На удивление бизнес-сообщество очень спокойно отнеслось к изменениям в Федеральном Законе “О персональных данных”. В Государственной Думе приняли поправки, о которых практически никто не знает. И сегодня мы решили осветить предстоящие изменения.

Российский бизнес плывет на спокойной волне, расслаблено, не видя грядущую бурю. Большинство хочу огорчить, зря Вы решили, что Вашу организацию это не коснётся.
Почему остро встал вопрос об ужесточении закона? На сегодняшний день данные пользователей часто стали передаваться третьим лицам, гиперактивность в коммуникации бизнеса, неправомерное использование данных (“несоответствие целям”). Всё это — неграмотная работа с данными, непонимание закона как основы, и как следствие неправомерное использование информации граждан.

Поправки, которые вступили 1 июля 2017 года, это шаг государства на встречу прозрачности законодательства, так как пункты, касающиеся бизнеса в отношении сбора, обработки и использования данных клиентов конкретизированы и понятны. Это важный момент, так как упрощение возможности наказания и увеличение штрафов является конкретизацией состава нарушений.

Что подразумевается под персональными данными?

Статья 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» дает такое определение:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Закон о персональных данных – это такие потемки, в которые не хотят заходить даже опытные юристы. Но все же предпринимателям придется разбираться в этом вопросе. Владелец сайта, будь то физическое лицо или организация, подлежит регистрации оператора персональных данных.

Позаботиться о соблюдении всех требований 152-ФЗ необходимо, если:

  1. На Вашем сайте имеется форма регистрации. Например, социальные сети, интернет-магазины, туристические агентства, салоны красоты, форумы, сайты объявлений и пр.
  2. На Вашем сайте есть формы заявки, которые публикуются на сайте или отправляют по средствам электронной почты. Например, возможности “быстрый звонок”, “быстрый заказ”, подписка на рассылку и пр.
  3. На Вашем сайте в открытом доступе уже имеются персональные данные граждан.
  4. Ваша организация занимается обработкой персональных данных граждан.

Что нового в законодательстве?

7 февраля 2017 года в статью 13.11 КоАП внесены поправки, ужесточающие наказание за нарушения закона о персональных данных. Данные поправки вступили в силу 1 июля 2017 года и относятся ко всем, кто собирает любые персональные данные. Штрафы разделены по видам нарушений и увеличены в разы. Привлечь к ответственности теперь стало просто. Если раньше необходимо было разрешение прокуратуры, то сейчас путь заметно сокращается, возбуждает дело непосредственно Роскомнадзор, орган заинтересованный, который уже давно хочет заниматься подобными проверками, в его зоне и находится 152-ФЗ.

Например, если на сайте отсутствует информация о конфиденциальности, в таком случае индивидуального предпринимателя оштрафуют на 10 000 рублей, а организацию на 30 000 рублей. Интернет-магазин, который без согласия своих клиентов собирает их данные, может угодить на штраф до 75 000 рублей. Количество нарушений прямо пропорционально количеству штрафов. Такие нарушения встречаются на каждом шагу и видны даже рядовому пользователю ПК, что уж говорить о надзорных органах.
И тут встает очевидный вопрос: предпринимать что-то или нет?

Если же организация занимается сбором персональных данных, то обязательно нужно подготовить все необходимые документы и направить в Роскомнадзор. Так руководитель организации будет уверен, что риски, связанные с проверкой государственного органа, будут снижены до минимальных. Однако, те, кто руководит организацией часто делят риски на возможные и маловероятные. Степень риска будет зависеть от многих факторов:

Вряд ли Роскомнадзор заинтересуется форумом любителей-пчеловодов деревни Пчелкино. А вот у интернет-магазина или строительного застройщика есть большая вероятность попасть под прицел регулирующего органа. Это даже просто вопрос времени, нежели вероятности.

Огромные риски у организаций, которые имеют на своем сайте формы, позволяющие вносить персональные данные, а также компании, которые проводят рассылки клиентам. Проблема тех и других в том, что Роскомнадзор имеет огромный опыт в работе с Интернет-ресурсами, а главное – есть способ воздействия – блокировка сайта.

Собственники бизнеса заботятся о своей репутации, и блокировка сайта несет за собой как финансовые потери, заказы, так и выбросит сайт на долгое время из топа на последние страницы поисковиков, что значительной степени пошатнет доверие клиентов к организации.

Настойчивая политика работы с клиентами, частые рассылки также могут стать основанием для проверок. Напомним, что производить проверки Роскомнадзор может согласно поступившим жалобам.

    На войне все средства хороши и недобросовестные конкуренты могут легко воспользоваться изменениями в законе и не позволят заработать больше. Из таких источников и может поступить сигнал в Роскомнадзор.

    Сегодня очень много людей, которые хотят получить легкие деньги, и зачастую не самым честным путем. Случаи в дорогих ресторанах с мухами в салате или пешеходами, которые “случайно” попали под машину на зебре. Те и другие начинают вымогать деньги на месте, угрожая законом и написанием жалоб в соответствующие органы. Так не лучше ли себя обезопасить и быть спокойным за юридическую сторону своего бизнеса?

За что конкретно будут штрафовать

152-ФЗ «О персональных данных» вышел в 2006 году. Тогда предприниматели не придали ему огромного значения, так как даже подзаконной нормативной базы на тему его применения он не имел. Но наше правительство работает, и в 2008-2009 году появляется нормативная база от Роскомнадзора, ФСТЭК и ФСБ. Все больше СМИ начинают об этом писать и среди предпринимателей появляются разговоры, о законе знают почти все, но не более того.

В новых изменениях в КоАП предполагаются штрафы как в отношении юридических лиц, так и в отношении должностных лиц.

Ключевым регулятором в сфере персонализации данных является Роскомнадзор, теперь он вправе составлять протоколы об административных правонарушениях. Процесс значительно стал быстрее и проще для этого органа государственной власти, который, надо отметить, уже давно ждал изменений в законе.

Итак, КоАП с 1 июля 2017 года, статья 13.11.

1. Обработка персональных данных в случаях, не предусмотренных законодательством РФ, или обработка персональных данных, несовместимых с целями обработки. Штраф от 30 до 50 тысяч рублей

Кого касается:
Операторы, которые не указали цель обработки персональных данных, указали неверно, либо запросили данные, не относящиеся к предмету запроса (например, паспортные данные для регистрации в сервисе по заказу услуг). Встречается на каждом шагу.
Цель продажи в интернет-магазине — это продажа товара, а значит принудительная регистрация в личном кабинете будет отнесена избыточна, несопоставима с целями и будет отнесена к нарушениям.

2. Невыполнение оператором обязанности по обеспечению доступа к политике обработки персональных данных. Штраф от 15 до 30 тысяч рублей

Вот тут-то стоит взглянуть на свой Интернет-ресурс каждому и задуматься.
Предоставление пользователей любой персональной информации о себе, повторимся, любой! В формах и заявках на сайтах, должен сопровождаться как минимум указанием на политику обработки персональных данных, а идеальный вариант — с указанием ссылки на документ. Отсутствие этого документа — повод для штрафа. Очень часто ни указание об обработке персональных данных, ни ссылок на документ в открытом доступе на сайтах интернет-магазинах нет. Это обычная ситуация, но с 1 июля штрафовать такие магазины на сумму от 30 до 50 тысяч стало проще.

3. Невыполнение оператором обязанности по предоставлению частному лицу информации об обработке его персональных данных. Штраф от 20 до 40 тысяч рублей

Этот пункт сложен в доказательстве, но имеет место быть. Обязанность о предоставлении информации об обработке персональных данных возникает при получении данных через третье лицо.
В документе об обработке персональных данных должно быть четкое указание какие данные будут собраны с частного лица и для каких целей, именно поэтому это не шаблонный документ, а документ, разработанный именно для Вашей организации.
Однако, в 152-ФЗ ясно прописано, когда и как необходимо уведомить частное лицо.

4. Невыполнение в установленные сроки требования (частного лица, его представителя, уполномоченного органа) о блокировании-уничтожении-изменении персональных данных. Штраф от 25 до 45 тысяч рублей.

Запросов о блокировании-уничтожении-изменении персональных данных поступает мало и предпринимателю рано хвататься за голову. Однако, это все до поры до времени пока граждане не узнают о своих правах, а произойдет это достаточно скоро, так как СМИ уже начали это доносить до населения. Отказ от e-mail и SMS рассылки также возможно попадут под эту трактовку. Законодательство не предусматривает какого-либо “упрощенного” порядка отзыва человека своего согласия на обработку персональных данных. И если клиент просит его не беспокоить, лучше остановить коммуникацию, так как вдобавок ко всему можно получить и претензию Федеральной Антимонопольной Службы в соответствии с Законом “О рекламе”. Также не забывайте о том, что когда будут первые судебные прецеденты и штрафы, то как грибы после дождя начнут появляться “потребители”, которые пожелают на этом заработать. О них мы уже упоминали выше.

Что нужно сделать?

Во-первых, уведомить регулирующий орган — Роскомнадзор о начале обработки персональных данных. После это организация будет внесена в Реестр операторов персональных данных.
Во-вторых, привести в порядок свой Интернет ресурс, а именно:

 В-третьих, отслеживать изменения в законодательстве о персональных данных, так как периодически придется направлять в Роскомнадзор новые уведомления и вносить коррективы в действующие внутренние положения, регламенты и другие документы. И самое важное!

И самое важное! Роскомнадзор составляет список компаний, не входящих в реестр операторов и производит среди них проверку. Также проверки могут назначаться после поступившей жалобы в соответствующий орган.

Теперь Роскомнадзор вправе блокировать сайты, нарушающие законодательство о персональных данных. Значит, в случае, если на организацию поступит жалоба в Роскомнадзор, сайт заблокируют.
Не стоит обольщаться по поводу небольшой суммы штрафа, так как в ходе проверки выявляется ряд нарушений, в таком случае штраф выписывается за каждое нарушение отдельно, что может увеличить сумму и более 75 тысяч рублей.

Следует признаться, что бизнес недобросовестно относится к персональным данным частных лиц. Крупные организации стараются наладить правильную заботу со сбором и обработкой персональных данных, но даже им приходится проводить изменения согласно новым поправкам. Что уж говорить о малом и среднем бизнесе. Большинство в этой нише предпринимательства даже не понимают, что персональные данные клиентов – это ценность, за которую нужно нести ответственность. И закон регламентирует соблюдение прав покупателей.
Может быть бизнесу нужен та самая свечка под стулом в виде повышенного внимания Роскомнадзора и повышении штрафов, чтобы привести все в порядок и ответственно относиться к сбору данных своих клиентов, которые они используют?
Даже при усложненной практике с 2008 года уже заведено ряд судебных дел.

За заполнение форм обратной связи без согласия пользователя на обработку персональных данных оштрафованы компании в Тамбовской области (Постановление Тамбовского областного суда № 4А−288/2016).
В Астрахани прокуроры штрафуют владельцев сайтов за формы обратной связи по алфавиту (О штрафах в Астрахани в газете «Волга»).
Кроме штрафов в пользу государства за нарушение правил обработки персональных данных от частных лиц могут поступать требования о возмещении морального вреда.
Список Роскомнадзора формируется. И тут дело времени.

Ниже приведем ссылки на официальные источники о внесении поправок, которые вступили в силу 1 июля 2017 года:
Сайт Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (https://rkn.gov.ru/personal-data/protection-of-the-innocent/).
Консультант-плюс о законе о персональных данных: http://www.consultant.ru/law/hotdocs/48775.html
Также будем рады ответить на Ваши вопросы по e-mail: start@alego.ru

Присоединяйся к нам!