Что ждет операторов персональных данных с 1 июля 2017 года? (подготовлено экспертами компании "Гарант", июнь 2017 г.)

Что ждет операторов персональных данных с 1 июля 2017 года?

июнь 2017 г.

Федеральным законом от 07.02.2017 N 13-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" (далее - Закон N 13-ФЗ) изменена редакция ст. 13.11 КоАП РФ, которой установлена административная ответственность за нарушение законодательства в области персональных данных. Согласно ст. 2 Закона N 13-ФЗ изменения вступают в силу с 1 июля 2017 года. Фактически статья переписана заново. Если ранее в ней был описан один состав правонарушения, а именно: нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), предусматривающий максимальный размер штрафа в десять тысяч реблей, то теперь ст. 13.11 КоАП РФ включает семь частей, каждая из которых представляет собой самостоятельный состав административного правонарушения. Значительно увеличены и размеры штрафных санкций.

Кроме того, дела об административных правонарушениях по ст. 13.11 КоАП РФ с 1 июля 2017 года будут возбуждать не прокуроры, а должностные лица Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ), что существенно упрощает саму процедуру привлечения виновных лиц к административной ответственности.

Что такое персональные данные?

Под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). То есть, персональные данные - это не всякая информация, а лишь та, которая позволяет идентифицировать конкретного человека. Например фамилия, имя и отчество гражданина не во всех случаях обладают такими свойствами. Однако в совокупности с паспортными данными, номером телефона, должностью и др. сведениями могут указывать на определенное лицо. Соответственно, эти данные подпадают под режим конфиденциальности. В связи с чем на оператора персональных данных возлагается обязанность не раскрывать персональные данные третьим лицам и не распространять их без согласия субъекта персональных данных, за исключением случаев, предусмотреных федеральным законом.

Особую категорию составляют специальные персональные данные (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) и биометрические (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных). Обработка таких данных без согласия субъекта запрещена. Ограниченный круг исключений установлен федеральным законом. Так, например, не будут считаться биометрическими персональными данными материалы видеосъемки в общественных местах или на охраняемой территории, если при этом не преследуется цель установления личности снятого человека. Фотография работника в личном деле также не относится к категории биометрических персональных данных, поскольку она не используется работодателем для установления личности работника. То есть, во всех случаях значение имеет именно цель обработки персональных данных: связана она с идентификацией субъекта или нет.

Что понимается под обработкой персональных данных?

Обработка - это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Кто является оператором персональных данных?

Оператором персональных данных является лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. При этом лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений и т.п., а в силу самого факта осуществления им деятельности по обработке персональных данных.

Не считается оператором физическое лицо, обрабатывающее персональные данные исключительно для личных и семейных нужд. Например, кто-либо записывает координаты, включая фотографии, своего знакомого, родственника в память телефона, записную книжку и т.п. без намерения передавать эти сведения третьим лицам или распространять иным способом. Такие действия не подпадают под действие законодательства о персональных данных.

За какие правонарушения оператора могут привлечь к ответственности с 1 июля 2017 года?

1. Незаконная и нецелевая обработка персональных данных

Часть 1 ст. 13.11 КоАП РФ устанавливает ответственность за обработку персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния. То есть, в приведенной норме описано два самостоятельных состава административного правонарушения.

В первом случае в вину оператору вменяется обработка персональных данных, когда такая обработка законодательством не предусмотрена. Случаи, при которых обработка персональных данных допускается перечислены в ч. 1 ст. 6 Закона о персональных данных. При этом оператор должен неукоснительно соблюдать принципы обработки персональных данных, закрепленные в ст. 5 Закона о персональных данных. Зачастую операторы обрабатывают избыточную (не являющуюся необходимой) информацию по отношению к заявленным целям обработки персональных данных. Так, например, суды признают незаконным хранение работодателем копий документов работников, в частности, копии паспорта, копии военного билета, копии свидетельства о рождении ребенка, копии свидетельства о браке и иное даже при наличии согласия работника на обработку его персональных данных (постановление Пятнадцатого ААС от 14.03.2014 N 15АП-22502/13), обработку специальных категорий персональных данных (национальность, судимость) клиентов в рамках договорных отношений (решение Ленинского районного суда г. Чебоксары Чувашской Республики - Чувашии от 07.04.2015 по делу N 12-178/2015).

Во втором - обработка персональных данных, несовместимая с целями сбора персональных данных. В ч. 2 ст. 5 Закона о персональных данных прямо указано, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Цели обработки персональных данных формулируются оператором и закрепляются в положении об обработке и защите персональных данных, с текстом которого должен быть ознакомлен каждый субъект (работник, клиент, посетитель сайта в сети Интернет и т.п.), чьи персональные данные попадают в распоряжение оператора. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

Санкция ч. 1 ст. 13.11 КоАП РФ предусматривает предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей.

Формы документов Политика обработки персональных данных и реализуемых требований к защите персональных данных

2. Отсутствие письменного согласия субъекта персональных данных

В ч. 2 ст. 13.11 КоАП РФ в качестве самостоятельного правонарушения, изъятого законодателем из ч. 1 ст. 13.11 КоАП РФ, выделена обработка персональных данных без согласия в письменной форме субъекта персональных данных.

По общему правилу, сформулированному в ст. 6 Закона о персональных данных, обработка персональных данных возможна только с согласия субъектов персональных данных, за исключением случаев, перечисленных в п.п. 2-11 ч. 1 ст. 6 Закона о персональных данных. Отметим, что данный перечень сформулирован исчерпывающим образом и расширительному толкованию не подлежит.

По смыслу ч. 1 ст. 9 Закона о персональных данных согласие на обработку может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

В ч. 4 ст. 9 Закона N 152-ФЗ указано, что в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных, а также перечислены сведения, которые в обязательном порядке должно содержать согласие субъекта персональных данных на их обработку.

Таким образом, оператор должен получить письменное согласие субъекта персональных данных на их обработку, включающее сведения, предусмотренные ч. 4 ст. 9 Закона о персональных данных, только в случаях, когда федеральный закон прямо указывает на необходимость получения согласия именно в такой форме. К примеру, согласие в письменной форме требуется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, биометрических персональных данных, на трансграничную передачу персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных. При иных обстоятельствах согласие на обработку персональных данных может быть дано в любой форме. Например, в качестве формы получения письменного согласия на обработку персональных данных можно рассматривать включение соответствующего пункта в договор, анкету, если их содержание будет соответствовать требованиям, предъявляемым к письменному согласию субъекта. Кроме того, факт оплаты субъектом персональных данных оказанных оператором услуг посредством пластиковой карты или с использованием мобильного телефона также может свидетельствовать о его добровольном волеизъявлении на обработку персональных данных. Так, в постановлении от 13.12.2010 N Ф07-13220/2010 ФАС Северо-Западного округа указал применительно к рассмотренной им ситуации, что, отправив свои данные по алгоритму заполнения анкеты-запроса на получение ипотечного кредита, форма которой была размещена на веб-ресурсе, физические лица - потенциальные клиенты фактически выразили свое согласие на обработку своих персональных данных для определенных в анкете целей.

Отсутствие письменного согласия субъекта персональных данных в случаях, когда это необходимо, влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от пятнадцати тысяч до семидесяти пяти тысяч рублей.

Формы документов Согласие субъекта на обработку персональных данных Согласие на обработку персональных данных несовершеннолетнего (недееспособного)

3. Ограничение доступа к документу, определяющему политику оператора в области защиты персональных данных

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц - от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от пятнадцати тысяч до тридцати тысяч рублей (ч. 3 ст. 13.11 КоАП РФ).

Обязанность издания оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений; предписана п. 2 ч. 1 ст. 18.1 Закона о персональных данных. Частью 2 ст. 18.1 Закона о персональных на оператора возложена обязанность опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. При этом способы доведения до сведения субъектов политики оператора в отношении обработки персональных данных законодатель не уточняет. То есть, оператор должен сам решить, каким образом это предписание закона будет исполнено (размещение на стенде, ознакомление под роспись и т.п.).

Внимание

В отношении операторов, осуществляющих сбор персональных данных с использованием информационно-телекоммуникационных сетей, законодатель возлагает дополнительную обязанность - опубликовать перечисленные документы в соответствующей информационно-телекоммуникационной сети и обеспечить возможность доступа к ним с использованием средств соответствующей информационно-телекоммуникационной сети. Иными словами, владельцы интернет-сайтов обязаны опубликовать документы, определяющие политику в отношении обработки персональных данных посетителей, на своем сайте и обеспечить доступ к таким документам неограниченного круга лиц.

Формы документов Политика обработки персональных данных и реализуемых требований к защите персональных данных

4. Нарушение права субъекта персональных данных на получении информации, касающейся обработки его персональных данных

Часть 4 ст. 13.11 КоАП РФ устанавливает административную ответственность за невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных в виде предупреждения или наложения административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц - от двадцати тысяч до сорока тысяч рублей.

Статья 14 Закона о персональных данных закрепляет право субъекта на получение такой информации. Данному праву корреспондируется обязанность оператора предоставить субъекту персональных данных информацию о наличии персональных данных, относящихся к соответствующему субъекту, а также предоставить возможность ознакомления с этими персональными данными при обращении к нему субъекта или его представителя в течение тридцати дней с даты получения запроса (ч. 1 ст. 20 Закона о персональных данных).

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено исключительно федеральными законами (ч. 8 ст. 14 Закона о персональных данных). Подобные изъятия связаны, в основном, с интересами безопасности, охраны правопорядка, правосудия, с нарушением конституционных прав и свобод других лиц.

Формы документов Правила рассмотрения запросов субъектов персональных данных или их представителей

5. Нарушение порядка уточнения, блокирования или уничтожения персональных данных

Невыполнение оператором требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки грозит наказанием в виде предупреждения или наложения административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до сорока пяти тысяч рублей (ч. 5 ст. 13.11 КоАП РФ).

Согласно ч. 1 ст. 14 Закона о персональных данных субъект вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Необходимость уточнения персональных данных может возникнуть по разным причинам. Например, работник имеет право дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения (ст. 89 ТК РФ). Блокирование персональных данных самим субъектом означает для оператора временное прекращение накопления, использования, распространения персональных данных. Уничтожение персональных данных предполагает уничтожение материальных носителей персональных данных или стирание сведений в информационной системе.

В ст. 21 Закона о персональных данных установлены сроки совершения перечисленных действий оператором. Так, в случае выявления неправомерной обработки персональных данных, выявления неточных персональных данных оператор обязан осуществить блокирование персональных данных (обеспечить блокирование) с момента обращения субъекта или его представителя, получения запроса от уполномоченного органа. При отзыве субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки в срок, не превышающий тридцати дней с даты поступления указанного отзыва. Иное может быть предусмотрено соглашением сторон или законом. Такой же срок установлен для ситуаций, когда цели обработки персональных данных достигнуты.

Обратим внимание, что неисполнение оператором предписанной обязанности об уточнении персональных данных, их блокировании или уничтожении является наиболее распространенным правонарушением, о чем свидетельствует многочисленная судебная практика (смотрите, к примеру, постановление Семнадцатого ААС от 08.08.2016 N 17АП-18157/15, апелляционное определение СК по гражданским делам Оренбургского областного суда от 31.03.2015 по делу N 33-2076/2015).

Формы документов Отзыв согласия на обработку персональных данных Примерная форма правил рассмотрения запросов субъектов персональных данных или их представителей

6. Несанкционированный доступ к персональным данным

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния влечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до пятидесяти тысяч рублей.

Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, утверждены постановлением Правительства РФ от 15.09.2008 N 687. Так, неавтоматизированной считается обработка персональных данных, если она осуществляется при непосредственном участии человека. При этом обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Неавтоматизированная обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором. Кроме того, операторы персональных данных должны выполнять обязанности и принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, предусмотренные главой 4 Закона о персональных данных.

Обратим внимание, что к ответственности оператор может быть привлечен по ч. 6 ст. 13.11 КоАП РФ с 1 июля 2017 года только в том случае, если несоблюдение им режима конфиденциальности персональных данных повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных. То есть, если наступили вредные последствия. Одного факта неисполнения требований законодательства в данном случае недостаточно.

Формы документов Правила обработки персональных данных в информационных системах персональных данных Приказ об утверждении мест хранения материальных носителей персональных данных

7. Непринятие мер по обезличиванию персональных данных

Наконец, ч. 7 ст. 13.11 КоАП РФ устанавливает административную ответственность для государственных или муниципальных органов (специальный субъект) за неисполнение ими обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных, что влечет предупреждение или наложение административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.

Под обезличиванием понимается действие, в результате которого становится невозможным определить принадлежность персональных данных конкретному субъекту персональных данных. Например, в ч. 3 ст. 15 Федерального закона от 22.12.2008 N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации" закреплено правило, что при размещении в сети "Интернет" текстов судебных актов в целях обеспечения безопасности участников судебного процесса из указанных актов исключаются персональные данные, кроме фамилий и инициалов истца, ответчика, третьего лица, гражданского истца, гражданского ответчика, осужденного, оправданного, лица, в отношении которого ведется производство по делу об административном правонарушении, секретаря судебного заседания, рассматривавших (рассматривавшего) дело судей (судьи), а также прокурора, адвоката и представителя, если они участвовали в судебном разбирательстве. Вместо исключенных персональных данных используются инициалы, псевдонимы или другие обозначения, не позволяющие идентифицировать участников судебного процесса.

Однако какие-либо нормативно-правовые акты, содержащие подобные требования в отношении операторов, являющихся государственными или муниципальными органами, отсутствуют. Поэтому уже сейчас специалисты называют эту норму "мертворожденной".

Если в ходе одной проверки Роскомнадзор выявит несколько нарушений, будет ли оператор нести ответственность по всем сразу или по каждому в отдельности?

В случае совершения лицом двух и более административных правонарушений за каждое из них в силу ч. 1 ст. 4.4 КоАП РФ назначается наказание, предусмотренное санкцией соответствующей статьи КоАП РФ, даже если дела об этих правонарушениях рассматриваются одновременно. Поэтому, если Роскомнадзор в ходе проверки выявит правонарушения, предусмотренные разными частями ст. 13.11 КоАП РФ, то административное наказание будет назначено за каждое. Иными словами, протокол будет составлен по каждому административному правонарушению.

Если же, например, правонарушение состоит в том, что персональные данные нескольких лиц обрабатываются оператором в отсутствие письменного согласия субъектов, когда оно необходимо, то это будет рассматриваться как одно правонарушение, предусмотренное ч. 2 ст. 13.11 КоАП РФ, и протокол, соответственно, будет один.

Амирова Лариса

Эксперт службы Правового консалтинга ГАРАНТ