Обработка персональных данных на сайте: как избежать штрафов

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Обработка персональных данных на сайте: как избежать штрафов». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.


Хранить, использовать, дополнять, копировать, блокировать и совершать другие операции с ПДн необходимо исключительно после того, как получено одобрение от субъекта. Причем человек должен дать официальное согласие в электронном либо письменном виде, предварительно ознакомившись с целями, методами, объемом и сроками обработки частных сведений. Если оператор действует самовольно и передает секретные данные иным лицам, то имеет место незаконное распространение персональных данных. Каким образом производится передача информации другим организациям, гражданам или общественности, не имеет значения, в любом случае за совершенные действия виновника накажут. Поводом для начала уголовного производства может служить как заявление субъекта в правоохранительные органы, так и инициатива надзорного органа, который обнаружил признаки несанкционированных операций в рамках плановой или внеплановой проверки.

Действия субъекта в случае незаконного распространения ПДн

Ситуации, связанные с неправомерной передачей частных сведений, бывают разными, и каждый субъект вправе сам решать, как отстаивать собственные интересы:

  • обращение в судебные органы с иском, где прописано требование прекратить обработку, заблокировать доступ к ПДн, возместить материальный и моральный ущерб;
  • подача жалобы в Роскомнадзор, который инициирует дополнительную проверку, и если будут выявлены нарушения, предпримет адекватные меры;
  • обращение в правоохранительные структуры позволит в случае удачного завершения дела добиться несения нарушителем административной либо уголовной ответственности. В полицию имеет смысл обращаться, если отсутствует достаточно убедительная для судебного производства доказательная база, подтверждающая вину оператора.

В каких случаях потребуется уведомление Роскомнадзора

С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

  • получаемых и обрабатываемых в рамках трудового законодательства;
  • получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
  • относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
  • разрешенных физлицом для распространения;
  • включающих в себя только фамилии, имена и отчества физлиц;
  • необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ даются определения трех ключевых понятий, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся физлицу, то к ПДн относятся:

  • Ф. И. О. (вместе и даже по отдельности);

  • дата рождения;

  • адрес;

  • телефон;

  • адрес электронной почты;

  • фотография;

  • ссылка на персональный сайт;

  • ссылка на профиль в социальных сетях.

На первый взгляд так и есть.

Читайте также:  Что такое Федеральное Собрание РФ?

«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (ч.1 ст.3 ФЗ «О персональных данных»).

Однако если переложить данную норму на обычный язык, персональными данными являются только те сведения, на основе которых можно установить личность человека или которые относятся к человеку, личность которого бесспорно известна.

Проверим тезис на информации о номере телефона или адресе электронной почты. У вас нет легального доступа к абонентской базе или базе пользователей почтового сервиса. Следовательно, сами по себе данные сведения не позволяют установить личность человека, который ими пользуется.

Поэтому данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо.

«Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными» (ч.2 ст.3).

Однако из данного правила есть исключение.

«Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора» (ч.3 ст.6).

Указанные лица не определяют «цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными», а потому не считаются операторами персональных данных.

На практике к таким лицам могут относиться любые консалтинговые и сервисные компании, включая облачные сервисы. Персональные данные предоставляются клиентами, они же и несут ответственность за легальность их обработки.

Аналогично любые сервисы не должны отвечать за обработку ПДн сотрудников клиентов, которые последние самостоятельно загружают в сервис. Именно клиент должен получить согласие субъекта персональных данных на передачу сервису и их обработку соответствующими способами.

Выводы

Не спешите хоронить считать себя оператором. Возможно, вы получили персональные данные для обработки от оператора, а не субъекта персональных данных.

Ситуации из практики: что изменится с 1 июля

Пример 1. Должностное лицо без согласия человека разгласил зарплату, премию, вознаграждение по договору, передал данные должников в юридическую фирму, чтобы составить исковые заявления или разместил копию заявления человека в качестве образца на стенде с образцами других заявлений. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как разглашение персональных данных без письменного согласия от человека или по письменному согласию, которое оформлено с нарушениями и выдадут постановление об административном правонарушении и назначат штраф: на учреждение – от 15 000 до 75 000 руб., на должностное лицо – от 10 000 до 20 000 руб. (ч. 2 ст. 13.11 КоАП РФ).

Пример 2. Бухгалтер не предоставил сотруднику расчетный листок, справку, сведения о страховом стаже и другие документы, в которых есть персонифицированные сведения о человеке. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как сокрытие от человека его персональных данных и назначат штраф: на учреждение – от 20 000 до 40 000 руб., на бухгалтера – от 4000 до 6000 руб. (ч. 4 ст. 13.11 КоАП РФ).

Пример 3. Должностное лицо отказался принять к обработке новые паспортные данные человека, банковские реквизиты или другую изменяющую информацию – за такое нарушение инспекторы могут назначить штраф на учреждение – от 25 000 до 45 000 руб, а на должностное лицо – от 4000 до 10 000 руб.

Пример 4. Должностное лицо небрежно работает с документами, персональные сведения о сотруднике стали известны другим лицам из-за того, что он оставил на столе без присмотра или вынес с рабочего места справки, расчетные листки, другие документы с персональными данными или потерял эти документы. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как невыполнение требования человека уточнить, блокировать или уничтожить его персональные данные и назначат штраф: на учреждение – от 25 000 до 50 000 руб., а на бухгалтера – от 4000 до 10 000 руб. (ч. 6 ст. 13.11 КоАП РФ).

Читайте также:  Налоги с зарплаты в 2023 году в процентах: таблица

Пример 5. Должностное лицо передает имена, адреса, телефоны и другие данные сотрудников организациям, действующим в рекламных целях коллекторским агентствам или другим третьим лицам. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как обработку персональных данных, когда это не предусмотрено законами и не соответствуют целям сбора персональных данных и назначат штраф на учреждение – от 30 000 до 50 000 руб., а на бухгалтера – от 5000 до 10 000 руб. (ч. 1 ст. 13.11 КоАП РФ).

Ответственность за нарушения по персональным данным

Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц. Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего в персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей). Законодатель с 1 июля вносит изменения в статью 13.11 КоАП (Федеральный закон от 7 февраля 2021 г. № 13-ФЗ).
До 1 июля 2021 года размеры штрафов за нарушение закона о персональных данных составляют:

  • для юридических лиц – от 5 тыс. до 10 тыс. руб.;
  • для должностных лиц – от 500 до 1 тыс. руб.

Ниже в таблице приведу перечень нарушений и размеры новых штрафов за них с 1 июля 2021.

Вид нарушения Размер штрафа
для юридических лиц для должностных лиц
Обработка персональных данных в случаях, не предусмотренных законодательством, либо их обработка, несовместимая с целями сбора персональных данных*. От 30 тыс. до 50 тыс. руб. От 5 тыс. до 10 тыс. руб.
Обработка персональных данных без письменного согласия субъекта персональных данных на их обработку* От 15 тыс. до 75 тыс. руб. От 10 тыс. до 20 тыс. руб.
Обработка персональных данных с нарушением требований к составу сведений, отражаемых в письменном согласии субъекта персональных данных на их обработку От 15 тыс. до 75 тыс. руб. От 10 тыс. до 20 тыс. руб.
Нарушение оператором требований законодательства в области обработки, хранения и предоставления персональных данных От 15 тыс. до 50 тыс. руб. От 3 тыс. до 10 тыс. руб.

* Если не предусмотрена уголовная ответственность
Полномочия по возбуждению дел об административных правонарушениях в области персональных данных переданы от прокуроров к Роскомнадзору. Срок давности для административной ответственности – три месяца со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Протокол об административном нарушении составляют сотрудники Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ).

Трудовая инспекция также вправе наказать за нарушения правил работы с персональными данными, которые установлены в трудовом законодательстве (например, если бухгалтер использует сведения сотрудника в незаконных целях или их утерял). Наказание – штраф от 1000 до 5000 руб., за повторное нарушение – штраф от 10 000 до 20 000 руб. или дисквалификация от одного года до трех лет (ч. 1, 2 ст. 5.27 КоАП РФ).

Срок давности для ответственности за персональные данные по трудовому законодательству – один год со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Кроме административной ответственности за нарушения в области обработки персональных данных могут привлечь к дисциплинарной, материальной и даже к уголовной ответственности.

О других видах ответственности

К дисциплинарной ответственности руководитель учреждения может привлечь работника за нарушения, которые обязаны соблюдать правила работы с личными данными, но нарушили их (ст. 192 ТК РФ). За дисциплинарный проступок руководитель может наказать работника, сделать замечание, объявить выговор и даже уволить (ч.1 ст. 192 ТК РФ).
Материальная ответственность работника может наступить, если его нарушение привело к ущербу для учреждения (ст. 238 ТК РФ). К примеру, ответственный работник за обработку персональных данных распространил персональные данные сотрудников в сети Интернет, а те в свою очередь подали на работодателя в суд, который постановил: «выплатить пострадавшим работникам денежную компенсацию – 50 000 рублей каждому». В таком случае руководитель может привлечь как к ограниченной так и к полной материальной ответственности.

Самый страшный вид ответственности – это уголовная. Она может наступить за незаконные действия:

  • сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
  • распространение сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.
Читайте также:  Ростовчане смогут оформить новое пособие на детей с 1 января в 2023 году

Ответственность за нарушения по семи пунктам

  1. Если вы обрабатываете персональные данные в случаях, не предусмотренных законом

    Например, используете телефонный номер пользователя для рассылки рекламных SMS, тогда как он нужен лишь для заключения договора.

    • Для юридических лиц — от 30 до 50 тыс. рублей;
    • Для должностных лиц — от 5 до 10 тыс. рублей.
  2. Если пользователь не подтвердил свое согласие на обработку персональных данных
    • Для юридических лиц — от 15 до 75 тыс. рублей;
    • Для должностных лиц — от 10 до 20 тыс. рублей.
  3. Если на сайте не опубликована политика конфиденциальности
    • Для юридических лиц — от 15 до 30 тыс. рублей;
    • Для индивидуальных предпринимателей — от 5 до 10 тыс. рублей;
    • Для должностных лиц — от 3 до 6 тыс. рублей.
  4. Если вы не предупредили пользователя о правилах обработки его персональных данных
    • Для юридических лиц — от 20 до 40 тыс. рублей;
    • Для индивидуальных предпринимателей — от 10 до 5 тыс. рублей;
    • Для должностных лиц — от 4 до 6 тыс. рублей.
  5. Если отказались удалить данные пользователя из базы по его запросу
    • Для юридических лиц — от 25 до 45 тыс. рублей;
    • Для индивидуальных предпринимателей — от 4 до 6 тыс. рублей.
    • Для должностных лиц — от 4 до 10 тыс. рублей.
  6. Если должным образом не обеспечили сохранность данных
    Например, отсутствует антивирусная защита, сервер уязвим для хакерских атак.
    • Для юридических лиц — от 25 до 50 тыс. рублей;
    • Для индивидуальных предпринимателей — от 10 до 20 тыс. рублей;
    • Для должностных лиц — от 4 до 10 тыс. рублей.
  7. Если вы представляете государственное или муниципальное учреждение, не выполняете обязанности по обезличиванию информации о пользователях
    • Для должностных лиц — от 3 до 6 тыс. рублей.

Что теперь делать владельцам сайтов?

Чтобы соответствовать всем требованиям законодательства и избежать наложения штрафов, необходимо как минимум:

  1. получить согласие у каждого посетителя на обработку данных,
  2. запрашивать только те данные, которые необходимы для конкретной цели,
  3. хранить данные в безопасном и защищенном от утечки месте,
  4. опубликовать на сайте публичный документ об обработке персональных данных, этот документ должен быть доступен со всех страниц сайта,
  5. при необходимости зарегистрироваться в Роскомнадзоре.

Со своей стороны компания «Пиком» может помочь Вам в решении данного вопроса и взять на себя:

  • проверку сайта на соответствие требованиям закона,
  • разработку политики конфиденциальности или иного заменяющего документа и публикацию его на сайте,
  • доработку всех имеющихся форм и анкет сайта.

Для начала вспомним за что могут оштрафовать.

В ст. 13.11 перечислено семь составов правонарушений:

  1. Обработка персональных данных (ПДн) в случаях, не предусмотренных законом, либо когда обработка несовместимая с целями. Это может обойтись в сумму от 30 000 до 50 000 рублей.

  2. Обработка без письменного согласия или получение согласия не по форме, установленной в 152-ФЗ, обойдется в сумму от 15 000 до 70 000 рублей.

  3. Отсутствие политики обработки ПДн – от 15 000 до 30 000 рублей.

  4. Молчание на запрос об уточнении перечня и целей обработки данных субъекта ПДн штрафуется суммой от 20 000 до 40 000 рублей.

  5. Игнорирование требования субъекта ПДн об удалении или изменении ПДн карается штрафом от 25 000 до 45 000 рублей.

  6. Утечка данных, если это вызвано нарушением правил обработки, оценивается в сумму от 25 000 до 50 000 рублей.

  7. И наконец дешевле всего стоит невыполнение предписаний госорганов – от 3000 до 6000 рублей

    Штрафовать могут за каждый состав отдельно, а значит, итоговая сумма штрафа может достичь 300 000 рублей.

    При этом если вы обрабатываете данные всех пользователей без соответствующего согласия, то штрафовать будут за каждого.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *