Увеличение штрафов за нарушения при обработке персональных данных

С 1 июля 2017 года вступили в силу поправки в КоАП РФ, которые увеличивают штрафы для компаний за нарушения при обработке персональных данных и вводят семь новых составов правонарушений (Федеральный закон от 07.02.17 № 13-ФЗ, далее — закон № 13-ФЗ). Штрафы предусмотрены не только для юрлиц, но и для работников, которые нарушили закон, включая юристов. 

 
За нарушения в сфере персональных данных компанию могут привлечь к гражданско-правовой и административной ответственности по статье 13.11 КоАП РФ. До 1 июля 2017 года максимальным наказанием для должностного лица был штраф 1000 рублей, а для компании до 10 000 рублей.
 
С 1 июля 2017 года вступает в силу закон № 13-ФЗ, который усиливает ответственность. Поправки вводят дополнительные составы правонарушений в статью 13.11 КоАП РФ и увеличивают штрафы. В частности, закон вводит ответственность юридических лиц за следующие нарушения:

- обработку персональных данных в случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП РФ), — штраф от 30 до 50 тыс. рублей;

- обработку персональных данных без согласия в письменной форме, когда закон требует получить такое согласие (ч. 2 ст. 13.11 КоАП РФ), — штраф от 15 до 70 тыс. рублей;

- неопубликование оператором политики в отношении обработки персональных данных, когда такая обязанность предусмотрена законом (ч. 3 ст. 13.11 КоАП РФ), — штраф от 15 до 30 тыс. рублей.
 
Работника могут привлечь к административной ответственности за те же нарушения. Дополнительно он несет материальную (п. 7 ст. 243 ТК РФ), дисциплинарную (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ) и даже уголовную ответственность (ч. 2 ст. 137 УК РФ).
 
К ответственности привлекут как работника-нарушителя (например, скопировавшего базу клиентов на свою флешку и передавшего ее конкуренту), так и работника, который несет ответственность за обработку персональных данных в компании на основании локальных нормативных актов.
 
Какая информация относится к персональным данным.
 
Подробнее перечень такой информации определен в Указе Президента РФ от 06.03.97 № 188: это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, которые позволяют идентифицировать его личность, за исключением сведений, подлежащих распространению в СМИ в случаях, установленных законом.
  • Обрабатываемые персональные данные обычно включают в себя следующие сведения о лице:
  • фамилия, имя, отчество, год, месяц, дата и место рождения;
  • адрес, семейное, социальное, имущественное положение;
  • образование, профессия, должность, доходы;
  • биометрические персональные данные.
  • А также, судами признаны как персональные данные:
  • сведения о смерти гражданина (постановление АС Поволжского округа от 25.09.14 по делу № А49-2005/2014);
  • номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.13 по делу № 33–9241/2015);
  • фотографии гражданина (апелляционное определение Свердловского областного суда от 09.04.15 по делу № 33–5232/2015).
 
Что подразумевается под «обработкой персональных данных».
 
Обработка персональных данных — это любое действие с персональными данными. Она включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 закона № 152-ФЗ). Фактически персональные данные обрабатывает любая компания.
Дополнительные условия для обработки персональных данных соискателей и работников установлены гл.14 ТК РФ и разъяснениями Роскомнадзора от 14.12.12  «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».
 
 
В каких случаях нужно уведомлять Роскомнадзор.
 
  • Если компания обрабатывает персональные данные, она является оператором (п. 2 ст. 3 закона № 152-ФЗ). Оператор до начала обработки обязан направить уведомление в Роскомнадзор (п. 1 ст. 22 закона № 152-ФЗ). 
  • Направлять его не требуется, если компания обрабатывает персональные данные, в частности:
  • только своих работников;
  • для целей заключения и исполнения договоров (например, персональные данные контрагентов);
  • без использования средств автоматизации (см. постановление Правительства РФ от 15.09.08 № 687).
  • Если компания не подпадает под исключения, которые указаны в законе № 152-ФЗ, составьте уведомление по официальной форме (Приложение № 2 к адм. регламенту, утв. приказом Минкомсвязи России от 21.12.11 № 346), то направьте его в территориальный орган Роскомнадзора по месту регистрации компании. Отправить уведомление можно как на бумажном носителе, так и в форме электронного документа через портал «Госуслуги» (gosuslugi.ru) или официальный сайт Роскомнадзора (pd.rkn.gov.ru). Роскомнадзор внесет сведения о компании в реестр операторов в течение 30 дней с даты поступления уведомления. Проверить, включена ли компания в реестр, можно на официальном сайте ведомства.
 
Сбор персональных данных.
 
  • Чтобы собирать персональные данные, нужно получить согласие их владельца — субъекта персональных данных (подп. 1 п. 1 ст. 6 закона № 152-ФЗ). 
  • Согласие должно быть конкретным, информированным и сознательным. Это значит, что перечень оснований для обработки должен быть указан в согласии как можно более конкретно, содержать срок обработки и порядок отзыва согласия.
  • Письменное согласие субъекта нужно для обработки специальных категорий персональных данных. Его можно получить на бумажном носителе или в электронной форме с усиленной квалифицированной электронной подписью.
  • Закон не устанавливает форму согласия на обработку персональных данных, за исключением особых сведений. Субъект может дать согласие в любой форме, которая позволит подтвердить факт его получения. Например, заполнить анкету на сайте.
  • Получать согласие на обработку в типовой форме договора рискованно. Суд может признать такой способ ненадлежащим, если потребитель не может изменить это условие — например, сделать отметку о согласии на обработку или отказе (постановления АС Северо-Западного округа от 18.07.16 по делу № А44-9647/2015, АС Уральского округа от 22.12.16 по делу № А76-5164/2016).
В случае спора именно оператор обязан доказать, что получил согласие на обработку. Поэтому заранее определите, какой тип персональных данных обрабатывает Ваша компания. В зависимости от этого разработайте форму получения согласия на обработку. Важный момент — субъект всегда вправе отозвать согласие (п. 2 ст. 9 закона № 152-ФЗ). В этом случае компания обязана прекратить обработку.
 
Получение согласия у работников.
 
  • Работников надо ознакомить под роспись с документами компании, которые устанавливают порядок обработки персональных данных (п. 8 ст. 86 ТК РФ). Порядок можно прописать в трудовом договоре, правилах внутреннего трудового распорядка или других локальных актах. Ознакомление работников с этими документами нужно отдельно фиксировать — например, в специальном журнале.
  • Согласие работника на обработку персональных данных не нужно в следующих случаях: 
  • обработки персональных данных близких родственников работника в объеме, предусмотренном личной карточкой по форме Т-2;
  • получения запросов от прокуратуры, правоохранительных органов, ГИТ;
  • если обработка нужна для исполнения заключенного с работником договора или возложенных на работодателя обязанностей;
  • если обработка связана с выполнением работником его трудовых обязанностей, в том числе при отправлении его в командировки.
 
Безопасность персональных данных.
 
  • Меры безопасности зависят от способа обработки данных. Если компания ведет автоматизированную обработку, на нее распространяются Требования, утвержденные постановлением Правительства РФ от 01.11.12 № 1119, и приказ ФСТЭК России от 18.02.13 № 21. Чтобы выполнить эти требования, нужно привлекать IT-специалистов.
  • Согласие на обработку персональных данных не нужно, если субъект сам сделал их общедоступными. Например, при регистрации на форуме или в социальной сети. Если субъект потом отзовет согласие на обработку, его можно не учитывать (подп. 10 п. 1 ст. 6, подп. 2 п. 2 ст. 10 закона № 152-ФЗ).
  • Для защиты персональных данных без автоматизации предусмотрены рекомендательные меры (ст. 19 закона № 152-ФЗ и п. 13–15 Положения, утв. постановлением Правительства РФ от 15.09.08 № 687). 
  • определить во внутренних документах перечень лиц, которые обрабатывают данные или имеют к ним доступ. 
  • раздельно хранить носители данных, которые обрабатываются в разных целях (например, персональные данные работников и клиентов).