Перейти к основному содержанию
ИТарктика
Александр Русанов
Главный специалист отдела организационных методов и средств защиты информации ГАУ РК «Центр информационных технологий»
23.05.2018

Персональные данные: как избежать штрафов

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в статью 13.11 КоАП. В частности, он предусмотрел расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и существенное увеличение штрафов.

Что изменилось?

Прежде ответственность за нарушение требований по защите ПДн ограничивалась всего двумя статьями — статья 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) и статья 19.5 «Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора (должностного лица), органа (должностного лица), осуществляющего муниципальный контроль.

Статья 13.11 не давала четкого понятия, за что организацию могут привлечь к ответственности.  Предусматривалось два вида наказания — предупреждение и административный штраф. Статья 19.5 применялась редко и не претерпела изменений.

С 1 июля 2017 года вступил в силу федеральный закон 13-ФЗ «О внесении изменений в кодекс РФ об административных правонарушениях», вносящий поправки в КоАП. Повысились размеры административных штрафов — суммы стали конкретнее, появилось понимание, какие моменты реально могут быть нарушены, и за что налагается штраф.

В статье 13.11. КоАП от 30.12.2001 № 195-ФЗ обозначены:

· 7 наиболее распространенных нарушений, в сфере обработки ПДн;

· Штрафы до 15 000 для физических лиц;

· Штрафы до 68 000 для должностных лиц;

· Штрафы до 65 000 для индивидуальных предпринимателей;

· Штрафы до 290 000 для юридических лиц.

Под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. Иными словами это совокупность сведений, которая может состоять из: фамилии, имени, отчества, даты рождения, места регистрации, сведений об образовании и работе, состоянии здоровья, физиологических и биологических особенностей человека (рост или вес), при условии, что на основании данной совокупности можно получить дополнительную информацию по конкретному человеку или же однозначно идентифицировать его.     

Что теперь считается нарушением?

1 нарушение. Согласно части 1 статьи 13.11 нарушением считается обработка ПДн в случаях, не предусмотренных законодательством РФ, или обработка ПДн, несовместимых с целями обработки.

А именно, в согласии на обработку персональных данных:

- должна быть указана только одна цель, в соответствии с которой осуществляется сбор персональных данных;

- должны быть указаны только те категории ПДн, которые реально необходимы для достижения конкретной цели, в противном случае данные будут считаться излишними, что также является нарушением.

2 нарушение. Обработка ПДн без письменного согласия в случаях, когда оно должно быть по закону.

Условия, при которых не требуется брать согласие с субъектов ПДн данных, описаны в статье 6 Федерального закона от 27.07.2006 № 152-ФЗ. Эти пункты будут актуальны для любого человека, представляющего любую организацию:

А) Обработка ПДн необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей (п.2 . ч.1).

Разъяснение: Требуется ли брать согласие, если государственная организация принимает обращения граждан на электронную почту, которая указана у них на сайте?

Ответ: Нет, не требуется, т.к. обработка персональных данных осуществляется на основании федерального закона (Федеральный закон от 02.05.2006 г. № 59-ФЗ), устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке.

Б) Обработка ПДн необходима для исполнения полномочий органов государственной власти, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 г. № 210-ФЗ (п.4. ч.1).

В) Обработка ПДн необходима для исполнения договора, стороной которого - выгодоприобретателем или поручителем - является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем (п.5. ч.1).

Разъяснение: К таким договорам можно отнести договоры гражданско-правового характера, которые заключаются на проведение определенного рода мероприятий на определенный срок. В таком случае вам также не требуется брать письменное согласие на обработку ПДн второй стороны.

Г) Осуществляется обработка ПДн, сделанных общедоступным субъектом ПДн (п.10 ).

Разъяснение: если вы получаете информацию из общедоступных источников, таких как телефонные или иные справочники организаций, размещенные на официальном сайте организации, брать согласие на обработку таких персональных данных не требуется.

Следующие пункты будут актуальны только для сотрудников определенных сфер деятельности, они редко вызывают вопросы и непонимание со стороны операторов ПДн. Получение согласия на обработку ПДн от субъекта ПДн не требуется, если:

Д) Обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации.

Е) Субъект ПДн участвует в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.

Ж) Обработка ПДн требуется для защиты жизни субъекта или ему угрожает какая-либо опасность.

З) Обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.

jhgiu

 Письменное согласие на обработку ПДн* в обязательном порядке включает:

· ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

· ФИО, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

· наименование (для юридических лиц) или ФИО (для индивидуальных предпринимателей) и адрес оператора, получающего согласие субъекта ПДн;

· цель обработки персональных данных;

· перечень ПДн, на обработку которых дается согласие субъекта ПДн;

· наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;

· перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

· срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

· подпись субъекта ПДн. *ч.4. ст. 9. Федеральный закон РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».

Тем организациям, которые сомневаются, что смогут грамотно составить согласие на обработку ПДн, есть смысл обратиться к официальным сайтам территориальных органов Роскомнадзора. Например, за образец может быть взята форма, опубликованная на сайте Управления Роскомнадзора по Тверской области (https://69.rkn.gov.ru/directions/p1765/p6979/) или на сайте Управления Роскомнадзора по Сибирскому федеральному округу (https://54.rkn.gov.ru/protection/docsamples/). В этом случае организация точно не нарушит требования, предъявляемые к составу формы согласия, поскольку получила ее от самого регулятора.

Согласие на обработку ПДн в электронной форме

Получение ПДн от граждан в электронном виде касается владельцев сайтов, форумов, интернет-ресурсов и вызывает много дискуссий. Оценив судебную практику, можно увидеть противоположные решения судов. В одних случаях суд считал, что меры, принятые организацией по проставлению галочек, дублированию письменного согласия в электронный вид и прочие, достаточные. В других случаях суд опирался на часть 4 статьи 9 Федерального закона от 27.07.2017 г. № 152-ФЗ “Согласие в форме электронного документа, подписанного электронной подписью субъекта ПДн, признается равнозначным письменному согласию, содержащему собственноручную подпись субъекта ПДн”. Это означает, что согласие в электронной форме будет считаться взятым правильно только в том случае, если оно подписано субъектом ПДн.

Но этот пункт не подходит ни под одного из владельцев интернет-ресурсов, так как ПДн предоставляются на сайтах в рамках регистрации или обратной связи. И заставить человека покупать электронную подпись, чтобы он мог зарегистрироваться на вашем сайте, не получится.

Владельцам интернет-ресурсов стоит задуматься, действительно ли поля, где указывается ФИО, дата рождения и т.п. при регистрации, им нужны. Может достаточно будет указать логин, пароль и электронную почту, и эти поля ни один суд, ни один регулятор не сможет признать персональными данными.

Хотелось бы обратить внимание владельцев интернет-магазинов или сайтов, занимающихся предоставлением каких-либо товаров или услуг, на следующее. На официальном сайте Роскомнадзора в разделе «Часто задаваемые вопросы» (https://rkn.gov.ru/treatments/p459/p468/) есть интересный комментарий о том, что «предложения оператора о продаже товара в отдельных случаях может рассматриваться, как публичная оферта». Таким образом, субъект ПДн, акцентируя указанную оферту, осуществляет конклюдентные действия, выражающие его волю и согласие на обработку ПДн, предоставленных при заполнении заявки на покупку товара.

Это единственный пункт, который обеспечит защиту при отсутствии согласия на обработку ПДн. Но с владельцев сайтов никто не будет снимать ответственность за неопубликование политики о защите ПДн.

3 нарушение. Невыполнение оператором обязанности по обеспечению доступа к Политике обработки ПДн.

Все просто: чтобы не попасть под административный штраф по данному нарушению, необходимо опубликовать Политику обработки ПДн на официальном сайте. Желательно сделать отдельную вкладку с документацией компании, где и разместить данную политику. Также она может быть размещена в приемной или на информационном стенде организации в бумажном виде, но, подчеркну, если в организацию хоть какие-то ПДн поступают через интернет, то политика обязательно должна быть опубликована на официальном сайте.

По рекомендациям Роскомнадзора, опубликованным на официальном сайте 27.07.2017 г. в «Политику» рекомендуется включить:

· Общие положения (назначение документа, основные понятия, основные права и обязанности оператора и субъекта (ов) персональных данных);

· Цели сбора персональных данных;

· Правовые основания обработки персональных данных;

· Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных;

· Порядок и условия обработки персональных данных (перечень действий, используемые способы и сроки обработки персональных данных);

· Сведения о принятии мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 ФЗ от 27.07.2006 № 152;

· Условия прекращения обработки персональных данных. ч.3. Ст. 13.11.

Тем компаниям, в которых Политика по каким-либо причинам не разработана, рекомендую воспользоваться этими официальными рекомендациями. Представьте, что во время проверки регулятор просит у вас документацию. А вы ему даете согласие на обработку ПДн и Политику обработки Пдн, которые сделаны по рекомендациям Роскомнадзора. Вы ссылаетесь на форумы, которые официально одобрены Роскомнадзором, в которых они участвуют. Согласитесь, что отношение к предпринимателю у регулятора станет лояльнее.

4 нарушение: Невыполнение оператором обязанности по предоставлению частному лицу информации об обработке его Пдн.

В моей практике ни разу не сталкивался с ситуацией, чтобы субъект ПДн обращался к оператору с просьбой дать ему его данные в 30-дневный срок. Тем не менее, такой пункт выделен как административное правонарушение.

Порядок запроса субъектом информации об обработке его ПДн описан в статье 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Обязанности оператора при обращении к нему субъекта ПДн либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных описаны в статье 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

5 нарушение: Невыполнение в установленные сроки требования о блокировании-уничтожении-изменении Пдн.

По закону блокирование и уничтожение ПДн осуществляется в течение 30 дней после получения запроса, оформленного должным образом. Но в российском законодательстве есть поправки на случаи, когда данная процедура не осуществляется даже по запросу пользователя. Речь идет о ситуациях, когда на организацию федеральным законодательством возложена обязанность по хранению отдельных видов документов. Все эти документы — более 700 — отражены в «Перечне типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденном Приказом Минкультуры России от 25.08.2010 N 558.

Например, личные дела уволенных работников, которые хотят вам насолить и требуют от вас удалить все их персональные данные, можно оставить в архиве. Потому что согласно этому приказу личные дела работников нужно хранить не менее 75 лет. Аналогичная ситуация с обращениями граждан — они хранятся до 5 лет.

6 нарушение: Невыполнение обязанностей по хранению материальных носителей Пдн.

В законодательстве требования к хранению материальных носителей отражены в:

А) Постановление Правительства РФ от 15 сентября 2008 г. № 687:

· п. 13. В отношении каждой категории ПДн необходимо определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ;

· п. 14. Раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.

· п. 15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Б) Федеральный закон от 27.07.2006 № 152-ФЗ

· п.5. ч.2. Ст.19. Учет машинных носителей

В типовой пакет организационно-распределительной документации обязательно включите следующие документы:

· Перечень мест хранения ПДн;

· Перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ;

· Журнал учета машинных носителей;

· Регламент работ с материальными носителями Пдн, включающий в себя следующие разделы:

1. Требования к учету машинных носителей (кто ведет учет, в какой форме);

2. Правила работы с бумажными носителями (хранение только в специально отведенных местах (запираемых шкафах, сейфах), раздельное хранение носителей ПДн (в зависимости от целей и допущенных лиц), обязанности работников, допущенных к работе с носителями ПДн (покидая рабочее место, убрать носители ПДн в хранилище, либо при отсутствии иных работников, допущенных в помещение, запереть и опечатать дверь) и т.п).

7 нарушение: Невыполнение обязанности по обезличиванию ПДн либо несоблюдение установленных требований или методов (ч.7. Ст. 13.11).

Обезличивание – это нераспространенная процедура, так как в федеральном законодательстве нет явных требований по обезличиванию тех или иных категорий ПДн. Но есть небольшие отсылки на то, когда ПДн обязательно должны быть обезличены. Это касается:

1. информации, которая содержит ПДн, но является частью проведенного исследования (в том числе статистического) или анкетирования с последующей публикацией результатов;

2. информации, которая содержит ПДн, но подлежит обязательной публикации в СМИ:

· сведения о доходах, расходах, об имуществе и обязательствах имущественного характера государственных служащих и членов их семей (публикация не всех сведений).

· опубликование судебных актов (из ПДн в акте остаются только фамилия и инициалы участников судебного дела, остальные сведения исключаются из открытого доступа, такие как адреса, марки автомобилей и т.п.).

Если для вас данный пункт актуален, следует обратить внимание на Постановление Правительства РФ от 6 сентября 2014 г. № 911 «Внесении изменений…» и Постановление Правительства РФ от 6 сентября 2014 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 г. № 152».

В них оговорено, что в обязательном порядке должны быть:

· разработаны правила работы с обезличенными данными и описание применяемых мер обезличивания в соответствии с «Требованиями и методами по обезличиванию ПДн», утвержденными Приказом Роскомнадзора от 5 сентября 2013 г. № 996.

· описан перечень должностей, ответственных за обезличивание в организации.

Кто придет с проверкой?

В случае с персональными данными, контроль и надзор осуществляют три организации:

· ФСБ России. Ведет контроль и надзор за выполнением требований к обеспечению безопасности ПДн исключительно при их обработке в информационных системах, в том числе с использованием средств криптографической защиты информации.

· Роскомнадзор. Занимается контролем и надзором за соответствием мер, принимаемых операторами ПДн, требованиям законодательства.

· ФСТЭК России. Ведет контроль и надзор за выполнением требований к обеспечению безопасности ПДн при их обработке в информационных системах, без использования средства криптографической защиты информации.

n ,m

Предприниматель имеет право

Для многих предпринимателей и юридических лиц является открытием, то они имеют какие-то права при проведении проверок. Тем не менее, их права описаны в Федеральном законе от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Организация может заблаговременно подготовиться к проверкам (плановым, документарным и выездным), поскольку информация о них публикуется на официальном сайте регулятора и в полном своде на официальном сайте прокуратуры https://www.genproc.gov.ru.

Плановые проверки являются достаточно лояльными, поскольку о них можно узнать заранее и о них предупреждают за 72 часа. Внеплановые проверки гораздо серьезнее, так как для их проведения требуется основание. А основанием может послужить любое обращение недовольного субъекта ПДн или гражданина, который считает, что обработка ПДн в вашей организации не соответствует требованиям и нарушает его права. О внеплановой проверке предупредят за 24 часа.

Имейте в виду, что права предпринимателей и юридических лиц во время проверок обозначены в главе 3 Федерального закона от 26 декабря 2008 г. № 294-ФЗ:

1. Руководитель, иное должностное лицо или уполномоченный представитель юридического лица непосредственно присутствовать при проведении проверки, давать объяснения по вопросам, относящимся к предмету проверки.

2. Ознакомиться с результатами проверки, указать в акте проверки свое согласие или несогласие с ними, а также с отдельными действиями должностных лиц органа, осуществляющего контроль.

3. Обжаловать действия (бездействие) должностных лиц органа государственного контроля (надзора), органа муниципального контроля, повлекшие за собой нарушение прав юридического лица при проведении проверки в административном и (или) судебном порядке.

Как упростить жизнь при плановой и внеплановой проверке?

До начала осуществления проверочных мероприятий в организацию приходит запрос, в котором указан огромный перечень документов (около 50). Копии этих документов, заверенных руководителем, вы обязаны направить в течение трех дней в орган, находящийся в вашем субъекте.

Упростить ситуацию можно, если подготовить копии отдельных документов, заверенных подписью и печатью директора — а это не менее 30% - заранее. Тем более что в большинстве случаев эти документы не претерпевают серьезных изменений:

· Договор с организацией - представителем интересов оператора в ходе проверки;

· Учредительные документы оператора (Устав, свидетельства: ИНН, ОГРН, внесение в ЕГРЮЛ и выписка из него);

· Договор об аренде или праве собственности (помещения, здания занимаемые организацией);

· Уведомление, направленное в территориальный орган Роскомнадзора, об обработке ПДн;

· Обезличенные и заполненные формы согласия субъектов на обработку ПДн;

· Приказы, положения, политики, инструкции, должностные регламенты.

Копии документов, которые надо подготовить непосредственно перед проверкой, потому что они меняются регулярно. Все эти документы должны соответствовать действительности.

· Журналы, реестры, книги, содержащие ПДн;

· Различные списки и перечни (ответственных должностных лиц, помещений, сейфов и т.п);

· Планы и отчеты проведения внутренних проверок;

· Договора оператора с третьими лицами на обработку ПДн (поручение оператора);

· Акты об уничтожении ПДн.

Готовы ли вы к проверкам?

· В первую очередь обратите внимание, выполняются ли в вашей организации требования законодательства в сфере обработки ПДн, за нарушение которых предусмотрена административная ответственность в соответствии со статьей 13.11 КоАП РФ.

· Ознакомьтесь с положениями ФЗ РФ от 26.12.2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» и регламентами органов, осуществляющих контроль и надзор в области защиты ПДн.

· Ознакомьтесь с графиком плановых проверок на сайтах: Управления Роскомнадзора по РК (https://11.rkn.gov.ru), ФСБ России (http://fsb.ru), ФСТЭК России (http://fstek.ru).

· Подготовьте заранее копии организационно-распорядительных документов (учредительные документы, приказы, положения, инструкции регламентирующие обработку ПДн, должностные инструкции), которые могут быть запрошены в рамках документарной или выездной проверки и которые не претерпевают изменений с течением времени.

· Если ваша организация внесена в план проверок, и вы понимаете, что уровень подготовки к проверке минимален, а уровень понимания данного процесса сильно ограничен - обратитесь за помощью к организации, обладающей соответствующими лицензиями и опытом работы.