Изменение в порядке обработки и хранении персональных данных с 1 июля 2017 — Техническая поддержка

Найти

Общее

Правила рассмотрения обращений от правообладателей Бланки заявлений Правила проведения массовых рассылок на серверах хостинга Как правильно обращаться в службу технической поддержки Изменение в порядке обработки и хранении персональных данных с 1 июля 2017

Изменение в порядке обработки и хранении персональных данных с 1 июля 2017

Об изменениях закона по персональным данным рассказывают много, и мы решили присоединиться

Что происходит?

С 1 июля 2017 года:

вводятся новые составы административных правонарушений за нарушения законодательства в области персональных данных (больше поводов вас поштрафовать немножечко),
упрощается процедура привлечения к административной ответственности за нарушения (вас становится легче штрафовать),
увеличиваются суммы штрафов (легче – и интереснее!).

Если раньше штраф был 10 000 рублей, то после 1 июля совокупный размер штрафов для юридических лиц может достигать 295 000 рублей. Вот теперь появляется экономический смысл заняться-таки этими несчастными персональными данными.

Кого могут оштрафовать?

Всех, кто обрабатывает персональные данные. А обработка персональных данных – это любые действия по сбору, хранению, записи, использованию, передаче персональных данных (п. 3 ст. 3 Федерального закона «О персональных данных» № 152-ФЗ).

Что относится к персональным данным?

Любая информация, позволяющая идентифицировать человека. В формулировке закона - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Такой информацией, например, являются:

фамилия, имя, отчество;
год, месяц, дата рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы;
e-mail, фотография, cookie, данные об IP-адресе, местоположении без указания фамилии и имени. Если cookie и IP-адреса стало неожиданностью, то можно посмотреть Решение Арбитражного суда г. Москвы от 11.03.16 г. по делу № А40-14902/2016.

В конечном итоге, если вы сомневаетесь, относится ли что-то к персональным данным, на всякий случай лучше считать что относится.

Что делать если я - владелец сайта и получаю персональные данные?

Сайт должен соответствовал требованиям Закона.

1. Должно быть размещено согласие на обработку персональных данных, без одобрения которого, пользователь не может вам направлять данные.
2. Разместить на сайте в общем доступе ссылку на документ – политика организации по обработке персональных данных.
3. Все новые пользователи сайта должны быть предупреждены всплывающим на сайте сообщением о сборе данных пользователей (cookie, данные об IP-адресе и местоположении) с целью обеспечения работы сайта. Если пользователь не хочет эти данные предоставлять, он должен покинуть сайт или настроить свое программное обеспечение и/или оборудование таким образом, чтобы сайт эти данные не получал или по ним нельзя было определить пользователя.
4. Определить, должны ли вы подать уведомление об обработке персональных в Роскомнадзор. Из требования уведомлять Роскомнадзор есть исключения (об этом ниже, а также см. ч. 2 ст. 22 Закона).

Что по ответственности?

До 1 июля 2017 года возбуждать дела по административным делам, связанным с персональными данными был вправе исключительно прокурор, с 01 июля 2017 г. дела по статье 13.11 КоАП будут вправе возбуждать должностные лица Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ). Если до 1 июля 2017 года был один состав правонарушения (общее нарушение в сфере персональных данных), то сейчас их стало много:

Правонарушение	Административное наказание	Защита от риска
Обработка персональных данных в "иных" целях Обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями сбора персональных данных (ч. 1 ст. 13.11 КоАП РФ).	Предупреждение или штраф: на граждан - в размере от 1000 до 3000 руб.; на должностных лиц – 5000 до 10 000 руб.; на юридических лиц – от 30 000 до 50 000 руб.	Обрабатывать персональные данные только в указанных в согласии и политике целях и согласно ч. 1 ст. 3 Закона о персональных данных.
Обработка персональных данных без согласия Обработка персональных данных без согласия в письменной форме в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ (ч. 2 ст. 13.11 КоАП РФ).	Штраф: на граждан - в размере от 3000 до 5000 руб.; на должностных лиц (например, директор, кадровик или ИП) – от 10 000 до 20 000 руб.; на организации - от 15 000 до 75 000 руб.	Получить согласие на обработку. При этом согласие на обработку персональных данных должно включать в себя информацию, указанную в части 4 статьи 9 Закона № 152-ФЗ.
Непредоставление доступа к политике по обработке персональных данных Невыполнение операторомобязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных. (ч. 3 ст. 13.11 КоАП РФ).	Предупреждение или штраф: на граждан - от 700 до 1500 руб.; на должностных лиц (например, директора или главбуха) - от 3000 до 6000 руб.; на индивидуальных предпринимателей - от 5000 до 10 000 руб.; на организации - от 15 000 до 30 000 руб.	Опубликовать на сайте документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу.
Сокрытие информации от субъекта о собираемых о нем персональных данных Невыполнение оператором обязанности по предоставлению информации, касающейся обработки персональных данных, в том числе содержащей сведения, указанные в ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ) (ч. 4 ст. 13.11 КоАП РФ).	Предупреждение или штраф: на граждан – от 1000 до 2000 руб.; на должностных лиц (например, директора, кадровика или бухгалтера) - от 4000 до 6000 руб.; на индивидуальных предпринимателей – 10 000 до 15 000 руб.; на юридических лиц (организаций) – от 20 000 до 40 000 руб.	Предоставлять субъекту персональных данных информацию, касающуюся обработки его персональных данных, в сроки, установленные законом.
Невыполнение требований об уничтожении и блокировке персональных данных Невыполнение оператором требования об уточнении персональных данных, их блокировании или уничтожении (ч. 5 ст. 13.11 КоАП РФ).	Предупреждение или штраф: на граждан - от 1000 до 2000 руб.; на должностных лиц (например, директора, кадровика или главбуха) - от 4000 до 10 000 рублей; на ИП - от 10 000 до 20 000 рублей; на юридических лиц – 25 000 до 45 000 руб.	Выполнять требования об уточнении персональных данных, их блокировании или уничтожении, в сроки, установленные законом.
Несохранность персональных данных Необеспечение оператором сохранности персональных данных, если это привело к неправомерному или случайному доступу к персональным данным. А это, в свою очередь, послужило причиной их уничтожения, изменения, блокирования, копирования, предоставления, распространения либо иного неправомерного действия. (ч. 6 ст. 13.11 КоАП РФ).	Штраф: на граждан - 700 до 2000 руб.; на должностных лиц (например, руководителя) - от 4000 до 10 000 руб; на индивидуальных предпринимателей - от 10 000 до 20 000 руб; на организаций – от 25 000 до 50 000 руб.	Обеспечить хранение материальных носителей персональных данных, утвердить правила получения доступа к персональным данным.
Неуведомление Роскомнадзора об обработке данных Непредставление уведомления об обработке персональных данных в Роскомнадзор, его несвоевременное представление либо представление уведомления, содержащего неполные или недостоверные сведения (ст. 19.7 КоАП РФ).	Предупреждение или штраф: для граждан - от 100 до 300 руб.; для должностных лиц (в том числе индивидуальных предпринимателей - примечание к ст. 2.4 КоАП РФ) - от 300 до 500 руб. При этом согласно примечанию к ст. 2.4 КоАП РФ такими лицами являются руководители и иные работники организаций, выполняющие организационно-распорядительные или административно-хозяйственные функции; для юридических лиц - от 3000 до 5000 руб.	Если вы обрабатываете, храните персональные данные – вы оператор и должны уведомить Роскомнадзор (ч. 1 ст. 22, п. 2 ст. 3 Закона). Исключение: уведомлять Роскомнадзор не нужно (часть 2 статьи 22 Закона), если: Вы обрабатываете данные работника (п. 1 ч. 2 ст. 22 Закона). Если обработка включает только фамилии, имена и отчества субъектов персональных данных (п. 5 ч. 2 ст. 22 Закона).

Отсутствие обязанности уведомлять Роскомназдор не освобождает от обязанности получать согласия на обработку персональных данных и иметь политику обработки. Например, если у вас есть работники, то согласие на обработку персональных данных необходимо либо сделать отдельным документом, либо в самом трудовом договоре оставить строчку для подписи работника (Судебная практика считает, что если согласие на обработку персональных данных дано в трудовом договоре, но нет места для подписи работника, то согласие работника не было дано).

Важно помнить: политику, согласие на обработку нужно составлять с учетом того, какие данные вы обрабатываете и какими способами. Это значит, что недостаточно просто скачать в сети эти документы, а нужно переделать их под себя. Если документы не учитывают ваши процессы обработки - считайте что у вас этих документов нет.

И самое главное – насколько риск привлечения к ответственности реален?

Ответ здесь будет крайне расплывчатым. Учитывая новые полномочия Роскомнадзора, новые статьи в КоАП и их весомые суммы, риск привлечения к ответственности вырастет по сравнению с тем, как это было раньше. Но насколько? Практика покажет.

И последнее, что беспокоит из-за грядущих изменений: сейчас регистраторы доменных имен (особенно крупные) по адвокатскому запросу от имени правообладателя охотно выдают информацию об администраторе доменного имени (физическом лице), чье доменное имя или сайт на этом доменном имени, нарушает права этого правообладателя.

Что же будет после 1 июля непонятно. Если регистраторы перестанут выдавать информацию об администраторе-физическом лице (его ФИО, адрес), ссылаясь на необходимость сохранять персональные данные, то правообладатель окажется в затруднительной ситуации: он не сможет обратиться в суд, потому что не знает к кому предъявлять иск.

Правообладатель может обратиться с требованием к владельцу сайта (если его контакты есть на сайте, конечно), а не администратору домена, а потом судебному запросу узнать, кто администратор домена. Однако дальше арбитражный суд не будет рассматривать иск к администратору из-за несоблюдения претензионного порядка разрешения споров. Но соблюсти этот претензионный порядок правообладатель не мог, так как не знал, кому писать.

И получается что после нескольких месяцев судебного процесса, когда правообладатель узнает, кто администратор и направит тому претензию, размер ущерба для правообладателя может стать очень существенным.

Кроме того, в связи с разъяснениями Суда по интеллектуальным правам, некоторые претензии можно предъявить только администратору домена, но не владельцу сайта. Из этого следует, что правообладатель должен еще потратиться на суд с владельцем сайта, который так-то ему не нужен. Такой проблемы нет, если администратор домена – юридическое лицо, но администраторов-физических лиц очень много.