Об изменениях закона по персональным данным рассказывают много, и мы решили присоединиться.
Что происходит?
С 1 июля 2017 года:
- вводятся новые составы административных правонарушений за нарушения законодательства в области персональных данных (больше поводов вас поштрафовать немножечко),
- упрощается процедура привлечения к административной ответственности за нарушения (вас становится легче штрафовать),
- увеличиваются суммы штрафов (легче – и интереснее!).
Если раньше штраф был 10 000 рублей, то после 1 июля совокупный размер штрафов для юридических лиц может достигать 295 000 рублей. Вот теперь появляется экономический смысл заняться-таки этими несчастными персональными данными.
Кого могут оштрафовать?
Всех, кто обрабатывает персональные данные. А обработка персональных данных – это любые действия по сбору, хранению, записи, использованию, передаче персональных данных (п. 3 ст. 3 Федерального закона «О персональных данных» № 152-ФЗ).
Что относится к персональным данным?
Любая информация, позволяющая идентифицировать человека. В формулировке закона - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Такой информацией, например, являются:
- фамилия, имя, отчество;
- год, месяц, дата рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы;
- e-mail, фотография, cookie, данные об IP-адресе, местоположении без указания фамилии и имени. Если cookie и IP-адреса стало неожиданностью, то можно посмотреть Решение Арбитражного суда г. Москвы от 11.03.16 г. по делу № А40-14902/2016.
В конечном итоге, если вы сомневаетесь, относится ли что-то к персональным данным, на всякий случай лучше считать что относится.
Что делать если я - владелец сайта и получаю персональные данные?
Сайт должен соответствовал требованиям Закона.
1. Должно быть размещено согласие на обработку персональных данных, без одобрения которого, пользователь не может вам направлять данные.
2. Разместить на сайте в общем доступе ссылку на документ – политика организации по обработке персональных данных.
3. Все новые пользователи сайта должны быть предупреждены всплывающим на сайте сообщением о сборе данных пользователей (cookie, данные об IP-адресе и местоположении) с целью обеспечения работы сайта. Если пользователь не хочет эти данные предоставлять, он должен покинуть сайт или настроить свое программное обеспечение и/или оборудование таким образом, чтобы сайт эти данные не получал или по ним нельзя было определить пользователя.
4. Определить, должны ли вы подать уведомление об обработке персональных в Роскомнадзор. Из требования уведомлять Роскомнадзор есть исключения (об этом ниже, а также см. ч. 2 ст. 22 Закона).
Что по ответственности?
До 1 июля 2017 года возбуждать дела по административным делам, связанным с персональными данными был вправе исключительно прокурор, с 01 июля 2017 г. дела по статье 13.11 КоАП будут вправе возбуждать должностные лица Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ). Если до 1 июля 2017 года был один состав правонарушения (общее нарушение в сфере персональных данных), то сейчас их стало много:
Отсутствие обязанности уведомлять Роскомназдор не освобождает от обязанности получать согласия на обработку персональных данных и иметь политику обработки. Например, если у вас есть работники, то согласие на обработку персональных данных необходимо либо сделать отдельным документом, либо в самом трудовом договоре оставить строчку для подписи работника (Судебная практика считает, что если согласие на обработку персональных данных дано в трудовом договоре, но нет места для подписи работника, то согласие работника не было дано).
Важно помнить: политику, согласие на обработку нужно составлять с учетом того, какие данные вы обрабатываете и какими способами. Это значит, что недостаточно просто скачать в сети эти документы, а нужно переделать их под себя. Если документы не учитывают ваши процессы обработки - считайте что у вас этих документов нет.
И самое главное – насколько риск привлечения к ответственности реален?
Ответ здесь будет крайне расплывчатым. Учитывая новые полномочия Роскомнадзора, новые статьи в КоАП и их весомые суммы, риск привлечения к ответственности вырастет по сравнению с тем, как это было раньше. Но насколько? Практика покажет.
И последнее, что беспокоит из-за грядущих изменений: сейчас регистраторы доменных имен (особенно крупные) по адвокатскому запросу от имени правообладателя охотно выдают информацию об администраторе доменного имени (физическом лице), чье доменное имя или сайт на этом доменном имени, нарушает права этого правообладателя.
Что же будет после 1 июля непонятно. Если регистраторы перестанут выдавать информацию об администраторе-физическом лице (его ФИО, адрес), ссылаясь на необходимость сохранять персональные данные, то правообладатель окажется в затруднительной ситуации: он не сможет обратиться в суд, потому что не знает к кому предъявлять иск.
Правообладатель может обратиться с требованием к владельцу сайта (если его контакты есть на сайте, конечно), а не администратору домена, а потом судебному запросу узнать, кто администратор домена. Однако дальше арбитражный суд не будет рассматривать иск к администратору из-за несоблюдения претензионного порядка разрешения споров. Но соблюсти этот претензионный порядок правообладатель не мог, так как не знал, кому писать.
И получается что после нескольких месяцев судебного процесса, когда правообладатель узнает, кто администратор и направит тому претензию, размер ущерба для правообладателя может стать очень существенным.
Кроме того, в связи с разъяснениями Суда по интеллектуальным правам, некоторые претензии можно предъявить только администратору домена, но не владельцу сайта. Из этого следует, что правообладатель должен еще потратиться на суд с владельцем сайта, который так-то ему не нужен. Такой проблемы нет, если администратор домена – юридическое лицо, но администраторов-физических лиц очень много.
Статья подготовлена юридической компанией «Legal Jazz»
Оригинал статьи и примеры документов: https://www.netangels.ru/support/common/personal-data/