7 февраля Президент РФ подписал закон, который вводит в КоАП РФ новые меры ответственности за нарушения законодательства о персональных данных. Вместо одного нарушения статья 13.11. КоАП РФ с 1 июля будет содержать семь различных составов. В статье разбирается, за что теперь будет «наказывать» Роскомнрадзор: рассматриваются примеры, особенности и практические аспекты применения новых норм.
Введение
Уже десять лет в России действует федеральный закон от 27.07.2006 «О персональных данных» №152-ФЗ (далее — ФЗ «О персональных данных»). За это время он наделал много шума, но так и не вызвал должного отклика у российских компаний. Выполнять его требования по-прежнему довольно сложно и затратно, поэтому многие предпочитают игнорировать его требования полностью или частично. В свою очередь, государство всячески пытается привлечь внимание к проблеме защиты персональных данных, и последние его шаги в этом направлении привели к важным изменениям. В
7 февраля 2017 года Президент Российской Федерации подписал федеральный закон № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее — ФЗ №13), который вступает в силу 1 июля этого года. Закон закрепляет увеличение штрафов за нарушение законодательства о персональных данных.
При этом важно, что ФЗ №13 вносит изменения в статью 13.11. КоАП РФ и вместо одного нарушения устанавливает семь. Прежде чем мы перейдем к самим нарушениям, стоит обратить внимание, что изменилось название самой статьи. На данный момент оно звучит так: «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)». Обновленный вариант звучит более практично и всеобъемлюще: «Нарушение законодательства Российской Федерации в области персональных данных». Перейдем к нарушениям.
Нарушение первое
Часть 1 статьи 13.11 КоАП РФ гласит: «Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, — влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от тридцати тысяч до пятидесяти тысяч рублей».
Условно здесь содержится два разных нарушения:
- обработка персональных данных в случаях, не предусмотренных законодательством;
- обработка персональных данных, несовместимая с целями сбора персональных данных.
Эти нормы отсылают нас к статьям 5 и 6 ФЗ «О персональных данных».
Статья 6 содержит исключительный перечень случаев, когда мы вообще можем обрабатывать персональные данные, а статья 5 определяет принципы обработки и содержит требование об обработке персональных данных в соответствии с установленными целями. Соответствие целям обработки всегда вызывало немало трудностей у операторов и большинство актов по результатам плановых проверок содержало в себе нарушение той или иной части статьи 5. Это и проблемы с составом личного дела работников, и сбор излишних данных с соискателей или клиентов, и обработка персональных данных после достижения цели обработки, и еще сотни и сотни других случаев обработки с нарушением требований статьи 5. Такие нарушения всегда пользовались популярностью у контролирующего органа и после вступления в силу поправок в КоАП своей популярности не утратят.
Что касается статьи 6 ФЗ «О персональных данных», то она устанавливает довольно простые для понимания и весьма сложные для выполнения требования. Она содержит одиннадцать случаев, в которых допускается обработка персональных данных. Самые популярные случаи:
«1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем».
Возьмем простой пример. Потенциальный заемщик пришел в банк для получения кредита. Прежде всего, сотрудники банка просят его заполнить заявку на кредит. В ней, помимо своих данных, он заполняет данные, например, своей супруги (ФИО, дата и место рождения, контактный телефон, адрес места жительства, место работы, уровень заработной платы и т. д.). Счастливый банковский сотрудник принимает эту заявку, и с этого момента банк начинает процесс обработки персональных данных. Причем не только вероятного заемщика, но и его супруги. Чтобы понять, есть ли здесь нарушение требований законодательства или нет, нужно ответить на ряд вопросов: к какому из перечисленных в статье 6 ФЗ «О персональных данных» случаев относится обработка персональных данных супруги заемщика? У вас есть согласие супруги на обработку ее персональных данных? У вас есть закон, дающий вам право или обязывающий вас обрабатывать эту информацию? У вас есть договор с супругой? Или, может быть, она является поручителем или выгодоприобретателем по какому-то другому договору?
Конечно, нужно задать еще десяток уточняющих вопросов. И, конечно, все будет зависеть от ответов. Но в целом проблема ясна. При работе с персональными данными необходимо внимательно относиться к принципам и условиям обработки персональных данных. Их несоблюдение с 1 июля 2017 года может повлечь нарушение части 1 статьи 13.11 КоАП РФ.
Нарушение второе
Часть 2 статьи 13.11 КоАП РФ (с 01.07.2017) гласит: «Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, — влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от пятнадцати тысяч до семидесяти пяти тысяч рублей».
Здесь также можно выделить два нарушения:
- обработка персональных данных без согласия в письменной форме в случаях, установленных законом;
- нарушение состава сведений в письменном согласии.
Здесь, прежде всего, необходимо обратить внимание на то, что нарушением будет являться именно обработка без согласия в письменной форме, когда такая форма требуется законодательством. Если такого требования нет, то согласие может быть дано в любой форме. Об этом нам говорит ФЗ «О персональных данных», а именно статья 9 пункт 1: «Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом».
В свою очередь, статья 9 пункт 4 гласит: «В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных».
Сам ФЗ «О персональных данных» содержит в себе шесть случаев, когда письменное согласие субъекта обязательно:
- часть 1 статьи 8;
- пункт 1 часть 2 статьи 10;
- пункт 5 части 2 статьи 10;
- часть 1 статьи 11;
- часть 4 статьи 12;
- часть 2 статьи 16.
В различных законодательных актах содержатся и другие случаи, когда письменное согласие субъекта является обязательным. Самым ярким примером является статья 88 Трудового кодекса Российской Федерации: «При передаче персональных данных работника работодатель должен соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия.
Таких случаев передачи персональных данных работника может быть несколько десятков. Важно следить за ними и вовремя брать согласия.
Что касается второго нарушения по этой норме, то в случаях, установленных законом, согласие должно быть не просто письменным, но и содержать в себе обязательные сведения, установленные законодательством. Перечень этих сведений установлен частью 4 статьи 9 ФЗ «О персональных данных». Часто бывают случаи, когда в согласии забывают указать способы отзыва согласия или, еще чаще, сведения о лице, которому оператор поручает обработку персональных данных.
Нарушение третье
Часть 3 статьи 13.11 КоАП РФ устанавливает (с 1 июля 2017): «Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных — влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц — от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от пятнадцати тысяч до тридцати тысяч рублей».
ФЗ «О персональных данных» в части 1 статьи 18.1 предписывает операторам издать документы, определяющие политику оператора в отношении обработки персональных данных. В части 2 статьи 18.1 указанный закон устанавливает: «Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных».
Исходя из практики, в данном случае под опубликованием или обеспечением неограниченного доступа к документу, определяющему политику, можно понимать размещение этого документа как на сайте оператора, так и, например, в офисе оператора по месту его нахождения. Четких требований нет. При этом законодательство устанавливает два случая, когда оператор обязан опубликовать документ, определяющий политику на своем сайте.
В части 2 статьи 18.1 ФЗ «О персональных данных» сказано: «Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети».
Также в части 2 Постановления Правительства РФ № 211 от 21.03.2012 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом „О персональных данных“ и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» установлено: «Документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения».
Соответственно, если оператор осуществляет сбор персональных данных на своем сайте, например, через форму обратной связи (дискуссия на тему того, какой набор данных будет считаться персональными данными, а какой нет — тема для отдельной статьи), то оператор обязан опубликовать на сайте документ, определяющий его политику в отношении обработки персональных данных. Игнорирование данного требования — одно из самых популярных нарушений требований законодательства о персональных данных в последние годы. Но не потому, что операторы выполняют остальные требования закона, а потому что Роскомнадзор освоил такую форму контроля как мероприятия систематического наблюдения, в ходе проведения которых сотрудники управления просматривают сайты операторов, где осуществляется сбор персональных данных, на наличие документа, определяющего политику в отношении обработки персональных данных.
Необходимо обратить внимание на тот факт, что не важно, как будет называться этот документ. Многие операторы считают, что он должен называться именно политикой. Это не обязательно. ФЗ «О персональных данных» таких требований не устанавливает. Главное, чтобы в этом документе было написано, что он определяет политику оператора в отношении обработки персональных данных.
Нарушение четвертое
Обновленная часть 4 статьи 13.11 КоАП РФ звучит так: «Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, — влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц — от двадцати тысяч до сорока тысяч рублей».
Статья 14 ФЗ «О персональных данных» предусматривает право субъекта обратиться к оператору персональных данных с целью получения информации, касающейся обработки его персональных данных. В свою очередь, статья 20 регламентирует обязанность оператора ответить на такое обращение субъекта в течение тридцати дней с даты получения запроса субъекта или его представителя. Сведения, которые оператор обязан предоставить субъекту, установлены в части 7 статьи 14 ФЗ «О персональных данных».
Нарушение пятое
Часть 5 статьи 13.11. КоАП РФ устанавливает: «Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, — влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до сорока пяти тысяч рублей».
Статья 21 ФЗ «О персональных данных» устанавливает различные сроки, в которые оператор по требованию субъекта обязан обеспечивать блокирование, удаление или уточнение персональных данных, если они являются неполными, неточными, незаконно полученными и т. д. На наш взгляд, нарушение данной обязанности оператора будет довольно частым, так как уже сейчас существенная часть жалоб субъектов персональных данных в уполномоченный орган приходится на кредитные организации и коллекторов именно по поводу того, что субъекты требуют от операторов прекратить обработку их персональных данных, а операторы, в свою очередь, игнорируют эти запросы.
Нарушение шестое
Часть 6 статьи 13.11. КоАП РФ (с 01.07.2017) гласит: «Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния — влечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до пятидесяти тысяч рублей».
Постановление Правительства № 687 от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» в пункте 15 устанавливает обязанность оператора при обработке персональных данных без использования средств автоматизации по соблюдению условий, обеспечивающих сохранность материальных носителей персональных данных и исключающих несанкционированный к ним доступ.
С 1 июля 2017 года уполномоченный орган будет применять наказание за нарушение этих требований только если это повлекло неправомерный или случайный доступ к персональным данным и т. д. Скорее всего, этот пункт будет хорошо работать в случаях с утратой материальных носителей персональных данных по вине работников. Например, известно немало случаев, когда банки, страховые компании или медицинские организации становились героями новостей о найденных на свалке коробках с персональными данными граждан.
Нарушение седьмое
И последнее нарушение, признанное многими экспертами как «нерабочее», содержится в части 7 статьи 13.11. КоАП РФ: «Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных — влечет предупреждение или наложение административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей».
А «нерабочий» этот пункт потому, что действующее законодательство практически не содержит требований для государственных или муниципальных органов по обезличиванию персональных данных.
Заключение
Итак, подводя итоги анализа возможных нарушений, можно смело сказать, что в плановых проверках в 90% случаев будут фигурировать первые три. Остальные будут использоваться в частных случаях: части 4 и 5 — в основном по жалобам субъектов, часть 6, как уже упоминалось — при утрате материальных носителей. Проверим данное предположение в конце года, когда Роскомнадзор «наработает» практику.
Части 2 и 3 статьи 1 ФЗ №13 также вносят изменения в порядок возбуждения административных дел: «2) пункт 58 части 2 статьи 28.3 после слов "частями 1 и 2 статьи 13.5," дополнить словами "статьей 13.11,"; 3) в части 1 статьи 28.4 цифры "13.11," исключить».
Таким образом, с 1 июля 2017 года возбуждать дела об административном производстве за нарушение статьи 13.11. КоАП органы прокуратуры уже не будут. Составлять протоколы об административных правонарушениях будет сам Роскомнадзор.
Сейчас ведутся серьезные споры по поводу того, будут ли операторов наказывать по всем пунктам сразу или же только по какому-то одному. Ответ на этот вопрос безусловно дает статья 4.4. КоАП РФ: «Назначение административных наказаний за совершение нескольких административных правонарушений
1. При совершении лицом двух и более административных правонарушений административное наказание назначается за каждое совершенное административное правонарушение».
Так как с 1 июля 2017 г. статья 13.11. КоАП РФ будет содержать семь различных правонарушений, то и наказывать оператора смогут за каждое. Однако важно отметить, что если, например, у вас пятьдесят согласий и все они неправильной формы, то накажут вас один раз, а не пятьдесят.
Подводя общий итог, хочется отметить, что анализ ФЗ № 13 лишь подтверждает факт того, что Роскомнадзор на проверках всегда уделял и будет уделять повышенное внимание не пакету документов (и уж тем более не средствам защиты), а принципам и условиям обработки персональных данных.