Изменения в законодательстве о персональных данных

С 1 июля 2017 года вступили в силу изменения, касающиеся усиления ответственности за нарушения Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных»). За счет бурного муссирования и панического ажиотажа, созданного СМИ, данные поправки стали восприниматься как некое революционное событие, радикально меняющее существующий порядок работы с персональными данными.

Между тем, ничего сверхъестественного и революционного не произошло – законодатель вместо одного ранее существовавшего состава административного правонарушения в области охраны персональных данных, предусмотренного ст. 13.11 КоАП РФ, ввел семь составов, а также поднял размеры штрафов, более детально данные изменения будут рассмотрены ниже.

В остальном ничего не изменилось, Закон о персональных данных существует уже 10 лет и никаких принципиальных изменений, кроме увеличения карательных мер, в него не было внесено, отсюда можно сделать вывод, что паника, созданная СМИ, представляется излишне надуманной и раздутой в погоне за вниманием аудитории, т.е. рейтингами.

“Персональные данные” определены в ч. 1 ст. 3 Закона о персональных данных, как любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). Несмотря на абстрактность термина, исходя из него видно, что персональными данными будет являться исключительно та информация, объём которой позволяет идентифицировать субъекта, а если такого недостаточно, то такая информация не является персональными данными.

Так при регистрации на сайте пользователем путем создания одного вымышленного никнейма можно сделать вывод, что никнейм не будет персональными данными, поскольку с его помощью невозможно установить конкретное физическое лицо. Но если управляющая компания вывесит списки должников по оплате коммунальных услуг, указав лишь номер дома, номер квартиры и суммы долга, но не указав ФИО должника, то такая информация будет являться персональными данными, поскольку совокупность такой информации будет достаточно жильцам этого же дома для идентификации должников.

Возвращаясь к вопросу расширения составов правонарушений в сфере персональных данных, важно понимать, если раньше независимо от того сколько действий, нарушающих Закон о персональных данных, было совершено, нарушителя ждало одно наказание с символическим штрафом. Сейчас же практически за каждое деяние предусмотрен свой состав, т.е. сколько действий столько и штрафов, причем сумма штрафов уже не видится такой символической.

Кроме того, если раньше административные дела по данной статье возбуждали органы Прокуратуры, которым зачастую не хватало времени для надзора в этом поле, то теперь такие дела рассматривает Роскомнадзор, для которого такой институт как персональные данные является привычным.

Рассмотрим каждый состав и дадим ему соответствующий комментарий.

1. В первом пункте статьи 13.11 КоАП РФ говорится об обработке персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработке персональных данных, несовместимой с целями сбора персональных данных.

Существенным аспектом для правильного правоприменения данного пункта будет являться вопрос о том, кто определяет цель сбора персональных данных, по смыслу   необходимо учитывать, что по смыслу п. 2 ст. 3 Закона о персональных данных оператор персональных данных самостоятельно определяет цель сбора персональных данных. При обработке персональных данных оператор по требованию субъекта персональных данных должен предоставить информацию о целях обработки персональных данных и ее правовое основание (ч. 7 ст. 14 Закона о персональных данных). Правовым основанием обработки является как раз Закон о персональных данных

Таким образом, оператор должен исчерпывающим образом определять в соответствующей политике работы с персональными данными цели обработки. Соответственно контролирующий орган, рассматривая дела по данному составу, должен учитывать цели сбора персональных данных, обозначенные оператором, т.е. Роскомнадзор не может исключительно на свое усмотрение определить соответствует ли сбор персональных данных в конкретной ситуации требованиям закона или нет без учета положений политики оператора.      

Санкция: нарушение данного пункта влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц – от пяти тысяч до десяти тысяч рублей; на юридических лиц – от тридцати тысяч до пятидесяти тысяч рублей.

2. Вторая часть статьи 13.11 КоАП касается обработки персональных данных без согласия в письменной форме субъекта персональных данных на их обработку, либо обработки персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме.

В силу ч. 4 ст. 9 Закона о персональных данных согласие субъекта персональных данных в письменной форме должно содержать:

o   фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

o   фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

o   наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

o   цель обработки персональных данных;

o   перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

o   наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

o   перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

o   срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

o   подпись субъекта персональных данных.

В ряде случаев Закон о персональных данных допускает обработку персональных данных без согласия субъекта персональных данных. Перечень таких случаев содержится в ч. 2 ст. 6 Закона о персональных данных. Согласия субъекта персональных данных не требуется в следующих случаях:

— обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

— обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

— обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

— обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

— обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

— обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

— обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

— осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Пункт 6 данного перечня должен обратить на себя внимание владельцев информационных сайтов, в части аргументации в пользу регистрации сайта в качестве СМИ, поскольку вместе со статусом СМИ работники сайта могут получить статус журналиста, наличие которого позволяет обрабатывать для своей журналисткой деятельности персональные данные без согласия субъекта.

Также говоря о получении согласия субъекта на обработку его персональных данных сайтом, необходимо учитывать неоднократные разъяснения Роскомнадзора, согласно которым при заполнении веб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных, является файл электронной цифровой подписи.

Кроме того, предложение оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта.

Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.

То есть, если вы, например, предоставляете различные услуги или продаете товары в Интернете, то для соблюдения требований Закона о персональных данных необходимо в своей политике обработки персональных данных указывать, что, используя сервисы сайта, субъект персональных данных дает свое согласие на обработку персональных данных в порядке, определяемом оператором. Как указывалось раньше, оператор может определить, что такие действия могут быть совершены заполнением соответствующей веб-формы, конклюдентными действиями или принятием пользовательского соглашения.

Санкция: нарушение данного пункта влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц – от десяти тысяч до двадцати тысяч рублей; на юридических лиц – от пятнадцати тысяч до семидесяти пяти тысяч рублей.

3. Третья часть комментируемой статьи говорит о невыполнении оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных.

Согласно ч. 2 ст. 18 Закона о персональных данных оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Продолжая говорить в плоскости Интернета, мы приходим к однозначному выводу, что владелец сайта должен разместить на своем сайте соответствующую политику обработки персональных данных. Разместить он ее может в любом разделе сайта, главное, чтобы пользователь имел к ней доступ при взаимодействии с сайтом.

При этом, старайтесь избегать типовых политик, которые могут за счет своей абстрактности создавать контролирующим органам дополнительные поводы для претензий.

Разработайте свою индивидуальную политику, наиболее точно отражающую суть и порядок работы пользователя с вашим сервисом.

Санкция: за нарушение данной нормы предусмотрена следующая ответственность – предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц – от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей – от пяти тысяч до десяти тысяч рублей; на юридических лиц — от пятнадцати тысяч до тридцати тысяч рублей.

4. Четвертая часть ст.13.11 КоАП предусматривает ответственность оператора за невыполнение обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.

В соответствии со ч. 1, 7 ст. 14 Закона о персональных данных субъект персональных данных вправе требовать от оператора предоставления информации о порядке обработки персональных данных. К такой информации относится:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

Наличие пункта 10 в данном перечне наводит на мысль, что субъект может потребовать практически любой информации, но все же такой подход представляется чрезмерным. Т.е. перечень информации можно считать закрытым, так субъект не может требовать, например, предоставления копии паспорта или фото лица, осуществляющего обработку персональных данных по поручению оператора.

Согласно п. 3-6 ст. 14 Закона о персональных данных вышеуказанная информация предоставляется субъекту на основании соответствующего запроса, который должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.

Если запрос не соответствует вышеуказанным требованиям, то оператор вправе не отвечать на него

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации, поэтому владельцам сайтам разумно предусмотреть форму обратной связи с субъектом по вопросам соблюдения его прав в части информирования об обработке персональных данных.

Санкция: данный состав в качестве санкции предусматривает предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц – от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей – от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц – от двадцати тысяч до сорока тысяч рублей.

5. В пятой части речь идет о невыполнении оператором требования субъекта персональных данных или его представителя об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Согласно ч. 1-3 ст. 21 Закона о персональных данных субъект персональных данных выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора оператор обязан осуществить блокирование персональных данных, с момента получения указанного запроса.

В случае подтверждения факта неточности персональных данных оператор в течение семи рабочих дней со дня представления таких сведений уточняет данные и снимает блокировку персональных данных.

В случае выявления неправомерной обработки персональных данных, осуществляемой оператором, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных.

Закон не определяет требования к содержанию требования субъекта, но используя аналогию права, можно сделать вывод, что такой запрос должен соответствовать требованиям ч. 3 ст. 14 Закона о персональных данных.

Также важно отметить, что ответственность по данной статье наступает только при неисполнении требований субъекта персональных данных, а не Роскомнадзора.

Санкция: предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц – от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей – от десяти тысяч до двадцати тысяч рублей; на юридических лиц – от двадцати пяти тысяч до сорока пяти тысяч рублей.

6. Шестая часть статьи 13.11 КоАП РФ касается невыполнения оператором при обработке персональных данных, не использующим средства автоматизации, обязанности по соблюдению условий, обеспечивающих их сохранность.

Данная статья касается ситуаций, когда оператор, используя классические материальные носители – бумажные анкеты, регистры, папки и пр, не оцифровывая их и храня традиционно в огромных шкафах и сейфах, не смог обеспечить сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ и если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных.

То есть данная статья, напрямую указывает, что таким операторам следует в своих локальных актах более тщательно прописывать порядок хранения персональных данных и придерживаться его.

Санкция: наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до пятидесяти тысяч рублей

7. Заключительная часть ст. 13.11 КоАП РФ предусматривает административную ответственность за невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных.

Под “обезличиванием персональных данных” Закон о персональных данных понимает действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Поскольку государственные и муниципальные органы являются фактически основным оператором персональных данных, то введение такой статьи даёт дополнительную гарантию, повышает ответственность чиновников за сохранность персональных данных и уверенность граждан в конфиденциальности сведений о них.

Санкция: предупреждение или наложение административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.

“Новые русские медиа” будут следить за практикой применения норм этого закона.

Дмитрий Григорьев,

директор юридического департамента Европейской Медиагруппы,

Член Экспертного совета ФАС РФ и УФАС Москвы по недобросовестной конкуренции и рекламе