Галочка на сайте через две недели станет стоить 300 000 рублей

Большинство бизнесов, в том числе и наши клиенты, в принципе не слышали о 152-ФЗ. Большинство юристов законодательство о персональных данных не любит – оно объективно непонятно, доступные примеры применения и защиты отсутствуют. Большинство предпринимателей «вздрогнут» уже через две недели – с 1 июля 2017 в силу вступят изменения, значительно ужесточившие закон о персональных данных.

Несмотря на то, что 152-ФЗ уже более 10 лет, примеров его действия практически нет – привлекать к ответственности раньше могла только прокуратура, которой, по большому счету, делать этого было некогда. К тому же штрафы за нарушения с точки зрения бизнеса были смешными – до 10 000 рублей. Однако совсем скоро все изменится.

С 1 июля 152-ФЗ переходит в зону ответственности Роскомнадзора, а выявлять нарушения стало значительно выгоднее – штраф увеличился до 75 000 рублей. Ожидать почти моментальных проверок приходится всем – хотя бы потому, что ключевой регулятор в сфере персональных данных – Роскомнадзор – давно ждал изменений в КоАП. К слову, именно он желал увеличения штрафов до 500 000 рублей. Хорошо, что этого не произошло. Пока. Но теперь РКН может штрафовать не по одной статье 13.11 Кодекса об административных правонарушениях (КоАП), а по семи, значит, совокупный штраф может легко составить сумму в несколько сотен тысяч рублей.

В настоящий момент мы активно готовится обезопасить себя и своих клиентов, поэтому провели целый ряд работ совместно с нашими юристами. Результатами готовы поделиться в этой статье.

В первую очередь нужно отметить, что 7 пункт статьи 13.11 не коснется бизнеса – в нем речь идет об операторах, являющихся государственным или муниципальным органом. Значит, подготовиться нужно по оставшимся 6 пунктам.

В первом речь идет об обработке персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработке персональных данных, несовместимой с целями сбора персональных данных. Возможный штраф для юридических лиц – до 50 000 рублей. Самыми главными примерами нарушений этого пункта являются сбор скан-копий документов через сайт. К примеру, турагентство может запросить скан загранпаспорта для брони поездки. Роскомнадзор данный скан посчитает излишней информацией. Второй пример – обработка данных в дополнительных целях. Получив номер телефона клиента для связи с ним во время доставки, интернет-магазин больше не может рассылать ему смс-сообщения об акциях – с 1 июля это становится нарушением.

Вторая часть статьи 13.11 КоАП касается обработки персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработки персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных. Штрафы за нарушение столь длинной части статьи доходят до 75 000 рублей для юридических лиц. Примером нарушения может стать сбор, хранение и обработка на сайте специальных данных – например, сведений о состоянии здоровья или результатах анализов в личном кабинете на сайте медицинского центра, - без явного согласия на обработку таких данных со стороны пользователя. Самый страшный для digital-сферы пример – это онлайн-скоринг данных пользователя без явного согласия на обработку таких данных. А это, к слову, информация об IP-адресе и файлах cookie. Еще одним нарушением ч.2 ст.13.11 КоАП является отсутствие в согласии информации о третьих лицах, которым данные могут передаваться, а также несоответствие формы согласия на обработку персональных данных требованиям ч.4 ст.9 152-ФЗ.

В 3 части статьи говорится о невыполнении оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных. Штраф за нарушение – до 30 000 рублей. Пример нарушения только один – отсутствие на сайте общедоступной ссылки на Политику организации в отношении обработки персональных данных.

Ч.4 ст.13.11 КоАП регулирует невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных. Иными словами, нельзя игнорировать запросы физических лиц по поводу обработки и защиты их данных, отвечать на запросы нужно в установленное законом время, ни в коем случае не предоставляя ложной информации. Штраф за нарушение для юридических лиц - до 40 000 рублей.

В пятой части речь идет о невыполнении оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Штрафы по нарушениям этой части ст. 13.11 КоАП доходят до 45 000 рублей для физических лиц. Речь же идет об игнорировании или нарушении сроков предоставления ответа на запросы физических лиц и Роскомнадзора по поводу прекращения обработки персональных данных и их уничтожения.

Шестая часть статьи 13.11 касается невыполнения оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния. Штраф может составить 50 000 рублей. Примерами нарушения этого пункта являются отсутствие списка лиц, допущенных к работе с данными, и отсутствие раздельного хранения данных.

Кроме этого, с 2015 года действие 294-ФЗ «О защите бизнеса при проверках» не распространяется на закон о персональных данных, а значит, Роскомнадзор регулирует свою деятельность только внутренним регламентом. Бизнес не сможет найти информацию о планах проверок по персональным данным в открытом доступе. Периодичность и частота этих проверок пока тоже не ясны. Вполне вероятно, что уже 1 июля 2017 года ряд сайтов будет заблокирован по причине незаконного сбора персональных данных.

Что же уже сегодня необходимо сделать любому владельцу сайта?

• В первую очередь, на каждой форме сайта необходимо разместить текст следующего содержания: «Нажимая на кнопку ОТПРАВИТЬ, я даю согласие на обработку персональных данных». Текст «согласие на обработку персональных данных» должен быть гиперссылкой собственно на документ согласия или публичной оферты.
• Во-вторых, необходимо утвердить Политику в отношении обработки персональных данных и разместить ее в открытом доступе – прямо на своем сайте.
• В-третьих, необходимо убедиться, что сайт находится на территории Российской Федерации – узнать адрес сервера. В противном случае сайт необходимо в срочном порядке переносить на территорию РФ.
• Четвертый шаг – указание на сайте электронного адреса, на который пользователь сможет обратиться с вопросом о своих персональных данных, в том числе об их удалении.
• Пятый шаг – подача уведомления о намерении обрабатывать персональные данные в Роскомнадзор. Изначально форму нужно заполнить на сайте, потом заполненную форму распечатать, подписать и направить в соответствующий территориальный орган Роскомнадзора.
• Шестой пункт – это заключение соглашения об обеспечении безопасности персональных данных, в котором будет указано, какие персональные данные и в каких целях оператор может обрабатывать, какие действия с ними выполнять.
• Последний шаг – установка на сайт дисклэймера, уведомляющего посетителей сайта о том, что их персональные данные обрабатываются, а в случае несогласия посетитель должен покинуть сайт.

Эти 7 шагов едва ли перекроют 15% требований Роскомнадзора, но их достаточно для того, чтобы обезопасить свой бизнес и выиграть время на более тщательную проработку вопроса о защите персональных данных пользователей.