Персональные данные - это сведения о том или ином физическом лице. Эту информацию пользователи вводят на различных интернет-серверах ежедневно. В 2015 году подписан закон о хранении персональных данных. Согласно этому акту информация о гражданах РФ может храниться лишь на территории России. Что это значит? И чем грозит несоблюдение
Еще в далеком 2006 году был принят ФЗ о персональных данных, призванный регулировать специфические отношения физических лиц с так называемыми операторами. Целью его было обеспечить защиту пользователей интернета от нежелаемой обработки и передачи личных данных третьему лицу.
Оператор - это понятие довольно широкое. Им может быть и государственный орган, и юридическое лицо, и физическое. Оператор - это тот, кто в каких-либо целях вносит личные данные о человеке в свою базу. Он, разумеется, не имеет права разглашать данные и использовать их в целях, которые неизвестны тому, кто их предоставил. Такие действия неэтичны, а последние десять лет они являются также и незаконными.
С 1 сентября 2015 года, после того как был подписан закон о хранении персональных данных на территории России, оператор больше не вправе пользоваться в своей работе иностранными серверами. Для того чтобы понять, кого в первую очередь касаются подобные изменения и какое они влияние оказывают, следует разобраться с основными понятиями.
Существует ошибочное мнение, что это понятие означает информацию, которая содержится в паспорте и других важных документах. В действительности персональными данными являются различные сведения о человеке. Это не обязательно может быть номер или Такими данными являются имя, фамилия, дата рождения, адрес электронной почты. Таким образом, если владелец бизнеса создает корпоративный сайт, содержащий форму для регистрации посетителей, он становится оператором персональных данных. Пользоваться он полученной информацией может лишь для осуществления той деятельности, о которой известно тем, кто ее предоставил. Разглашение персональных данных предполагает административную или уголовную ответственность, в зависимости от тяжести преступления.
Распространять данные о человеке оператор может лишь с его согласия. Подобные действия неправомерны. Неразглашение персональных данных - важное условие обработки информации. Основные ее принципы содержатся во второй главе закона. Распространять оператор имеет право только те сведения, которые содержатся в общедоступных источниках, например - адресных и телефонных книгах.
Персональные данные можно разделить на общие, биометрические и специальные. Общие содержатся в паспорте, дипломе, военном билете, трудовой книжке. К специальным относится информация о расовой, религиозной, политической принадлежности.
Биометрические данные - это биологические и физиологические особенности человека. К ним же и относятся фото и видеозаписи. Таким образом, передачу подобных файлов третьему лицу можно идентифицировать как разглашение личных данных. Исключением являются групповые фотографии.
В встречаются словосочетания, смысл которых может быть не всегда ясен. Одно из них - обработка персональных данных. Под этим термином понимают действия, которые оператор производит над полученной информацией, а именно персональными данными. Он их накапливает, хранит, уточняет, использует, обезличивает, блокирует и уничтожает. На все это оператор имеет право. Преступает закон он лишь тогда, когда происходит разглашение персональных данных, то есть передача личной информации третьему лицу.
С 1 сентября 2015 г. введены существенные ограничения в этой сфере деятельности. Закон о хранении персональных данных не позволяет, например, владельцу интернет-сайта хранить полученные данные на иностранных серверах. Даже если он пользуется ими исключительно в благих целях.
Это действие производится для того, чтобы скрыть принадлежность персональных данных того или иного человека (в законодательном акте он именуется субъектом). Это своего рода защита персональных данных. Способов обезличивания существует несколько:
Человек вправе получить доступ к своим персональным данным. Права субъекта персональных данных предполагают возможность физического лица, чьи данные хранятся в базе, требовать от оператора, чтобы он их уточнил, изменил, при необходимости уничтожил. Каждый человек вправе требовать предоставление сведений в том случае, если они не содержат данных других субъектов.
Все данные о человеке хранятся в базах. С помощью определенных средств они обрабатываются и используются оператором. Эта технология называется информационной системой персональных данных. Ею сегодня пользуются все, начиная от мелких коммерсантов, заканчивая государственными исполнительными органами. На них же и возложена защита персональных данных. Контроль соблюдения требований, предусмотренных законодательством, осуществляют Роскомнадзор, ФСБ и ФСТЭК.
Трансграничная передача данных - это передача информации физическому или юридическому лицу иностранного государства.
ФЗ о персональных данных обеспечивает неприкосновенность физического лица, его семейной и личной жизни. Новый закон преследует те же цели, однако создает определенные неудобства для многих операторов.
В своей деятельности каждый оператор должен теперь использовать только те базы данных, которые хранятся на территории России. Для чего созданы такие ограничения? Закон, о котором говорилось выше, затрагивает прежде всего безопасность персональных данных. Но ничего не говорится о сфере его действия.
Все области деятельности на территории России должны осуществляться с соблюдением Законодательства РФ. Однако во Всемирной сети любые действия имеют трансграничный и виртуальный характер, что осложняет контроль над работой операторов. В то же время то, что интернет-сайт доступен жителям России, вовсе не говорит, что на него должно распространяться российское законодательство. Хранение баз данных на российских серверах облегчает контроль над деятельностью операторов.
Закон о хранении персональных данных предусматривает обработку персональных данных лишь на российских интернет-ресурсах. Но здесь существуют и исключения. Они касаются иностранных серверов, направленных на территорию РФ. На такую направленность может указывать русскоязычность сайта или доменное имя. Однако, поскольку русский язык довольно распространен и за пределами РФ, дополнительно рассматриваются следующие элементы: возможность расчета в российских рублях, заключение договоров на территории РФ. Таким образом, иностранные предприниматели включают в свою бизнес-стратегию российских потребителей. А действие закона о персональных данных при этом направлено и на их деятельность.
Итак, хранение персональных данных закон теперь допускает лишь на российских серверах. Базы данных, находящиеся за пределами РФ, обрабатываться не могут. Госдума приняла закон об этом запрете. Однако документ этот порождает многие проблемы. И прежде всего трудности касаются предпринимательской деятельности.
Специалисты в области электронных коммуникаций полагают, что это может привести к уходу глобальных интернет-ресурсов, а он, в свою очередь, к существенным экономическим потерям. В первую очередь речь идет о сайтах по бронированию авиабилетов.
Специалисты полагают, что новый закон негативно отразится на деятельности многих российских компаний. Каждый его нарушитель с 1 сентября 2016 года попадает в черный список Роскомнадзора. Этот перечень сегодня состоит из пиратских сайтов и сайтов, пропагандирующих незаконную деятельность либо действия, не соответствующие морально-этическим нормам (насилие, суицид, детское порно, экстремизм). Запрет на эти ресурсы вполне понятен. Но многие предприятия, которые осуществляют абсолютно законную деятельность, возможно, не смогут перенести свои базы на российские ресурсы к указанной дате.
Еще одна цель этого закона - обеспечение безопасности персональных данных от действий американских спецслужб. Этим государственным структурам иностранные ресурсы обязаны предоставлять всю имеющуюся информацию. Однако, обеспечив безопасность персональных данных от проникновения сотрудников зарубежных спецслужб, закон создает немало неудобств и проблем для мелких, средних и крупных российских предприятий.
Большинство компаний сегодня осуществляют продажи, прибегая к интернет-маркетингу. Один из основных инструментов - email-рассылка. Владельцы корпоративных сайтов пользуются онлайн-сервисами для информирования своих клиентов о различных мероприятиях, которые проводятся в их компаниях. Эта схема настолько распространена, что без нее сегодня сложно представить развитие какого бы то ни было бизнеса. Существует все же заблуждение, что владельцы сайтов не являются операторами, поскольку они не хранят персональные данные. Это за них делают специальные онлайн-сервисы. Но ведь обрабатывает и формирует данные о пользователях именно владелец сайта. А потому он является оператором и в ближайшее время обязан перенести всю имеющуюся у него информацию о пользователях интернета на российские ресурсы. Сделать это непросто, и подобные действия, прежде всего, сопряжены с немалыми финансовыми затратами.
Устоявшиеся правовые принципы предполагают, что уже имеющиеся у операторов базы персональных данных, созданные до даты подписания закона, не являются нарушением. Однако использование персональных данных предполагает их обновление и изменение. Закон же гласит, что обрабатывать эту информацию оператор теперь вправе лишь на российском сервере.
Оператор обязан осуществить локализацию всех данных на российском сервере. И эти действия, согласно формулировке в законе, тесно связаны со сбором персональных данных. Этот термин используется для обозначения целенаправленного получения информации о физических лицах. Ее, как правило, предоставляет сам пользователь интернета. Но нередко случается, что данные попадают случайно. Например, в результате получения различных писем. Сбором информации также не являются данные об одном юридическом лице, полученные другой организацией. Такая информация является контактной, и ее обработка необходима для осуществления совместной деятельности.
Закон не затрагивает трансграничную передачу данных. Положения, которые были сформулированы еще в 2006 году, не утратили своей силы. А потому операторы, как и прежде, вправе передавать данные, внесенные в базу, созданную на территории РФ, в другие, находящиеся за рубежом. Однако такие действия требуют соблюдения определенных норм. Прежде всего, оператор должен убедиться в том, что страна, на территорию которой будет осуществляться передача данных, обладает адекватной защитой личной информации пользователей интернета.
Многие покупки сегодня осуществляются через интернет. Покупатель часто оплачивает товары банковской картой. Сотовые компании и платежные системы находятся, как правило, на иностранных серверах. Российская платежная система пока отсутствует. И без нее соблюдать закон будет непросто.
Однако некоторые крупные компании все же хранят информацию на территории РФ. А обмениваясь данными с иностранными партнерами, они прибегают к обезличиванию.
В настоящий момент в Московской области строится новый дата-центр, который станет самым крупным в России. В этот проект инвестируют средства крупные компании, поскольку они не могут недооценивать важность хранения персональных данных. Однако эти работы сопряжены с некоторыми трудностями. Построить быстро дата-центр невозможно.
Специалисты полагают, что новый закон необходимо дорабатывать. Иначе он не сможет действовать в полную силу. Главным его недостатком является очередной запрет, от которого особенно может пострадать малый и средний бизнес. А эта область сегодня и без того находится в довольно плачевном состоянии. Так или иначе, у нового закона немало противников, но есть и те, кому он не страшен.
Законодательство РФ содержит нормативные акты, гарантирующие защиту личных данных граждан. Основным источником права соответствующего типа является Федеральный закон № 152-ФЗ. В нем содержатся положения, в достаточной мере детально регламентирующие осуществление оборота персональных данных россиян. Какие из них можно назвать ключевыми? В чем заключается смысл ФЗ № 152?
Закон "О персональных данных" № 152-ФЗ распространяется на правоотношения, которые связаны с обработкой информации главным образом личного характера. К ней можно отнести Ф.И.О., адрес, телефон, паспортные данные человека. Персональные данные, которые защищает рассматриваемый закон, могут обрабатываться как юридическими, так и физическими лицами. ПД могут быть и биометрическими, то есть представлять собой отпечатки пальцев гражданина или снимок сетчатки его глаз.
Основная идея ФЗ № 152 "О персональных данных" в том, что гражданин, являющийся владельцем ПД, сам может определять то, кому он разрешает пользоваться соответствующими данными и каким образом. То есть, если соответствующего разрешения не получено, другое лицо не вправе каким-либо образом обрабатывать ПД, принадлежащие другому субъекту. Закон устанавливает ряд исключений из этого правила. Далее в статье мы рассмотрим данный аспект и иные особенности применения положений закона № 152-ФЗ подробнее.
Чаще всего оборот ПД осуществляют компании-работодатели, органы власти на различных уровнях, сервисные службы. Поэтому они должны наиболее внимательно изучать закон "О персональных данных" и обеспечивать соответствие своей работы его положениям. Рассмотрим то, на какие нормы, что содержатся в указанном нормативном акте, следует обращать внимание в первую очередь.
Изучая закон "О персональных данных" (152-ФЗ), следует в первую очередь разобраться в терминологии, которая в нем отражена. Так, ключевыми понятиями, которые содержит соответствующий источник права, можно считать:
Можно отметить, что в законе приведена в достаточной мере широкая трактовка понятия ПД - нет каких-либо четких критериев их определения. Это, как считают многие юристы, значительно способствует повышению уровня защищенности личной информации граждан, поскольку, в силу положений закона, практически все ее виды могут быть классифицированы как персональные данные.
Законодательство о ПД регламентирует операции, которые могут быть, в принципе, осуществлены с соответствующими данными:
Закон "О персональных данных" требует от операторов ПД осуществления указанных действий при условии соблюдения:
Конфиденциальности ПД (если иное не установлено законом);
Целостности ПД.
То есть персональные данные должны быть защищены, во-первых, от несанкционированного просмотра, а во-вторых - от уничтожения или неправомерной корректировки. Изучим то, каким образом должна осуществляться собственно защита ПД в соответствии с нормами закона № 152-ФЗ.
Выполнение главного обязательства, которое предусмотрено законом, оператор ПД должен осуществлять с помощью:
Решая указанные задачи, оператор ПД, как это предписывает закон "О защите персональных данных", должен:
Прежде чем начать обработку ПД, их оператор должен получить соответствующую информацию в распоряжение. Как он может сделать это законным способом?
Основной и во многих случаях единственный способ, с помощью которого владелец ПД может передать в распоряжение оператора свои персональные данные - в письменном виде дать согласие на их обработку. Как правило, оно представляет собой заявление, в котором человек перечисляет ПД, которые готов дать на обработку, указывает способы обработки ПД, которые он одобряет.
Закон "О персональных данных" в некоторых случаях не требует оформления соответствующего согласия - например, если речь идет об оформлении сотрудника на работу. Однако на практике многие компании, нанимающие работников, все же просят их предоставить согласие на обработку ПД. Это во многом связано с тем, что формально не все типы операций с кадровыми документами попадают под исключения, которые содержит закон "О защите персональных данных". Полезно будет рассмотреть их перечень отдельно.
Федеральный Закон 152 «О персональных данных» устанавливает, что оператору ПД не нужно запрашивать согласие у их владельца на обработку соответствующей информации, если она осуществляется:
Исполнение требований ФЗ № 152 операторами ПД может контролироваться компетентными государственными органами. Изучим данный аспект подробнее.
Закон "О персональных данных" (152-ФЗ) устанавливает, что контроль над исполнением его положений должен осуществлять компетентный орган власти. Он функционирует на федеральном уровне, и потому, ему подчинены различные региональные ведомства. Данный орган власти имеет право:
Таким образом, закон "О персональных данных" 152-ФЗ устанавливает детальный перечень правовых норм, защищающих оборот конфиденциальной информации о гражданах. Он определяет сущность ПД, статус их владельцев и операторов. Главная задача, которую решает федеральный закон "О персональных данных" - защита личной информации граждан от использования в интересах третьих лиц.
Положения соответствующего ФЗ предполагают, что человек сам должен давать согласие на обработку своих ПД, а оператор соответствующих данных получает право запрашивать ПД только в определенных законом случаях. Кроме того, рассматриваемый закон требует от лиц, использующих персональные данные граждан, обеспечения должного уровня их защиты.
Касательно первого критерия есть исключения - их тоже содержит закон. ФЗ «О персональных данных» - в достаточной мере прогрессивный нормативно-правовой акт, позволяющий вывести правовые механизмы защиты интересов граждан на новый уровень. Санкции за его нарушения могут быть предусмотрены весьма серьезные, поэтому операторам ПД: работодателям, сервисным службам и любым другим фирмам, работающим с личными данными гражданина - следует внимательно изучать положения соответствующего закона.
С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона "О персональных данных" от 27.07.2006 № 152-ФЗ. О том, как избежать штрафов при проверках Роскомнадзора, БУХ.1С рассказал эксперт по налогообложению Игорь Кармазин .
Штрафы за несоблюдение требований Федерального закона "О персональных данных" были повышены в соответствии с Федеральным законом от 07.02.2017 № 13-ФЗ. Новые штрафы по сравнению с действующими выросли в разы . Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей. При этом, если раньше в КоАП существовал только один, общий для всех случаев состав правонарушения в области персданных (ст.13.11 КоАП РФ), то теперь в данной статье появилось целых семь составов.
Чтобы избежать штрафов по 152-ФЗ , компаниям и ИП с 1 июля 2017 года следует внимательнее подходить к соблюдению требований закона о персональных данных.
Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени
1. С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона "О персональных данных".
2. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей.
3. Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. Закон не содержит конкретного перечня таких организаций.
4. Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре.
5. Обезопасить себя от штрафов можно, соблюдая 6 правил:
6. С 01.07.2017 начинает действовать упрощенный порядок привлечения к административной ответственности. Дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры.
Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. По закону они отнесены к операторам персональных данных и обязаны соблюдать законодательные ограничения.
Закон не содержит конкретного перечня таких организаций. Однако к ним можно отнести банки, страховые компании, операторов мобильной связи и интернета, медицинские организации, транспортные компании, учебные заведения и все те компании, при обращении в которые граждан просят указать личные данные или заполнить анкету.
Но и это еще не все. Закон распространяется на работодателей, получающих сведения от сотрудников как по трудовым договорам, так и по договорам гражданско-правового характера. Работодатели тоже являются операторами персональных данных с небольшой оговоркой. Если работодатель состоит с гражданином в трудовых или гражданско-правовых отношениях, ему не требуется уведомлять Роскомнадзор об обработке личной информации (ч. 2 ст. 22 Федерального закона № 152-ФЗ).
Также к операторам персональных данных относятся компании, имеющие собственные сайты с обратной формой связи и регистрацией пользователей, у которых запрашиваются личные сведения.
1. Исключить случаи нецелевого сбора и обработки данных.
Под данное нарушение попадают и случаи сбора излишней информации о гражданах. Например, когда сайт для новостной рассылки по e-mail требует от посетителей предоставить, скажем, паспортные данные. Это считается обработкой данных не по назначению, поэтому исключите подобные случаи из практики работы своей компании и сайта.
Данные действия образуют состав правонарушения по ч. 1 ст. 13.11 КоАП РФ. Штраф для предпринимателей – от 5 до 10 тысяч рублей, а для организаций – от 30 до 50 тысяч рублей.
2. Получать письменное согласие граждан на обработку их данных.
Согласие граждан на обработку персональных данных, когда это требуется по закону, операторы получают в соответствии с ч. 4 ст. 9 Федерального закона № 152-ФЗ. Исключений из этого правила не так много. Например, не требуется письменного согласия при получении персональных данных в личных, семейных целях (ч. 2 ст. 1 Федерального закона № 152-ФЗ).
В большинстве же случаев дополнительно к основному договору стороны должны подписывать соглашение об обработке персональных данных. Это соглашение может включаться в текст основного договора, или выступать в качестве отдельного документа. Согласие должно поступить лично от гражданина. Без его ведома передавать данные нельзя.
Самый банальный пример злоупотреблений в этой части – когда, например, оператор мобильной связи передает контакты абонентов без их ведома сторонним компаниям, и на телефонные номера граждан начинает поступать всевозможный спам.
Если письменного соглашения на обработку данных у компании нет, на граждан (ИП) наложат штраф в размере от 3 до 5 тысяч рублей, на должностных лиц от 10 до 20 тысяч рублей, а на юрлиц – от 15 до 75 тысяч рублей (ч.2 ст.13.11 КоАП РФ). Судя по судебной практике, ИП первый раз штрафуют как физлиц, а если нарушение повторяется, то уже как должностных лиц - руководителей ИП, так как во втором случае штраф выше.
Последствия неполучения письменного согласия контролерам будут неважны, а важен будет сам факт наличия или отсутствия такого согласия в письменной форме.
3. Знакомить граждан с политикой обработки персональных данных.
Эта информация должна находиться в свободном доступе и с ней должен иметь возможность ознакомиться каждый. Например, сайты вывешивают информацию о порядке работы с персданными на отдельных своих страницах.
В противном случае наступит ответственность по ч. 3 ст. 13.11 КоАП РФ. ИП заплатят штраф в размере от 5 до 10 тысяч рублей, а организации в размере от 15 до 30 тысяч рублей.
4. Отвечать на вопросы граждан о том, каким образом используются их персональные данные .
На практике бывают случаи, когда данные «утекают» третьим лицам, и клиентам компании начинает поступать всевозможная реклама от магазинов, медицинских центров и кредитных организаций. В этом случае клиент может потребовать от оператора персональных данных предоставить информацию о том, как используются и хранятся его личные сведения.
За игнорирование обращений граждан операторы персданных несут ответственность по ч. 4 ст. 13.11 КоАП РФ. Штраф для ИП – от 10 до 15 тысяч рублей, а для юрлиц – от 20 до 40 тысяч рублей.
5. Выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении .
Это нужно делать в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
Неисполнение этой обязанности грозит штрафом по ч. 5 ст. 13.11 КоАП РФ. Для ИП штраф составит от 10 до 20 тысяч рублей, для организаций – от 25 до 45 тысяч рублей.
6. Обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д .
Ответственность за необеспечение сохранности личных сведений установлена ч. 6 ст. 13.11 КоАП РФ. Для предпринимателей – от 10 до 20 тысяч рублей, для компаний – от 25 до 50 тысяч рублей.
Штрафная ответственность предусмотрена и для государственных и муниципальных органов власти (ч. 7 ст. 13.11 КоАП РФ).
В своих документах (протоколах, сводках, решениях и т.д.) они должны обезличивать персональные данные граждан, не допуская указания их места жительства и полных ФИО.
В противном случае придется заплатить штраф в размере от 3 до 6 тысяч рублей.
Регистрация операторов персональных данных в Роскомнадзоре
Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре. Для этого необходимо подать уведомление об обработке (о намерении осуществлять обработку) персональных данных (ч. 3 ст. 22 Федерального закона № 152-ФЗ).
После заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных ее следует отправить в информационную систему Уполномоченного органа по защите прав субъектов персональных данных. Затем заполненную форму нужно распечатать и заверить надлежащим образом, скрепив подписью и печатью организации, после чего направить в соответствующий территориальный орган Роскомнадзора по месту регистрации компании-оператора персональных данных.
Что касается сайтов (а сейчас они есть практически у любой компании), то основная масса нарушений здесь связана именно с нецелевым сбором и использованием персональных данных (ч. 1 ст. 13.11 КоАП РФ).
Например, нередко в форме регистрации на сайте используются такие поля, как «дата рождения» и «телефон», а в форме профиля пользователя - «отчество», «дата рождения», «место жительства» (страна, область/край, город).
Следует понимать, что для регистрации пользователя на большинстве сетевых ресурсов не требуется знать такие данные, как телефон и место жительства/регистрации пользователя. Из формы регистрации эти сведения следует убрать.
А из формы личного профиля лучше убрать такие сведения, как «профессия», «www-страница», Skype (или другой мессенджер) и «дата рождения».
Посторонним лицам (а ваша компания и является таким лицом) знать эту информацию ни к чему. Форма подписки на новости сайта должна собирать информацию только об e-mail пользователей. Форма регистрации может собирать имя, фамилию, e-mail и пол пользователя.
Сбор лишней информации при проверке могут посчитать нарушением.
Выполнение вышеописанных правил и знание закона позволят избежать ответственности за его нарушение. При этом следует учитывать одно немаловажное обстоятельство. Если раньше закон о персональных данных обходил вашу компанию стороной и никакой ответственности за его нарушение вы не несли, то с 1 июля все может измениться кардинальным образом.
Дело в том, что с этой даты начинает действовать упрощенный порядок привлечения к административной ответственности. Раньше дела в этой сфере возбуждала прокуратура (ст. 28.1 КоАП РФ). По новым же правилам (п. 58 ч. 2 ст. 28.3 КоАП РФ) дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры. На практике это означает, что количество штрафов и доведенных до суда дел может значительно увеличиться, и уйти от ответственности станет значительно сложнее.
Эксперт Илья Шагаев рассказывает об изменениях в законе о персональных данных: что изменится, какие будут последствия и как к этому подготовиться.
Илья Шагаев, генеральный директор CRM-агентства « ДМ Базис ». Персональными данными занимается с 2006 года, входил в Консультативный совет при Роскомнадзоре, в рабочие группы различных ассоциаций по 152-ФЗ.
Приверженец подхода «закон о персональных данных - это не о безопасности баз данных, а о правильной работе с данными частного лица - потенциального клиента, покупателя, работника».
В законодательстве произошли большие изменения, но про них практически не говорят. Так что давно пора привлечь к этому внимание широкой общественности.
Законодательство нас часто пугает и порой кажется тайной даже для людей, знакомых с языком договоров, приложений и прочей формальной документации. Поэтому статья написана простым языком, в первую очередь - для представителей бизнес-аудитории, которые используют персональные данные (далее - ПДн) для рекламы и маркетинговых акций.
Как правило, юристы не любят законодательство о персональных данных - мутное, непонятное, примеры не проработаны. При появлении вопросов о ПДн им проще запретить, чем искать пути решения проблемы. Поэтому российскому бизнесу необходимо уметь ориентироваться в этих вопросах, хотя бы для правильной постановки задач юристам и правильного контроля.
ORM – один из самых быстро растущих сегментов digital-рынка. Стань экспертом в области управления репутацией вместе с новым курсом Skillbox и Sidorin.Lab (агентством №1 по профильному рейтингу Рувард).
3 месяца онлайн-обучения, работа с наставником, дипломная работа, трудоустройство для лучших в группе. Следующий поток обучения стартует уже 15 марта . Cossa рекомендует!
В поисковиках мне удалось найти только три статьи на тему изменений в Законе N 152-ФЗ с 1 июля; во всех трёх грубейшие ошибки в трактовке законодательства и изменений. Правда же в том, что некоторые ужесточения не особо страшны, а вот на другие советуем обязательно обратить внимание.
Государство предприняло самый значимый шаг в законодательстве о ПДн со времени появления самого закона 152-ФЗ. С 1 июля 2017 года вступит в силу закон 13-ФЗ от 07.02.2017, вносящий поправки в КоАП. Ужесточается ответственность за нарушения, которые могут допустить операторы (читаем - бизнес) в работе с ПДн.
Если коротко, то штрафы выросли почти на порядок (до 75 тысяч рублей). Причём за нарушения, которые допустить очень легко и которые видны на каждом шагу. Проверяющим и надзорным органам в том числе.
А привлечь к ответственности стало существенно проще. Если раньше это можно было сделать через прокуратуру (которой этими вашими ПДн заниматься некогда), то сейчас возбудить дело об административном правонарушении может непосредственно регулятор - Роскомнадзор. Который, можете быть уверены, заниматься этим хочет и давно уже ждал изменений в КоАП.
«Кошмарить бизнес» за нарушения 152-ФЗ стало гораздо выгоднее. Штраф был до 10 000 рублей, стал до 75 000 рублей.
Привлекать к ответственности стало проще. Раньше была прокуратура, которой было не до того, чтобы этим заниматься, а стал Роскомнадзор - регулятор, в зоне ответственности которого и находится 152-ФЗ.
Бизнес, однако, расслаблен, и угрозы не заметил.
Давайте разберёмся, будут ли «кошмарить», за что конкретно и зачем это нужно. Где кошмар, а где нет?
Небольшое сравнение законодательства и поведения операторов (бизнеса, компаний, юрлиц) «раньше и сейчас».
152-ФЗ «О персональных данных» появился в 2006 году. Всё прошло тихо, и люди всполошились не сразу. Довольно долгое время (год–два) к закону не было подзаконной нормативной базы на тему его применения.
Тем не менее, году в 2008–2009 благодаря появлению нормативки (от Роскомнадзора, ФСТЭК и ФСБ) и более активной работе СМИ некоторый мандраж наступил. Не знающих о законе почти не осталось, а отношение к нему было очень разным.
С операторами-клиентами в то время много общались мои сотрудники в рамках наших CRM-проектов (мы ведём крупные проекты, и клиенты были озадачены), я сам выступал и писал на эту тему, как раз в те годы я входил в Консультативный совет при РКН.
2. «Знаем, но не обращаем внимания и считаем это всё полной ерундой. Ещё один неработающий закон: как применять - непонятно, и чем грозит - непонятно».
3. «Знаем, смотрим в ту сторону. Как применять - непонятно, чем грозит - непонятно... Немножко что-то сделаем, типа подготовились».
4. «Знаем и подготовимся по полной программе, насколько это можно в непонятном законодательстве».
Последняя категория позволила хорошо заработать интеграторам и компаниям, специализирующимся на информационной безопасности. Стоимость услуги по подготовке документации «на соответствие 152-ФЗ» могла превышать 2 млн рублей, хотя сама услуга была достаточно типовая.
К 2012 году рынок понял, что «реальной опасности» законы о ПДн не представляют - штрафы мизерные, вчинить их довольно сложно, требования умозрительные, проверки редкие и так далее. Операторы из категорий 3 и 4 плавно перетекли в категорию 2; а категория 4 при этом почувствовала себя обманутой - сначала услуги по подготовке подешевели до 600–500 тысяч, потом до 300 тысяч, а после появились сайты, предлагающие типовой пакет документов за 20–30 тысяч рублей.
Что мы имеем сейчас? Пассивность и нежелание бизнеса обращать внимание на изменения. Несмотря на то, что с изменениями «поймать штраф» до 30 тысяч рублей теперь легко может каждый второй интернет-магазин, а в более запущенных случаях и до 75 тысяч рублей, а в инфопространстве тишина и покой! К моему большому удивлению, ничего не обсуждается, подготовка не ведётся - это отчётливо видно по тем же интернет-сайтам, где штрафы можно просто поставить на поток.
Очевидно, что первая волна 2009–2012 годов, всколыхнувшая операторское сообщество, качнула маятник в другую сторону - от волнений тогда до равнодушия сейчас. Прошедшее время показало, что «выиграли» те, кто не готовился - категория 2. Они и время, и деньги сэкономили, и ничего им за это не было. Не обращать внимания, переждать, а потом оно само уляжется - тактика сработала.
И сейчас уже опытный бизнес, как будто бы поднаторевший на ниве ПДн, не воспринимает серьёзно нынешние изменения, поскольку «всё уже знаем, не пугайте, ничего за это не будет».
Но когда изменения в КоАП уже внесены, риски стали значительно выше.
Как я уже упомянул в начале статьи, буду говорить о примерах, актуальных для наиболее многочисленной группы операторов - тех, кто использует персональные данные частных лиц в целях продвижения товаров, работ и услуг. Это - бизнес, использующий CRM-проекты, программы лояльности, интернет-магазины, финансовые сервисы, такси, мобильные приложения и так далее.
Несмотря на десятилетнюю историю законодательства в сфере ПДн, читают закон и нормативные акты к нему очень плохо и воспринимать их не хотят. Поэтому изменения заслуживают более глубокого анализа, сравнения с самим законом и нормативкой в целом.
Терминологию упрощу, а штрафы приведены в отношении юридических лиц. Хотя в изменениях в КоАП ещё есть штрафы в отношении граждан, должностных лиц.
Теперь протоколы об административных правонарушениях будет составлять Роскомнадзор. Это ключевой регулятор в сфере ПДн, и он давно ждал изменений в КоАП. Потому что возбуждать дела через прокуратуру и в итоге выставлять штраф в 5–10 тысяч рублей очень муторно. А ускорить процесс, проведя всё самостоятельно, и выставить в десять раз больше - гораздо интереснее.
Интерес ведомства значим ещё и потому, что РКН желал увеличения штрафов, определяемых КоАП, до 500 тысяч рублей. Хорошо, что этого не случилось (пока), иначе риски бизнеса взлетели бы до небес. Но и увеличение от 5–10 тысяч рублей до 50–75 тысяч рублей, согласитесь, тоже неплохо.
Итак, КоАП с 1 июля 2017 года, статья 13.11. Семь пунктов, нас касаются первые шесть. Седьмой - про операторов, являющихся государственным или муниципальным органом, и это не про нашу тему.
В зоне риска:
Операторы, не указавшие цели обработки или указавшие их неграмотно. Встречается сплошь и рядом.
Операторы, собирающие данные, связь которых с целью обработки очень натянута или вообще необъяснима. Самый частый пример - сбор в анкетах программ лояльности паспортных данных. Это частое требование юристов, плохо читавших закон, и которое теперь может привести к штрафам.
Сюда же может быть отнесена принудительная регистрация в личном кабинете интернет-магазина при покупке. Если цель - продажа товара (доставка по указанному адресу), то запрашиваемая для регистрации информация (и сама регистрация) - избыточна и несовместима с целями.
Может показаться странным, но тут риск невелик. Дело в том, что перечень случаев, когда нужно письменное согласие (в терминах 152-ФЗ), ограничен, и продвижение товаров и услуг к нему не относится. А то, что многие называют сбором письменных согласий (в виде анкет), - это неверное понимание и трактовка законодательства. Недавно мне попалась на глаза одна из немногих разъяснительных статей по изменениям с 1 июля - и даже в экспертной статье неверно объясняются принципы письменного согласия. И вообще прелестно выглядит в другой статье рекомендация «получать письменное согласие у каждого подписчика на сайте».
Вот здесь как раз группа риска огромна.
Любой сбор данных, относящихся к категориям ПДн в формах на сайтах, должен сопровождаться указаниями на политику обработки этих данных. То есть, программа минимум - на любом сайте необходимо реализовать такой документ. И совсем хорошо, когда из формы сбора данных дана ссылка на него. Отсутствие этого документа - повод для штрафа.
Вот примеры того, как обычно бывает:
Ни ссылок из анкет, ни самой политики обработки персональных данных в открытом доступе на сайтах этих интернет-магазинах нет. Кстати, за примерами далеко ходить не надо - это первые два магазина, где я пытался совершить нужную мне покупку. Это обычная ситуация, но получить с магазина от 30 до 50 тысяч рублей штрафа с 1 июля будет просто.
А вот так должно быть:
Годится, если на сайте просто где-то в футере есть ссылка на политику обработки данных или политику конфиденциальности. Пользовательское соглашение, в котором прописаны пункты о соответствии 152-ФЗ, тоже подходит.
Зона риска:
С одной стороны, сам порядок запроса субъектом информации об обработке его ПДн довольно сложен (он прописан в 152-ФЗ). И редкий субъект его выполнит
С другой, обязанность о предоставлении информации об обработке ПДн возникает при получении данных через третье лицо. Например, в партнёрских программах, различных кросс-промо, сменах подрядчиков в маркетинговых кампаниях и так далее.
В самом 152-ФЗ прописано, когда и как необходимо уведомлять субъекта.
Зона риска:
Как упомянул выше, порядок запроса со стороны субъекта довольно сложен, поэтому таких запросов ещё очень мало. В этом смысле пункт оператору особо не угрожает
Будут ли при трактовке этого пункта сюда относить, например, отказ от email-рассылки или SMS, это вопрос...
Это заслуживает отдельного изучения. Формально никакого «упрощённого» порядка отзыва субъектом своего согласия на обработку данных законодательство не предусматривает. Но не рекомендовал бы пренебрегать остановкой коммуникаций с покупателем, если он попросил не беспокоить его. Кстати, в этом случае можно поиметь ещё и претензии ФАС в соответствии с законом «О рекламе».
Зона риска:
Если вы храните свои бумажные архивы (анкеты, договоры с частными лицами, заявки-запросы) очень долго, убедитесь, что это хранение обеспечивает конфиденциальность. Простой склад по соседству вряд ли подходит, должно быть что-то более безопасное. Либо проработайте с юристами механику перевода архива в электронный вид.
На всякий случай подчеркну, что выше упрощены трактовки и термины и даны самые быстрые и очевидные рекомендации. Этого достаточно, чтобы в целом понять состав изменений и их трактовать.
Если углубляться, то интересных выводов будет ещё много. Как минимум три-четыре пункта из приведённых заслуживают отдельного рассмотрения.
Напоследок выскажу такую крамольную мысль. Может, она и странно прозвучит из уст представителя операторов, но скажу. Тем более, она впрямую следует из хронологии событий и моих тезисов «почему сообщество расслаблено».
Давайте честно признаемся - бизнес относится к персональным данным частных лиц довольно халатно. Большие компании стараются выстроить правильную политику работы с ними, но даже крупный бизнес ещё далеко не весь обратил внимание на качественные принципы работы с ПДн. А уж средний и малый - тем более. Многие даже не понимают, что данные покупателей - это ценность, и что нужно уважать права частного лица при работе с его данными. И что сам закон не про информационную безопасность, а про соблюдение прав.
По-прежнему имеют место сливы баз данных «налево», неправомерное использование данных (то самое «не соответствующее целям»). Покупателей раздражает чрезмерная коммуникативная активность бизнеса, тем более когда от неё не удаётся отказаться с первого раза.
Всё это - неверные принципы и неверные бизнес-процессы работы с данными. Непонимание и неверные коммуникационные стратегии как основа, и огульное использование данных как следствие.
Как знать, может быть, огромной массе операторского сообщества и нужна увесистая дубина в виде повышенного внимания надзорного органа и применения штрафов?
Грамотный маркетинговый подход к CRM и лояльности - это то, что называется permission-marketing (разрешительный маркетинг). Правильно выстроенные CRM-процессы и процессы обработки данных могут и должны дружить с законодательными требованиями (в случаях, когда эти требования ясны, конечно).
И необходимо обратить внимание ещё на один важный момент. При увеличении штрафов и ускорении возможного наказания можно найти позитивный момент в изменениях - конкретизацию состава нарушений. В предыдущей редакции была очень общая формулировка «Нарушение установленного законом порядка...» и она могла трактоваться весьма широко. Сейчас же семь (шесть, касающихся бизнеса) пунктов достаточно конкретизированы и понятны. Это, на мой взгляд, хороший шаг государства навстречу прозрачности законодательства в этой сфере.
Помните известное «не умеешь - научим, не хочешь - заставим».
"О персональных данных" регулирует отношения, связанные с обработкой личных сведений субъектов, осуществляемой органами госвласти, местными структурами управления и иными органами, физическими и юрлицами, с применением средств автоматизации либо без них, если операции соответствуют характеру действий с их использованием. Цель нормативного акта заключается в обеспечении защиты интересов, свобод и прав человека, неприкосновенности его частной жизни и семейной тайны. Рассмотрим далее, какие виды наказания предусматривает "О персональных данных".
Статья 24 152-ФЗ прямо устанавливает возможные виды наказаний, применяемые к нарушителям установленных требований. Санкции вменяются при наличии вины субъектов. В нормах установлена гражданская, административная ответственность за разглашение персональных данных, а также наказание по УК и ТК.
Ответственность за разглашение персональных данных возможна по нескольким статьям Кодекса. Среди них стоит отметить следующие:
Нарушение установленного порядка сбора, хранения, распространения либо использования личной информации о гражданах прямо указывает на необходимость соблюдения положений рассматриваемого федерального нормативного акта. В соответствии со ст. 13.11 КоАП, виновным грозит предупреждение или штраф. Его размер составляет:
В ст. 13.12 КоАП указывается на обязательные признаки, при наличии которых может наступить ответственность за разглашение персональных данных. Эти критерии определяют состав проступков, подпадающих под указанную норму. К таким обязательным признакам относят:
В соответствии с 85 статьей Кодекса, персональными данными сотрудника являются сведения, которые необходимы нанимателю в связи с трудовыми отношениями, и относящиеся непосредственно к конкретному работнику. При зачислении в штат нового служащего руководитель обязан сообщить ему о цели, для которой он запрашивает личную информацию, ее характере. Кроме этого, работник предупреждается о последствиях отказа дать согласие (письменное) на При этом нанимателю запрещается получать и обрабатывать информацию о его религиозных, политических и прочих убеждениях, членстве в общественных организациях, профсоюзной деятельности, а также о частной жизни. Ответственность за разглашение персональных данных в первую очередь предусмотрена для руководителя предприятия. Кроме этого, санкции установлены и для ответственных лиц предприятия. Ими, в частности, являются работники, обеспечивающие сохранность информации, в соответствии с трудовым контрактом либо должностной инструкцией. К таким работникам наниматель может применить дисциплинарные взыскания, определенные 192 статьей ТК. В частности, установлены следующие санкции: увольнение, выговор, замечание. Кроме этого, руководитель имеет право расторгнуть в одностороннем порядке трудовой контракт с сотрудником, распространившим сведения, охраняемые 152-ФЗ, ставшие ему известными в силу исполнения им его обязанностей.
Гражданский кодекс в 946 статье предусматривает ответственность за нарушение субъектом "тайны страхования". В частности, в норме установлено, что представитель страх. организации не имеет права распространять сведения, полученные им при осуществлении профессиональной деятельности. Это касается информации о выгодоприобретателе, застрахованном лице, в том числе о состоянии здоровья указанных субъектов, а также об их имущественном статусе. Ответственность за разглашение персональных данных наступает в зависимости от рода прав, которые были ущемлены, характера нарушения. Наказание наступает в соответствии с нормами в порядке и случаях, предусмотренных в них, а также в тех ситуациях и пределах, в каких реализация способов защиты интересов гражданина вытекает из сути нематериального права, на которое было совершено посягательство, и характера последствий деяния. Следует при этом отметить, что практика применения данной нормы малоизвестна.
Уголовная ответственность за разглашение персональных данных определена в ст. 137. В соответствии с нормой, наказание вменяется за нарушение неприкосновенности личной жизни гражданина, выраженное в собирании либо распространении сведений, составляющих его семейную либо индивидуальную тайну, без его согласия. Ответственность за разглашение персональных данных по 137 статье наступает и в случае обнародования информации в публичном выступлении, при демонстрации произведения, а также в СМИ. Виновному грозит денежное взыскание до 200 тыс. руб., тюремное заключение до 2 лет. Если указанные деяния были совершены с использованием должностного положения, наказание будет ужесточено. Так, тюремное заключение может составлять до 4 лет.
В соответствии с Конституцией, каждый обладает правом на неприкосновенность его частной жизни, семейной и личной доброго имени и чести. Не допускается сбор, хранение и обнародование персональных сведений без согласия гражданина. Этот запрет гарантирует частную жизнь человека. Под ней понимают ту сферу жизнедеятельности, которая касается исключительно конкретного лица и не подлежит контролю общества и государства, если носит правомерный характер. Преступление, попадающее под 137 статью УК, с объективной стороны характеризуется активными действиями. Оно выражается в собирании сведений, относящихся к семейной, личной тайне человека, без его разрешения, распространении их без согласия, а также обнародование их публично, то есть разглашение персональных данных третьим лицам.
Распространением, по смыслу ст. 137 УК, считается любое неправомерное либо без разрешения гражданина доведение информации до сведения хотя бы одного субъекта. Метод разглашения данных не влияет на квалификацию. Распространение информации в публичном выступлении предполагает доведение сведений до неопределенно большой аудитории. Разглашение информации в демонстрирующемся произведении предполагает включение данных в его содержание. Под СМИ понимают периодическое издание печатного типа, видео-, теле-, радиопрограмму, кинохронику и пр. В тех случаях, когда ответственность устанавливается иными статьями УК, преступление квалифицируется по специальной норме, согласно ст. 17, ч. 3 Кодекса. К примеру, так рассматривается распространение сведений о тайне усыновления. Если информация включена в состав других данных, также защищаемых законом, то обнародование сведений квалифицируется по совокупности норм. Например, распространение информации о предварительном следствии рассматривается по 137 и 310 статьям УК.
Персональные данные относятся к информации, охраняемой законодательством. В первую очередь защита гарантируется Конституцией в ст. 23. Это положение конкретизируется в ФЗ № 152. В частности, детализация конституционного положения осуществляется в ст. 24 нормативного акта. В нем определяются виды ответственности, к которым может привлекаться лицо, нарушившее конфиденциальность персональных данных. Самое мягкое наказание устанавливает КоАП и ТК. Виновный, распространивший сведения о гражданине, отделается дисциплинарными взысканиями или штрафом. Между тем, потерпевший имеет право подать гражданский иск. Разглашение персональных данных наказывается также по УК. В этом случае, в зависимости от характера нарушения, виновный даже может лишиться свободы. Не останутся безнаказанными и лица, которые распространили личные сведения, используя служебное положение. Для них наказание будет ужесточено. Что касается защиты в суде, то нормами предусмотрено право гражданина заявить ходатайство о проведении закрытого заседания. Иск может включать в себя требование о взыскании морального вреда, если вследствие распространения сведений гражданин испытывал нравственные/физические страдания. Заявление составляется в соответствии с требованиями ГПК. Истец должен будет предоставить доказательства в обосновании своих требований.
