За что Роскомнадзор штрафует компании на 75 тыс руб.

И какие законные способы работы с персональными данными.
За что Роскомнадзор штрафует компании на 75 тыс руб.

Первого июля 2018 года исполнился год с тех пор, как действует новая редакция ст. 13.11 КоАП РФ. Она наказывает за нарушение персональных данных и содержит 7 составов нарушений. Максимальный штраф на юрлицо – 75 тыс. рублей. 
Правом налагать штрафы по данной статье наделен Роскомнадзор.
За прошедший год успела сложиться практика выявления нарушений, и есть 3 новости. 
Хорошая: Роскомнадзор не спешит штрафовать и при выявлении первых нарушений пока выдает только предписание об их устранении. 
Плохая: нарушений он находит множество, поэтому и предписаний организациям раздается немало. 
Обнадеживающая: многие из них опровергаются в судах. 

Данные клиентов интернет-магазина можно использовать без уведомления Роскомнадзора

Роскомнадзор провел проверку в компании, выявил несколько нарушений при работе с персональными данными и выдал предписание об устранении нарушений.

Компания оспорила это предписание и выиграла суд по всем пунктам в двух судебных инстанциях. Почему – читайте в таблице.

Таблица: «Пять законных способов работы с персданными»

Действия компании по работе с персональными данными

Позиция Роскомнадзора

Позиция компании и судов

При оформлении заказа на сайте интернет — магазина клиенты указывают свои персональные данные, необходимые для доставки заказа.

Данные сведения компания обрабатывает в информационной системе 1С «Предприятия (Магазины)»

Компания обязана уведомлять Роскомнадзор об обработке персданных таким способом, поскольку она проводится с использованием информационных систем. Поэтому не подпадает под исключения, предусмотренные ч. 2 ст. 22 Закона о персональных данных

Частью 2 ст. 22 Закона о персданных № 152-ФЗ прямо предусмотрен перечень из 9 случаев, когда фирма освобождается от обязанности представлять в Роскомнадзор уведомление об обработке персданных.

Одним из таких случаев (п. 2) является обработка личных данных, полученных оператором в связи с заключением договора, стороной которого является субъект этих данных, если они не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договора с субъектом.

В данном случае указываемые клиентом данные используются непосредственно для заключения договора и оказания услуг конкретному лицу, оформившему заявку. Фактов распространения этих данных либо их передачи третьим лицам проверкой не установлено. Под каждой формой, где клиент указывает свои персональные данные, указывается согласие посетителя сайта на их обработку.

Способ, которым обрабатываются персданные – без использования средств автоматизации или с использованием информационных систем – не имеет правогого значения.

Поэтому в силу п. 1 ч. 2 ст. 22 Закона о персданных № 152-ФЗ уведомлять Роскомнадзор не требуется

Используется система 1С «Зарплата и управление персоналом 8»

 

 

Компания обязана уведомлять Роскомнадзор об обработке персданных такими способами, поскольку хотя она проводится и в рамках трудового законодательства, но с использованием информационных систем. Следовательно, не подпадает под исключения, предусмотренные ч. 2 ст. 22 Закона о персональных данных

Указанные системы используются компанией в рамках трудовых договоров, заключенных с работниками.

При этом абз. 17 ст. 22 ТК РФ закреплена обязанность работодателя выплачивать работникам зарплату в полном размере и в установленные сроки.

Статья 91 ТК РФ обязывает работодателя вести учет времени, отработанного каждым сотрудником.

Таким образом, использование указанных систем подпадает под исключение, предусмотренное п. 1 ч. 2 ст. 22 Закона о персональных данных, то есть обработка таких данных осуществляется в соответствии с трудовым законодательством

Используется система БСУВ «Биометрическая система учета времени»

 

В ходе подбора персонала компания размещает вакансии на сайтах в сети Интернет, а полученные резюме в электронном виде хранит на рабочих компьютерах в отделе подбора персонала

Компания обязана уведомлять Роскомнадзор об обработке персданных данным способом, так как работа по подбору персонала не регулируется трудовым законодательством.

В связи с этим обработка личных данных не подпадает под исключения, предусмотренные ч. 2 ст. 22 Закона о персональных данных

Согласно ст. 5 ТК РФ трудовые и иные непосредственно связанные с ними отношения регулируются не только данным кодексом, но и другими нормативными актами.

Так, правоотношения между кандидатом и будущим работником регулируются Законом «О занятости населения в Российской Федерации».

Из него следует, что работодатели должны содействовать проведению госполитики занятости населения, оказывая помощь в трудоустройстве. При этом они вправе принимать на работу граждан, непосредственно обратившихся к ним, на равных основаниях с теми, кто имеет направление органов службы занятости (ч. 1, ч. 3.1 ст. 25, ч. 1 ст. 26).

Таким образом, работодатель вправе обрабатываеть персданные кандидатов на вакансии на законных основаниях и сохранять их резюме, как в бумажном, так и в электронном виде, формируя базу соискателей «кадровый резерв», при наличии письменного согласия кандидатов на обработку их данных. Нарушений в части отсутствия такого согласия в ходе проверки не установлено. В случае отказа в приеме на работу предоставленные кандидатом документы уничтожаются

Постановление Четвертого арбитражного апелляционного суда от 07.02.2018 № 04АП-127/2018.

Согласие на обработку персданных на сайте должно быть подписано элекронной подписью

Роскомнадзор выдал компании предписание, в котором зафиксировал несколько пунктов с нарушениями.

1. Компания поручила обрабатывать полученные персданные другой компании без согласия на это физлиц. Тем самым нарушила требования ч. 3 ст. 6 Закона № 152-ФЗ.

По мнению компании, в действительности граждане дали такое согласие, когда указывали свои данные на сайте и присоединились к размещенному там соглашению об оказании услуг.

Суд решил, что данный способ получения согласия не соответствует закону, поскольку функционал сайта не предусматривает форму согласия физлица в виде электронного документа, подписываемого в соответствии с федеральным законом электронной подписью. Следовательно, указанное соглашение не соответствует требованиям ч. 4 ст. 9 Закона № 152-ФЗ.

2. Компания использует форму согласия физлица, в котором он дает согласие на обработку своих персданных в нескольких целях, при этом не указаны наименование и адрес лица, осуществляющего обработку персданных по поручению оператора.

Суд решил, что поскольку передача персданных работника третьей стороне выходит за рамки трудовых отношений, законодательством предусмотрен особый подход, направленный на конкретизирование обстоятельств передачи, информированность и осознанность субъекта персданных, который должен понимать, кому он дает свое согласие, на что конкретно, и какие последствия могут вытекать вследствие действий, на которые он дает свое согласие.

3. Организация хранит персданные уволенных работников свыше установленных законодательством (5 лет) сроков в 1С, а не в архивах организаций, осуществляющих архивное хранение документов. Нарушена ч. 4 ст. 21 Закона № 152-ФЗ.

Суды, принимая во внимание, что обработка личных данных уволенных работников осуществляется после достижения цели их обработки и по истечении сроков, установленных законодательством, подтвердили нарушение Закона о персданных.

4. Компания не разработала документы, регламентирующие обработку персданных уволенных сотрудников, что является нарушением требований ч. 1 ст. 18.1 Закона № 152-ФЗ.

Суды согласились и с данным выводом, поскольку ни один из представленных фирмой локальных актов, определяющих условия и порядок обработки персданных, условия и порядок обработки сведений об уволенных работниках, не содержал.

Постановление Арбитражного суда Московского округа от 15.01.2018 № Ф05-18981/2017.

Примечание редакции

Обратим внимание на первый пункт в изложенном списке претензий Роскомнадзора. В нем идет речь о том, что человек может дать согласие на обработку его персональных данных только посредством подписания электонного документа электронной подписью.

Это крайне спорный вывод, поскольку уже давно устоялось, что следующие формы предоставления такого согласия в сети Интернет приравниваются к электронной подписи.

1. Регистрация пользователя на сайте, подтвержденная логином и паролем.

Такая регистрация означает согласие субъекта на обработку его персональных данных. Об этом сказано в комментарии к Закону о персданных под редакцией замруководителя Роскомнадзора («Федеральный закон «О персональных данных»: Научно-практический комментарий». Постатейный. Выпуск 11. Под ред. Приезжевой А.А. «Редакция «Российской газеты», 2015).

2. Подтверждение регистрации через электронную почту.

В Постановлении Президиума ВАС РФ от 12.11.2013 № 18002/12 указано, что «получение или отправка сообщения с использованием адреса электронной почты, известного как почта самого лица или служебная почта его компетентного сотрудника, свидетельствует о совершении этих действий самим лицом, пока им не доказано обратное».

3. Ввод кода из СМС-сообщения.

В Определении Приморского краевого суда от 07.04.2015 № 33-2865 указано, что «Согласно оферте СМС-код используется в качестве электронной подписи клиента, для формирования им каждого электронного документа. В случае идентичности СМС-кода, направленного банком, и СМС-кода, введенного в форме электронного документа для подтверждения передачи клиентом соответствующего распоряжении (заявления) через интернет-банк, такая электронная подпись считается подлинной и предоставленной клиентом».

Персональные данные из социальных сетей просто так брать нельзя

Организация собирала персональные данные банковских клиентов-физлиц, содержащиеся в таких социальных сетях, как «ВКонтакте», «Одноклассники», «МойМир», Instragram, Twitter, а также на интернет-порталах «Авито» и «Авто.ру».

По мнению компании, она вправе обрабатывать эти данные без согласия физлиц, поскольку они содержатся в открытых источниках, а значит, являются общедоступными.

Роскомнадзор решил, что компания ошибается. И суд с ним согласился.

В соответствии с ч. 1 ст. 8 Закона № 152-ФЗ в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В такие источники с письменного согласия субъекта персданных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные личные данные, сообщаемые их носителем.

Исходя из этих положений закона, размещение персональных данных в социальных сетях автоматически не делает их общедоступными. Следовательно, не допускается обработка таких данных без согласия субъекта.

Таким образом, в нарушение п. 1 ч. 1 ст. 6 и ч. 3 ст. 22 Закона № 152 компания обрабатывала персданные, не получив у граждан согласия на эти действия.

Определение Верховного Суда РФ от 29.01.2018 № 305-КГ17-21291.

Роскомнадзор может выдвигать ничем не обоснованные обвинения

Компания подала в Роскомнадзор уведомление об обработке персональных данных.

Ведомоство усмотрело в нем два нарушения.

1. Уведомление содержит недостоверные сведения.

Роскомнадзор потребовал от компании представить информационное письмо с указанием:

  •  цели обработки персданных;
  •  категории таких данных;
  •  категории субъектов этих данных;
  •  трансграничной передачи персданных;
  •  информационных систем обработки.

Однако суды указали, что в представленном компанией уведомлении вся указанная информация присутствует (п. 3 ст. 22 Закона № 152-ФЗ). В чем именно, в какой части Роскомнадзор усмотрел нарушение требований названной нормы и чем подтверждается факт представления компанией неполной и недостоверной информации, из содержания предписания установить невозможно.

В этой связи содержащееся в предписании требование к заявителю суд оценил как не обладающее юридической и фактической определенностью и, соответственно, как неисполнимое.

2. Компания собирала и обрабатывала персданные с зарубежного сайта, находящегося в Австрии.

Из части 5 ст. 18 Закона № 152-ФЗ следует, что по общему правилу оператор обязан накапливать и обрабатывать персданные только с использованием баз данных, находящихся на территории России.

Управление, выдав предписание, исходило из того, что компания нарушила данную норму.

Однако никакие доказательства, подтверждающие, что фирма собирала персданные с зарубежного сайта, владельцем которого является иностранное юрлицо, чиновники в деле не представили.

Поэтому предписание в этой части также является незаконным, необоснованным, неопределенным и неисполнимым.

Постановление Арбитражного суда Волго-Вятского округа от 23.05.2018 № Ф01-1701/2018

Хранить и использовать фото клиентов и работников довольно рискованно

Роскомнадзор выписал компании предписание с требованием прекратить использование на пропусках клиентов их фотографий. Дело в том, что это биометрические персональные данные, для использования которых требуется отдельное согласие людей (ст. 11 Закона № 152-ФЗ). Суд подтвердил правоту ведомства.

Компания заручилась лишь общим согласием клиентов на использование их персданных, как предписывает ч. 4 ст. 9 Закона № 152-ФЗ. Но для использования фотографий этого недостаточно, так как они относятся не к обычным персданным, а к биометрическим. Поэтому предписание законно.

Определение Верховного Суда РФ от 05.03.2018 № 307-КГ18-101

Примечание редакции

Аналогичная позиция у Роскомнадзора (Разъяснения «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» от 02.09.2013).

Важно, что данная позиция касается не только клиентов офирмы, но и ее работников. Ведь статья 11 Закона о персданных – это специальная норма, которая не охватывается действием общих положений данного закона. Поэтому право работодателя не брать у сотрудников согласия на использование их персданных на фото не распространяется. Более того, суды полагают, что фото работника, равно как и ксерокопию первой страницы его паспорта компания-работодатель в приниципе не имеет право хранить у себя в кадровых делах. По мнению судей, это избыточная биометрическая информация о человеке, превышающая установленный п. 2 ст. 86 ТК РФ объем обрабатываемых персональных данных работников. Предъявлять паспорт при трудоустройстве гражданин обязан, а вот хнанить его ксерокопию ТК РФ права работодателю не дает.

Организации пытались доказать, что фотографии, прикрепленные скрепками к личным карточкам работников (форма № Т-2), используются сотрудниками отдела кадров для идентификации сотрудников. Однако суды заявляют, что это лишнее, поскольку такая идентификация должна производиться по документам, удостоверяющим личность (постановления ФАС Северо-Кавказского округа от 11.03.2014 № А53-10287/2013, Пятнадцатого ААС от 14.03.2014 № 15АП-22502/2013).

Использовать же фото сторонних людей на сайте компании – вовсе рискованное занятие. Изображенный на нем гражданин, не дававший на это своего согласия, вправе подать в суд на компанию и потребовать возмещения морального вреда. Например, один потребовал с организации за это 200 тыс. рублей, суд присудил в его пользу 50 тыс. рублей (Апелляционное определение Санкт-Петербургского городского суда от 15.11.2016 № 33-22976/2016).

Штраф за незаконное распространение персональных данных хотят снизить

Статью 13.11 предлагется дополнить еще двумя частями: 8-й и 9-й.

По части 8 будут наказывать за сбор и хранение персональных данных российских граждан в базах данных, находящихся за пределами территории России.

Штрафы:

  •  на граждан – от 3 до 5 тыс. рублей;
  •  на должностных лиц – от 10 до 20 тыс. рублей;
  •  на юридических лиц – от 15 до 75 тыс. рублей.

По части 8 будут наказывать за несоблюдение конфиденциальности персональных данных, то есть раскрытие их третьим лицам и распространение без согласия гражданина.

Это повлечет предупреждение или штраф:

  •  на граждан – от 1 до 2 тыс. рублей;
  •  на должностных лиц – от 4 до 6 тыс. рублей;
  •  на юридических лиц – от 20 до 40 тыс. рублей.

Проект Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части уточнения административной ответственности за нарушение требований Федерального закона «О персональных данных»

Примечание редакции

В настоящее время в ст. 13.11 нет штрафа за использование иностранных баз данных. За раскрытие персданных третьим лицам сейчас наказывают по ч. 1 данной статьи: она предусматривает предупреждение или штраф на юрлиц от 30 до 50 тыс. рублей.

 

Начать дискуссию