С 01.07.2017 вступают в силу изменения в ст. 13.11 Кодекса РФ об административных правонарушениях, в соответствии с которыми расширяется перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных. Кроме того, существенно вырастают размеры штрафов. Если предусмотренный до настоящего времени штраф для юридических лиц не мог превышать 10 тыс. руб., то сейчас максимальный размер штрафа для них варьируется от 30 тыс. до 75 тыс. руб.
Законодательные изменения
Относительно недавно в данной сфере появилось еще одно важное нововведение – Федеральным законом от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» обязанности оператора персональных данных были дополнены требованиями к их «локализации», то есть обязанностью оператора обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием по общему правилу баз данных, находящихся на территории России (ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
Одновременно тем же Законом № 242-ФЗ в Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» была введена ст. 15.5, устанавливающая возможность на основании судебного акта ограничить доступ к информации в сети Интернет, обрабатываемой с нарушением законодательства РФ в области персональных данных. Тем самым нарушение законодательства в области персональных данных пополнило перечень оснований для блокировки сайтов, организуемой Роскомнадзором и приводимой в жизнь операторами связи.
Эти законодательные изменения являются явными сигналами к тому, что государство в последнее время достаточно внимательно относится к выполнению требований по защите персональных данных.
Учитывая возрастающие риски ответственности за нарушение законодательства о персональных данных и достаточно широкую сферу применения Закона № 152-ФЗ, всем, кто собирает или обрабатывает информацию о гражданах, следует еще раз обратить внимание на ключевые положения законодательства в этой сфере.
Лица, которые обрабатывают персональные данные (при этом обработкой считаются любые действия с персональными данными), определяют цели и порядок их обработки, признаются операторами персональных данных (ч. 2 ст. 3 Закона № 152-ФЗ), деятельность которых по общему правилу должна соответствовать Закону № 152-ФЗ. Исключениями являются, например, случаи обработки персональных данных для личных и семейных нужд, если не нарушаются права субъектов персональных данных, а также случаи обработки сведений, составляющих государственную тайну (п. 2 ст. 1 Закона № 152-ФЗ).
Таким образом, практически любой хозяйствующий субъект так или иначе сталкивается с персональными данными.
Условия и принципы
Вопросы обработки персональных данных особенно актуальны в свете растущего числа персональных данных, которые собираются через сеть Интернет. Это связано в том числе с ростом рынка электронной коммерции, а также со стремлением большинства компаний обеспечить присутствие в сети Интернет. Использование Интернета для коммуникации с потребителями, как правило, подразумевает получение их персональных данных для целей организации доставки товаров или оказания услуг, распространения таргетированной рекламы (то есть сообщений, демонстрируемых строго определенной выборке пользователей), публикации отзывов и так далее. Очевидно, что такие санкции за нарушение законодательства, как блокировки интернет-сайтов, создают серьезные риски для организации, активно использующей Интернет в повседневной хозяйственной деятельности.
В первую очередь, следует помнить, что обработка персональных данных допускается при наличии хотя бы одного из условий, предусмотренных в ч. 1 ст. 6 Закона № 152-ФЗ. Наиболее типичными условиями являются: наличие согласия субъекта персональных данных на их обработку (п. 1); обработка необходима для исполнения договора, стороной/выгодоприобретателем в котором является субъект персональных данных (п. 5); а также обработка персональных данных, сделанных общедоступными их субъектом (п. 10).
При этом операторам важно учитывать содержащиеся в ст. 5 Закона № 152-ФЗ принципы обработки, среди которых надо отдельно выделить следующие:
–соответствие обрабатываемых персональных данных, их содержания и объема целям обработки (ч. 4, 5 ст. 5);
– хранение персональных данных не дольше срока, отвечающего целям обработки персональных данных (ч. 7 ст. 5).
Следует обратить внимание, что такие принципы не являются исключительно декларативными. Их нарушение само по себе будет основанием для привлечения к ответственности. Более того, в новой редакции ст. 13.11 КоАП РФ (вступает в силу с 01.07.2017) ч. 1 посвящена случаям нарушений, когда имеет место обработка персональных данных без согласия субъекта или обработка не в соответствии с заявленными целями сбора персональных данных. Для юридических лиц предусмотрен штраф до 50 тыс. руб.
В этом смысле показательным является дело № А53-13327/2013, в рамках рассмотрения которого ФАС СКО в Постановлении от 21.04.2014 пришел к выводу, что «для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом документа, удостоверяющего личность, в котором содержатся все необходимые сведения». В то же время суд счел, что хранение на рабочем месте копий паспорта, страниц военного билета, свидетельства о заключении брака, свидетельства о рождении ребенка превышает объем обрабатываемых персональных данных работника, является обработкой избыточных персональных данных, по сравнению с теми, которые определены к заявленным целям их обработки, что является нарушением ч. 5 ст. 5 Закона № 152-ФЗ.
Вышеуказанные принципы могут также приниматься во внимание и в потребительских спорах. Так, в Постановлении Тринадцатого арбитражного апелляционного суда от 03.06.2014 по делу № А56-56137/2013 суд пришел к выводу, что бланк согласия, предложенный потребителю, содержит избыточные персональные данные (такие, как семейное и имущественное положение и т. д.), и признал правомерным привлечение медицинской организации к ответственности по ч. 1 ст. 14.4 КоАП РФ за отказ в предоставлении услуг в нарушение лицензионных требований.
Обязанности оператора
Одной из ключевых обязанностей оператора, которой посвящена отдельная ст. 7 Закона № 152-ФЗ, является обязанность обеспечить конфиденциальность персональных данных – запрет раскрывать персональные данные третьим лицам без согласия субъекта. Однако в целом обязанности оператора можно условно разделить на юридические (то есть выражающиеся в совершении юридически значимых действий, принятии документов и т. д.) и на организационно-технические меры, которые имеют своей целью защиту персональных данных гражданина от разглашения.
К юридическим мерам относятся:
1. Получение согласия субъекта персональных данных (когда иные условия их обработки отсутствуют) в форме, обеспечивающей возможность доказать факт получения согласия (п. 1 ст. 9 Закона № 152-ФЗ), либо в определенных законом случаях в письменной форме. Когда речь идет о передаче данных в страну, не обеспечивающую адекватной защиты персональных данных (подп. 1 п. 4 ст. 12 Закона № 152-ФЗ), когда обрабатываются биометрические данные для целей установления личности (п. 1 ст. 11 Закона № 152-ФЗ) или когда имеет место обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (подп. 1 п. 2 ст. 10 Закона № 152-ФЗ). Согласно вступающей в силу с 01.07.2017 ч. 2 ст. 13.11 КоАП РФ неполучение письменного согласия является самостоятельным составом правонарушения, за которое предусмотрен штраф до 75 тыс. руб. для юридических лиц.
2. Опубликование политики конфиденциальности или иного документа, определяющего его политику в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных, а также обеспечивание возможности доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети (п. 2 ст. 18.1 Закона № 152-ФЗ). С 01.07.2017 нарушение такой обязанности повлечет штраф в размере 30 тыс. руб. (ч. 3 ст. 13.11 КоАП РФ).
3. Издание локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений (подп. 2 п. 1 ст. 18.1 Закона № 152-ФЗ).
4. Уведомление Роскомнадзора до начала обработки персональных данных (ч. 1 ст. 22 Закона № 152-ФЗ). Такое уведомление не требуется в определенных случаях, предусмотренных ч. 2 ст. 22, к числу одних из самых распространенных среди которых относятся: обработка в соответствии с трудовым законодательством; обработка в связи с исполнением договора; обработка общедоступных персональных данных или персональных данных; а также обработка только Ф. И. О. субъектов; обработка для целей однократного пропуска субъекта на охраняемую территорию.
Неисполнение обязанности по уведомлению Роскомнадзора образует административное правонарушение, предусмотренное ст. 19.7 КоАП РФ (непредставление сведений в государственный орган). К ответственности по данной статье привлекаются, в частности, интернет-магазины с функцией регистрации личного кабинета покупателя (Постановление Нижегородского областного суда от 25.07.2014 по делу № 7п-371/2014).
К организационно-техническим мерам относятся:
1. Обеспечение безопасности информационных систем и необходимого уровня защищенности персональных данных (ст. 19 Закона № 152-ФЗ; Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», а также принятые в соответствии с ним приказы ФСБ России от 10.07.2014 № 378, ФСТЭК России от 18.02.2013 № 21).
2. Назначение лица, ответственного за обработку персональных данных (для операторов, являющихся юридическими лицами) (ст. 22.1 Закона № 152-ФЗ).
3. Обеспечение невозможности несанкционированного доступа к материальному носителю (кроме бумажных носителей и носителей внутри информационной системы оператора) биометрических персональных данных, а также иных требований, установленных Постановлением Правительства РФ от 06.07.2008 № 512. С 01.07.2017 нарушение такой обязанности будет признаваться самостоятельным нарушением, за которое предусмотрен штраф в размере до 50 тыс. руб. (ч. 6 ст. 13.11 КоАП РФ).
4. Обеспечение сохранения персональных данных граждан РФ на территории России (ч. 5 ст. 18 Закона № 152-ФЗ). Согласно разъяснениям Минкомсвязи России у оператора нет необходимости удалять аналогичные данные из зарубежных баз, содержащих данные россиян.
Рассматривая ответственность за нарушение законодательства в области персональных данных, надо, помимо административной, помнить и про иные виды ответственности.
Так, субъект персональных данных, права которого нарушены, вправе претендовать в суде на возмещение убытков и (или) компенсацию морального вреда. Иными словами, оператор находится под риском гражданско-правовой ответственности, которая может повлечь определенные денежные потери, связанные с нарушением.
Не следует забывать и о том, что нарушение норм Закона № 152-ФЗ может в определенных случаях быть признано составом преступления: нарушением неприкосновенности частной жизни (ст. 137 УК РФ) и / или неправомерным доступом к компьютерной информации (ст. 272 УК РФ).