Защита персональных данных по-новому

«Расчет» №4, 2017


Аделина Мельк

руководитель отдела юридического консалтинга

Развитие электронной торговли заставляет владельцев цифровых магазинов обращать особое внимание на требование Федерального закона № 152-ФЗ «О персональных данных». Аделина Мельк, руководитель отдела правового консалтинга юридической компании «ПРИОРИТЕТ», изучила основные проблемы соблюдения закона.

До настоящего времени в соответствии с положениями статьи 13.11 КоАП РФ (в ред. Федерального закона от 22 июня 2007 г. № 116-ФЗ) за нарушения, допущенные при сборе, хранении, использовании или распространении персональных данных государство наказывало виновных предупреждением или наложением административного штрафа. Для граждан сумма санкций имела размер до 500 рублей; должностным лицам грозил штраф до 1000 рублей; для юридических лиц сумма штрафа не превышала 10 000 рублей.

Такой незначительный размер наказаний породил безответственное отношение владельцев онлайн-магазинов к соблюдению закона и к защите персональных данных покупателей, что в свою очередь вызвало обратную реакцию со стороны государства. Таким образом, был принят новый Федеральный закон № 13-Ф3, который многократно повысил штрафы. С 1 июля 2017 года для тех, кто собирает и обрабатывает персональные данные с нарушениями, любые «огрехи» обойдутся значительно дороже. Федеральный закон от 7 февраля 2017 года № 13-Ф3 включает семь нарушений в работе с персональными данными.

Первое нарушение: обработку персональных данных владелец интернет-магазина проводит, когда у него нет на это полномочий, либо обработка персональных данных проводится с целями, которые несовместимы с их сбором.

Страховщики и банки наиболее часто допускают такое нарушение. Их деятельность определена законом, и задачи, связанные со сбором персональных данных, ограничены.

Арбитражный суд рассмотрел дело в отношении банка и признал его деятельность по обработке персональных данных неправомерной (Постановление Седьмого арбитражного апелляционного суда от 27 июня 2012 г. № 07АП-4482/12). Банк в анкете-заявлении определил цель обработки персональных данных, на реализацию которой выражал свое согласие будущий клиент банка: получение и дальнейшее использование банковской карты. В дальнейшем банк заключил агентский договор с коллекторами для взыскания с заемщиков просроченной задолженности по кредитным договорам и передал персональные данные заемщиков третьему лицу, тем самым превысив заранее определенные и законные цели обработки персональных данных. Такое нарушение обернется предупреждением или наложением административного штрафа: для граждан — от 1000 до 3000 рублей, для должностных лиц — от 5000 до 10 000 рублей и для юридических — от 30 000 до 50 000 рублей.

Второе нарушение: обработка персональных данных без письменного согласия на это россиян. Штраф за «невнимательность» предусмотрен следующий: для граждан — от 3000 до 5000 рублей, для должностных лиц — от 10 000 до 20 000 рублей и для юридических — от 15 000 до 75 000 рублей.

Третье нарушение: фактическое отсутствие у оператора документа, который определяет правила по работе с персональными данными пользователей. Обычно этот документ называется «Политика конфиденциальности» и должен быть доступен всем на любой странице интернет-магазина.

За такой вид нарушения предусмотрены предупреждение или наложение административного штрафа в размере: для граждан — от 700 до 1500 рублей, для должностных лиц — от 3000 до 6000 рублей, для ИП — от 5000 до 10 000 рублей и для юридических лиц — от 15 000до 30 000 рублей.

Четвертое нарушение: ситуации, когда онлайн-магазин не информирует покупателя о том, что будет обраба-тывать его персональные данные.

В частности, это могут быть сведения о лицах, которые имеют доступ к персональным данным; сроки обработки персональных данных, в том числе сроки их хранения; наименование или Ф. И. О. и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу. Отмечу, что суды в таких случаях встают на сторону именно субъекта персональных данных и обязывают оператора предоставить запрашиваемую информацию (Апелляционное определение Новосибирского областного суда от 22 ноя-бря 2016 г. по делу № 33-11437/2016).

За такое сокрытие информации законодательством предусмотрено наказание в виде предупреждения или наложения административного штрафа: для граждан — от 1000 до 2000 рублей, для должностных лиц — от 4000 до 6000 рублей, для ИП — от 10 000 до 15 000 рублей и для юридических лиц — от 20 000до 40 000 рублей.

Пятое нарушение: законодатели предусмотрели невыполнение оператором в установленные законом сроки требования субъекта персональных данных либо уполномоченного органа уточнить, заблокировать или уничтожить данные в случае, если информация является неполной, устаревшей или незаконно полученной и так далее.

Каждый сталкивался с ситуацией получения смс-сообщений от магазинов, предлагающих определенные товары со скидкой, оказание услуг по выгодной цене или сообщающих: «Вы выиграли автомобиль!» Как правило, сразу становится понятно, что покупатель не оставлял свой номер телефона этому интернет-магазину. Такая ситуация возникает в случае незаконного получения операторами персональных данных для продвижения своих товаров и услуг. После обращения к соответствующему оператору данные субъекта должны быть удалены, однако зачастую смс-рассылка прекращается лишь на некоторое время, а затем возобновляется вновь, что, безусловно, является нарушением закона (Апелляционное определение Омского областного суда от 17 сентября 2014 г. по делу № 33-5967/2014).

За такие действия грозят предупреждение или наложение административного штрафа: для граждан — от 1000 до 2000 рублей, для должностных лиц — от 4000 до 10 000 рублей, для ИП — от 10 000 до 20 000 рублей и для юридических лиц — от 25 000 до 50 000 рублей.

Шестое нарушение: невыполнение оператором обязанности по обеспечению сохранности персональных данных, если следствием этого стали, в частности, неправомерный доступ к информации, ее уничтожение, изменение, копирование, распространение. Так, например, если фирма опубликует у себя на сайте список по-бедителей интернет-розыгрыша, который содержит их персональные данные, и при этом компания заранее не запросила у участников конкурса разрешения на распространение указанных сведений, то это является нарушением закона.

Предусмотрен административный штраф: для граждан — от 700 до 2000 рублей, для должностных лиц — от 4000 до 10 000 рублей, для ИП — от 10 000 до 20 000 рублей и для юридических лиц — от 25 000до 50 000 рублей.

Седьмое нарушение: невыполнение оператором в лице государственного или муниципального органа обязанности по обезличиванию информации либо несоблюдение требований, методов по обезличиванию персональных данных. Чаще всего такого рода обязанность возникает у органов власти, когда на своих ресурсах в Интернете они размещают информацию об обращениях граждан; например, на сайтах судов при публикации судебных документов и т. д. Законодатель предусмотрел наказание в виде предупреждения или наложения административного штрафа на должностных лиц в размере от 3000 до 6000 рублей.

ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ

Чтобы защитить себя от штрафов и предупреждений Роскомнадзора, владельцу интернет-магазина необходимо разместить на своем сайте политику конфиденциальности, в которой должен быть определен поря док обработки персональных данных покупателя.

Обратите внимание: с условиями использования персональных данных покупатель должен быть ознакомлен до начала их обработки. Перед отправкой заказа на оплату нужно предложить покупателю повторно подтвердить согласие с офертой.

Если интернет-магазин собирается передавать данные покупателя третьим лицам (например, службе доставки, монтажникам оборудования и др.), то это необходимо отдельно оговорить в пользовательском соглашении на сайте.

Чтобы защитить себя от штрафов и предупреждений Роскомнадзора, владельцу интернет-магазина необходимо разместить на своем сайте политику конфиденциальности, в которой должен быть определен порядок обработки персональных данных покупателя.

Еще один важный момент: если интернет-магазин собирается передавать данные покупателя третьим лицам (например, службе доставки, монтажникам оборудования и др.), то это необходимо отдельно оговорить в пользовательском соглашении на сайте.

Расчет стоимости
Скачать прайс