01 июля 2017 г. вступают в силу изменения в статью 13.11 Кодекса об административных правонарушениях (КоАП РФ), регулирующую ответственность за соблюдение законодательства о персональных данных.
Ранее предусматривался один состав правонарушения — нарушение законодательства о персональных данных. Сейчас перечень нарушений будет состоять из 7 пунктов. Увеличивается и размер штрафов. Дела об административных правонарушениях в области персональных данных будут рассматривать территориальные отделения Роскомнадзора.
Сам же Закон «О персональных данных» действует уже 10 лет, кардинально не меняясь. Поэтому не понятна паника, которую раздувают некоторые СМИ.
Для владельцев любых сайтов, собирающих данные пользователей, я выделил следующие важные аспекты, которые необходимо учесть.
Политика обработки персональных данных на сайте
Пункт 3 статьи 13.11 КоАП РФ гласит: невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных —
- влечет предупреждение или
- наложение административного штрафа:
- на граждан в размере от 700 до 1 500 рублей;
- на должностных лиц — от 3 000 до 6 000 рублей;
- на индивидуальных предпринимателей — от 5 000 до 10 000 рублей;
- на юридических лиц — от 15 000 до 30 000 рублей.
Минимум, что нужно сделать сейчас — разместить на сайте политику обработки персональных данных.
Особых требований к месту размещения законодатель не устанавливает, однако рекомендую ссылку на политику поместить на главной странице, а также продублировать ее в местах размещения форм для сбора персональных данных. Политика обработки персональных данных должна быть доступной для любого пользователя.
Цель и объем сбора персональных данных
Излишний объем данных, собираемых у пользователя, может быть самостоятельным нарушением:
пункт 1 статьи 13.11 КоАП: обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, —
- влечет предупреждение или
- наложение административного штрафа:
- на граждан в размере от 1 000 до 3 000 рублей;
- на должностных лиц — от 5 000 до 10 000 рублей;
- на юридических лиц — от 30 000 до 50 000 рублей.
Таким образом, собираемые персональные данные должны соответствовать цели их обработки и не быть излишними.
Поэтому в политике обработки персональных данных обязательно указывайте цель обработки и объем.
Пример
Самый частый случай сбора данных на сайте — заказ обратного звонка.
В этом случае достаточно просить указать пользователя лишь номер телефона. Если же для обратного звонка вы просите указать электронную почту, ФИО, адрес, место работы, должность, то такие данные считаются излишними, не соответствующими целям обработки, и, следовательно, их сбор является нарушением.
Без крайней необходимости не осуществляйте сбор паспортных данных. Чаще всего они не нужны. Для выполнения заказа, например, в интернет-магазине, клиенту достаточно указать телефон и адрес доставки.
Определившись с целями и объемом сбора персональных данных, составьте свою политику их обработки, и разместите на сайт.
Кстати говоря. Я направлял такой запрос в Роскомнадзор:
Необходимо ли размещение политики обработки персональных данных на сайте доставки товаров, если для оформления заказа пользователь указывает только номер телефона? Оператор сайта звонит покупателю по указанному номеру, уточняет детали заказа и адрес доставки. В дальнейшем (после доставки заказа) номер телефона, имя и фамилия покупателя, адрес доставки не сохраняются и не используются владельцем сайта.
и вот какой ответ получил:
По информации, содержащейся в обращении, дать правовую оценку по существу поставленного вопроса не представляется возможным.
По сути это означает, что не любой случай сбора персональных данных влечет за собой необходимость размещения политики обработки этих данных, что не отменят необходимости изучения этого вопроса для каждого сайта индивидуально.
Что еще нужно сделать
В определенных случаях необходимо подать уведомление в Роскомнадзор по месту регистрации (юр. лица, предпринимателя или гражданина — администратора сайта) для включения в реестр обработки персональных данных. Если такое уведомление не предоставить, то возможно привлечение к ответственности по статье 19.7 КоАП:
- предупреждение или наложение административного штрафа
- на граждан в размере от 100 до 300 рублей;
- на должностных лиц — от 300 до 500 рублей;
- на юридических лиц — от 3 000 до 5 000 рублей.
Форма и содержание уведомления, порядок его заполнения есть на сайте Роскомнадзора. Правда представители Роскомнадзора пока никого за это не штрафуют, и не факт, что будут штрафовать.
Выводы
Если на сайте не размещена политика обработки персональных данных, но эти данные собираются, то его владелец не выполняет требования Закона «О персональных данных».
Указанные выше рекомендации относятся к владельцам любых сайтов, которые так или иначе поддерживают обратную связь со своими посетителями.
Дополнительные требования могут быть предъявлены к интернет-магазинам, сервисам по подбору персонала, сервисам бронирования билетов, приема платежей, сетевых изданий (СМИ) и т. п. Про использование персональных данных в СМИ я напишу отдельно.
Внимательно внимательно отнеситесь к разработке политики обработки персональных данных, не используйте «типовые формы», поскольку их не существует. За помощью обращайтесь к юристам, специализирующимся в этой отрасли.
Полезно знать!
Дополнительные требования к информации, размещаемой на любых сайтах, установлены и Федеральным законом «Об информации» Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 06.07.2016) «Об информации, информационных технологиях и о защите информации»:
пункт 2 статьи 10: информация, распространяемая без использования средств массовой информации, должна включать в себя достоверные сведения о ее обладателе или об ином лице, распространяющем информацию, в форме и в объеме, которые достаточны для идентификации такого лица.
Владелец сайта в сети «Интернет» обязан разместить на принадлежащем ему сайте информацию о своих наименовании, месте нахождения и адресе, адресе электронной почты для направления заявления, указанного в статье 15.7 настоящего Федерального закона (досудебные меры по прекращению нарушения авторских прав), а также вправе предусмотреть возможность направления этого заявления посредством заполнения электронной формы на сайте в сети «Интернет».
«Про использование персональных данных в СМИ я напишу отдельно» — животрепещющий вопрос — https://www.facebook.com/groups/579473192069002/permalink/1788693394480303/?comment_id=1788699024479740&reply_comment_id=1789288777754098&ref=notif¬if_t=group_comment¬if_id=1501101119938472