Владельцев сайтов будут штрафовать за разглашение персональных данных

Как владельцу сайта защитить себя от штрафов за нарушение закона о персональных данных

Владельцев сайтов будут штрафовать за разглашение персональных данных

19.05.2017 Время прочтения: 3 минуты

С 1 июля 2017 вступают в силу поправки в Кодекс об административных правонарушениях, касающиеся закона о персональных данных.

Персональными данными закон называет «любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу». Проще говоря, это сведения, по которым человека можно идентифицировать.

К сожалению, закон не приводит список данных о человеке, попадающих под это определение, но по существующим прецедентам к ним можно отнести:

  • фамилию, имя и отчество;
  • физический адрес;
  • адрес электронной почты;
  • номер телефона;
  • дату и место рождения,
  • фотографию;
  • ссылки на персональный сайт или страницы в социальной сети;
  • сведения о профессии, уровне образования и доходов, семейном положении;
  • передаваемые файлы cookie и другие метаданные.

Получается, поправки затронут всех, кто собирает, записывает, накапливает, хранит, использует и обрабатывает любые персональные данные пользователей.

Это означает, что любая форма обратной связи (регистрация на сайте, подписка на e-mail рассылку, функция «» или «Отправить сообщение») делает вас оператором персональных данных, и вы несёте за это ответственность.

Кто следит за исполнением закона?

Сейчас проверкой сайтов и выпиской протоколов о нарушениях занимается прокуратура, поэтому пока всё идёт медленно и касается не всех. С июля эти обязанности переходят к Роскомнадзору – и процесс пойдёт значительно быстрее.

Чем грозит нарушение?

Сумма штрафа может быть разной в зависимости от конкретного нарушения и от того, на кого накладывается взыскание (ИП, физическое лицо, юридическое или должностное).

Например, если организация получает данные пользователя без его письменного разрешения, штраф за это для неё может составлять до 75 000 рублей.

Если не предоставить пользователю информацию об обработке его данных, то с ИП потребуют взыскание в размере от 10 000 до 15 000 рублей, а с организации – от 20 000 до 40 000.

Что нужно сделать владельцу сайта?

  1. Установить кнопку «Я согласен на обработку персональных данных» со ссылкой на вашу политику конфиденциальности, без нажатия на которую пользователь не сможет отправить свои данные.

  2. Утвердить приказом политику конфиденциальности. В этом приказе должен быть приведен перечень лиц, непосредственно занимающихся обработкой персональных данных, и указано ответственное лицо, которое контролирует исполнение приказа и закона. С обоими документами – приказом и политикой – нужно ознакомить всех сотрудников компании под роспись.

  3. Разместить утверждённую политику в офисе, на сайте и в мобильных приложениях в открытом доступе. Так, например, поступил Яндекс, опубликовав свою политику, сервис e-mail рассылок Subscribe.ru и крупнейший в Европе ресурс для IT-специалистов Хабрахабр. С Политикой Конфиденциальности компании SEO.RU можно ознакомиться здесь.

  4. Принять внутренний распорядительный акт, в котором, основываясь на нормах законодательства об архивном деле, должны быть разработаны и описаны ваш бизнес-процесс хранения и передачи персональных данных, назначены ответственные по этому делу лица, определены их обязанности и полномочия. Тут же нужно определить сроки обработки персональных данных, сроки и порядок их хранения и уничтожения.

  5. Перенести хостинг на территорию России и узнать точный адрес местоположения сервера – до улицы и номера здания. Роскомнадзор умеет проверять это.

  6. Опубликовать e-mail, на который пользователь может отправить письмо с просьбой удалить его персональные данные, с вопросами о них. И убедиться, что эти письма до вас дойдут, а не будут отфильтрованы или проигнорированы.

  7. Отправить сообщение в Роскомнадзор (по этой форме) о том, что ваш сайт обрабатывает персональные данные пользователей. Не нужно уведомлять РКН в том случае, если пользователь объявляет свои данные общедоступными, если компания собирает их исключительно для заключения и исполнения гражданского договора, а также если сбор и обработка данных не автоматизированы. Других исключений нет.

  8. Если компания имеет доступ к персональным данным, владельцу нужно заключить с ней соглашение, где будет указано, какие данные, как и зачем компания обрабатывает и как защищает.

  9. Поставить дисклеймер (лучше всего на видном месте и в каждом разделе), который уведомит посетителей сайта, что для нормальной работы сайта их персональные данные обрабатывают, и если пользователь останется на этом сайте, то это автоматически считается его согласием на обработку. Чтобы не допустить этого, пользователь должен покинуть сайт.

Этот список – только часть требований РКН к компаниям. С полным перечнем можно ознакомиться тут.

Итак, резюмируя вышесказанное:

  • Чтобы не получать штрафы, разработайте политику конфиденциальности, покажите её пользователю и спросите, согласен ли он с ней, поставив для этого кнопку.
  • Чтобы избежать проблем с законом о персональных данных, зарегистрируйтесь в РКН, заведите отдельный e-mail для обращений клиентов, перенесите хостинг в РФ и ознакомьтесь с остальными требованиями.

Незаконная обработка персональных данных чревата не только очевидными юридическими последствиями, но проблемами с деловой репутацией и показателями SEO. Мы – за безопасный интернет и соблюдение законов, так что и своим клиентам, и вообще всем, кто получает продажи через свой сайт, рекомендуем до 1 июля обеспечить выполнение всех требований закона.

Google AdWords добавляет опцию «Почему я вижу эту рекламу»

В блоге компании Google сообщается о нововведении: на всех п…

21.06.2018 956

Google тестирует новую функцию в поиске по изображениям

Google Images постепенно внедряет новый блок в результаты мо…

Источник: https://SEO.ru/news/view/2017/05/19/kak-zashhitit-sebja-ot-shtrafov-za-narushenie-zakona-o-personalnyh-dannyh/

Обработка персональных данных в 2018: как избежать штрафа

Владельцев сайтов будут штрафовать за разглашение персональных данных

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы 

Основание Размер штрафа
Физлица Должностные лица Юрлица ИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн предупреждение или штраф — от 1000 до 3000 руб.  предупреждение или штраф — от 5000 до 10 000 руб. предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта  от 3000 до 5000 руб. от 10 000 до 20 000 руб. от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДн от 700 до 1500 руб. от 3000 до 6000 руб. от 15 000 до 30 000 руб.  от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработке предупреждение или штраф — от 1000 до 2000 руб. предупреждение или штраф — от 4000 до 6000 руб. предупреждение или штраф — от 20 000 до 40 000 руб. предупреждение или штраф — от 10 000 до 15 000 руб. 
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки) предупреждение или наложение штрафа в размере от 1000 до 2000 руб. предупреждение или штраф — от 4000 до 10 000 руб. предупреждение или штраф — от 25 000 до 45 000 руб.   предупреждение или штраф — от 10 000 до 20 000 руб. 
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования от 700 до 2000 руб. от 4000 до 10 000 руб. от 25 000 до 50 000 руб. от 10 000 до 20 000 руб. 
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн предупреждение или наложение административного штрафа — от 3000 до 6000 руб. 

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:  

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?  

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данныелюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данныхлюбое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан. 

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора  

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально.

 На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.         

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ): 

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.

1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft.

 Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда.

 За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн. 

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;  
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!  

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

5 базовых принципов закона о персональных данных, о которых нужно знать

Как подготовиться к плановой проверке ФСБ по персональным данным?

Проверка Роскомнадзора: как подготовиться и избежать штрафов 

Источник: https://kontur.ru/articles/4816

Владельцев сайтов будут штрафовать за разглашение персональных данных

Владельцев сайтов будут штрафовать за разглашение персональных данных

В феврале 2017 года в статью 13.11 КоАП были внесены поправки, которые уже первого июля должны вступить в силу. Закон касается граждан, собирающих и обрабатывающих персональные данные. Поправки предполагают увеличение размеров штрафов в несколько десятков раз в зависимости от вида нарушения.

Например, за обработку администрацией интернет-магазинов информации клиента без его согласия штраф составит 75 000 рублей, в то время как игнорирование к требованию размещать на сайте политику конфиденциальности может вылиться в штраф на 10 и 30 тысяч рублей для индивидуальных предпринимателй и организаций соответственно.

При этом штрафы за разные нарушения, если их несколько, будут суммироваться.

Проверки уже начались, поэтому владельцам сайтов необходимо срочно уделить внимание устранению таких нарушений. С первого июля выписывать протоколы будет Роскомнадзор, хотя пока еще эти функции выполняет прокуратура.

Что такое персональные данные и являюсь ли я их оператором?

Персональные данные – сведения о человеке, которые позволяют определить его личность. К таким данным можно отнести:

  • ФИО;
  • информация о семейном положении;
  • любой физический адрес;
  • фото человека;
  • номер телефона;
  • электронная почта;
  • информация о месте и дате рождения;
  • сведения о работе, полученном образовании и уровне доходов;
  • ссылки на профили в соцсетях.

Таким образом, все владельцы сайтов, на которых имеется возможность завести личный кабинет, являются операторами персональных данных. В основном это ресурсы, на которых разрешено публиковать объявления или совершать сделки купли-продажи, а также сайты с плагинами для заказа звонков пользователю. Закон не распространяется на данные, которые регистрируются для семейных и личных нужд.

Как не нарушить законодательство

Есть определенные условия, соблюдая которые владелец сайта не считается нарушившим закон. К ним относятся:

  1. Публикация в открытом доступе сведений о персональных данных пользователей.
  2. Получение у пользователя согласия на обработку и хранение такой информации.
  3. Надежная защита полученных персональных данных от утечки в результате взлома.
  4. Запрос только определенных данных, соответствующих целям сайта и использование этой информации по назначению в соответствии с положениями, упомянутыми в пользовательском соглашении (в этом случае считается, что пользователь предупрежден о соответствующем использовании информации о нем).
  5. Удаление персональных данных, используемых для информирования пользователей о различных акциях и скидках по первому требованию пользователя.
  6. Уведомление пользователя о том, кому еще передавались данные о нем и как именно они используются.

Также владельцы собственных интернет-ресурсов должны пройти процедуру регистрации в Роскомнадзоре.

Регистрация

Операторы персональных данных должны пройти регистрацию в Роскомнадзоре, но этого можно не делать в некоторых случаях:

  • если оператор знает только ФИО человека;
  • обрабатываются данные сотрудников владельца сайта;
  • пользователь по своей воле разместил информацию о себе;
  • если персональные данные будут использоваться для целей, прописанных в соглашении или договоре, а дальнейшее распространение этой информации будет исключено.

Что делать тем, кто получает персональные данные

Владельцы сайта, которые не зарегистрировались в Роскомнадзоре или не выполнили вышеописанные рекомендации, могут быть оштрафованы в любой момент, поэтому вначале необходимо подготовить публичные документы (политика конфиденциальности, официальное уведомление, правила продажи или пользовательское соглашение) и разместить их таким образом, чтобы пользователи могли видеть их на любой странице ресурса.

Не рекомендуется просто копировать соответствующую документацию с других ресурсов: можно лишь ознакомиться с ними для того, чтобы определиться со структурой или взять за основу какие-то положения и отдельные моменты, но составлять документ придется самостоятельно исходя из специфики сайта и его целей. Дело в том, что у предприятий разного типа содержание таких документов сильно различается, и то, что применимо в одних случаях, может не являться универсальным решением.

Не стоит запрашивать лишние данные пользователя, если такая информация не будет использоваться в дальнейшем. Это также считается нарушением, которое карается денежным штрафом.

При сборе необходимой информации важно реализовать возможность отображения полученного человеком согласия на обработку его личных персональных данных. Проще всего добавить галочку в форме регистрации.

Если пользователь такую галочку поставил – можно считать, что он расписался в том, что принимает условия сайта и соглашается на обработку данных о себе.

Также необходимо уделить внимание подготовке внутренних документов, в которых будут прописаны условия хранения о обработки персональных данных сотрудников, имеющих доступ к информации такого характера. При этом документы для внутреннего пользования (должностные инструкции, регламенты и приказы) выкладывать в открытый доступ нет необходимости.

При необходимости информацию о деятельности сайта и сборе персональных данных необходимо отправить уведомление в Роскомнадзор, но если данные пользователей используются только для выполнения условий конкретного договора – делать это не нужно, хотя нелишним будет упомянуть об этом во внутренних документах, которые будут предъявлены при проверке. Также можно указать в документации, что вся получаемая от пользователя личная информация размещается им добровольно и в открытом доступе.

Можно ли хранить персональные данные на серверах других государств

Закон гласит, что хранение и сбор персональных данных возможен исключительно на российских серверах, хотя и существует отдельная статья, в которой упоминается возможность передачи информации в другие страны.

Эту неясную ситуацию Минкомсвязи попыталось объяснить в соответствующих пояснениях, которые касаются трансграничной передачи данных, но и после изучения такой документации остается непонятным, допустимо все-таки хранение информации вне России или нет.

Лучше выяснять этот вопрос напрямую, отправив запрос в Минкомсвязи или Роскомнадзор, а также поинтересоваться у хостера, который чаще всего имеет готовые ответы на подобные вопросы.

Многие владельцы сайтов отмахиваются от такого закона предполагая, что все это – формальные требования, и никаких штрафов на практике не будет, но следующие примеры показывают, что действие закона реально.

Так, в Тамбовской области за заполнение формы обратной связи пользователем без его согласия на обработку данных персонального характера была оштрафована организация, оказывающая юридические услуги.

В Астрахани уже зафиксирован ряд наказаний владельцев сайтов, которые используют формы обратной связи по алфавиту.

Но штраф – это не самое страшное. Предполагается, что когда поправки вступят в законную силу, будут также взыскиваться деньги за моральный ущерб пользователю, который предоставил персональную информацию. Кроме того – нарушители могут наказываться лишением свободы.

Источник: https://law03.ru/news/read/vladelcev-sajtov-budut-shtrafovat-za-razglashenie-personalnyx-dannyx

Ответственность за разглашение персональных данных гражданина

Владельцев сайтов будут штрафовать за разглашение персональных данных

Каждый имеет предоставленное ему право на неприкосновенность собственной личной жизни.

Если у человека нет потребности разглашать сведения о своем существовании, никто другой не может этого делать вне зависимости от публичности или не публичности содеянного.

Конституция как гарант всех главных свобод и прав граждан страны обеспечивает защиту и персональных данных. Бурный скачок в развитии Интернета породил потребность ужесточения охраны личных сведений. Кроме специального федерального закона и статьи в КоАП РФ разглашение персональных данных нашло отражение в ст. 137 УК РФ.

Чтобы не попасть в неприятную ситуацию, сказав лишнее слово, лучше заранее ознакомиться с тем, какие данные являются персональными и не подлежат разглашению, а также что грозит за данное преступное деяние?

Персональные данные: понятие и правовые особенности

Обозначенная правовая категория нашла свое отражение в ФЗ «О персональных данных» № 152. Согласно ему, под персональными данными предполагаются любые сведения, носящие личный характер, и относящиеся непосредственно к конкретному физическому лицу.

Проблема в этом юридическом аспекте вовсе не в том, что граждане, падкие на сплетни, любят перемывать друг другу кости.

Проблема, по большей части, лежит в плоскости недобросовестности действий государственных учреждений и коммерческих корпораций, которые в силу своего функционирования, имеют доступ к огромному числу персональных данных.

Обычно мы не уделяем внимания тому, как часто мы ставим подпись в согласии о предоставлении персональных данных о себе. А ведь такой документ нам преподносят почти во всех учреждениях: больницы, банки, магазины, работодатели и др.

По умолчанию мы верим в то, что сведения не выйдут за пределы наших отношений с данной структурой. Но ведь это совсем не так.

Все правила доступа к персональным данным и принципы их обработки четко прописаны в ФЗ № 152.

Какие данные имеют статус персональных?

Даже не заглядывая в ФЗ, а лишь на основании сведений ст. 137 УК РФ, можно определить, что в качестве персональных данных могут быть рассмотрены две категории:

  • Частная жизнь;
  • Информация, которая представляет семейную или личную тайну граждан.

Частная жизнь – очень широкая категория, под которую подпадают сведения о труде человека, его здоровье и интимной жизни, расовые, религиозные и иные убеждения, место жительства или рождения и многое другое.

Семейная тайна, как очевидно из самого названия, содержит сведения, которые относятся к отношениям личного характера внутри семьи. Личная тайна есть скрытый от глаз чужих людей абсолютно любой биографический факт.

Исходя из судебной практики, в качестве личных сведений признавались:

  • ФИО, адреса и контактные телефоны, паспортные данные, идентификационные номера;
  • Личная электронная переписка;
  • Сведения геолокации;
  • Детализация телефонных переговоров.

В чем особенности состава преступления?

Вопросы верной квалификации данного преступного деяния имеют место быть. Это обусловлено, прежде всего, нематериальным характером объекта преступления. Выступает объектом – частная жизнь и право на неприкосновенность.

Для того, что сведения были признаны частной жизнью, необходимо, чтобы они не имели причастности к другим личностям. Они не должны нарушать интересы окружающих субъектов.

Регулируются вопросы частной жизни нормами морали или человеческой нравственности.

Объективная сторона имеет характерную активную направленность и может протекать в одной из трех форм:

  • Незаконные сбор информации;
  • Ее незаконное распространение;
  • Публичное оглашение запрещенных сведений.

Прямой умысел и полное осознание противоправности совершаемого деяния есть субъективная сторона по ст. 137 УК РФ.

Человек не делает это случайно, он намеренно идет на это, преследуя свои личные мотивы. Мотив, впрочем, значения для квалификации не имеет.

Субъект деяния – общий – вменяемое лицо, которому исполнилось 16 лет.

Квалифицирующим признаком по ст. 137 УК РФ признается использование своего служебного положения или должностного преимущества в распространении чужих личных сведений.

Для суда не имеет значения, где конкретно работает это лицо. Важно лишь, что имея доступ к персональным данным, он незаконно осуществляет их распространение.

Различия особенности распространения сведений о жизни человека и характер такой информации, преступные действия могут различным образом регулироваться.

Так, та информация, которая отражена в персональных документах человека и по умолчанию составляет его личную тайну, отражена в ГК РФ.

Отсюда и наказание за разглашение персональных данных такого характера содержится в КоАП РФ.

Административная ответственность

Представлена широким перечнем видов ответственности за незаконное разглашение личных данных, которые защищены государством.

Подследственность данного преступного деяния лежит на органах правопорядка:

  1. Если без предусмотренной на то законодательной необходимости происходит сбор персональной информации, это грозит штрафов 1000—3000 руб., 5000-10000 руб., 30000-50000 руб. для граждан, должностных лиц и компаний соответственно.
  2. Если Вы не дали письменное согласие на обработку своих данных, то нарушителю грозит штраф 3000—5000 руб., 10000-20000 руб., 15000-70000 руб. для граждан, должностных лиц и компаний соответственно.
  3. Нарушение оператором правил обработки данных наказывается штрафами 700-1700 руб., 3000—6000 руб., 15000-30000 руб. для граждан, должностных лиц и компаний соответственно.
  4. Когда оператор нарушает правила предоставления данных субъекту, на него может быть возложена денежная санкция в размере 1000—2000 руб., 4000—6000 руб., 20000-40000 руб. для граждан, должностных лиц и компаний соответственно.
  5. Несоблюдение любых сроков в работе с данными – штраф для граждан и должностных лиц в размере, предусмотренном предыдущем пунктом, для компаний – 25000-40000 руб.
  6. Ошибки в поддержании безопасности данных наказываются взысканием до 2000 руб., до 10000 руб., до 50000 руб. для граждан, должностных лиц и компаний соответственно.
  7. Ошибки в работе с персональными данными, зафиксированные у работников государственных и муниципальных учреждений – до 6000 руб. для всех.

УК РФ, в отличие от КоАП РФ, имеет в своем арсенале кроме денежных санкций, таких как штраф за разглашение персональных данных, и иные виды наказания.

Уголовная ответственность

В УК РФ данная статья имеет совсем другое название – «Нарушение неприкосновенности частной жизни».

Уголовное деяние будет иметь место, когда распространение личных данных ставит под угрозу жизнь человека, его моральное или нравственное состояние, безопасность в обществе.

Итак, ст. 137 УК РФ применима в таких ситуациях:

Незаконное распространение или сбор, а равно и публичное выступление с данной информацией может наказываться:

  • Штрафом, который соответствует доходам за 1,5 года осужденного, или в размере до 200 000 руб.;
  • Исполнением обязательных работ до 360 часов;
  • Привлечение к исполнительным работам до 1 года;
  • Принудительные работы до 2 лет;
  • 4 месяца ареста или лишение свободы, но не более 2 лет.

При совершении тех же самых преступных действий, но дополнительно при злоупотреблении своего должностного положения для этих целей, виды наказания будут выглядеть немного иначе:

  • Денежное взыскание 100000-300000 руб.;
  • Лишение права занимать ту самую должность или вести схожую деятельность до 5 лет;
  • Привлечение к принудительным работам максимально на 4 года;
  • Арест не более 6 месяцев или лишение свободы – максимум на 4 года.

В 2013 году в статью была и введена и ее последняя третья часть. Она регулирует точно такое же публичное разглашение, но касается сугубо тех сведений, которые относятся к преступлениям, потерпевшей стороной в которых выступало несовершеннолетнее лицо.

Любая болтовня о последствиях таких преступлений, ухудшении морального, психического или физического здоровья подростка подпадает под квалификацию ч. 3 ст. 137.

Наказание варьируется следующим образом:

  • Денежное взыскание в пределах 150000-350000 руб.;
  • Штраф, соответствующий доходу осужденного от 18 месяцев до 3 лет;
  • 3-5 лет лишения права занимать конкретные должности или вести определенные роды деятельности;
  • Привлечение к принудительным работам 3-5 лет;
  • До 6 месяцев ареста или до 5 лет нахождения в тюрьме.

Очевидно, что преступление о разглашении личных сведений чужих людей, не такое уж безобидное. При наличии отягчающих обстоятельств, которые отражены в ч.2 или ч.3 можно надолго загреметь за решетку.

Каждый потерпевший по ст. 137 УК РФ имеет законное право в гражданском порядке требовать возмещение моральной компенсации за содеянное.

Судебная практика

К 2019 году число преступлений против личной неприкосновенности значительно возросло. Чего только стоят виртуальные недоброжелатели или недобросовестные предприниматели, которые, к примеру, продают информацию о долгах и жизни клиентов коллекторам.

Серьезный протест и неприятие получило введение нового закона, согласно которому государство имеет право следить за личной перепиской или звонками каждого гражданина своей страны.

Тотальный контроль такого характера непонятен многим. Ведь государство должно являться гарантом прав и свобод, закрепленных в Конституции РФ, а не нарушать их.

Сложность квалификации уголовного деяния заключается в том, что некоторые профессии, в частности, журналисты имеют право, прописанное специальном законе, разглашать личные данные.

При этом такое разглашение должно быть осуществлено в рамках общественных интересов. Где грань между интересами общества и нарушением закона – непонятно.

Суды в первую очередь руководствуются тем, что они обязаны, как защитить нарушенные права на личную неприкосновенность граждан, так и не вмешиваться в свободу слова и действия, которая также закреплена в главном законе страны.

Как правило, в судах такие дела заканчиваются примирением. Если же этого не происходит чаще в качестве меры наказания применяются денежные взыскания.

Однако, в ситуациях, которые кстати сегодня широко распространены, когда обвиняемый выкладывает в общем доступе в Интернете интимные видео или фото своих бывших подруг, используются принудительные или исправительные работы. Ч.1 ст. 137 УК РФ рассматриваться будет в мировом суде.

Персональные данные — предмет, который хоть и не имеет точной материальной ценности, но защищается государством в полной мере.

Очень жаль, что многие не понимают, что, распуская сплетни или намеренно передавая или даже продавая сведения о личной жизни других людей, они нарушают гарантированные права и свободы, ущемляют безопасность окружающих и порождают ненужные конфликты.

Источник: http://ugolovnyi-expert.com/razglashenie-personalnyx-dannyx/

Обработка персональных данных: новая ответственность за нарушения

Владельцев сайтов будут штрафовать за разглашение персональных данных

7 февраля 2017 года в статью 13.11 КоАП внесены поправки, ужесточающие наказание за нарушения закона о персональных данных. В силу они вступят с 1 июля 2017 года и касаться будут всех, кто работает с любыми персональными данными (собирает их, обрабатывает и хранит).

ВЛАДЕЛЬЦЫ САЙТОВ, ВНИМАНИЕ! ИЗМЕНЕНИЯ В ЗАКОНЕ: С 1 ИЮЛЯ 2017 ГОДА ШТРАФЫ ЗА НАРУШЕНИЯ ЗАКОНА О ПЕРСОНАЛЬНЫХ ДАННЫХ ВЫРАСТУТ ДО 75 000 РУБЛЕЙ.

Теперь штрафы разделены по видам нарушений и в десятки раз увеличены. К примеру, если на сайте не размещать информацию о политике конфиденциальности, индивидуального предпринимателя могут оштрафовать на сумму в 10 000 рублей, а компанию — на 30 000.

Если обработкой персональных данных будет заниматься интернет-магазин без согласия своих клиентов или информационный ресурс — без согласия подписчиков, то штраф для юрлица назначат до 75 000 рублей. Руководителю компании надо будет заплатить до 20 000 рублей, столько же — предпринимателю.

Если нарушений обнаружится несколько, тогда и количество штрафов будет равно количеству нарушений.

Необходимо привести в порядок свои сайты и срочно — проверки уже проводятся

В настоящее время не зависит, за какое нарушение выписан штраф, — его размер для руководителя организации или ИП будет не выше 1 000 рублей, а для юридических лиц — максимум 10 000 рублей. Процедура проверки сайтов занимает немало времени, а суммы штрафов — маленькие. И потому проверяют не часто и не всех.

К тому же протоколы о нарушениях пока еще может составлять только прокуратура. Но с 1 июля дело пойдет веселее, т. к. право выписывать такие протоколы получит Роскомнадзор.

А сейчас появляется  информация о том, что штрафы за нарушения положений закона о персональных данных накладываются все чаще.

Мы уже писали о наказаниях в Астрахани, где местная прокуратура активно взялась штрафовать интернет-сайты, на которых не было документа, где говорилось бы про обработку персональных данных. То, что штрафам подверглись сайты «по списку», т. е.

с начала алфавита, позволяет допустить, что такие проверки на местах могут продолжаться. А при новых размерах штрафов с 1 июля количество наказаний возрастет.

Кто является оператором персональных данных — как это узнать?

Оператором персональных данных может быть любое юридическое лицо или индивидуальный предприниматель, осуществляющий обработку персональных данных.  Просто физические лица также могут быть операторами. Таким образом, надо разобраться, что такое «обработка» и какие сведения относятся к персональным данным.

Проблема в том, что закон о персональных данных трактует эти самые «данные» размыто и неопределенно — как информацию, относящуюся к определяемому (идентифицируемому) гражданину прямо или косвенно.

В результате это «косвенно» дает широкий простор для трактовки.

Как считает ряд пользователей , прокомментировавших публикации на эту тему, власти используют такие размытые формулировки, чтобы в судебных разбирательствах можно было легко маневрировать при принятии решений.

Приходится соглашаться, что персональные данные — это любая информация о человеке, по которой  его можно идентифицировать. Раз уж в законе такой перечень отсутствует, можно примерный список составить самим.

И учитывать, что по каким-то параметрам практически невозможно будет определить, о каком конкретном гражданине идет речь (это может быть только имя или ник), а по другим человека идентифицировать легко (к примеру, по номеру телефона).

Вы почти гарантированно являетесь оператором персональных данных, если вами запрашивается каким угодно способом от физических лиц следующая информация в любом ее сочетании:
фамилия семейное положение
имя профессия
отчество уровень доходов
электронная почта ссылка на персональный сайт
телефон ссылка на личную страницу в соцсетях
фотография дата или место рождения
образование адрес регистрации или проживания

Владелец сайта обрабатывает персональные данные, если осуществляет с ними хотя бы одно из следующих действий.

Значит, называть операторами персональных данных следует всех владельцев электронных ресурсов (сайтов, блогов), где имеются личные кабинеты и любые формы для обратной связи, регистрации или подписки, где можно размещать объявления, что-то покупать или заполнять анкеты.

Обработкой персональных данных в свете складывающейся судебной практики может считаться даже единственная кнопка, позволяющая гражданам отправить сообщение администрации сайта или заказать обратный звонок — ведь при этом, как минимум, необходимо сообщать номер телефона или email. Впрочем имя тоже в таких случаях нередко требуется указать.

А вот указано оно подлинное или нет — проверяющих волновать не будет.

На что закон не распространяется?

Нарушением не будет считаться записывание и сохранение любой личной информации, которую планируется использовать для личных или семейных нужд.

Можно записать себе телефоны родственников, контакты друзей в соцсетях, электронную почту парня или девушки на сайтах знакомств и пользоваться ими для общения.

Но если такую информацию разместить где-то в объявлении или на форумах, передать коллекторам, т. е. сделать доступной для третьих лиц — это нарушение.

Как не нарушать закон при работе персональными данными?

Минимальные обязательные действия:

  • получать у каждого посетителя, подписчика или клиента письменное согласие на обработку, хранение и распространение персональных данных;
  • размещать в открытом доступе информацию о политике работы с персональными данными клиентов и посетителей;
  • запрашивать только необходимые данные, требуемые для конкретной цели. Так, для подписки на электронную рассылку можно запросить email, а вот паспортные данные или домашний адрес — нельзя;
  • использовать полученные данные только в целях, которые прописаны в документах или политике работы с персональными данными, и о которых человек предупрежден;
  • сообщать без всяких отказов клиентам по их запросам, какие о нем имеются у вас данные, для чего используются и как обрабатываются, а также — кому их передавали (если такое происходило);
  • удалять данные, которые используются для рассылки предложений и информации о скидках и акциях, по первому требованию подписчиков;
  • обеспечить сохранность и защиту базы данных от утечек взлома;
  • обучить своих сотрудников порядку работы с персональными данными, гарантирующему их сохранность;
  • зарегистрироваться в Роскомнадзоре.

Зачем уведомлять Роскомнадзор?

Операторы персональных данных по закону обязаны уведомить Роскомнадзор, для чего туда следует направить электронный документ или бланк на бумажном носителе.

И сделать это необходимо до начала обработки данных. Тем же операторам, кто это не сделал, следует обратиться в Роскомнадзор, не откладывая надолго.

Информация об операторе поступит в общий реестр, после чего Роскомнадзор будет выдавать ее по запросу.

Что делать владельцам сайтов, которые уже получают персональные данные?

Если требования закона не выполняются, владелец интернет-ресурса уже сейчас может быть оштрафован за нарушения. Штраф будет выписан на того, кто указан на сайте — компанию или индивидуального предпринимателя, даже если этот сайт обслуживает удаленный айтишник или веб-студия. Поэтому, если у вас имеется собственный сайт, сделайте следующее:

1. В срочном порядке подготовьте и разместите на сайте публичные документы, где пропишите условия обработки персональных данных. Доступ к ним у пользователей должен быть на любой странице сайта.

Формы документов разнообразны: пользовательское соглашение, официальное уведомление, политика конфиденциальности, правила продажи, обычный договор или оферта.

Необходимо выбрать тот, который подойдет конкретному сайту.

Рассматривайте чужие документы только как образец, а список данных и цель их сбора указывайте свои. Для предоставления банковских услуг, электронной рассылки, информации о доставке товара из интернет-магазина требуются различные данные, поэтому запрашивать нужно только необходимые. Запрос излишних сведений считается нарушением закона и служит поводом для штрафа.

2. Проработайте и реализуйте возможность точно установить, что посетитель сайта согласен на обработку персональных данных. Варианты решения:

  • предупреждение (при оформлении заказа);
  • «галочка» (в форме регистрации).

Можно для надежности заверить у нотариуса веб-страницы с этой информацией.

3. Подготовьте для сотрудников, которые работают с персональными данными, внутренние документы о порядке доступа к данным и их хранении, а также об ответственности за нарушение правил. Эти инструкции, приказы и регламенты  не подлежат размещению в общий доступ.

4. Отправьте уведомление в Роскомнадзор. Но если вы точно знаете, что вам такое уведомление отправлять не надо, тогда обязательно укажите в политике, что персональные данные получаете только для исполнения конкретного договора. Еще можно указать, что на вашем ресурсе данные по желанию пользователя могут размещаться в общем доступе.

Если вы не знаете, надо ли вам уведомлять Роскомнадзор, обратитесь к нам за консультацией.

На каких серверах разрешено законом хранить персональные данные ?

Из закона понять это невозможно. С одной стороны, заявлено, что все базы данных должны собираться, обрабатываться и храниться только на российских серверах. Но имеется еще и отдельная статья о трансграничной передаче данных. Разъяснения об этом, размещенные на сайте Минкомсвязи, имеют много противоречий и вопрос не проясняют.

Для уточнения можно отправить запрос в ведомства (Минкомсвязи или Роскомнадзор). Еще вариант — узнать у своего хостера, нет ли у него готового решения для такого случая.

Надо ли действовать или можно «обождать»?

Надеяться, что нововведения в закон не будут работать или окажутся «временными трудностями», лучше не надо. Примеры наложения штрафов уже нередки. Так, прокуратурой в Тамбовской области оштрафована юридическая компания, которая заполнила форму обратной связи, не заручившись согласием пользователя на обработку его персональных данных. Это решение поддержано судом.

Есть случай штрафа в отношении директора управляющей компании за передачу юристам данных о гражданах-должниках для составления исковых заявлений. Согласия жильцов на обработку персональных данных этот руководитель УК не запрашивал. Конституционный суд решение о штрафе не отменил.

О штрафах, накладываемых на владельцев сайтов прокуратурой в Астрахани, сказано выше.

Поэтому владельцам интернет-ресурсов необходимо привести свои сайты в порядок, добавив требуемую информацию. И не следует забывать, что при нарушении правил обработки персональных данных могут быть не только выписаны штрафы.

Законом предусмотрена возможность взыскания компенсации за причиненный моральный вред, а также уголовная ответственность, при которой наказанием за вторжение в чью-то частную жизнь могут стать принудительные работы и даже тюремный срок.

В связи с поступлением в «Право в сети» огромного количества вопросов  по теме персональных данных и их обработке, по необходимым документам Маргарита Ледовских проведет Интенсив, на котором разложит по полочкам все спорные моменты, и вы получите шаблоны всех необходимых документов.

Подробная информация и запись на этой странице: http://lawinweb.ru/politika-konfidencialnosti-intensiv/

Источник: http://lawinweb.ru/obrabotka-personalnyx-dannyx-novaya-otvetstvennost-za-narusheniya/

Юр-помощник
Добавить комментарий