Обработка персональных данных. О чем нужно помнить в 2018 году

Санкции за нарушения обработки персональных данных ужесточились, Роскомнадзор получил новые полномочия. Юристы дают советы, как уберечь сайт от блокировки, а компанию – от внушительных штрафов.

Закон 152-ФЗ “О персональных данных” вступил в силу давно – еще в 2006 году, и с тех пережил серию редакций.

Завидная регулярность обновлений укладывается в общемировой тренд. Гайки операторам персональных данных закручивают и в Европе. С 25 мая 2018 года на территории ЕС начинают действовать более жесткие требования к обработке и защите персональных данных GDPR.

Владельцы бизнеса в России особенно остро прочувствовали ужесточение ответственности, которые принес в Кодекс об административных правонарушениях Федеральный закон № 13 от 07.02.2017 года. Поправки вступили в силу с 1 июля 2017 года.

В ответ на новые требования поднялась и быстро схлынула волна паники: кто-то обратился к агентам, подготовившим пакет документов, другие внесли формальные изменения в структуру сайтов. Попробуем вместе с юристами разобраться в сути не до конца понятых новшеств и выделить актуальные в 2018 году аспекты.

персональные данные

“Персональные данные” трактуются широко

Изначально федеральный закон определял ПДн так:

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

Судебные прецеденты, получившие поддержку Роскомнадзора, расширили определение. Теперь, проверяя организацию, РКН указывает подробный перечень информации, которую он официально относит к пользовательским (или персональным) данным.

К ПДн относятся:

  • ник (псевдоним) пользователя сайта;
  • данные о поведении пользователя на сайте;
  • файлы cookie;
  • геопозиция пользователя (или его устройства);
  • IP-адрес.

что такое персональные данные

Роскомнадзор сам возбуждает административные дела

Все те же поправки к статье 13.11 административного Кодекса сделали РКН ключевым регулятором обработки персональных данных.

Роскомнадзор может сам создавать протоколы об административных правонарушениях и возбуждать дела, минуя прокуратуру.

Привлечь компанию к ответственности и заблокировать сайт стало гораздо проще. Более того, коммерческие организации и индивидуальные предприниматели не найдут информацию о плане проверок по ПДн на сайте Прокуратуры – там РКН больше не публикует график мероприятий.

Семь административных статей вместо одной и высокие штрафы

Бизнеса касаются первые 6 пунктов обновленной статьи 13.11 административного Кодекса, последний, седьмой пункт, затрагивает только государственных и муниципальных операторов.

Согласно действующим нормам, операторов будут наказывать за следующие правонарушения.

1. Обработка ПДн в случаях, не предусмотренных законодательством РФ, или обработка ПДн, не соответствующая цели сбора персональных данных.
Штраф для юридического лица: 30-50 тысяч рублей

2. Обработка ПДн без письменного согласия субъекта (в том случае, если его требует закон).
Штраф для юридического лица: 15-75 тысяч рублей

3. Оператор не обеспечил или ограничил доступ к документу, определяющих политику обработки ПДн или сведениям о защите ПДн.
Штраф для юридического лица: 15-30 тысяч рублей

4. Оператор не предоставил частному лицу информацию об обработке его ПДн.
Штраф для юридического лица: 20-40 тысяч рублей

5. Оператор в установленный срок не выполнил требования частного лица, его представителя или уполномоченного органа об уничтожении, изменении или блокировании его ПДн.
Штраф для юридического лица: 25-45 тысяч рублей

6. Оператор не выполнил обязанности по хранению материальных носителей персональных данных.
Штраф для юридического лица: 25-50 тысяч рублей

Базы должны размещаться и обслуживаться в России

Согласно действующим нормам все базы персональных данных должны первоначально собираться и обрабатываться на территории РФ. персональные данные

Не все общедоступные ПДн можно использовать

Общедоступными представители Роскомнадзора назвали размещенные в открытом доступе данные пользователей социальных сетей.

Организации могут использовать данные пользователей соцсетей только в двух случаях:

  • есть согласие на обработку от субъекта персональных данных;
  • есть законное основание (нормативный акт, дающий третьему лицу право обрабатывать общедоступные ПДн или договор третьего лица с соцсетью, которое не противоречит соглашению субъекта данных с соцсетью).

Нарушение этих условий Высший Суд РФ признал неправомерным – это подтверждает недавнее дело НБКИ.

Названные выше моменты актуальны любого владельца сайта. С тех пор, как Роскомнадзор фактически приравнял к персональным данным данные пользователей сайтов, риск блокировки навис над многими ресурсами. О способах защиты от санкций поговорим в следующем материале.