*** Бесплатно подготовить комплект документов для Роскомнадзор можно на контур152.рф
В феврале депутаты внесли правки в закон о персональных данных. Он касается всех, кто собирает и обрабатывает личные данные посетителей, клиентов или подписчиков.
Персональные данные — это любые данные, с помощью которых можно определить личность.
Для тех, кто неправильно работает с персональными данными — с 1 июля видов нарушений станет больше, а штрафы вырастут. Раньше предприниматель-нарушитель платил максимум 10 000 ₽, теперь потеряет гораздо больше: штрафы для юрлиц — до 75 000 ₽, для ИП — до 20 000 ₽.
В законе много нюансов, которые сложно описать полностью, мы попытались выделить главное. Рассказываем, за что конкретно могут оштрафовать и как избежать наказания.
Кого касается закон о персональных данных
Многие думают, что операторы по обработке персональных данных — это только сотовые компании и банки. На самом деле, их гораздо больше. В реестре операторов на сайте Роскомнадзора найдёте свыше 380 тысяч компаний. Среди них — страховые компании, банки, сотовые операторы, турагентства, медицинские компании и компании с обучающими курсами.
Если у вас есть сайт с формой обратной связи, подпиской или с личным кабинетом, где посетители оставляют данные — это явный признак того, что закон к вам тоже относится. Вам тоже нужно зарегистрироваться в реестре, заявление можно подать на сайте Роскомнадзора.
Легче выделить тех, кому можно не регистрироваться. Исключения есть, но их не так много.
Закон вас не касается, если:
- вы частное лицо и собираете данные только для личных и семейных нужд: телефон девушки на сайте знакомств, электронную почту бывшего одноклассника в Вконтакте;
- получаете только данные сотрудников;
- клиент сам разместил данные в открытом доступе;
- получаете только ФИО пользователя, клиента или посетителя;
- получаете персональные данные, чтобы заключить договор без дальнейшей передачи этих данных куда-либо;
- собираете данные для выдачи одноразового пропуска;
- вы общественная или религиозная организация и сами обрабатываете данные участников;
- обрабатываете данные без использования компьютера;
- собираете данные для транспортной безопасности;
- обрабатываете данные со статусом государственных автоматизированных информационных систем;
- работаете с данными, которые включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- работаете с документами Архивного фонда Российской Федерации и аналогичных документов;
- работаете с данными, которые являются государственной тайной; данные относятся к публичной информации о деятельности судов в России.
Какие штрафы и как их избежать
Самый высокий штраф грозит за обработку персональных данных без письменного согласия или за нарушение списка сведений в этом документе — для компаний штраф составит 75 000 ₽. Если вы заключили договор на медицинские услуги, занесли ФИО пациента в программу, но не подписали отдельное согласие на обработку данных — будет штраф. Получайте письменное согласие от каждого посетителя, клиента и подписчика.
Когда нет возможности получить письменное согласие, просите согласится с правилами сайта. Под каждой формой, где посетители оставляют данные, укажите галочку с подписью: «Ознакомлен с политикой конфиденциальности» или «Согласен с правилами обработки персональных данных». На самом деле, это тоже нарушает закон, но можно будет апеллировать к малозначительности такого нарушения, так как вы предприняли максимально возможные действия, чтобы получить согласие. Живой практики пока нет, поэтому мы не уверены, что это сработает. Но наши юристы говорят, что с галочкой лучше, чем без. А мы им доверяем 🙂
Обработка данных без согласия грозит штрафом от 10 000 ₽ до 20 000 ₽ директору, предприниматель получит такой же штраф, а компания — от 15 000 ₽ до 75 000 ₽. Нельзя просить у клиента телефоны трёх друзей в обмен на скидку. Дать согласие на обработку персональных данных можно только лично.
За обработку и за использование персональных данных не по назначению директор и ИП заплатят от 5 000 ₽ до 10 000 ₽, а компания — от 30 000 ₽ до 50 000 ₽. Запрашивайте только те данные, которые нужны. Не просите фотографию или паспортные данные для подписки на новостную рассылку.
Если не разместить на видном месте доступный всем документ, в котором прописаны все условия использования персональных данных и требования — будет предупреждение или штраф. Для руководителя компании — от 3 000 ₽ до 6 000 ₽ рублей, для индивидуальных предпринимателей — от 5 000 ₽ до 10 000 ₽, а для юридических лиц — от 15 000 ₽ до 30 000 ₽. Обязательно разместите на сайте документ «Политика конфиденциальности» или «Политика обработки персональных данных», а в нём расскажите, как вы заботитесь о личной информации клиентов.
Если информации на сайте ещё нет, а клиент прислал письмо: «Вы нормально храните мои персональные данные? Мне тут звонят и предлагают кредиты из всех банков, а анкету я только у вас заполнял» — у вас есть 30 дней, чтобы привести всё в соответствие с законом и ответить клиенту. Если не успеете, штрафа не избежать.
За отказ предоставить информацию об обработке персональных данных — предупреждение или штраф от 4 000 ₽ до 6 000 ₽ для руководителей, от 10 000 до 15 000 ₽ — для ИП и от 20 000 ₽ до 40 000 ₽ для компаний.
За отказ клиенту в уточнении, блокировке или в уничтожении его персональных данных тоже полагается наказание. Успевайте выполнить требование клиента за 30 дней, иначе штраф: для руководителей — от 4 000 ₽ до 10 000 ₽, для ИП — от 10 000 ₽ до 20 000 ₽, а для организаций — от 25 000 ₽ до 45 000 ₽.
Если собирали данные на физических носителях, а потом не смогли защитить информацию, и она попала к третьим лицам, исчезла, была изменена или распространена — штрафа не миновать. Директору придётся заплатить от 4 000 ₽ до 10 000 ₽, ИП — от 10 000 ₽ до 20 000 ₽ и компании — от 20 000 ₽ до 50 000 ₽.
Государственные и муниципальные органы тоже будут штрафовать, если персональные данные не были обезличены или были обезличены с нарушениями. Пишете сводку происшествий по району и лично знаете участников, всё равно скажите: «Вчера вечером Н. зашёл к Ж. и попросил в долг пятьдесят рублей». Если напишете Николай и Жора — штраф.
Все наказания распространяются не только на предпринимателей. Для обычных людей тоже предусмотрены штрафы, если вы используете их не для личных целей. Суммы меньше, но всё же есть — от 500 ₽ до 2500 ₽.
Если коротко и в цифрах, кто и сколько заплатит:
Что дальше?
К сожалению, штрафы не касаются проблемы утечки персональных данных и не восполняют нанесённый вред тому, чьи персональные данные были распространены. У операторов данных до сих пор нет мотивации защищать базу от утечки.
Зато за нарушение правил сбора и хранения персональных данных суммы штрафов выросли значительно. Если совершить сразу несколько нарушений, то и штрафов будет несколько. Получится немыслимый вклад в бюджет государства. На самом деле, нет. В сравнение со штрафами в других странах, штраф 75 000 ₽ ничтожен.
Например, во Франции и в Германии оператор персональных данных может получить штраф до 300 000 евро. При этом в Германии, если финансовая выгода нарушителя превышает сумму штрафа — может быть начислен и больший штраф. В Италии нарушитель может быть подвергнут штрафу до 720 000 евро.
Скорее всего, обновлённые штрафы затронут в первую очередь средний и малый бизнес, а не владельцев крупнейших баз персональных данных. Однако, новые наказания дают хоть какие-то рычаги давления на многочисленных злостных нарушителей, которые распоряжаются персональными данными граждан, как им захочется.
Если ваши личные данные попадут в список неизвестных вам компаний, и вам будут звонить или писать и предлагать сомнительные услуги — рекомендуем жаловаться в территориальное подразделение Роскомнадзора, обязательно в письменном виде. На сайте можно найти контакты вашего отделения.
Помните, перечень нарушений обновили в соответствии с рейтингом Роскомнадзора. Это значит, что процесс взимания штрафов и поиска нарушителей уже хорошо отлажен и избежать возмездия будет непросто. Храните данные бережно, а мы всегда поможем.
Источник: http://knopka.com/blog/169/