main.jpg



Ужесточена административная ответственность за нарушения в области персональных данных. Как не получить «письмо счастья» от Роскомнадзора

Практически каждая компания в процессе повседневной деятельности имеет дело с персональными данными множества разных лиц, в частности, работников, клиентов, представителей контрагентов, лиц, желающих занять вакантную должность в компании, а также пользователей, посещающих ее сайт в сети Интернет.

С 1 июля 2017 года вступили в силу изменения, которыми в Кодекс об административных правонарушениях РФ («КоАП РФ») введено 7 новых отдельных состав административных правонарушений в области персональных данных и увеличена административная ответственность за данные нарушения.

Напомним, что ранее КоАП РФ предусматривал только один общий состав – «нарушение установленного законом порядка, сбора, хранения, использования или распространения персональных данных», штраф за который составлял всего 10 000 тысяч рублей. Теперь размер штрафа зависит от состава нарушения, максимальная величина штрафа для юридических лиц может достигать 75 000 тысяч рублей.[1]

Еще одним важным изменением является наделение Роскомнадзора полномочиями на самостоятельное составление протоколов об административном правонарушении. До этого момента протоколы могли составлять только прокуроры, что существенно осложняло механизм привлечения к административной ответственности нарушителя.

Также обращаем внимание, что на днях Роскомназдор подготовил рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных. Ознакомиться с данными рекомендациями можно на следующей странице официального сайта Роскомнадзора в сети Интернет: http://www.rkn.gov.ru/personal-data/p908/.

В связи с повышением внимания государства к проблеме несоблюдения требований законодательства о персональных данных и принятием мер, направленных на ее устранение, Консультанты юридической фирмы «Лемчик, Крупский и Партнеры» считают необходимым провести краткий экскурс в область персональных данных и подробнее рассказать об изменениях в ней.

 

ЧТО ТАКОЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ?

Согласно ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» персональные данные означают любую информацию, которая прямо или косвенно относится к физическому лицу.

На практике компании чаще всего обрабатывают следующие персональные данные:

Персональные данные4

 

 

 

 

 

 

 

 

 

 

ПРИМЕРЫ РАСПРОСТРАНЕННЫХ НАРУШЕНИЙ

1. На сайте компании в сети Интернет отсутствует ссылка на политику в отношении обработки ПДн, получаемых посредством использования сайта (политика конфиденциальности).

Так, мировой судья судебного участка №1 Октябрьского района г. Тамбова оштрафовал компанию, обрабатывающую персональные данные посредством сайта в сети Интернет, за неопубликование на сайте политики в отношении обработки персональных данных. Апелляционная и кассационная инстанции поддержали доводы мирового судьи (Постановление Тамбовского областного суда от 04.10.2016 по делу № 4А-288/2016).

В целях сокращения риска привлечения к ответственности компаниям, занимающимся Интернет-торговлей, а также другим компаниям, обрабатывающим персональные данные посредством сайта, необходимо разместить на сайте в открытом доступе политику конфиденциальности. Также во всех формах, где указываются персональные данные, следует обеспечить техническую возможность получения согласия пользователя сайта на обработку его персональных данных.

2. Компания не предоставляет по запросу субъекта персональных данных информацию, касающуюся обработки его персональных данных. К данной информации, в частности, относится подтверждение факта обработки персональных данных, правовые основания, цели и сроки обработки персональных данных и др. (Апелляционное определение Новосибирского областного суда от 22.11.2016 по делу № 33-11437/2016).

Кроме того, следует иметь в виду, что оператор также несет ответственность за невыполнение требований об уточнении, блокировании и уничтожении персональных данных в случае, если, например, они являются неполными, устаревшими, неточными, незаконно полученными. В связи с этим компании следует поддерживать обратную связь с субъектом персональных данных. Для этого необходимо предоставлять ему сведения об адресе для направления всех вопросов в отношении обработки персональных данных. А также назначить ответственное лицо по данному вопросу. Данные меры помогут своевременно реагировать на запросы субъектов персональных данных, а главное избежать привлечения к ответственности.

3. Обработка персональных данных производится без согласия субъекта персональных данных (Апелляционное определение Новосибирского областного суда от 29.03.2016 по делу № 33-3056/2016; Апелляционное определение Алтайского краевого суда от 29.09.2015 по делу № 33-9241/2015). По общему правилу обработка персональных данных производится только с согласия субъекта персональных данных.

При этом бремя доказывания о получении согласия возлагается на компанию. В целях сокращения риска привлечения к ответственности компании следует получать согласие на обработку персональных данных, за исключением случаев, установленных законодательством о персональных данных.

4. Компания не принимает или не обеспечивает организационные и технические меры по обеспечению безопасности персональных данных.

В Постановлении Верховного Суда РФ от 21.03.2017 № 91-АД17-2 указано, что общество хранило анкеты с персональными данными в помещении своего структурного подразделения в г. Пскове в картонных коробках в шкафу без запирающегося устройства, что не обеспечивает ограничение доступа к персональным данным третьих лиц.

5. Компания при сборе персональных данных, в том числе посредством сети Интернет, осуществляет запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами РФ.

В 2016 году суд установил, что небезызвестная деловая сеть Linkedin не обеспечивала обработку персональных данных граждан РФ с помощью баз данных на территории России, вследствие чего, удовлетворил требование Роскомнадзора об ограничении доступа к сайту (Определение Московского городского суда от 10.11.2016 по делу № 33-38783/2016).В настоящий момент сайт Linkedin находится в реестре нарушителей прав субъектов персональных данных, доступ к сайту ограничен.

6. Неисполнение обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку персональных данных до начала обработки персональных данных (Постановление Нижегородского областного суда от 25.07.2014 по делу № 7п-371/2014).

ЧТО ГРОЗИТ КОМПАНИИ ЗА НАРУШЕНИЯ?

30 – 50 тыс. руб. обработка ПДн производится в случаях, не предусмотренных законодательством РФ в области ПДн, или, если она несовместима с целями сбора ПДн;
1575 тыс. руб. обработка ПДн производится без согласия в письменной форме субъекта ПДн на обработку его ПДн в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области ПДн, или, если она производится с нарушением установленных законодательством РФ в области ПДн требований к составу сведений, включаемых в согласие в письменной форме
1530 тыс. руб. невыполнение компанией, обрабатывающей ПДн, обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему ее политику в отношении обработки ПДн, или сведениям о реализуемых требованиях к защите ПДн
2040 тыс. руб. невыполнение компанией, обрабатывающей ПДн, обязанности по предоставлению лицу информации, касающейся обработки его ПДн
2545 тыс. руб. невыполнение компанией, обрабатывающей ПДн, требования лица (его представителя), Роскомнадзора об уточнении ПДн, их блокировании или уничтожении в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки
2550 тыс. руб. невыполнение компанией, обрабатывающей ПДн, при обработке ПДн без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность ПДн при хранении материальных носителей ПДн и исключающих несанционированный к ним доступ, если это повлекло неправомерный или случайный доступ к ПДн, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении ПДн

 

Своевременная проверка соблюдения требований законодательства в области персональных данных поможет бизнесу исключить или минимизировать риски привлечения к ответственности за нарушения в данной области.

Консультанты юридической фирмы «Лемчик, Крупский и Партнеры» готовы обеспечить проверку соблюдения требований законодательства о персональных данных, устранить выявленные нарушения, разработать все необходимые документы или привести имеющиеся документы в соответствие с требованиями законодательства о персональных данных.

Информация, представленная в настоящем обзоре, носит исключительно ознакомительный характер. Данная информация не является и не может быть рассмотрена в качестве юридической консультации.


[1] За невыполнение обязанности по опубликованию документа, определяющего политику оператора в отношении обработки персональных данных.