С 1 июля штрафы за нарушение закона о персональных данных серьезно увеличатся. Федеральный закон от 07.02. 2017 № 13-ФЗ «О ВНЕСЕНИИ ИЗМЕНЕНИЙ В КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ» расширил перечень оснований для привлечения к административной ответственности в области защиты персональных данных, а также увеличил размеры административных штрафов. Закон вступает в силу с 1 июля 2017 года.
Священнослужителям следует обратить особое внимание, что административная ответственность в сфере персональных данных существенно ужесточена. Более того, вместо одного состава административного правонарушения, присутствующего в статье 13.11. КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных» до 1 июля 2017 г. появится семь. Таким образом, за различные нарушения в сфере персональных данных можно будет применять разные штрафы, количество штрафов может увеличиваться.
Насколько именно и за какие правонарушения – рассмотрим в таблице [1]
|
Номер статьи и текст |
Сумма штрафа |
В каких случаях накладывается штраф |
|
ч.1 ст.13.11. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, если эти действия не содержат уголовно-наказуемого деяния |
От 30 000 рублей до 50 000 рублей на юридических лиц |
1. Когда через сайт собираются сканы паспортов и иных документов. Сканы документов являются избыточной информацией. 2. Обработка не в тех целях, когда это требуется (например, взяли для исполнения договора, но попутно рассылаем email-рассылки) |
|
ч.2 ст.13.11. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных |
От 15 000 рублей до 75 000 рублей на юридических лиц |
1. Сбор, хранение и обработка специальных персональных данных (сведения о здоровье, о вероисповедании, политических взглядах и т.д.) на сайте без явного согласия на обработку таких данных. 2. Проведение онлайн-скоринга данных пользователя (включая IP, cookie и сведения из аккаунтов в соц.сетях) без явного согласия на обработку персональных данных в целях скоринга. 3. Отсутствие в согласии или оферте списка третьих лиц, кому могут передаваться персональные данные. 4. Неисполнение требований к форме согласия на обработку персональных данных, описанных в ч.4 ст.9 152-ФЗ. |
|
ч.3 ст.13.11. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных |
От 15 000 рублей до 30 000 рублей на юридических лиц |
1. Отсутствие на сайте общедоступной ссылки на Политику организации в отношении обработки персональных данных. |
|
ч.4 ст.13.11. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных |
От 20 000 рублей до 40 000 рублей на юридических лиц |
1. Игнорирование запросов физических лиц по поводу обработки и защиты их персональных данных. 2. Ответ на запрос в сроки, превышающие установленные законом. 3. Предоставление ложной информации. |
|
ч.5 ст.13.11. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки |
От 25 000 рублей до 45 000 рублей на юридических лиц |
1. Игнорирование запросов физических лиц и Роскомнадзора по поводу прекращения обработки персональных данных и их уничтожении 2. Нарушение сроков предоставления ответов на поступившие запросы |
|
ч.6 ст.13.11. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния |
От 25 000 рублей до 50 000 рублей на юридических лиц |
1. Отсутствие списка лиц, допущенных к обработке персональных данных 2. Отсутствие раздельного хранения данных |
Что относится к персональным данным?
В соответствии с п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе:
- фамилия, имя, отчество;
- год, месяц, дата и место рождения;
- адрес;
- семейное, социальное, имущественное положение;
- образование, профессия, доходы, другая информация.
То есть список не является исчерпывающим и может расширяться, что и делает Роскомнадзор и суды. Так Роскомнадзор стал относить к персональным данным также данные о cookie, поведении пользователя на сайте, сведения о его геопозиции и IP-адрес.
Как осуществлять обработку персональных данных?
Согласно пункту 1 статьи 6 вышеуказанного закона обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных. Более того, лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, а в соответствии с п. 4 ст. 9 данного закона обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.
Обращаем внимание, что данный закон относит информацию о религиозной принадлежности к специальной категории персональных данных, в связи с этим в силу п. 1 ст. 10 обработка специальных категорий персональных данных не допускается.
Нужно ли религиозной организации подавать уведомление в Роскомнадзор?
Следует особо обратить внимание, что религиозная организация в силу пункта 1 части 2 статьи 22 Закона № 152-ФЗ и пунктом 3 части 2 статьи 22 Закона № 152-ФЗ освобождена от обязанности подавать уведомление об обработке персональных данных в Роскомнадзор.
Как правильно работать с персональными данными, чтобы не нарушить закон?
Как минимум нужно:
- получать согласие подписчика на обработку, хранение и распространение персональных данных;
- запрашивать только те данные, которые нужны для конкретной цели. Например, не стоит запрашивать паспортные данные для регистрации на конференцию;
- сообщать по запросу лица, какие у вас есть данные о нем, цели обработки и факты их распространения;
- удалять по первому требованию пользователя его персональные данные;
- подготовить необходимые публичные документы и разместить их на сайте так, чтобы они были доступны на всех страницах;
- обязательно указать email для обращений пользователей по вопросам, связанным с персональными данными;
- до 1 июля 2017 года поставить на сайте дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и, если он не согласен, то должен покинуть сайт. Примеры дисклеймеров вы можете посмотреть на сайтах marykay.ru и bmw.ru.
Помните, что юридическим фактом является согласие лица. Необходимо использовать методы, позволяющие четко установить, что лицо согласилось на обработку персональных данных, в частности, как вариант, это может быть галочка в форме регистрации.
Также напоминаем, что у религиозной организации должны быть все необходимые документы на обработку и хранение персональных данных (Положения, приказы, инструкции и т.п, образцы которых мы высылали ранее). Публичное опубликование этих документов законом не требуется.
Если сайт религиозной организации обслуживает физическое лицо, освобождает ли это от ответственности?
Даже если ваш сайт обслуживается фирмой или его ведет верующий-доброволец, штраф все равно выпишут на ту организацию, которая указана на сайте.
Кто имеет право на осуществление надзора?
С 1 июля 2017 года возбуждать дела об административном правонарушении и составлять протоколы будет как прокуратура, так и Роскомнадзор, в связи с чем, количество административных дел по данной категории увеличится в разы.
В случае, если соблюсти требования законодательства и подготовить самостоятельно документы по различным вопросам деятельности религиозной организации для вас затруднительно, мы можем оказать юридические услуги по сопровождению вашей деятельности.
