21.01.2020
Политика конфиденциальности для сайта 2020
Учитывая популярность темы защиты персональных данных в сети интернет, юристы компании «IT-Юрист» решили проанализировать законодательные инициативы в области защиты персональных данных и сделать небольшой дайджест по заданному вопросу. В дополнение предыдущей статье «Политика конфиденциальности для сайта 2019» можно отметить следующее. Во-первых, рекомендации по защите персональных данных в интернете, перечисленные в статье 2019 года актуальны. Одной из резонансных правовых новелл в РФ стал Федеральный закон от 02.12.2019 № 405-ФЗ, который ввел поправки в КоАП РФ. В частности было выделено наказание за хранение персональных данных граждан РФ на зарубежных серверах. Теперь за это нарушение должностные лица могут быть оштрафованы на сумму от 100 000 до 200 000 рублей, компании (юр. лица) заплатят от 1 000 000 до 6 000 000 рублей. Наказание последует и за использование зарубежных баз данных с целью систематизации, записи, накапливания, уточнения, извлечения персональных данных граждан РФ. Наказание за данные деяния ранее предусматривала статья 19.7 КоАП РФ, правда штрафы в ней достигали все 5 000 рублей максимум. То есть к локализации данных граждан РФ на российских серверах теперь нужно отнестись серьезно.
Часто возникает вопрос о необходимости подачи уведомления о начале обработки персональных данных в Роскомнадзор. Сразу отметим, процедура эта не сложная, но требующая определенных навыков и внимания, однако, подавать такое уведомление не нужно, если вы обрабатываете данные, которые:
1) получены вами в связи с заключением договора при условии, что вы не распространяете их, не предоставляете третьим лицам без согласия гражданина и используете исключительно для заключения и исполнения данного договора;
2) гражданин сделал общедоступными. Полагаем, что таковыми являются данные, которые содержатся в общедоступных источниках, создаваемых в соответствии с ч. 1 ст. 8 Закона о персональных данных, например справочнике или адресной книге. В судебной практике есть подход, согласно которому не являются общедоступными сведения, содержащиеся в соцсетях или на открытых интернет-площадках, на которых, к примеру, размещаются объявления (Постановление Арбитражного суда Московского округа от 09.11.2017 N Ф05-16382/2017);
3) включают в себя только Ф.И.О. граждан;
4) необходимы для однократного пропуска гражданина на вашу территорию или в иных аналогичных целях.
Вы должны подать уведомление в Роскомнадзор, только если ваша ситуация не охватывается широким перечнем исключений, который предусмотрен законом (ч. 1 ст. 22 Закона о персональных данных).
Что касается рекомендаций по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», опубликованных на сайте Роскомнадзора 27.07.2017, то никаких изменений данные рекомендации не претерпели.
Вопрос о том, что признавать персональными данными, а что нет, был раскрыт в предыдущей статье, отметим, что на практике Персональными данными признаются:
1) сведения, указанные в документе, удостоверяющем личность, ИНН, СНИЛС;
2) биометрические данные, банковский счет, номер банковской карты;
3) адрес электронной почты, привязанный к телефону.
Отдельного внимания заслуживает вопрос возможности размещения персональных данных работников на сайте работодателя. С одной стороны специального согласия на обработку персональных данных работника не требуется, но это если объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством РФ. При размещении информации на сайте необходимо руководствоваться общими правилами обработки персональных данных, установленными Федеральным законом N 152-ФЗ: размещение какой-либо информации работодателем о работнике на интернет-сайте возможно только с согласия работника. Таким образом, работник должен письменно согласиться на размещение своих персональных данных на сайте работодателя, иначе последнему может грозить штраф по части 2 статьи 13.11 КоАП РФ, которая влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц – от десяти тысяч до двадцати тысяч рублей; на юридических лиц – от пятнадцати тысяч до семидесяти пяти тысяч рублей.
В целом, статья 13.11 КоАП РФ в 2019 году претерпела изменения только в части ввода ответственности за нарушение правил локализации персональных данных граждан РФ. При этом, отдельно в части 9 названной нормы выделено, что повторное совершение данного административного правонарушения – влечет наложение административного штрафа на граждан в размере от пятидесяти тысяч до ста тысяч рублей; на должностных лиц – от пятисот тысяч до восьмисот тысяч рублей; на юридических лиц – от шести миллионов до восемнадцати миллионов рублей.
Таким образом, юридические лица рискуют получить весьма солидные штрафы, если будут пользоваться зарубежными серверами для хранения персональных данных граждан РФ. Что касается ответственности за отсутствие политики конфиденциальности на сайте, она осталась прежней, штраф на юридических лиц составляет – от пятнадцати тысяч до тридцати тысяч рублей. Не стоит пренебрегать данным документом, так как его отсутствие на сайте может повлечь проверки и выявление других более солидных нарушений. Политика конфиденциальности – как правовая визитка в современном цифровом пространстве. Ее отсутствие, а равно, как и публикация безграмотного, не отвечающего современным законодательным реалиям документа, означает, что компания, скорее всего, озадачена только прибылью, но не качеством товаров или услуг. И наоборот, публикация на сайте грамотно выстроенного документа, определяющего политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных – говорит о солидном подходе компании не только к качеству производимых товаров или услуг, но и к законодательным требованиям.
Специалисты компании «IT-Юрист» держат руку на пульсе законодательных изменений и будут информировать своих читателей о возможных правовых нововведениях.