, капитальном ремонте объектов капитального строительства.

При этом такой договор заключили с использованием конкурентных способов определения поставщиков (подрядчиков, исполнителей):

в соответствии с Федеральным законом от 5 апреля 2013 г. № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», Федеральным законом от 18 июля 2011 г. № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» или
в иных случаях по результатам торгов, если по закону проведение торгов обязательно.

К «иным случаям» Минэкономразвития России относит заключение контракта с единственным поставщиком по итогам несостоявшихся конкурентных способов определения поставщика (письмо от 7 ноября 2016 г. № Д28и-2901).

Эти изменения установила статья 3 Федерального закона от 3 июля 2016 г. № 372-ФЗ «О внесении изменений в Градостроительный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации».
Санкции остались прежними.

Субъекты, которые используют ГМО
Установят ответственность за нарушение в области генно-инженерной деятельности. Так, лицо понесет ответственность за использование продукции, которую получили с применением генно-инженерно-модифицированных организмов, если она не прошла госрегистрацию.

Установили штраф:

должностному лицу и предпринимателю – от 10 тыс. до 50 тыс. руб.;
организации – от 100 тыс. до 500 тыс. руб.

Рассматривать дела по статье 6.3.1 будет федеральный орган исполнительной власти, который контролирует выпуск ГМО (ст. 23.13.1). Пока неясно, какое именно ведомство будет контролировать это и рассматривать дела.

Эти изменения установили новые статьи 6.3.1 и 23.13.1 (ст. 3 Федерального закона от 3 июля 2016 г. № 358-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части совершенствования государственного регулирования в области генно-инженерной деятельности»).
Операторы персональных данных

Статью 13.11, которая устанавливала ответственность за нарушения порядка сбора персональных данных, изложат в новой редакции (ст. 1 Федерального закона от 7 февраля 2017 г. № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»).

Сейчас статья состоит из одного состава и предусматривает ответственность за нарушение порядка:

сбора,
хранения,
использования или
распространения информации о гражданах (персональных данных).

Максимальный штраф составляет 10 тыс. руб.
С 1 июля статья будет включать в себя семь составов. Максимальный штраф – 75 тыс. руб.
Ответственность, как и сейчас, будут нести операторы персональных данных.
Роскомнадзор ведет специальный реестр операторов. В нем почти 375 тысяч операторов. Среди них сотовые компании, банки, магазины, больницы.

Возможно, будет полезно почитать: