C 1 июля вступают в силу февральские поправки в статью 13.11 КоАП. Они касаются операторов персональных данных: всех, кто собирает, хранит и обрабатывает личные данные пользователей любым способом. Количество единовременных штрафов вырастет до 7, максимальный размер одного штрафа увеличится до 75 тысяч рублей, формулировка закона станет более конкретной, а следить за соблюдением порядка будет не прокуратура, а Роскомнадзор.
Закон умер, да здравствует закон: что нас ждет 1 июля
Основные положения поправок на 14 апреля выглядят так.
Семь однозначно определенных составов административных правонарушений
Если раньше могли наказать за размытое «нарушение установленного законом порядка», то теперь есть четкая формулировка. По каждому из семи пунктов могут выписать отдельный штраф. Для тех, кто не является государственным или муниципальным органом, предусмотрено только 6 составов правонарушения.
Максимальный размер штрафа по одному правонарушению – 75 тысяч рублей
Для юридических лиц. Для простых граждан потолок одного штрафа – 5 тысяч рублей, для индивидуальных предпринимателей – 20 тысяч. Оглашаем весь список (по клику – версия побольше):
Прокуратура теперь этим не занимается
Вместо нее – Роскомнадзор. Раньше цепочка выглядела как «нарушение выявляет Роскомнадзор – направление результатов расследования в прокуратуру – возбуждение административного делопроизводства – протокол – суд». Удаление двух звеньев из цепочки приведет к ускорению расследования и уменьшению количества дел, закрытых из-за сроков давности.
Понятие личных данных: все еще ничего не понятно
В статье 13.11 КоАП нет точного определения персональных данных. Нет и списка данных, которые относятся к личным. Под общее определение – любая информация, которая прямо или косвенно относится к определенному физическому лицу – подпадает:
- фамилия, имя отчество;
- дата рождения;
- паспортные данные;
- адрес прописки;
- номер телефона, ссылка на социальные сети;
- семейное положение;
- образование и место работы.
Список неполный; в него входит все, что так или иначе может характеризовать человека, найти его или привязать виртуальный образ к реальной личности.
Что такое обработка личных данных: под паровоз закона попадают все
Закон не касается тех, кто собирает информацию для личных нужд – только тех, кто обрабатывает ее, использует для проведения торговых операций, транзакций или передает третьим лицам.
Если у вас на сайте есть форма обратного звонка, регистрация с обязательным указанием персональных данных, форма заказа или личный кабинет – вы попадаете под действие закона. И пора что-то предпринять.
Что предпринять сейчас
- Укажите на сайте, каким образом и зачем обрабатывается персональная информация пользователей, как запретить ее обрабатывать и любую другую информацию, которая касается обработки данных. Формат – вольный: пользовательское соглашение, политика конфиденциальности, условия оказания услуг. Страница с этой информацией должна быть доступна из любого места сайта. Или добавьте ее на страницу с формой, в которую пользователь вводит данные.
- Сделайте однозначное определение того, что пользователь согласился на обработку своих персональных данных. Самый популярный вариант – галочка-чекбокс. Если его не отметить, данные пользователя не передаются и действие (регистрация, покупка, заказ) не совершается.
- Составьте четкие инструкции и регламенты по обработке персональных данных пользователей для своих сотрудников.
- Зарегистрируйте свой сайт в Роскомнадзоре. Чем раньше, тем лучше.
Регистрация в Роскомнадзоре необязательна, если вы:
- используете данные только для выполнения договорных обязательств;
- используете публичные данные, которые были размещены владельцем;
- обрабатываете данные сотрудников своей компании, например в корпоративном портале;
- используете только ФИО пользователя.
В этом случае подготовьте документы, которые при проверке убедят представителей Роскомнадзора в правомерности ваших действий.
Что предпринять потом
- Обрабатывать личные данные пользователя только после его письменного согласия или файла электронной цифровой подписи. Звучит абсурдно, но есть один нюанс.
Цитата Роскомнадзора:
- Не перегибать палку и запрашивать только то, что нужно. Не требуйте данные об образовании и семейном положении у людей, которые покупают себе кроссовки. Похвастаться исследованиями своей ЦА на конференции теперь стоит дорого.
- Использовать данные только для того, о чем сообщили пользователю: проведения акций, персонализации рекламы, оформления заказа и доставки и так далее. Запрашиваемые данные и цели их сбора идут в связке, а правомерность использования проверяется Роскомнадзором.
- Наладить обратную связь с пользователями. По запросу предоставлять информацию: какая личная информация пользователя у вас есть, как она используется и кому передается. Удалять и отзывать данные, которые используются для рекламных рассылок.
Передача данных за границу: игра в бисер законов
Есть два факта.
- Собирать и обрабатывать данные нужно только на территории России – Федеральный закон № 242-ФЗ от 21.07.2014.
- Допускается трансграничная передача персональных данных – Федеральный закон № 152-ФЗ, статья 12.
Абсурдность сосуществования этих двух законов только кажущаяся. Все дело в тонкостях формулировок.
Согласно 242-ФЗ в перечень запретов не входит передача данных. Оператор может копировать и передавать данные за границу, не нарушая действующего законодательства – нужно только соблюдать условия 152-ФЗ.
Актуальная база данных по-прежнему находится на территории России, а у зарубежного оператора – ее копия. Копия может использоваться и актуализироваться только на условиях договора двух операторов и законодательства стран, в которых эти операторы находятся. При этом российский оператор не отвечает за действия, которые зарубежный оператор производит с копией базы.
Итог: хранить и обрабатывать данные можно только на территории России, но и передавать базу персональных данных пользователей за границу никто не запрещал – достаточно соблюдать требования 152-ФЗ.
Вывод: штрафы близко
Можно бесконечно перетирать абсурдность некоторых положений, расплывчатость понятия «персональные данные» и сетовать на то, что опять законы становятся жестче, а условия их соблюдения – непонятнее. Но на сегодняшний день факты выглядят так:
- Шесть штрафов могут быть выписаны единовременно по результатам проверки. Семь – для государственных и муниципальных учреждений.
- Максимальный штраф – 75 тысяч рублей.
- Начинать подводить свой сайт под требования обновленного Федерального закона нужно уже сейчас. Роскомнадзор отличается скоростью проверки и наказания.