Всех, кто обрабатывает персональные данные. А обработка персональных данных это любые действия по сбору, хранению, записи, использованию, передаче персональных данных (п. 3 ст. 3 Федерального закона «О персональных данных» № 152-ФЗ).
Что относится к персональным данным?
Любая информация, позволяющая идентифицировать человека. В формулировке закона - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Такой информацией, например, являются:
- фамилия, имя, отчество;
- год, месяц, дата рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы;
- e-mail, фотография, cookie, данные об IP-адресе, местоположении без указания фамилии и имени. Если cookie и IP-адреса стало неожиданностью, то можно посмотреть Решение Арбитражного суда г. Москвы от 11.03.16 г. по делу № А40-14902/2016.
В конечном итоге, если вы сомневаетесь, относится ли что-то к персональным данным, на всякий случай лучше считать что относится.
Что делать если я - владелец сайта и получаю персональные данные?
Сайт должен соответствовал требованиям Закона
- Должно быть размещено согласие на обработку персональных данных, без одобрения которого, пользователь не может вам направлять данные.
- Разместить на сайте в общем доступе ссылку на документ политика организации по обработке персональных данных.
- Все новые пользователи сайта должны быть предупреждены всплывающим на сайте сообщением о сборе данных пользователей (cookie, данные об IP-адресе и местоположении) с целью обеспечения работы сайта. Если пользователь не хочет эти данные предоставлять, он должен покинуть сайт или настроить свое программное обеспечение и/или оборудование таким образом, чтобы сайт эти данные не получал или по ним нельзя было определить пользователя.
- Определить, должны ли вы подать уведомление об обработке персональных в Роскомнадзор. Из требования уведомлять Роскомнадзор есть исключения (об этом ниже, а также см. ч. 2 ст. 22 Закона).
Что по ответственности?
До 1 июля 2017 года возбуждать дела по административным делам, связанным с персональными данными был вправе исключительно прокурор, с 01 июля 2017 г. дела по статье 13.11 КоАП будут вправе возбуждать должностные лица Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ).
Если до 1 июля 2017 года был один состав правонарушения (общее нарушение в сфере персональных данных), то сейчас их стало много:
Правонарушение | Административное наказание | Защита от риска |
---|---|---|
Обработка персональных данных в "иных" целях Обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями сбора персональных данных (ч. 1 ст. 13.11 КоАП РФ). |
Предупреждение или штраф:
|
Обрабатывать персональные данные только в указанных в согласии и политике целях и согласно ч. 1 ст. 3 Закона о персональных данных. |
Обработка персональных данных без согласия Обработка персональных данных без согласия в письменной форме в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ (ч. 2 ст. 13.11 КоАП РФ). |
Штраф:
|
Получить согласие на обработку. При этом согласие на обработку персональных данных должно включать в себя информацию, указанную в части 4 статьи 9 Закона № 152-ФЗ. |
Непредоставление доступа к политике по обработке персональных данных Невыполнение операторомобязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных. (ч. 3 ст. 13.11 КоАП РФ). |
Предупреждение или штраф:
|
Опубликовать на сайте документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу. |
Сокрытие информации от субъекта о собираемых о нем персональных данных Невыполнение оператором обязанности по предоставлению информации, касающейся обработки персональных данных, в том числе содержащей сведения, указанные в ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ) (ч. 4 ст. 13.11 КоАП РФ). |
Предупреждение или штраф:
|
Предоставлять субъекту персональных данных информацию, касающуюся обработки его персональных данных, в сроки, установленные законом. |
Невыполнение требований об уничтожении и блокировке персональных данных Невыполнение оператором требования об уточнении персональных данных, их блокировании или уничтожении (ч. 5 ст. 13.11 КоАП РФ). |
Предупреждение или штраф:
|
Выполнять требования об уточнении персональных данных, их блокировании или уничтожении, в сроки, установленные законом. |
Несохранность персональных данных Необеспечение оператором сохранности персональных данных, если это привело к неправомерному или случайному доступу к персональным данным. А это, в свою очередь, послужило причиной их уничтожения, изменения, блокирования, копирования, предоставления, распространения либо иного неправомерного действия. (ч. 6 ст. 13.11 КоАП РФ). |
Штраф:
|
Обеспечить хранение материальных носителей персональных данных, утвердить правила получения доступа к персональным данным. |
Неуведомление Роскомнадзора об обработке данных Непредставление уведомления об обработке персональных данных в Роскомнадзор, его несвоевременное представление либо представление уведомления, содержащего неполные или недостоверные сведения (ст. 19.7 КоАП РФ). |
Предупреждение или штраф:
|
Если вы обрабатываете, храните персональные данные вы оператор и должны уведомить Роскомнадзор (ч. 1 ст. 22, п. 2 ст. 3 Закона). Исключение: уведомлять Роскомнадзор не нужно (часть 2 статьи 22 Закона), если:
|
Отсутствие обязанности уведомлять Роскомназдор не освобождает от обязанности получать согласия на обработку персональных данных и иметь политику обработки. Например, если у вас есть работники, то согласие на обработку персональных данных необходимо либо сделать отдельным документом, либо в самом трудовом договоре оставить строчку для подписи работника (Судебная практика считает, что если согласие на обработку персональных данных дано в трудовом договоре, но нет места для подписи работника, то согласие работника не было дано).
Важно помнить: политику, согласие на обработку нужно составлять с учетом того, какие данные вы обрабатываете и какими способами. Это значит, что недостаточно просто скачать в сети эти документы, а нужно переделать их под себя. Если документы не учитывают ваши процессы обработки - считайте что у вас этих документов нет.
И самое главное насколько риск привлечения к ответственности реален?
Ответ здесь будет крайне расплывчатым. Учитывая новые полномочия Роскомнадзора, новые статьи в КоАП и их весомые суммы, риск привлечения к ответственности вырастет по сравнению с тем, как это было раньше. Но насколько? Практика покажет.
И последнее, что беспокоит из-за грядущих изменений: сейчас регистраторы доменных имен (особенно крупные) по адвокатскому запросу от имени правообладателя охотно выдают информацию об администраторе доменного имени (физическом лице), чье доменное имя или сайт на этом доменном имени, нарушает права этого правообладателя.
Что же будет после 1 июля непонятно. Если регистраторы перестанут выдавать информацию об администраторе-физическом лице (его ФИО, адрес), ссылаясь на необходимость сохранять персональные данные, то правообладатель окажется в затруднительной ситуации: он не сможет обратиться в суд, потому что не знает к кому предъявлять иск.
Правообладатель может обратиться с требованием к владельцу сайта (если его контакты есть на сайте, конечно), а не администратору домена, а потом судебному запросу узнать, кто администратор домена. Однако дальше арбитражный суд не будет рассматривать иск к администратору из-за несоблюдения претензионного порядка разрешения споров. Но соблюсти этот претензионный порядок правообладатель не мог, так как не знал, кому писать.
Получается что после нескольких месяцев судебного процесса, когда правообладатель узнает, кто администратор и направит тому претензию, размер ущерба для правообладателя может стать очень существенным.
Кроме того, в связи с разъяснениями Суда по интеллектуальным правам, некоторые претензии можно предъявить только администратору домена, но не владельцу сайта. Из этого следует, что правообладатель должен еще потратиться на суд с владельцем сайта, который так-то ему не нужен. Такой проблемы нет, если администратор домена юридическое лицо, но администраторов-физических лиц очень много.
Примеры документов для обратной связи на сайте
Примеры документов для интернет-заказа
Статья подготовлена юридической компанией Legal Jazz и опубликована на сайте NetAngels