Штрафы за нарушение закона 152-ФЗ и как их избежать

С 1 июля 2017 года действуют поправки, которые в разы увеличили штрафы за нарушения закона "О персональных данных". Можно ли обойти штрафы? Будут ли штрафовать на самом деле?
Обработка персональных данных

С 1 июля 2017 года введены в действие поправки в Кодекс по административным правонарушениям, которые увеличивают штрафы за нарушения федерального закона №152 “О персональных данных”. ИП и особенно юрлица, у которых есть сайты, сильно рискуют.

В Интернете активно цитируют афоризм Салтыкова-Щедрина о том, что строгость российских законов компенсируется необязательностью их исполнения. Как обычно, люди думают, что их это не коснётся.

Буквально только что прочитал в одном блоге рекомендацию: выждать пару месяцев и посмотреть на правоприменительную практику. Парень просто не в курсе: решения судов уже есть, вплоть до Конституционного. Закон действует второй год, а новые поправки только изменяют суммы штрафов.

Персональные данные: что к ним относится

Самое простое определение персональных данных: это данные, на основе которых можно идентифицировать человека. Например, зная номер телефона и ФИО человека, его можно идентифицировать. А зная только электронный адрес – как правило, нельзя.

К персональным данным относится следующее:

  • фамилия, имя, отчество;
  • адрес;
  • E-mail;
  • телефон;
  • дата рождения;
  • место рождения;
  • личное фото;
  • ссылка на личный сайт;
  • ссылка на страничку в социальной сети;
  • профессия;
  • образование;
  • доходы;
  • имущественное положение;
  • семейное положение;
  • раса;
  • философские убеждения;
  • религиозные убеждения;
  • национальность;
  • состояние здоровья;
  • состояние интимной жизни;
  • другое.

Если ваш сайт собирает что-то из перечисленного, то вы должны быть зарегистрированы в Роскомнадзоре как оператор персональных данных.

Предварительно нужно выполнить ряд требований: хранить базу данных сайта, включающую заказы и обращения пользователей, на территории России, подготовить пакет документов предприятия по работе с персональными данными, проинструктировать сотрудников и т.п.

Почему не штрафовали раньше

Вообще-то штрафовали и раньше, но это не получило широкой огласки, потому что суммы были небольшие, а занималась этим только прокуратура. Известно о нескольких случаях:

  1. Прокуратура Астрахани зимой стала проверять все фирмы по алфавиту. При наличии на сайте формы обратной связи брали штраф.
  2. В Тамбовской области прокуратура оштрафовала за форму обратной связи юридическую фирму. Областной суд поддержал.
  3. Управляющая компания нарушила закон, передавая юристам данные должников, не получив согласия на обработку персональных данных. Конституционный суд РФ оставил в силе решение судов предыдущих инстанций.
Решение Конституционного суда
Решение Конституционного суда по нарушению 152-ФЗ Управляющей компанией

Закон о персональных данных действует с осени 2015 года, поэтому ждать правоприменительной практики не нужно: она уже есть.

С 1 июля 2017 года вопрос передан Роскомнадзору. А значит, дело пойдёт гораздо веселее.

О нарушениях будут узнавать из двух основных источников: собственные проверки и заявления граждан. Проще сказать, если Роскомнадзор не найдёт нарушений сам, ему поможет конкурент-недоброжелатель.

Суммы штрафов

  • Если на сайте не опубликована политика конфиденциальности при обработке персональных данных, штраф составит до 30 тысяч рублей.
  • За обработку персональных данных без согласия клиента или подписчика сайта – штраф до 75 тысяч рублей.
  • За отсутствие предупреждения о передаче данных за границу (особенно касается пользователей Wix и других “конструкторов”) – до 40 тысяч рублей.
  • Самое “популярное” нарушение на сегодня – сбор персональных данных без уведомления Роскомнадзора. Новый штраф – до 50 тысяч рублей.

Указаны максимальные штрафы для ООО. За каждое нарушение придётся заплатить отдельно.

Если данные утекут с сайта и человек в результате пострадает, то наказание предусмотрено ещё серьёзнее, вплоть до тюрьмы и лишения права заниматься определённой деятельностью. Но это регулируется уже не КоАП, а уголовным кодексом (статья 137).

Как избежать штрафов: советы для сайтовладельцев

  1. В любом случае – разработайте политику конфиденциальностиРазместите её на сайте и поставьте ссылку таким образом, чтобы было видно на любой странице. В первую очередь, на страницах заказа или формы обратной связи.
  2. Сократите форму обратной связи: чтобы перезвонить человеку, не обязательно знать его ФИО, равно как и чтобы ответить на электронное письмо. Сокращение формы может положительно сказаться на откликах – ведь заполнять придётся меньше.
  3. Сделайте так, чтобы форму обратной связи нельзя было отправить, не поставив галку о согласии с политикой конфиденциальности.
  4. Если на сайте нельзя отредактировать форму обратной связи, нельзя добавить галочку о согласии с политикой конфиденциальности и с обработкой персональных данных – удалите такую форму.
  5. Существуют “кнопки обратной связи”, поставщики которых являются зарегистрированными в России операторами персональных данных. Заключите с ними  договор и разместите такую кнопку на сайте вместо формы обратной связи. Предварительно проверьте наличие данного юрлица в реестре операторов персональных данных.
  6. Если сайт работает на оборудовании за рубежом, то сайт нужно перенести в Россию. При необходимости передачи данных за рубеж (например, в целях исполнения заказа), пользователь должен быть предупреждён об этом заранее. Роскомнадзор – тоже.

Хорошая новость в том, что регистрироваться в качестве оператора персональных данных и уведомлять Роскомнадзор не обязательно, если собираете данные только в целях исполнения договора (в том числе, договора оферты). 

Текст такого договора нужно разместить на самом сайте и он должен быть доступен каждому перед регистрацией, оплатой или отправкой заявки.

Выводы

  1. За соблюдением закона следят и будут следить дальше. Новый регламент проверок тоже утверждён и вступил в силу 23 февраля 2019 года: для некоторых категорий операторов плановые проверки могут проводиться чаще, чем раньше (раз в год, а не раз в три года).
  2. Штрафы за разные нарушения могут суммироваться.
  3. Можно собирать персональные данные без уведомления Роскомнадзора, если они нужны только для исполнения договора.
  4. Это не отменяет наличия на сайте политики конфиденциальности  и “галочки” согласия с обработкой данных.
  5. Если данные нужны вам в каких-то ещё целях, зарегистрируйтесь как оператор персональных данных, отправив заявление в Роскомнадзор.

Если вы по техническим причинам не можете привести свой сайт в соответствие этим требованиям – обратитесь к нам.