- Визначимося з тим, що слід розуміти під персональними даними
- Кого можуть притягнути до адміністративної відповідальності?
- Що стосується санкцій
- власникам сайтів
- Трохи судової практики
- як підсумок
Наша команда-партнер Artmisto
Кілька днів залишається до вступу в силу поправок в КоАП РФ стосуються штрафів за порушення положень Федерального закону №152-ФЗ ( «Про захист персональних даних»).
Спробуємо розібратися, що таке персональні дані, кого можуть притягнути до адміністративної відповідальності за порушення законодавства в цій сфері, які штрафи доведеться заплатити, і що робити власникам сайтів, щоб уникнути настання несприятливих наслідків.
З 1 липня 2017 року посилюються санкції, передбачені КоАП РФ за порушення вимог до Збір, обробки та зберігання персональних даних. Законопроект був розроблений ще в 2014 році Роскомнадзором (уповноважений орган із захисту прав суб'єктів персональних даних) на підставі своєї правозастосовчої практики. У пояснювальній записці до документа Федеральна служба вказала, що фіксує значне зростання порушень в області персональних даних, при цьому, чинне законодавство не дозволяє в повній мірі забезпечити ефективний захист прав та інтересів суб'єктів персональних даних і дотримання принципу невідворотності покарання.
Визначимося з тим, що слід розуміти під персональними даними
Виходячи з Федерального закону №152-ФЗ «персональні дані - це будь-яка інформація, що стосується прямо або побічно певного або визначається фізичній особі (суб'єкту персональних даних)». Так як Законом чітко не визначений перелік відомостей, які є персональними даними, відповідно, до них будуть віднесені будь-які дані, що дозволяють ідентифікувати суб'єкта, наприклад, контактна пошта, ПІБ, телефон та ін.
Кого можуть притягнути до адміністративної відповідальності?
Відповідь тут дуже простий - операторів персональних даних. Повертаючись до вищезазначеного №152-ФЗ - оператором є державний орган, муніципальний орган, юридична чи фізична особа, яка самостійно або спільно з іншими особами організують і (або) здійснюють обробку персональних даних, а також визначають цілі обробки персональних даних, склад персональних даних, які підлягають обробці, дії (операції), що здійснюються з персональними даними.
Що стосується санкцій
Попередня редакція статті 13.11 КоАП РФ регламентувала відповідальність за порушення порядку збирання, зберігання, використання або поширення інформації про громадян (персональні дані) і в якості санкції передбачала:
• для фізичних осіб - попередження або штраф у розмірі від 300 рублів до 500 рублів;
• для посадових осіб - штраф у розмірі від 500 рублів до 1 тис. Рублів;
• для юридичних осіб - штраф у розмірі від 5 тис. Рублів до 10 тис. Рублів
Тепер, вищевказана стаття містить диференціацію складів адміністративних правопорушень у сфері персональних даних і має нову назву: «Порушення законодавства Російської Федерації в області персональних даних».
Розглянемо кожен склад окремо:
1. ч.1 ст.13.11 КоАП РФ передбачає відповідальність за незаконну обробку персональних даних, або за обробку персональних даних, що є несумісною з цілями збору персональних даних (за викл. Частини 2 зазначеної статті, якщо ці дії не містять кримінально караного діяння) і тягне за собою:
• для фізичних осіб - попередження або штраф у розмірі від 1 тис. Рублів до 3 тис. Рублів;
• для посадових осіб - штраф у розмірі від 5 тис. Рублів до 10 тис. Рублів;
• для юридичних осіб - штраф у розмірі від 30 тис. Рублів до 50 тис. Рублів.
2. ч.2 ст.13.11 КоАП РФ передбачає відповідальність за обробку персональних даних без згоди в письмовій формі суб'єкта персональних даних на обробку його персональних даних, якщо ці дії не містять кримінально караного діяння, або за обробку персональних даних з порушенням встановлених вимог до складу відомостей, що включаються в згоду в письмовій формі суб'єкта персональних даних на обробку його персональних даних та тягне за собою:
• для фізичних осіб - штраф у розмірі від 3 тис. Рублів до 5 тис. Рублів;
• для посадових осіб - штраф у розмірі від 10 тис. Рублів до 20 тис. Рублів;
• для юридичних осіб - штраф у розмірі від 15 тис. Рублів до 75 тис. Рублів.
3. ч.3 ст.13.11 КоАП РФ передбачає відповідальність за невиконання оператором обов'язки по опублікуванню або забезпечення іншим чином необмеженого доступу до документа, який визначає політику оператора щодо обробки персональних даних, або відомостями про реалізовані вимоги до захисту персональних даних і тягне за собою:
• для фізичних осіб - попередження або штраф у розмірі від 700 рублів до 1,5 тис. Рублів;
• для посадових осіб - від 3 тис. Рублів до 6 тис. Рублів;
• для індивідуальних підприємців - від 5 тис. Рублів до 10 тис. Рублів;
• для юридичних осіб - від 15 тис. Рублів до 30 тис. Рублів.
4. ч.4 ст.13.11 КоАП РФ передбачає відповідальність за невиконання оператором обов'язки з надання суб'єкту персональних даних інформації, що стосується обробки його персональних даних і тягне за собою:
• для фізичних осіб - попередження або штраф у розмірі від 1 тис. Рублів до 2 тис. Рублів;
• для посадових осіб - від 4 тис. Рублів до 6 тис. Рублів;
• для індивідуальних підприємців - від 10 тис. Рублів до 15 тис. Рублів;
• для юридичних осіб - від 20 тис. Рублів до 40 тис. Рублів.
5. ч.5 ст.13.11 КоАП РФ передбачає відповідальність за невиконання оператором в терміни вимоги суб'єкта персональних даних або його представника або Роскомнадзора про уточнення персональних даних, їх блокування або знищення в разі, якщо персональні дані є неповними, застарілими, неточними, незаконно отриманими або не є необхідними для заявленої мети обробки і тягне за собою:
• для фізичних осіб - попередження або штраф у розмірі від 1 тис. Рублів до 2 тис. Рублів;
• для посадових осіб - від 4 тис. Рублів до 10 тис. Рублів;
• для індивідуальних підприємців - від 10 тис. Рублів до 20 тис. Рублів;
• для юридичних осіб - від 25 тис. Рублів до 45 тис. Рублів.
6. ч.6 ст.13.11 КоАП РФ передбачає відповідальність за невиконання оператором при обробці персональних даних без використання засобів автоматизації обов'язки по дотриманню умов, що забезпечують збереження персональних даних при зберіганні матеріальних носіїв персональних даних і виключають несанкціонований доступ до них, якщо це спричинило неправомірне або випадковий доступ до персональних даних, їх знищення, зміна, блокування, копіювання, надання, поширення або інші неправомірні дії щодо персональних даних, при відсутності ознак кримінально караного діяння і тягне за собою:
• для фізичних осіб - штраф у розмірі від 700 рублів до 2 тис. Рублів;
• для посадових осіб - від 4 тис. Рублів до 10 тис. Рублів;
• для індивідуальних підприємців - від 10 тис. Рублів до 20 тис. Рублів;
• для юридичних осіб - від 25 тис. Рублів до 50 тис. Рублів.
7. ч.7 ст.13.11 КоАП РФ передбачає відповідальність за невиконання оператором, що є державним або муніципальним органом, обов'язки по знеособлення персональних даних або недотримання встановлених вимог або методів по знеособлення персональних даних та тягне за собою:
• для посадових осіб - попередження штраф в розмірі від 3 тис. Рублів до 6 тис. Рублів.
Крім усього іншого, повноваження щодо складання протоколів про адміністративні правопорушень, передбачених ст.13.11 КоАП РФ передали Роскомнадзор, раніше цю функцію виконувала прокуратура.
власникам сайтів
Той мінімум, який необхідно встигнути зробити до 1 липня:
1. Відповідно до ст. 22 Федерального закону №152-ФЗ ( «Про захист персональних даних») необхідно повідомити Роскомнадзор про те, що Ви є оператором персональних даних. Є винятки, передбачені ч.2 ст. 22 №152-ФЗ, коли повідомляти держ. орган немає необхідності, зокрема, коли персональні дані обробляються відповідно до трудового законодавства або обробляються тільки ПІБ суб'єкта.
2. Щоб уникнути адміністративного покарання, передбаченого ч.2 ст.13.11 КоАП РФ під кожною формою зворотного зв'язку на сайті необхідно розмістити текст «натискаючи на кнопку Ви даєте згоду на обробку своїх персональних даних» та посилання на документ - як правило, це угода на обробку та використання персональних даних або угоду користувача.
3. У відкритому доступі на сайті повинен зберігатися документ, який визначає політику оператора щодо обробки персональних даних, або відомостями про реалізовані вимоги до захисту персональних даних. Адміністративна відповідальність за невиконання даного пункту передбачена ч.3 ст.13.11 КоАП РФ.
Тут ви можете подивитися приклад, на основі нашого документа .
Трохи судової практики
Слід зазначити, що судова практика за статтею 13.11 КоАП РФ досить обширна.
Наприклад, штрафують за відсутність документів, що визначають політику компанії.
Зокрема, постанову мирового судді судової ділянки № 1 Ленінського судового району м Пермі у справі № 5-77 / 2016 від 24 лютого 2016 року. Суд стягнув з клініки штраф, в розмірі 5 тис. Рублів, у зв'язку з тим, що остання збирала і обробляла персональні дані за допомогою форми зворотного зв'язку на сайті (для виклику лікаря додому) не забезпечивши доступу до документа, який визначає політику щодо обробки персональних даних.
* З 1 липня 2017 р мінімальний штраф за таке правопорушення для юридичних осіб становитиме 15 тисяч рублів.
Комусь пощастило більше, суд призначив покарання у вигляді попередження.
Постанова Світового судді судового ділянки № 1 Жовтневого судового району м Єкатеринбурга у справі № 5-115 / 2017 від 31 травня 2017 року. Індивідуальний підприємець, в рамках своєї діяльності (послуги зі страхування) створив собі сайт, після моніторингу якого Управління Роскомнадзора по УрФО виявило відсутність документів, що визначають політику компанії. Суд визнав за можливе призначити покарання у вигляді попередження.
* З 1 липня 2017 року для ІП і юридичних осіб скасовано санкцію у вигляді «попередження», а мінімальний штраф за таке правопорушення для ІП складе 5 тис. Рублів.
як підсумок
Значні штрафи, диференціація і збільшення складів адміністративних правопорушень, розширення повноважень Роскомнадзора, посилення державного контролю в цій галузі - все це говорить про те, що Росія встала на шлях зближення з країнами Європи в сфері захисту персональних даних. Ще в 2008 році на конференції «Інфофорум» начальник Управління Роскомнадзора по захисту прав суб'єктів персональних даних Л.Б. Васильєва запропонувала розробити міжнародні нормативні акти, які б містили уніфіковані вимоги до захисту персональних даних, в тому числі вимоги конфіденційності.
І, наостанок, тим, хто підпадає під дію Федерального закону №152-ФЗ як оператор, залишається побажати терпіння - розробка і впровадження внутрішньої документації в цій області досить копіткий і трудомісткий процес. З іншого боку - краще пізно, ніж ніколи.
Марія Скрипова, юрист Rush Agency
Кого можуть притягнути до адміністративної відповідальності?