Что нужно знать о новой редации 152 ФЗ о персональных данных

03.07.2017 11:50

Как известно, с «01» июля 2017 года ужесточается законодательство в сфере персональных данных. В частности, изменена статья 13.11. Кодекса об административных правонарушениях:

Было	Стало
1) Один вид нарушений (обобщённый)	1) Семь пунктов с описанием нарушений (нас касаются первые шесть, т.к. последний – для операторов, являющихся государственным или муниципальным органом).
2) Максимальная сумма штрафа – 10 000 рублей	2) Максимальная сумма штрафа – 75 000 рублей

Ниже мы подготовили для пользователей Сайт-Менеджера собственные разъяснения о новых реалиях действующего законодательства в области обработки персональных данных.

Надеемся, что они помогут вам разобраться с нововведениями, которые по своей сути сводятся к увеличению штрафов в отношении нарушений уже имеющихся в законе требований (то есть не вводят какие-либо дополнительные обязательства для операторов, являющихся владельцами сайтов).

Начнём с самого простого – за что вас могут оштрафовать и на какую сумму?

№	Нарушение	Сумма штрафа
1	Обработка ПДн в случаях, не предусмотренных законом (все случаи, предусмотренные законом, перечислены в статье 6 ФЗ «О персональных данных», а для специальных категорий ПДн – в статье 10 того же закона). Обработка ПДн несовместима с целями сбора ПДн. Сюда относятся, к примеру, сбор избыточной информации о субъектах ПДн (допустим, вами запрашиваются паспортные данные субъекта или даже копия паспорта, которые по факту не требуются с учётом заявленной вами цели обработки ПДн), отсутствие чётко сформулированной цели обработки ПДн и, следовательно, не соответствующий ей перечень собираемых ПДн.	до 50 000 рублей
2	Обработка ПДн без согласия в письменной форме субъекта ПДн на обработку его ПДн. Специально обращаем внимание, что речь именно о письменном согласии, предоставление которого обязательно только в ограниченном количестве случаев (например, при обработке специальных категорий ПДн, к коим относятся данные о расе, национальности, политических взглядах и т.д.).	до 75 000 рублей
3	Неисполнение оператором обязанности по опубликованию политики обработки ПДн и сведений о реализуемых требованиях к защите ПДн.	до 30 000 рублей
4	Невыполнение оператором обязанности по предоставлению субъекту ПДн информации, касающейся обработки его ПДн. То есть физическое лицо направило вам обращение с просьбой рассказать о том, как и для чего вами обрабатываются его ПДн, а вы это обращение проигнорировали. Обратим также внимание, что данный пункт может распространяться на случаи, когда ПДн получены оператором не от самого субъекта ПДн, а от третьего лица. В таком случае см. п. 3 ст. 18 ФЗ «О персональных данных».	до 40 000 рублей
5	Невыполнение оператором в установленные сроки требования субъекта ПДн либо РКН об уточнении ПДн, их блокировании или уничтожении в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.	до 45 000 рублей
6	Невыполнение оператором при обработке ПДн без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность ПДн при хранении материальных носителей ПДн и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к ПДн, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении ПДн.	до 50 000 рублей

Минимум действий, который необходимо предпринять при работе с сайтом

1. Основания для обработки персональных данных

Перед сбором любой информации о посетителе сайта следует сперва определиться, на каком основании вы планируете обрабатывать его ПДн.

Два самых простых варианта:
а) с согласия субъекта ПДн,
б) в целях исполнения заключённого с субъектом ПДн договора.

В первом случае вам потребуется заручиться специальной «галочкой» посетителя в поле напротив условного текста «согласен на обработку своих персональных данных».

Такую галочку следует предусмотреть во всех формах, заполняемых посетителями сайта.

Во втором случае согласие на обработку ПДн не требуется, однако посетитель сайта должен будет заключить с вами договор. Такой вариант подходит, например, для интернет-магазинов и посетителей, предоставляющих владельцу сайта свои ПДн при заполнении формы заказа на сайте.

Оформляя заказ (то есть совершая покупку на сайте), посетитель сайта будет обязан принять оферту (договор купли-продажи товара), при этом обработка его ПДн владельцем сайта будет осуществляться в связи с исполнением данного договора.

2. Политика конфиденциальности

При любых обстоятельствах в случае обработки ПДн посетителей сайта вам потребуется разместить на нём политику конфиденциальности, в которой отразить меры, предпринимаемые для защиты ПДн.

Мы рекомендуем вывести ссылку на политику конфиденциальности в «подвал» сайта, чтоб она всегда была «под рукой» у пользователя, либо опубликовать политику в специальном разделе с документами сайта (если таковой существует).

Для целей бОльшей прозрачности дополнительно можно разместить ссылку на политику в заполняемых посетителями сайта формах.

Мы подготовили типовой документ, который можно взять за основу и который, надеемся, поможет вам в разработке собственной политики с учётом нюансов работы именно вашего сайта.

3. Состав персональных данных

Следует также крайне осторожно отнестись к перечню (составу) ПДн, которые вы обрабатываете. Данный перечень должен строго соответствовать заявленной вами цели обработки ПДн и не включать каких-либо чрезмерных и избыточных сведений о посетителях сайта.

Советуем аккуратно выверить каждое поле, которое вы предлагаете заполнить пользователю в той или иной форме на сайте.

В качестве часто встречающегося примера выше уже указано на запрос паспортных данных. Для чего они нужны при оформлении интернет-заказа на поставку, допустим, товаров для детей?   

Особо подчеркнём, что обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, возможно исключительно в определённых законом случаях – см. статью 10 ФЗ «О персональных данных».

4. Подать уведомление об обработке ПДн в Роскомнадзор

Обратите внимание, что до начала обработки ПДн необходимо подать в Роскомнадзор уведомление об обработке ПДн. Это можно сделать, заполнив форму уведомления на сайте Роскомнадзора. Штраф за неисполнение данного требования установлен статьёй 19.7 КоАП РФ и составляет до 5 000 рублей.

(NB!) В пункте 2 статьи 22 ФЗ «О персональных данных» перечислены случаи, когда такое уведомление направлять в Роскомнадзор не требуется. Рекомендуем вам ознакомиться с перечнем таких случаев, т.к. к таковым относится, в частности, обработка ПДн, полученных оператором в связи с заключением договора, стороной которого является субъект ПДн, и другие стоящие внимания случаи.

Это важно, поскольку на сегодняшний день в сети «Интернет» из статьи в статью кочует мнение, что это уведомление следует направлять в любых ситуациях при обработке любых ПДн.

5. Заведите отдельный e-mail

Для того, чтобы избежать нарушений, предусмотренных пунктами 4 и 5 из таблицы выше мы рекомендуем создать отдельный email для направления на него обращений как субъектов ПДн, так и Роскомнадзора.

Это облегчит контроль за подобного рода корреспонденцией и позволит вам не пропустить столь важные письма в общем потоке.

Итого

Безусловно, перечисленные выше пять пунктов – это лишь малая доля того, что необходимо подготовить любому оператору ПДн для того, чтобы исполнить все требования действующего законодательства в области персональных данных.

Помимо указанного, операторам предстоит запастись целой кипой документации, которую потребуется предоставить проверяющему органу в случае нагрянувшей проверки.

Однако соблюдение этих первых пяти простых правил, которое требует минимум ресурсов, позволит вам избежать нарушений в казалось бы простых ситуациях. 

P.S.

Не забудьте включить уведомление, если решили ПДн собирать и обрабатывать.