Главная » e-Commerce: электронная коммерция

Всем, у кого есть сайт! С 1 июля штрафы увеличатся до 300 тыс. руб.

Добавлено на 21.07.2017

1 июля 2017 года вступили в силу оправки в статью 13.11 КоАП РФ об ужесточении ответственности за нарушения закона о персональных данных. Они коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные.

ПОЧЕМУ ВСЕХ?

Потому, что согласно размытой формулировки Закона о персональных данных – под понятие оператора подпадают практически все.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Ст. 3 ФЗ №152 «О персональных данных»

Как видно из определения в законе персональные данные — это любые данные о человеке, по которым его можно идентифицировать. В законе нет перечня таких данных. Например, по имени или логину нельзя понять, что это за человек, а по имени и телефону или имени и электронной почте — можно.

Вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:

  • фамилию,
  • имя,
  • отчество,
  • какой-то физический адрес,
  • электронную почту,
  • телефон,
  • дату или место рождения,
  • фотографию,
  • ссылку на персональный сайт или соцсети,
  • профессию,
  • образование,
  • уровень доходов,
  • семейное положение.

Это значит, что:

  • все юридические лица, у которых есть сотрудники, бухгалтерия;
  • все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету

это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения — это тоже обработка персональных данных.

КАК ПРАВИЛЬНО РАБОТАТЬ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ, ЧТОБЫ НЕ НАРУШИТЬ ЗАКОН?

Что нужно:

  • получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
  • публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
  • запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
  • использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
  • сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
  • удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
  • хранить базы данных в надежном месте, защищать их от взлома и утечки;
  • научить сотрудников работать с персональными данными;
  • зарегистрироваться в Роскомнадзоре.
  • Подготовить пакет документов по защите персональных данных.

ЗАЧЕМ РЕГИСТРИРОВАТЬСЯ?

Да, по закону операторы персональных данных должны уведомить Роскомнадзор. Причем сделать это нужно до начала обработки данных или как можно скорее. Роскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более — распространяться;
  • человек сам опубликовал эти данные в общем доступе;
  • у вас есть только ФИО клиента и больше ничего.

Что изменилось с 1 июля 2017 года

Федеральный закон от 07.02. 2017 № 13-ФЗ расширил перечень оснований для привлечения работодателя к административной ответственности в области защиты персональных данных, а также увеличил размеры административных штрафов. Этот закон вступил в силу с 1 июля 2017 года. До этого административная ответственность была, но это был один состав и штрав составлял до 10 000 рублей. Теперь административная ответственность в сфере персональных данных существенно ужесточена. При этом важно следующее: вместо единственного вида административной ответственности, описанного в статье 13.11 КоАП РФ, появилось семь. Таким образом, за различные нарушения работодателей в сфере персональных данных можно будет применять разные штрафы. Если нарушение по разным составам выявят несколько, то, соответственно, количество штрафов может увеличиваться.

НАРУШЕНИЕ 1: ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ В «ИНЫХ» ЦЕЛЯХ

Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных (ч. 1 ст. 13.11 КоАП РФ).

Приведем пример: организация-работодатель собирает персональные данные работников и передает эти данные сторонним компаниям в рекламных целях (передаются ФИО, телефоны, регионы проживания, уровень дохода). Потом рекламные фирмы начинают рассылать работникам на телефон, e-mail и домашние адреса различный спам и рекламные предложения. Если в таких действиях работодателя не будет выявлено уголовного состава преступления, то можно будет применить административную ответственность. С 1 июля 2017 года административное наказание может быть следующим:

  • или предупреждение;
  • или штрафы.

на граждан — в размере от 1000 до 3000 руб.;

на должностных лиц – 5000 до 10 000 руб.;

на юридических лиц – от 30 000 до 50 000 руб.

нарушение по разным составам выявят несколько, то, соответственно, количество штрафов может увеличиваться.

НАРУШЕНИЕ 2: ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ БЕЗ СОГЛАСИЯ

Обработка персональных данных работодателем, по общему правилу, возможна только с письменного согласия работников. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ):

  • ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
  • наименование или ФИО и адрес работодателя (оператора), получающего согласие сотрудника;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
  • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись работника.

С 1 июля 2017 года обработка персональных данных без согласия субъекта персональных данных в письменной форме, либо если письменное согласие не содержит обозначенных выше сведений – это самостоятельное административное нарушение, предусмотренное в части 2 статьи 13.11 КоАП РФ. За него возможны штрафные санкции:

  • на граждан — в размере от 3000 до 5000 руб.;
  • на должностных лиц (например, директор, кадровик или ИП) – от 10 000 до 20 000 руб.;
  • на организации — от 15 000 до 75 000 руб.

Размещения на сайтах под каждой формой сбора персональных данных – Согласия на обработку данных – засчитывается как получение письменного согласия.

НАРУШЕНИЕ 3: ДОСТУП К ПОЛИТИКЕ ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Оператор персональных данных (например, работодатель или интернет-сайт) обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных в Интернете (например, через сайт), обязан опубликовать в Интернете документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу. Это предусмотрено пунктом 2 статьи 18.1 Закона от 27 июля 2006 г. № 152-ФЗ.

Необходимо на сайте, если Вы собираете персональные данные (форма обратной связи и т.д.) – разместить Политику об обработки персональных данных. Мы рекомендуем делать это в футере. В разделе документы, рядом с Пользовательским соглашением.

С 1 июля 2017 года в части 3 статьи 13.11 КоАП РФ выделен самостоятельный состав правонарушения – невыполнение оператором обязанности по публикации или предоставлению неограниченного доступа к документу с политикой по обработке персональных данных или сведениями по их защите. Ответственность по этой статье может выглядеть как предупреждение или административные штрафы:

  • на граждан — от 700 до 1500 руб.;
  • на должностных лиц (например, директора или главбуха) — от 3000 до 6000 руб.;
  • на индивидуальных предпринимателей — от 5000 до 10 000 руб.;
  • на организации — от 15 000 до 30 000 руб.

НАРУШЕНИЕ 4: СОКРЫТИЕ ИНФОРМАЦИИ

Субъект персональных данных (то есть, физическое лицо, кому принадлежат эти данные) имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей (ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ):

  1. подтверждение факта обработки персональных данных оператором;
  2. правовые основания и цели обработки персональных данных;
  3. цели и применяемые оператором способы обработки персональных данных;
  4. наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  6. сроки обработки персональных данных, в том числе сроки их хранения;
  7. порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
  8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
  10. иные сведения, предусмотренные Федеральным законом или другими федеральными законами.

С 1 июля 2017 года невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, является самостоятельным административным нарушением. Оно влечет предупреждение или наложение административных штрафов:

  • на граждан – от 1000 до 2000 руб.;
  • на должностных лиц (например,директора, кадровика или бухгалтера) — от 4000 до 6000 руб.;
  • на индивидуальных предпринимателей – 10 000 до 15 000 руб.;
  • на юридических лиц (организаций) – от 20 000 до 40 000 руб.

НАРУШЕНИЕ 5: УТОЧНЕНИЯ ИЛИ БЛОКИРОВКА

Статья 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» предусматривает, что в ряде случаев оператор обязан уточнять, блокировать или уничтожать персональные данные физических лиц.
С 1 июля 2017 года введен новый вид административного нарушения – невыполнение оператором требования субъекта персональных данных или его представителя об уточнении, блокировке, уничтожении данных (если данные неполные, устаревшие, неточные, незаконно получены или не являются необходимыми для заявленной цели обработки). Такие действия с 1 июля 2017 года влекут т предупреждение или наложение административных штрафов:

  • на граждан — от 1000 до 2000 руб.;
  • на должностных лиц (например, директора, кадровика или главбуха) — от 4000 до 10 000 рублей;
  • на ИП — от 10 000 до 20 000 рублей;
  • на юридических лиц – 25 000 до 45 000 руб.

НАРУШЕНИЕ 6: СОХРАННОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

Субъект персональных данных (то есть, физическое лицо, кому принадлежат эти данные.

Многие работодатели собирают персональные данные работников только «на бумаге» и не ведут никакой автоматизированной обработки, не имеют специальных программ для обработки и баз данных. С 1 июля 2017 года законодатели выделили для таких операторов (в частности, работодателей) новый вид правонарушения за необеспечение оператором при обработке персональных данных без использования средств автоматизации обязанности по сохранности персональных данных при хранении их материальных носителей, если это привело к неправомерному или случайному доступу к персональным данным. А это, в свою очередь, послужило причиной их уничтожения, изменения, блокирования, копирования, предоставления, распространения либо иного неправомерного действия. Если это произошло, то административная ответственность может наступить в виде административного штрафа:

  • на граждан — 700 до 2000 руб.;
  • на должностных лиц (например, руководителя) — от 4000 до 10 000 руб;
  • на индивидуальных предпринимателей — от 10 000 до 20 000 руб;
  • на организаций – от 25 000 до 50 000 руб.

НАРУШЕНИЕ 7: ОБЕЗЛИЧИВАНИЕ

Субъект персональных данных (то есть, физическое лицо, кому принадлежат эти данные.

В исключительных случаях, предусмотренных законодательством, государственные и муниципальные органы должны обезличивать персональные данные, которые обрабатывают в своих информационных системах, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (подп. «з» п. 1 перечня, утвержденного постановлением Правительства РФ от 21 марта 2012 г. № 211). К таким случаям относится, например, необходимость государственных и муниципальных органов размещать в открытом доступе документы, содержащие персональные данные, допустим, обезличенные копии судебных актов (п. 3 ст. 15 Закона от 22 декабря 2008 г. № 262-ФЗ).

Под обезличиванием персональных данных можно понимать процесс, в результате которого становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному человеку (ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).

С 1 июля 2017 года невыполнение должностными лицами государственного или муниципального органа – оператора персональных данных обязанностей по обезличиванию персональных данных либо за нарушение требований к этому процессу – административное нарушение. Возможна ответственность в виде предупреждения или наложения административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.

Получается, что административные штрафы с 1 июля 2017 года существенно увеличились. При этом установили новые размеры штрафов в зависимости от вида совершенного правонарушения. В общей сложности организацию могут оштрафовать за отсутствие защиты персональных данных в пределах 300 000 рублей.

До 1 июля 2017 года максимально возможный административный штраф составлял для организаций – 10 000 рублей. И состав нарушения в статье 13.11 КоАП РФ был одним.

ПРИВЛЕКАТЬ К ОТВЕТСТВЕННОСТИ СТАНЕТ ПРОЩЕ

До 1 июля 2017 года возбуждать дела по административным делам, связанным с персональными данными, по статье 13.11 КоАП РФ был вправе исключительно прокурор. Это предусмотрено частью 1 ст. 28.4 КоАП РФ. С 1 июля 2017 года участие прокурора стало необязательным. С 1 июля 2017 г. дела по статье 13.11 КоАП вправе возбуждать должностные лица Роскомнадзора. (п. 58 части 2 статьи 28.3 КоАП РФ). Следовательно, процедура привлечения к ответственности по делам о персональных данных становится проще.

У МЕНЯ ЕСТЬ СОТРУДНИКИ И САЙТ. Я СОБИРАЮ ПЕРСОНАЛЬНЫЕ ДАННЫЕ.

ЧТО МНЕ ДЕЛАТЬ?

Если вы до сих пор ничего не сделали, то вы уже нарушаете закон и вас уже сейчас могут оштрафовать. Даже если ваш сайт обслуживает веб-студия или удаленный айтишник, штраф всё равно выпишут на ту компанию или ИП, которые указаны на сайте.

  1. Подготовить необходимый пакет документов;
  2. Разместить публичные документы на сайте;
  3. Реализуйте решение, которое позволит четко установить, что человек согласился на обработку персональных данных. Это может быть галочка в форме регистрации или предупреждение при оформлении заказа;
  4. Подайте уведомление в Роскомнадзор.

ПЕРЕЧЕНЬ НЕОБХОДИМЫХ ДОКУМЕНТОВ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Приказ о приведении в соответствие с требованиями законодательства в области персональных данных
  2. Положение о комиссии по приведению в соответствие с требованиями законодательства в области персональных данных
  3. План мероприятий по приведению в соответствие с требованиями законодательства в области персональных данных
  4. Перечень должностей и третьих лиц, допущенных к обработке персональных данных
  5. Форма Обязательства о неразглашении персональных данных
  6. Форма Соглашения о соблюдении конфиденциальности персональных данных, переданных на обработку
  7. Перечень обрабатываемых персональных данных
  8. Форма Согласия на обработку персональных данных
  9. Перечень информационных систем персональных данных
  10.  Перечень применяемых средств защиты
  11. Технический паспорт информационных систем персональных данных
  12. Приказ о назначении лиц, ответственных за обработку и защиту персональных данных
  13. Инструкция администратора безопасности информационных систем персональных данных
  14. Инструкция менеджера обработки персональных данных
  15. Положение по обработке персональных данных
  16. Политика компании в отношении обработки персональных данных
  17. Положение о защите персональных данных
  18. Уведомление об обработке персональных данных
  19. Регламент по проведению классификации информационных систем персональных данных
  20. Модель угроз безопасности персональных данных
  21. Протокол определения ущерба
  22. Акты классификации информационных систем персональных данных
  23. Техническое задание на систему защиты персональных данных
  24. Приказ об утверждении инструкции пользователя информационных систем персональных данных
  25. Инструкция пользователя информационных систем персональных данных
  26. Регламент по учёту, хранению и уничтожению носителей персональных данных
  27. Регламент по допуску сотрудников и третьих лиц к обработке персональных данных
  28. Регламент по реагированию на запросы субъектов персональных данных
  29. Регламент по взаимодействию с органами государственной власти в области персональных данных
  30. Регламент по резервному копированию персональных данных
  31. Регламент по проведению контрольных мероприятий и реагированию на инциденты информационной безопасности

РЕКОМЕНДАЦИЯ

Не используйте чужие документы. Их можно взять для ориентира, но список данных и цели использования нужно прописывать свои. То, что нужно банку для оформления кредита или интернет-магазину для доставки товара, не понадобится для электронной рассылки или доски объявлений. Запрашивать ненужные данные — нарушение закона и повод для штрафа.

ПРАКТИКА

В Тамбовской области прокуратура оштрафовала юридическую компанию за заполнение формы обратной связи без согласия пользователя на обработку персональных данных. Суды поддержали.

Директора управляющей компании оштрафовали за то, что он передал юристам данные должников, чтобы составить исковые заявления. Согласие на обработку персональных данных у жильцов он не получил. Конституционный суд ему не помог.

В Астрахани прокуроры штрафуют владельцев сайтов за формы обратной связи по алфавиту.

Постановление Тамбовского областного суда № 4А−288/2016

Определение КС № 100-О от 28.01.16 по делу директора УК

О штрафах в Астрахани в газете «Волга»

Козловская Анна, к.ю.н., юрист в области интернет бизнеса www.akzl.ru