Изменения с 1 июля в законе о персональных данных

В свете предстоящего ужесточения с 1 июля 2017 года ответственности за нарушение законодательства о персональных данных, управляющий партнер юридической компании «Polegis», Кормилицин Сергей Андреевич, напоминает основные положения закона и рассказывает, какие штрафы и за какие нарушения вводятся.

Что такое персональные данные (ПД)? Это любая информация, относящаяся к физическому лицу (субъекту персональных данных). ФИО, дата рождения, адрес электронной почты и номер телефона – все это и многое другое, относящееся к конкретному человеку — персональные данные. Словосочетание «Студент Иван» не является персональными данными, а вот Иван +7-900-000-00-00 уже вполне под определение персональных данных подходит.

Кто такой оператор персональных данных? Это государственный орган, физическое или юридическое лицо, осуществляющее обработку персональных данных. Интернет-магазин (точнее лицо, которому он принадлежит), сервис «Мои документы», любой сайт, на котором есть форма обратной связи или заявки, банк, салон красоты являются операторами персональных данных.

Что такое обработка персональных данных? Это любое действие или совокупность действий, совершаемых с персональными данными (сбор, запись, систематизация, накопление, хранение, передача, удаление). Форма обратной связи на сайте, регистрация в личном кабинете, внесение информации о позвонившем клиенте в CRM – все это является обработкой персональных данных. По закону, оператор обязан уведомить Роскомнадзор до начала обработки персональных данных о своем намерении обработку этих данных осуществлять.

В каких случаях можно обрабатывать данные без уведомления? Случаи, при которых можно не уведомлять Роскомнадзор, содержатся в ст. 22 ФЗ «О персональных данных»:

• ПД обрабатываются во исполнение требований трудового законодательства (например, заключение трудового договора с сотрудником);
• ПД обрабатываются в целях исполнения договора с субъектом ПД;
• Общественная или религиозная организация обрабатывает ПД своих членов;
• Субъект ПД сделал их общедоступными;
• ПД включают в себя только фамилии, имена и отчества субъектов;
• ПД используются для одноразового пропуска на территорию оператора;
• ПД обрабатываются без использования средств автоматизации;
• ПД обрабатываются в целях обеспечения транспортной безопасности;
• ПД включены в информационные системы ПД государственных автоматизированных информационных систем.

Что делать? Во-первых, иметь минимальный пакет документов как на сайте, так и в организации. Во-вторых, если ваша организация не попадает под исключения, указанные в ст. 22 закона о персональных данных, уведомить Роскомнадзор. Вокруг этого требования идут постоянные споры, что уведомление приведет к привлечению внимания со стороны контролирующего органа и лучше его не уведомлять. Конечно, каждому владельцу бизнеса решать самому, уведомлять или нет, но желание этого не делать является вполне логичным.

Какая предусмотрена ответственность за нарушение законодательства о персональных данных? До 1 июля 2017 года КоАП РФ содержал лишь один состав административного правонарушения за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) и нарушитель подвергался штрафу от 5 до 10 тысяч рублей. С 1 июля 2017 года все становится намного интереснее и статья 13.11 КоАП разрастается до 7 пунктов – по количеству возможных правонарушений.

Итак, в настоящий момент установлены следующие виды правонарушений в области персональных данных:

1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных наказывается штрафом от 1000 (граждане) до 50 000 (юридические лица) рублей.
2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных – от 3000 до 70 000 рублей.
3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных влечет наложение штрафа от 700 до 30 000 рублей.

Например, у вас на сайте отсутствует политика обработки ПД, то этот пункт применим к вам.

4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных – от 1000 до 40 000 рублей.

Клиент запрашивает у вас, с какой целью вы собираете его персональные данные, а вы не отвечаете – пункт ваш.

5. Невыполнение оператором в срок требования субъекта персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки – от 1000 до 45 000 рублей
6. Невыполнение оператором обязанности по соблюдению условий, обеспечивающих сохранность персональных данных, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных – от 700 до 50 000 рублей.
7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных – от предупреждения до штрафа 6000 рублей.

Касается государственных служащих.