Новые штрафы за нарушение законодательства при сборе персональных данных - что делать?
С 1 июля резко изменяются санкции за нарушение законодательства при сборе персональных данных. В сегодняшнем материале — эксперты отвечают на вопросы: что собственно изменилось? И как с минимальными издержками избежать новых санкций — информационному сайту, сайту интернет-магазина, и т.д.
Что изменилось
Кирилл Никитин, юрист юридической фирм VEGAS LEX
С 1 июля 2017 года вступают в силу поправки в Кодекс об административных правонарушениях РФ, внесенные Федеральным законом от 07.02.2017 № 13-ФЗ.
Суть поправок заключается в ужесточении ответственности за нарушение порядка обращения персональных данных. Расширяется количество составов административного правонарушения и одновременно с этим увеличены штрафы за соответствующе правонарушения с 10 000 до 75 000 рублей.
Также полномочия по возбуждению дел данной категории дополнительно предоставлены органам Роскомнадзора, в то время как ранее такими полномочиями обладала только Прокуратура.
Людмила Харитонова юрист, управляющий партнер юридической компании «Зарцын, Янковский и партнеры»
Изменения коснулись не самого 152-ФЗ, а статьи 13.11 Кодекса об административных правонарушениях. Сейчас эта статья предусматривает всего одно общее нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), с санкциями от 5 000 до 10 000 рублей для юридических лиц. Но с 1 июля появиться уже семь составов правонарушения:
- Обработка персональных данных (ПДн) в случаях, не предусмотренных законом либо обработка несовместимая с целями. Например, если вы получили данные от своего покупателя в целях исполнения договора, а потом данные продали как лиды другой компании. Это может обойтись в сумму от 30 000 до 50 000 рублей.
- Обработка без письменного согласия или получение согласия не по форме, установленной в 152-ФЗ обойдется в сумму от 15 000 до 70 000.
- Отсутствие политики обработки ПДн будет стоить от 15 000 до 30 000 руб.
- Молчание на запрос об уточнении перечня и целей обработки данных субъекта ПДн штрафуется суммой от 20 000 до 40 000 руб.
- Игнорирование требования субъекта ПДн об удалении или изменении ПДн карается штрафом от 25 000 до 45 000 руб.
- Утечка данных, если это вызвано нарушением правил обработки оценивается в сумму от 25 000 до 50 000 руб.
- И наконец дешевле всего стоит невыполнение предписаний гос органов от 3 000 до 6 000 руб.
Дмитрий Тирский, менеджер по развитию кибербезопасности в финансовых и торговых организациях департамента информационной безопасности ГК Softline.
Говоря о повышении штрафов за нарушение порядка обработки персональных данных, в первую очередь стоит отметить два момента. Во-первых, увеличение штрафов касается только должностных лиц в организациях и самих юридических лиц. Во-вторых, сам порядок обработки и защиты персональных данных не изменился.
Что такое персональные данные и кого все это касается
Максим Терещенко, руководитель консалтинговой компании «Невские Решения»
Чтобы соблюдать закон, нужно понять, что относится к Персональным данным. Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Четкого списка, что является ПД нет, это могут быть любые данные, по которым можно идентифицировать субъекта ПД. Как правило к таким данным можно отнести: Фамилия, имя, отчество. Домашний адрес. Электронный адрес. Номер телефона. Дата / место рождения. Ссылки на социальные сети. Место работы. Должность. Национальность. Вероисповедание. Файлы cookies. IP адрес. И т.д.
Если на вашем сайте осуществляется сбор подобной информации, то поздравляю, вы являетесь оператором ПД. Сайты с личными кабинетами, формами регистрации, формами обратной связи, анкетами, интернет магазины и т.д. являются операторами ПД.
Что делать
Кирилл Никитин, юрист юридической фирм VEGAS LEX
Необходимо помнить, что персональные данные — это любая информация, прямо или косвенно относящуюся к определенному физическому лицу, а их обработка — это любое действие, совершаемое с персональными данными.
Обработка персональных данных всегда должна ограничиваться достижением конкретных, заранее определенных и законных целей. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
При сборе персональных данных, в том числе посредством сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Людмила Харитонова, юрист, управляющий партнер юридической компании «Зарцын, Янковский и партнеры»
Вот конкретный перечень правил, которые нужно учесть:
1) Нужно получить согласие на обработку ПДн и указать цели обработки. При составлении формы согласия обязательно стоит свериться с требованиями закона.
Например, интернет-магазины собирают данные для исполнения договора с покупателем (т.е. продажу и доставку товара), информационных и рекламных рассылок.
Согласие может размещаться либо в виде отдельного документа рядом с формой на которой собираются данные (в форме заказа товара или форме обратной связи), либо в договоре купли-продажи. Самое главное, чтобы согласие было получено ДО того, как вы соберете данные.
Неверным будет вариант, когда сначала собираются данные в форме обратной связи, а согласие берется через несколько шагов, например, в момент регистрации.
Своеобразное подписание согласия на сайте может осуществляться проставлением галочки или совершением иных действий, типа введение кода из смс. Причем доказывать факт получения согласия будет сама компания. Поэтому необходимо хранить log-файлы, подтверждающие получение согласия.
2) Использовать ПДн можно исключительно в целях, указанных в согласии. Если цели меняются необходимо получить новое согласие. После достижения цели необходимо прекратить обработку и уничтожить данные, если в договоре с субъектом нет других правил, разрешающих более длительное хранение.
3) На сайте должна быть размещена «Политика обработки персональных данных». Этот документ закрепляет принципы обработки данные в конкретной компании.
4) Необходимо подать уведомление в Роскомнадзор о начале обработки ПДН.
Тут нужно обратить внимание, что закон содержит перечень ситуаций, при которых уведомление можно не подавать.
5) При поступлении запроса от субъектов персональных данных о наличии у компании его данных необходимо ответить и ознакомить с имеющимися данными в течение 30 дней с момента поступления запроса.
6) Если после предоставления субъекту персональных данных информации он попросить изменить или удалить данные это нужно сделать в течение 7 дней.
7) Если пришел запрос от гос органов, то на него нужно ответить в течение 30 дней.
Нужно понимать, что требования должны соблюдать вообще все, а не только крупные компании. Специалисты Роскомнадзора уже сейчас проводят проверки сайтов и по итогам визуального осмотра направляют требования об устранении нарушений, запросы о предоставлении информации.
Первое, на что обратит внимание инспектор, это наличие политики обработки персональных данных и согласие на сбор данных. Поэтому эти документы нужно сделать в первую очередь.
Александр Морковчин, старший консультант по информационной безопасности Центра информационной безопасности компании Инфосистемы Джет
Несколько советов для Операторов персональных данных — что необходимо сделать в первую очередь:
- Первое знакомство уполномоченного органа с проверяемой организацией осуществляется задолго до начала самой проверки — путем анализа ее веб-сайта. Приведите в порядок ваш сайт — в случае наличия формы сбора ПДн посетителей сайта — опубликуйте политику обработки ПДн, предусмотрите возможность «чекбокса» для возможности клиента дать свое согласие на обработку.
- Если на вашем сайте вы обрабатываете ПДн клиентов (что актуально для интернет-магазинов, туроператоров и пр.), проверьте, чтобы ваш сайт хостился на серверном оборудовании, размещенном на территории РФ.
- Оцените необходимость отправки уведомления в Реестр операторов ПДн/актуализируйте информацию в Реестре. В связи с поправками, внесенными ФЗ N 242, Операторы должны внести в Реестр сведения о месте нахождения баз данных, содержащих ПДн, о чем Операторы зачастую забывают.
- Особое внимание стоит уделить обработке персональных данных работников, сотрудники Роскомнадзора как правило фокусируются на этом в первую очередь. Отсутствие согласия работника на обработку ПДн (или его несоответствие требованиям ФЗ), передача ПДн работника третьим лицам (страховые компании, банки, услуги по организации командировок) без согласия работника, отсутствие необходимых положений о конфиденциальности в договорах с данными организациями — входят в «топ» нарушений и выявляются почти на каждой проверке.
- Обратите внимание на места хранения бумажных носителей ПДн, зафиксируйте такие места приказом. Последнее время стоит отметить нарастающую тенденцию проверяющего органа проводить проверки мест хранения персональных данных. Открытые стеллажи, отсутствие пропускного режима, незапираемые двери вызовут вопросы инспектора.
- Оцените, не обрабатываете ли вы в анкетах соискателя лишние сведения. Так, например, коммерческая организация в общем случае не имеет права обрабатывать сведения о судимости. Зачастую в такую анкету включают полную информацию о родственниках, заболеваниях и пр.
- Проверьте ваши информационные системы. В общем случае разрешается хранить персональные данные в кадровой системе 5 лет с даты увольнения работника. Представители РОСКОМНАДЗОРа любят взять приказ об увольнении и вместе с вами проверить наличие данных в системе.
- Обеспечьте наличие средств защиты информации, сертифицированных по требованиям безопасности. Фокусируясь исключительно на бумагах об этом зачастую забывают.
Это далеко не полный перечень того, что необходимо сделать для обеспечения соответствия требованиям законодательства. Как говорится, «дьявол кроется в деталях», и таких деталей, «тонкостей» в области персональных данных достаточно много. Я бы посоветовал привлечь опытного консультанта, который в минимальные сроки разобрался бы с процессами организации и обеспечил соответствие, а в случае необходимости — помог бы «отбиться» от проверяющих с минимальными рисками.
Дмитрий Тирский, менеджер по развитию кибербезопасности в финансовых и торговых организациях департамента информационной безопасности ГК Softline.
На практике во внутренние нормативные документы должно быть включено следующее:
- Определение, что относится к персональным данным в организации, применительно к ее бизнес-процессам и их категории. То есть должны быть локализованы как сами процессы с обработкой, так и состав обрабатываемых сведений.
- Должны быть отражены правовые основания для обработки персональных данных. Это и указание федеральных законодательных актов, предписывающих обработку ПДн, подзаконодательные акты, ведомственные нормативные документы.
- Указаны цели обработки персональных данных. Например, требования кадрового учета, взаимодействие с клиентами и пр.
- Указание информационных систем с обработкой персональных данных.
- Порядок обработки персональных данных в автоматизированных системах и описание принципов и условий неавтоматизированной обработки персональных данных.
- Определены сроки обработки персональных данных, включая их хранение до передачи в архив.
- Зафиксирована необходимость трансграничной передачи персональных данных и условия таковой.
- Определены и зафиксированы регламенты взаимодействия как с самими субъектами персональных данных, так и с уполномоченным органом по защите прав субъектов (Роскомнадзор).
- Определена форма согласия на обработку персональных данных.
- Сформирована процедура и форма отзыва согласия на обработку персональных данных, учета этого отзыва в информационных системах и при неавтоматизированной обработке, включая процедуру их удаления.
- Должны быть определены и зафиксированы приказом ответственные должностные лица за обработку персональных данных и их защиту.
Максим Али, старший юрист, юридическая фирма «Максима Лигал»
Во-первых, нужно понимать, что практически любой интернет-магазин собирает персональные данные пользователей. Даже банальный адрес электронной почты может, при определенных условиях, признаваться персональными данными. То есть думать, что это кого-то не касается было бы весьма рискованно.
Во-вторых, вы должны определить, какого рода данные собираются и для каких целей. От этого зависит, какие требования необходимо соблюсти, а какие — не будут обязательными. Поясню на примере. В ряде случаев вы должны получать письменное согласие на обработку персональных данных, составленное по определенной форме. Например, это необходимо, если вы идентифицируете пользователя по биометрии (например, проверяете его отпечаток пальца) либо собираете сведения о состоянии здоровья, национальной принадлежности и прочие так называемые «специальные категории» персональных данных (или sensitive data). Получается, письменное согласие пользователя нужно далеко не всегда. И даже это требование можно исключить, выстроив определенную схему работы с пользователями. Например, получая согласие с помощью электронной подписи или попросту отказавшись от персональных данных, которые требуют особой защиты.
В-третьих, нужно позаботиться о «фасаде» вашего сайта, поскольку его интерфейс тоже подчиняется определенным правилам. К примеру, если вы используете лендинги и обрабатываете данные людей, которые еще не являются вашими клиентами, то это требует их осознанного согласия. Оно не обязательно должно быть письменным, как в примере выше (достаточно и проставления «галочки»), но вы должны сохранить какие-то доказательства того, что оно давалось в принципе. Нарушение этого требования с 1 июля будет поводом для взыскания до 50 тыс. рублей штрафа с компании.
Другой пример. Собирая данные через сайт, вы должны разместить на нем политику обработки персональных данных, которую чаще называют «политикой конфиденциальности». Отсутствие такого документа с 1 июля может обойтись компании в 30 тыс. рублей.
Не менее важный риск, особенно для онлайн-ритейла, заключается в том, что сайт, собирающий данные пользователей с нарушением закона, может быть заблокирован Роскомнадзором. А это способно повлечь убытки уже не в десятки, а сотни тысяч рублей.
Доказательствам получения согласия на обработку персональных данных могут быть:
- Регистрация пользователя на сайте с использованием логина и пароля, в процессе которой пользователь соглашается с обработкой персональных данных.
- Технические логи, содержащие информацию о действиях пользователя на сайте: какие элементы интерфейса сайта он использовал, с какого аккаунта и IP-адреса заходил и так далее.
- Отправка на указанный пользователем адрес электронного письма, где будет содержаться информация о даче пользователем согласия на обработку персональных данных.
Как правило, в случае возникновения спора в ход идут все возможные доказательства, даже если они косвенные. Процессы сбора и хранения таких доказательств имеет смысл настроить, исходя из специфики работы сайта.
Особое внимание следует уделить тому, позволяют ли ваши доказательства идентифицировать конкретного пользователя. В противном случае он может сказать, что согласие было дано не им, а кем-то другим. Чтобы достичь этой цели, можно:
- Использовать простую электронную подпись и включить в пользовательское соглашение условия о ее использовании.
- Идентифицировать человека по номеру его мобильного телефона, на который отправляется уникальный код.
- Фиксировать реквизиты совершенных пользователем платежей (посредством банковской карты или электронных денег).
Максим Терещенко, руководитель консалтинговой компании «Невские Решения»
Независимо от направленности вашего сайта (интернет магазин, информационный ресурс, сайт услуг и т.д.), чтобы избежать штрафов, необходимо выполнить следующие условия:
1. Самое первое, что нужно — это получить от пользователя разрешение на обработку его персональных данных.
- Сделать это можно путем размещения в форме, где пользователь оставляет свои ПД, фразу внизу блока: «Нажимая на кнопку „Заказать“ Я даю свое согласие на обработку персональных данных. С Политикой конфиденциальности ознакомлен». Фраза «Политикой конфиденциальности» нужно сделать ссылкой на страницу сайта, где будет размещена данная Политика. Название кнопки «Заказать» в вашем случае может быть другое, например «Оставить заявку» или «Перезвоните мне», это зависит от специфики вашего сайта.
- Другой способ получения согласия — это размещение окошка для проставления галочки (отметки) возле фразы «Я даю свое согласие на обработку персональных данных. С Политикой конфиденциальности ознакомлен». И все дальнейшие действия пользователя по передаче вам своих персональных данных (заполнению формы) должны быть невозможны без проставления им галочки (отметки) в окошке.
- Если ваш сайт продает товар или услуги, то согласие возможно получить другим способом. Политика конфиденциальности прописывается отдельным пунктом в Публичной оферте на вашем сайте. Таким образом, при заполнении формы, пользователь также соглашается на обработку данных, только изменяется фраза под формой. Например: «Согласен с условиями Публичной оферты» где фраза «Публичной оферты» оформляется как ссылка на страницу сайта, где расположена данная Публичная оферта. Таким образом, вы можете совместить любой договор, (например, договор купли-продажи или договор оказания услуг) с политикой конфиденциальности в одном документе.
2. Разработать, утвердить и разместить на сайте Политику конфиденциальности (подходит абсолютно любому сайту) или Публичную оферту с прописанными в ней положениями о сборе и обработке ПД (подойдет больше интернет магазинам и сайтам с услугами).
В Политике конфиденциальности и в Публичной оферте важно прописать следующее:
- Данные оператора ПД
- Для каких целей собираются ПД
- Перечень ПД, которые могут собираться
- Перечень действий с ПД
- Срок действия согласия субъекта
- Способ отзыва согласия субъекта
Обязательно прописывается email и другие способы связи с оператором ПД, куда субъект может обратиться с требованием об удалении, изменении своих ПД.
3. Разработать и утвердить юридические документы в компании в отношении обработки ПД, утвердить локальные акты для сотрудников по работе с персональными данными.
Дополнительно можно назначить ответственное лицо за обработку персональных данных.
В случае, если к ПД имеют доступ третьи лица (например, рекламное агентство, с которым вы сотрудничаете), с таким лицом должно быть заключено соглашение об обеспечении безопасности ПД.
4. Необходимо убедиться, что ваш сайт находится на серверах в России. Но тут есть исключения. Ваш сайт может не находиться на серверах в России, если обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
Если вы попадаете под эти исключения, то необходимо предупредить субъекта персональных данных в Политике конфиденциальности о том, где находятся сервера сайта, что возможно использование Трансграничной передачи ПД, и что он полностью согласен с этим.
5. Встать на учет, путем заполнения на сайте Роскомнадзора уведомления об обработке вами персональных данных.
Но и здесь есть исключения. Можно не уведомлять Роскомнадзор в случаях:
- Если вы обрабатываете данные сотрудников
- Если вы получаете ПД от субъекта только в связи с заключением и исполнением договора, стороной которого он является. Здесь хорошим примером служит публичная оферта. Если у вас интернет магазин или сайт услуг, субъект, соглашаясь с публичной офертой при заполнении формы, становится стороной договора. И вы как оператор ПД обязуетесь в оферте никуда его ПД не передавать, а использовать ПД только для выполнения своих обязательств по договору между вами
- Если вы обрабатываете ПД субъектов общественного объединения или религиозной организации, при условии, что третьим лицам ПД не разглашаете без согласия субъекта
- Если вы обрабатываете ПД субъекта, которые он сделал общедоступными. Другими словами, сам опубликовал их в общем доступе
- Если ПД содержат только фамилию, имя и отчество
6. Разместить на сайте дисклеймер, уведомляющий посетителя, что его персональные данные обрабатываются в соответствии с Политикой конфиденциальности сайта. Если он не согласен с Политикой, то должен покинуть сайт. Дальнейшее пользование сайтом будет означать его согласие с обработкой ПД и Политикой конфиденциальности.
Это основные действия, которые помогут вам избежать штрафов и проблем с Роскомнадзором.