Когда и за что могут оштрафовать владельцев сайтов?

Лица, которые получают любые персональные данные, являются операторами персональных данных. С 1 июля гражданам, должностным лицам, предпринимателям и организациями, несоблюдающим требования ФЗ-152, грозят штрафы по семи основаниям. Максимальный штраф будет достигать 75 тысяч рублей.

А что такое персональные данные?

Оператор персональных данных – это любое лицо, которое (п. 2 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее - Закон о пресональных данных):

1) обрабатывает персональные данные;

2) определяет:

цели их обработки;

состав персональных данных, которые подлежат обработке;

действия (операции) с персональными данными.

Персональные данные – любая информация, которая прямо или косвенно относится к определенному физическому лицу – субъекту персональных данных (п. 1 ст. 3 Закона о персональных данных).

Если у меня на сайте хранятся персональные данные, я должен об этом кому-то сказать?

Да, оператор персональных данных должен:

1) Уведомить Роскомнадзор о намерении обрабатывать персональные данные.

Нужно отправить специальное уведомление в Роскомнадзор (ч. 1 ст. 22 Закона о персональных данных; п. 14 Административного регламента..., утвержденного приказом Минкомсвязи России от 21 декабря 2011 г. № 346). Форму уведомления можно посмотреть в Приложении 2 к Регламенту. Нужно:

  • заполнить уведомление на сайте Роскомнадзора через специальную форму;
  • заполненную форму распечатать, затем подписать и направить в территориальный орган Роскомнадзора по месту регистрации оператора.

Не нужно отправлять уведомление работодателям, которые собирают информацию о своих сотрудниках (п. 1) или операторам, которые обрабатывают исключительно фамилии, имена и отчества субъектов персональных данных (п. 5).

Тот факт, что закон разрешает не уведомлять Роскомнадзор, не отменяет других обязанностей, которые закон возложил на операторов. Если пользователь этого не сделает, то его могут привлечь к ответственности по статье 19.7 КоАП РФ. Максимальный штраф – 5 тыс. руб.

2) соблюдать нормы Закона о персональных данных:

  • соблюдать принципы обработки данных;
  • обрабатывать данные, только когда это допускает закон;
  • получать согласие на обработку персональных данных;
  • опубликовать политику владельца сайта в отношении обработки персональных данных;
  • предоставить доступ к персональным данным их владельцам;
  • уточнить, блокировать или уничтожить персональные данные по требованию владельца;
  • обеспечить безопасность персональных данных при обработке.

Если не соблюдать эти пункты, вам будет грозить штраф. Какой именно см. ниже в таблице.

Внимание! В Уголовном кодексе РФ есть две статьи, по которым могут привлечь, если нарушить Закон о персональных данных (ст. 137 и ст. 272).

Что я должен делать, чтобы не нарваться на штраф? 7 оснований, за которые могут оштрафовать

Оператор персональных данных обязан:

1) соблюдать принципы обработки данных (ст. 5 Закона о персональных данных).

Обрабатывать можно только те персональные данные, которые отвечают целям их обработки (ч. 4). Содержание и объем данных должны отвечать заявленным целям обработки. Нельзя требовать избыточные данные по отношению к заявленным целям их обработки (ч. 5). Например, интернет-магазин не имеет права требовать скан паспорта или водительских прав;

2) обрабатывать данные, только когда это допускает закон (ч. 1 ст. 6 Закона о персональных данных).

Например, оператор вправе обрабатывать персональные данные, которые нужны, чтобы заключить или исполнить договор (п. 5 ч. 1 ст. 6 Закона о персональных данных);

3) получить согласие лица на обработку его персональных данных (ст. 9 Закона о персональных данных).

Чтобы обрабатывать персональные данные, нужно получить на это согласие субъекта персональных данных. Уже сейчас веб-разработчики предлагают специальную услугу по внедрению на сайты необходимого функционала. Так, под каждой формой ввода данных, к примеру, формы заказа на сайте или в мобильных приложениях:

  • дать ссылку на текст согласия на обработку персональных данных и
  • разместить кнопку с текстом: «Даю согласие на обработку персональных данных».

Таким образом ситуация, когда пользователь не согласится на обработку своих персональных данных, невозможна. А значит, невозможен и штраф по этому основанию.

ВАЖНО! Лицо вправе отозвать согласие. В этом случае оператор должен прекратить обработку данных в течение 30 дней (ч. 5 ст. 21 Закона о персональных данных).

4) опубликовать политику владельца сайта в отношении обработки персональных данных (ч. 2 ст. 18.1 Закона о персональных данных).

Необходимо обеспечить неограниченный доступ через Интернет:

  • к документу, который определяет политику организации в отношении обработки персональных данных, и
  • к сведениям о реализуемых требованиях к защите персональных данных.

5) предоставить доступ к персональным данным их владельцам (ст. 14 Закона о персональных данных). Любое лицо вправе запросить у владельца сайта сведения о себе и другую информацию, которую указала часть 7 (например, правовые основания и цели обработки персональных данных). Исключения указала часть 8. Оператор не обязан предоставлять данные, которые получил в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности.

Оператор обязан предоставить данные в течение 30 дней с даты получения запроса (ч. 1 и 4 ст. 20 Закона о персональных данных).

6) уточнить, блокировать или уничтожить персональные данные по требованию владельца (ч. 1 ст. 14 Закона о персональных данных).

Субъект персональных данных вправе требовать от оператора уточнить, заблокировать или уничтожить персональные данные, если они утратили актуальность, неполные, неточные, получены незаконно или не отвечают заявленной цели обработки персональных данных.

Выполнить эти требования нужно в течение сроков, на которые указала статья 21 Закона о персональных данных. Так, уточнить неточность нужно в течение семи рабочих дней, а прекратить неправомерную обработку – в течение трех дней.

7) обеспечить безопасность персональных данных при их обработке.

Чтобы обеспечить безопасность, нужно соблюдать правила:

  • статьи 19 Закона о персональных данных;
  • Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119;
  • Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15 сентября 2008 г. № 687 (далее – Положение № 687).

Какими будут штрафы с 1 июля 2017 года и за что накажут?

До 1 июля статья 13.11 КоАП РФ состоит из одного общего состава и предусматривает ответственность для лица, которое с нарушением собирает, хранит, использует или распространяет информацию о гражданах (персональных данных). Максимальный штраф – 10 тыс. руб. С 1 июля новая редакция статьи будет включать семь составов правонарушений. Максимальный штраф вырастет в 7 раз!

За что накажут?

Как накажут?

Что делать, чтобы избежать штрафа?

1. Обрабатывает персональные данные в случаях, которые не предусмотрел Закон о персональных данных. Например, интернет-магазин запрашивает избыточную информацию о потребителе (скан паспорта, водительских прав, свидетельства ИНН).

2. Обрабатывает персональные данные в целях несовместимых с теми, которые заявлялись. Например, гражданин указал электронную почту для покупки в интернет-магазине, а магазин воспользовался адресом и рассылает рекламу.

Привлекут к ответственности по части 1, только когда действия не подпадают под часть 2 или состав уголовного преступления.

Предупреждение или штраф:

  • физлицам – от 1 тыс. до 3 тыс. руб.;
  • должностным лицам, предпринимателям – от 5 тыс. до 10 тыс. руб.;
  • организациям – от 30 тыс. до 50 тыс. руб.

Обрабатывать данные только:

  • в случаях, которые предусмотрела часть 1 статьи 6 Закона о персональных данных;
  • в целях, которые заявлялись

1. Обрабатывает персональные данные без письменного согласия лица, когда такое согласие требует закон. Например, собирает и хранит специальные персональные данные – информацию о здоровье, политических взглядах, вероисповедании.

Состав распространяется только на случаи, когда в действиях нет уголовного преступления.

2. Нарушает требования закона к составу сведений, которые нужно включить в Согласие субъекта персональных данных на обработку его персональных данных. Например, не указал списка третьих лиц, кому будет передавать персональные данные

Штраф:

  • физлицам – от 3 тыс. до 5 тыс. руб.;
  • должностным лицам, предпринимателям – от 10 тыс. до 20 тыс. руб.;
  • организациям – от 15 тыс. до 75 тыс. руб.

 

1. Получить согласие субъекта персональных данных на обработку его персональных данных.

2. Включить в согласие необходимые сведения

Не опубликовал на сайте или по-другому не обеспечил неограниченный доступ: к документу, который определяет политику оператора в отношении обработки персональных данных, или к сведениям о реализуемых требованиях к защите персональных данных

 

Предупреждение или штраф:

  • физлицам – от 700 руб. до 1,5 тыс. руб.;
  • должностным лицам – от 3 тыс. до 6 тыс. руб.;
  • предпринимателям – от 5 тыс. до 10 тыс. руб.;
  • организациям – от 15 тыс. до 30 тыс. руб.

 

Опубликовать на сайте общедоступные ссылки на Политику организации в отношении обработки персональных данных и иные сведения о требованиях к защите персональных данных

 

Не предоставил субъекту персональных данных информации, которая касается обработки его персональных данных

Предупреждение или штраф:

  • физлицам – от 1 тыс. до 2 тыс. руб.;
  • должностным лицам – от 4 тыс. до 6 тыс. руб.;
  • предпринимателям – от 10 тыс. до 15 тыс. руб.;
  • организациям – от 20 тыс. до 40 тыс. руб.

 

Предоставлять информацию по запросу в течение 30 дней (ч. 1 ст. 20 Закона о персональных данных)

Не выполнил в срок требования:

  • об уточнении персональных данных;
  • о блокировании или уничтожении.

Оператор обязан это сделать, когда персональные данные:

  • утратили актуальность, неполные, неточные, незаконно получены или
  • не отвечают заявленной цели обработки персональных данных.

Эти требования вправе предъявить:

  • субъект персональных данных или его представитель либо
  • уполномоченный орган по защите прав субъектов персональных данных

Предупреждение или штраф:

  • физлицам – от 1 тыс. до 2 тыс. руб.;
  • должностным лицам – от 4 тыс. до 10 тыс. руб.;
  • предпринимателям – от 10 тыс. до 20 тыс. руб.;
  • организациям – от 25 тыс. до 45 тыс. руб.

 

Уточнить, блокировать или уничтожить персональные данные по требованию владельца в течение установленных сроков

Не обеспечил условия, которые необходимы, чтобы:

  • сохранить персональные данные при хранении материальных носителей;
  • исключить несанкционированный доступ к ним.

Состав распространяется только на случаи, когда:

1) обрабатывают персональные данные без средств автоматизации;

2) отсутствует состав уголовного преступления;

3) произошел неправомерный или случайный доступ к персональным данным; или их уничтожили, изменили, блокировали, копировали, передали, распространили или совершили иные неправомерные действия.

К примеру, оператор не оформил список лиц, которые допущены к обработке информации; не организовал раздельное хранение данных.

Штраф:

  • физлицам – от 700 руб. до 2 тыс. руб.;
  • должностным лицам – от 4 тыс. до 10 тыс. руб.;
  • предпринимателям – от 10 тыс. до 20 тыс. руб.;
  • организациям – от 25 тыс. до 50 тыс. руб.

 

Обеспечить безопасность персональных данных при обработке

Не выполнил:

  • обязанности по обезличиванию персональных данных;
  • требования по обезличиванию персональных данных.

Состав распространяется только на государственные и муниципальные органы.

Предупреждение или штраф должностному лицу – от 3 тыс. до 6 тыс. руб.

Выполнять Требования и методы по обезличиванию персональных данных, которые утвердил Роскомнадзор приказом от 5 сентября 2013 г. № 996

 

Источники: Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Федеральный закон от 25 июля 2011 г. N 261-ФЗ, Кодекс об административных правонарушениях, таблица - Система Юрист

05.06.2017

Бесплатная консультация


Спасибо, мы скоро свяжемся с вами.

Заказать звонок

Спасибо, мы скоро свяжемся с вами.