С 1 июля в очередной раз ужесточили ответственность за обработку персональных данных. Теперь действует новая редакция статьи 13.11 КоАП РФ. Список нарушений стал более детализированным, а размеры штрафов значительно выросли - до 75 тыс. руб.
Мы уже пытались разобраться, как с учетом изменений обрабатывать данные. Мнения юристов разделились.
Поэтому нужны разъяснения Роскомнадзора. Для нас их получила юрист Любовь Иванова. Она побывала на Дне открытых дверей в ведомстве.
Одиннадцать лет назад 27 июля в России появился новый закон - Федеральный закон №152-ФЗ «О персональных данных». Традиционно в эту дату Роскомнадзор и его территориальные органы проводят День открытых дверей. Лично для меня результат посещения Управления Роскомнадзора по ЦФО (Центральный федеральный округ) – это получение полезной информации. Делюсь.
Политика конфиденциальности на сайте
На мероприятии Роскомнадзор подчеркивал: если вы разместили на своем сайте форму обратной связи, форму заказа или форму для регистрации посетителей сайта, то обязаны разместить на этом же ресурсе Политику в отношении обработки персональных данных.
Что нужно отразить в этом документе?
Во-первых, в Политике (его можно назвать и соглашением, например) вы декларируете правила обращения с персональными данными, которые оказались в вашем распоряжении. Во-вторых, демонстрируете свое согласие с принципами обработки и уважительное отношение к персданным третьих лиц.
«Политика – обязанность оператора, когда посредством интернет-ресурсов осуществляется сбор информации», - констатировала Коротова Ольга Александровна - Заместитель руководителя Управления Роскомнадзора по ЦФО.
Штрафы за отсутствие Политики по персональным данным на сайте
Согласитесь, что клиентская база в наше время – это ценный ресурс для бизнеса и обращаться с ним нужно соответственно.
Чиновники считают, что опубликование Политики по персданным на сайте – это не только требование законодательства, это норма добросовестного поведения в цифровой среде.
В Роскомнадзоре подчеркнули: отсутствие Политики грозит штрафом до 30 тыс.руб. для юрлиц.
Персональные данные – это ВСЕ
На основании собственных наблюдений и исследований на тему персональных данных могу с уверенностью заявить, что для современной бизнес-среды спор о том, какие данные относятся к персональным по отдельности или в совокупности, а какие нет, не имеет практического смысла.
В 99,9% случаев основной целью для предпринимателей являются контакты с клиентами и потенциальными клиентами. Любые контактные данные рано или поздно приводят к идентификации лица, с которым вы общаетесь.
Коротова Ольга Александровна озвучила эту мысль другими словами: «Любая информация, относящаяся к субъекту персональных данных, является персональными данными» и «факт идентификации или неидентификации субъекта персональных данных оператором не влияет на статус данных как персональных».
Уведомление об обработке персональных данных в Роскомнадзор
В Роскомнадзоре обратили внимание на все еще существующую проблему неверной (расширительной) трактовки предпринимателями ст. 22 закона о персональных данных.
Напомню, что статья предусматривает случаи, когда оператор вправе осуществлять обработку персональных данных БЕЗ уведомления Роскомнадзора.
Очевидно, что разница в подходах при толковании указанной нормы предпринимателем и контролирующим органом при проверке приведет к решению не в пользу предпринимателя.
Роскомнадзор прокомментировал на встрече типичные случаи, которые НЕ подпадают под исключения, предусмотренные ст. 22:
1) обработка данных соискателей на должность;
2) уступка права требования;
3) наличие сайта, на котором размещены данные сотрудников;
4) наличие сайта, посредством которого осуществляется обработка данных посетителей сайта.
Примерьте этот далеко не полный перечень к своему бизнесу. Какой напрашивается вывод?
Правильно, проще не рисковать попасть под штраф и направить в Роскомнадзор уведомление. Тем более, что этот документ в числе первых Роскомнадзор запросит при проверке. А вам придется обосновывать его отсутствие.
Роскомнадзор подчеркивает, что уведомление оператором об обработке персданных - это «открытость оператора и лояльность к персональным данным тех лиц, которых вы обслуживаете».
Вывод: излишняя бдительность и подача уведомления в Роскомнадзор, когда это не требуется, не рассматривается как нарушение.
Безопасность персональных данных: все в рамках разумного
Для меня до сих пор остается загадкой, как большинство предпринимателей могут определить, например, опасность вреда субъекту персональных данных или тип актуальных угроз для своих информационных систем своими силами без привлечения специалистов.
Прямой ответ от Роскомнадзора на свой вопрос я, правда, не получила. Общая рекомендация в том, чтобы опираться на практику (использовать по аналогии документы), внедренную различными отраслевыми ведомствами.
Вывод для меня как для юриста не очень утешительный: нет методик в законодательстве – разбирайтесь в документах, которые создали другие люди для других целей.
По крайней мере, представители Управления дали понять участникам Дня открытых дверей, что Роскомнадзор при проверках интересует не столько анализ качества применяемых оператором мер безопасности, сколько сам факт принятия каких-либо мер по защите персональных данных в процессе их обработки.
На что обратят внимание при проверке
На очевидные «промахи» Роскомнадзор при проверке, конечно же, обратит внимание:
- не назначен ответственный за организацию обработки ПДн;
- работники не прошли инструктаж по работе с ПДн;
- шкаф с документами, содержащими ПДн, должен запираться;
- а в офисе на первом этаже, где происходит обработка ПДн, на окнах должны быть жалюзи.
Но в целом, как заверил регулятор, «все в рамках разумного».
Комментарии
5О жалюзи: Например, если из окна видны экраны ваших мониторов или вы обрабатываете
ПДн на бумажных носителях, возникает риск несанкционированного доступа к ПДн третьих
лиц (любителей подглядывать).
Относительно уведомления. Это владелец ЕГАИС обрабатывает
данные без уведомления. А вы обязаны подать уведомление, в котором сошлетесь на
нормативные акты, в соответствии с которыми передаете данные в ЕГАИС.
Но если совсем коротко, то использование ПДн в маркетинговых целях (рассылка, таргетинг и т.д.) ВСЕГДА предполагает наличие уведомления. И кто из предпринимателей отречется
от этих целей, пусть первым в меня бросит…что-нибудь не очень тяжелое
Вся эта байда в целом пахнет режимом.