Штрафы за нарушение закона о персональных данных в 2019 году

Если ваша компания или организация нанимает сотрудников, собирает и обрабатывает ту или информацию о клиентах (ведет базу данных клиентов, или делает почтовые рассылки), имеет форму обратной связи на своем сайте, где посетители оставляют свои номера телефонов и адреса электронной почты, то с точки зрения законодательства вы уже являетесь оператором персональных данных, а из этого следует и ваша ответственность за обеспечение законной обработки этих сведений.

А ответственность за нарушение требования по обработке и хранению личных данных немалая, по состоянию на 2019 год максимальный штраф за нарушения в работе с персональными данными составляет до 75 000 рублей. Кто именно является оператором персональных данных? Статья №3 п.2 Федерального закона N 152-ФЗ «О персональных данных» устанавливает:

Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Таким образом в Российской Федерации нет такой компании, которая не имела бы отношения к оперированию персональными данными: даже если ваша компания просто набирает сотрудников, она уже подпадает под это понятие со всей вытекающей ответственностью перед законом.

С 2017 года кроме увеличения размера штрафа за нарушение требований хранения и обработки персональных данных, законодатели расширили поле ответственности предпринимателей, введя новые основания для наложения штрафа в статью 13.11 КоАП РФ (см. Закон № 13-ФЗ от 07 февраля 2017). К основаниям для наложение штрафа на оператора персональных данных относятся:

  • невыполнение требований по уничтожению персональных данных,
  • невыполнение требований по их обезличиванию,
  • игнорирование запросов субъекта и отсутствие политики конфиденциальности при работе с персональными данными.

Ниже мы рассмотрим основные ошибки при работе с персональными данными, которые могут привести к штрафным санкциям со стороны Роскомнадзора.

Обработка персональных данных при найме работников без их согласия

Пример: при проведении проверки компании контролер Роскомнадзора не нашел в листе кандидата на должность специального поля, в котором ставится отметка о согласии на обработку персональных данных. Директор компании получил административное наказание в виде предупреждения. Пытаясь обжаловать полученное предупреждение в суде, руководитель компании предъявил свои доводы о том, что специальная комиссия, созданная на предприятии для работы с персональными данными, следит за соблюдением на предприятии должных мер по поддержанию законного порядка сбора, использования и хранения личных данных работников, и заполнение личных карточек работников производится в присутствии данной комиссии. А положение о согласии работника на обработку его личных данных есть в тексте трудового договора. Но Самарский суд в постановлении № 4а-907/2016 от 22 августа 2016 г. не нашел эти доводы убедительными для отмены наказания.

Официальный сайт Роскомнадзора

Как не избежать штрафа за подобное нарушение: в каждой форме документов, в которой подразумевается наличие персональных данных, должно присутствовать поле, в котором владелец персональных данных мог бы согласиться на их обработку. Проведение аудита кадровых документов поможет быстро найти возможные дефекты документов, способных стать причиной штрафных санкций.

Передача персональных сведений клиентов третьим лицам

Например: стандартная ситуация, когда у абстрактного гражданина Иванова есть задолженность по кредиту перед банком. Банк передает персональные данные «гражданина Иванова» коллекторской конторе, с которой у кредитной организации заключен договор. После этого «гражданин Иванов» и все его родственники получают каждый день множество неприятных минут общения с коллекторами. Важно при этом, что «гражданин Иванов» не давал банку разрешения на передачу своих личных данных третьим лицам в подписанном сторонами кредитном договоре.

Персональные данные и штрафы за нарушения их обработки

Потребовав у банка уничтожить его личные данные и прекратить незаконные действия, гражданин получил отказ и был вынужден обратиться в суд. В своем заявлении гражданин указал, что коллекторы требовали погасить долг, угрожая ему в грубой форме, чем нанесли ему и его семье моральный ущерб, который он требует компенсировать, поскольку он переживал за жизнь и здоровье своих родных, которым поступали угрозы от коллекторов.

В данном случае суд удовлетворил требования истца, признал действия банка незаконными, обязал коллекторскую организацию уничтожить персональные данные гражданина, а также взыскал с банка и с коллекторов требуемую компенсацию (см. решение Ярославского областного суда по делу №33-939/2012 от 05 марта 2012 года).

Как не допустить санкции за передачу ПД третьим лицам: помните, что передача чужих персональных данных законна только в том случае, если сам субъект дал на это свое согласие. Единственное исключение из этого правила может быть только в случае, когда банк или другая компания продает долг гражданина по договору переуступки. При этом кредитор, купивший право на долг, обязан оповестить субъект персональных данных о том, что теперь его персональные данные находятся у него.

Сбор персональных данных через форму обратной связи на сайте без публикации политики конфиденциальности

Пример: компания ООО «Тамбовская Городская Юридическая Компания» (ООО «ТГЮК») имела на своем сайте стандартную форму обратной связи, через которую посетители сайта могли отправлять сообщения администратору сайта. Форма была предельно простой и имела всего три поля: имя (причем вводить его было необязательно), тема сообщения и само сообщение. Роскомнадзор на основании того, что на сайте не было политики конфиденциальности, оштрафовал компанию на 1 000 рублей, в соответствии со статьей 13.11 КоАП РФ. ООО «ТГЮК» не согласилась с таким положением вещей, поскольку идентифицировать пользователя на основании такой контактной формы, в которой единственное идентифицирующее поле (имя) было необязательным, и направила заявление в суд. Но суд не внял доводам компании и оставил меру наказания без изменения (см. постановление Тамбовского областного суда по делу №4А-288 от 04 октября 2016 г.

Постановление Тамбовского областного суда

Как избежать штрафа за подобное нарушение: необходимо помнить, что размещение на своем сайте формы обратной связи с посетителями, через которую собираются личные данные, является работой с персональными данными и, соответственно, требует выполнения обязанностей оператора персональных данных. К этим обязанностям относится:

  • обязательное уведомление Роскомнадзора о намерении компании собирать и обрабатывать персональные данные посетителей сайта;
  • получение согласия субъекта на сбор его данных;
  • разработать и опубликовать на своем сайте политику конфиденциальности при работе с персональными данными.

Штраф за отсутствие опубликованной на сайте политики конфиденциальности составляет до 30 000 рублей для юридических лиц. Соответствие требованиям Роскомнадзора требует при разработке контактной формы (формы обратной связи и т.д.) под каждую из них поставить предложение «Даю согласие на обработку своих персональных данных» и пункт для постановки галочки пользователем.

Игнорирование отказа клиента от получения рекламы в сообщениях

Пример: согласие на обработку персональных данных Сбербанком было отозвано клиентом через почту России. Но это не помешало банку выслать на мобильный телефон этого клиента предложение рекламного характера, где ему предлагалось заключить договор кредитования. Клиент был вынужден подать в суд иск о незаконном использовании его персональных данных.

Банк, защищаясь, приводил доводы о том, что, во-первых, в тексте сообщения не называлось персональных данных клиента, по которым можно было бы его идентифицировать, и, во-вторых, данное сообщение было индивидуальным предложением этому клиенту, а вовсе не рекламой. Однако суд настоял на том, что сообщение было выслано исходя из того, что банк имел у себя такую личную информацию клиента, как его номер телефона, что позволило ему выслать рекламу, не считаясь с отзывом клиента согласия на обработку его данных.

То есть в суде было доказано использование персональных данных банком без получения согласия клиента и ответчику присужден штраф в 100 000 рублей в пользу истца для компенсации морального вреда (см. решение Новосибирского обл. суда по делу № 33-2662/2015 от 02 апреля 2015 года).

Как избежать штрафа и санкций за рассылку рекламных сообщений: нарушение воли субъектов персональных данных о недопущении использования их данных игнорировать нельзя, поскольку штрафные санкции за подобное нарушение составляют до 40 000 рублей. Субъект персональных данных между тем имеет право отказаться от обработки его персн. данных, а также может получить информацию о том, кто имеет доступ к его данным, какие именно данные у него имеются и с какой целью и каким способам обрабатываются. Поэтому контакты лиц, имеющего доступ к персональным данным клиентов и предоставляющего информацию по клиентским запросам, должны быть открыто опубликованы и доступны для изучения.

Работа с персональными данными без локализации на территории РФ

Пример: Роскомнадзор обнаружил, что персональные данные пользователей из России в социальной сети Linkedin записываются, накапливаются, систематизируются и хранятся за рубежом, что является нарушением российского законодательства. Направив требование об устранении нарушений в компанию, контролеры не добились его исполнения и в результате доступ к данной сети был ограничен, компания была внесена в реестр нарушителей прав субъектов персональных данных и деятельность linkedin была признана незаконной. (МосГосСуд по делу №33-38783/2016 г. от 10 ноября 2016г.).

Санкции против Linkedin за нарушения обработки персональных данных

Как избежать санкции за подобную ошибку: обеспечение локализации персональных данных граждан ложится на плечи оператора персональных данных, согласно закона. Для устранения нарушения необходимо провести инвентаризацию баз данных и информационных систем. По каждой базе необходимо определить ее местонахождение.

Рекомендации по соблюдению требований ФЗ «О персональных данных»

Чтобы обеспечить соответствие требованиям законодательства в области защиты персональных данных, требуется или привлечение сторонних специалистов, что выливается в изрядные расходы, или работа внутри компании силами сотрудников.

Во-первых, необходим аудит сложившейся ситуации с обработкой и хранением персональных данных, ведь в любой компании личные данные обрабатываются в таких подразделениях, как отдел кадров, отдел маркетинга, служба продаж, доставки и пр. Проведя анализ движения и обработки персональных данных, можно выяснить степень защищенности информационной системы предприятия, эта степень зависит от количества субъектов, категории обрабатываемых данных и от типа информационных угроз.

Обработка и хранение персональных данных

Рекомендуется создать такой документ, как модель угроз, в котором перечислить виды предполагаемых нарушителей и распределить угрозы информационной безопасности по рассчитанной их актуальности. Рекомендуется использовать на данном этапе базовую модель угроз, которую можно взять на официальном сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК РФ). Проводя аудит, не обойтись без анализа действующей на предприятии организационно-распорядительной документации, то есть приказов, журналов, регламентов, положений и пр. В первую очередь рассматриваются документы, связанные с персональными данными: согласие на обработку персональных данных, порядок из передачи третьим лицам, список членов комиссии, допущенных к обработке личной информации и порядок ее уничтожения.

Во-вторых, лицу ответственному за информационную безопасность поручается задача по проектированию технического решения сбора, обработки и хранения персональных данных. Он разрабатывает комплекс мер для обеспечения нужного уровня защиты, а именно: разработка подсистем, обеспечивающих ограничение программной среды, управление доступом, защита информационных носителей и т.п. Разработка плана процесса защиты персональных данных может быть выполнена как силами сотрудников компании, так и с привлечением внешних подрядчиков и исполнителей. На этом этапе составляется перечень лиц, ответственных за обработку персональных данных, затем устанавливается уровень доступа к данным. Рассчитываются затраты, формулируются требования к уровню защиты, создается план проекта и определяются риски.

Хранение персональных данных

После планирования и разработки системы безопасности информации идёт собственно её внедрение на предприятии (в компании), то есть покупка и установка оборудования из реестра сертифицированных средств защиты информации, программного обеспечения, настройка оборудования, пуско-наладочные работы и испытания по приемке, а также разрабатывается эксплуатационная документация. Реестр средств защиты, прошедших сертификацию, находится на сайте Федеральной службы по техническому и экспортному контролю РФ.

Далее идёт прохождение аттестации информационных систем организацией, имеющей лицензию ФСТЭК РФ на защиту конфиденциальной информации. Аттестация добровольна для частных организаций и обязательна для государственных информационных ресурсов. Теперь можно запускать в действие непрерывный процесс защиты персональной информации. Процесс защиты зависит от многих переменных: от изменения в законодательстве, от использования нового оборудования и программного обеспечения.

При любом изменении в деятельности предприятия требуется вносить изменения в документацию по защите личных данных и, при необходимости, внедрять необходимые инструменты и средства защиты информации в дополнение к имеющимся, чтобы не допустить ошибки при работе с персональными данными. Имейте в виду, что за прошлый год количество проверок Роскомнадзора на соответствие требованиям о защите персональных данных выросло на 70%, а повышение штрафов за нарушения требований хранения и обработки персональных данных лишь подстегнет проверяющие органы к более активным рейдам.

Штрафы за нарушение закона о персональных данных

За последние несколько лет штрафы за нарушение закона о персональных данных оказались разделены по видам нарушений и увеличены почти в десятки раз. Максимальный размер штрафов за грубые нарушения правил обработки и хранение ПД в 2019 году для юрлиц вырос до 75 000 рублей, при этом если нарушений несколько, то и штрафов юридическое лицо получит несколько.

Основание Размер штрафа
Физлица Должностные лица Юрлица
Обработка ПД в случаях, не предусмотренных законодательством; обработка ПД, несовместимая с целями сбора ПД предупреждение или штраф — от 1000 до 3000 руб. предупреждение или штраф — от 5000 до
10 000 руб.
предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПД без письменного согласия на то их субъекта от 3000 до 5000 руб. от 10 000 до 20 000 руб. от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПД, или сведениям по защите ПД от 700 до 1500 руб. от 3000 до 6000 руб. от 15 000 до 30 000 руб.
Непредоставление субъекту ПД информации по их обработке предупреждение или штраф — от 1000 до 2000 руб. предупреждение или штраф — от 4000 до 6000 руб. предупреждение или штраф — от 20 000 до 40 000 руб.
Невыполнение оператором требования субъекта ПД или его представителя об уточнении, блокировке, уничтожении (если ПД неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки) предупреждение или наложение штрафа в размере от 1000 до 2000 руб. предупреждение или штраф — от 4000 до
10 000 руб.
предупреждение или штраф — от 25 000 до 45 000 руб.
Необеспечение оператором при обработке ПД без средств автоматизации обязанности по сохранности ПД, что привело к неправомерному или случайному доступу к ПД и стало причиной их уничтожения, изменения, блокирования, копирования от 700 до 2000 руб. от 4000 до
10 000 руб.
от 25 000 до 50 000 руб.
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПД; несоблюдение требований по обезличиванию ПД предупреждение или наложение административного штрафа — от 3000 до 6000 руб.

Для индивидуальных предпринимателей размеры штрафа составят

  • Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПД, или сведениям по защите ПД — от 5000 до 10 000 рублей.
  • Непредоставление субъекту ПД информации по их обработке — предупреждение или штраф — от 10 000 до 15 000 рублей.
  • Невыполнение оператором требования субъекта ПД или его представителя об уточнении, блокировке, уничтожении (если ПД неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки) — предупреждение или штраф — от 10 000 до 20 000 рублей.
  • Необеспечение оператором при обработке ПД без средств автоматизации обязанности по сохранности ПД, что привело к неправомерному или случайному доступу к ПД и стало причиной их уничтожения, изменения, блокирования, копирования — от 10 000 до 20 000 рублей.

Обратите ваше внимание, что обработка персональных данных пользователей без получения их согласия, предусматривает в 2019 году самые крупные штрафы для всех категорий нарушителей — до 75 000 рублей.

(6 оценок, среднее: 4,83 из 5)
Загрузка...