Cоблюдаете ли вы требования к хранению персональных данных на сайте?

С 1 июля, если вы собираете данные пользователей на своём сайте, он должен соответствовать целому ряду требований Роскомнадзора. Разберем на примерах, что это за требования и почему их обязательно нужно выполнять.

Рекомендации по выполнению требований законодательства о персональных данных на сайтах

1. До 1 июля 2017 года при заходе на ваш сайт посетитель должен увидеть уведомление, в котором будет ясно написано, что его персональные данные обрабатываются на данном сайте в целях его функционирования, и если он не согласен на обработку, то может покинуть сайт. Если посетитель это прочитал и не ушёл, значит, он согласен на обработку своих персональных данных.

2. Мы уже писали, что персональные данные надо хранить в России. Чтобы у вас не было проблем с российским законодательством, свой сайт лучше создать на территории РФ. Также узнайте у технической поддержки хостинг-провайдера или ЦОДа точный адрес расположения вашего сервера. Эта информация может понадобиться для проверок Роскомнадзора.

3. На вашем сайте должны быть указаны контактные данные для связи с администратором сайта. Укажите адрес электронной почты, по которому посетитель может обратиться с любым вопросом, в том числе и по обработке персональных данных, их изменению и удалению. 

4. Вам как владельцу сайта надо будет утвердить своим приказом Политику в отношении обработки персональных данных и разместить её в своем офисе или месте проживания, на своем сайте и в мобильном приложении своего сайта так, чтобы она была видна всем посетителям. Обычно она публикуется в нижней части сайта гиперссылкой на отдельную страничку. Но это не тот документ, с которым регистрирующийся посетитель соглашается при заполнении формы. Тот называется Соглашение об обработке персональных данных, и его также необходимо подготовить и опубликовать, чтобы при регистрации посетитель его видел. 

5. Давайте более подробно поговорим про размещение документа под названием «Согласие на обработку персональных данных». Под каждой формой ввода данных на сайте, а также и в мобильном приложении, необходимо будет разместить текст примерно такого содержания «Нажимая на кнопку ВВЕСТИ, я выражаю свое согласие на обработку своих персональных данных», где слова «согласие на обработку персональных данных» будут ссылкой на сам документ. 

6. Вам необходимо подать в Роскомнадзор уведомление об обработке персональных данных посредством заполнения этих форм. Все поля обязательны к заполнению. И, что важно, каждый раз, когда у вас что-то меняется (категории персональных данных, лицо, ведущее обработку персональных данных) необходимо повторно информировать об этом Роскомнадзор через эти формы. Роскомнадзор опубликовал образцы заполнения данных форм.

7. Если вы не хотите больше обрабатывать персональные данные, то вам необходимо направить в территориальный орган Роскомнадзора заявление об исключении из Реестра операторов, осуществляющих обработку персональных данных. Это надо сделать в течение десяти рабочих дней после завершения обработки, вот пример такого заявления: http://76.rkn.gov.ru/docs/76/Zajavlenie_ob_iskljuchenii.doc. Также такое заявление можно подать в электронном виде на сайте https://www.gosuslugi.ru/16900/3

После подачи заявления персональные данные должны быть уничтожены. Порядок уничтожения персональных данных определяется оператором самостоятельно. Можно составить акт об уничтожении персональных данных или сделать запись в специальном журнале. 

8. Запросите у вашего ЦОД и хостера документы, дающие гарантию, что персональные данные находятся под защитой. Эти документы могут вам понадобиться при проверке.

9. Подготовьте документы, которые будут подтверждать, что вы сами принимаете меры по обеспечению безопасности персональных данных, осуществляете внутренний контроль и аудит, оцениваете вред, который может быть причинен в случае нарушений. Обязательно обозначьте уровень защищенности персональных данных и определите тип актуальных угроз. Подробнее здесь. Кстати, на некоторых сайтах за вознаграждение можно заказать весь пакет необходимых документов.  

10. Помните, что у людей, персональные данные которых вы обрабатываете, есть право затребовать у вас информацию о том, какие именно их персональные данные, как, сколько по времени, кем и в каких целях используются и др. Разработайте заранее форму ответа. Необходимо отвечать в течение 30 дней. 

11. Подумайте, необходима ли вам вообще форма обратной связи с персональными данными на сайте. Может быть, не очень?

Свои вопросы по правилам хранения персональных данных вы можете задать юристу: legal4advice@gmail.com

Если вы думаете, что вас не коснутся изменения законодательства

Судебная практика по делам по ст. 13.11 КоАП РФ «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)»

Здесь мы собрали наиболее типичные случаи из судебной практики первой половины 2017 года по ст. 13.11 КоАП РФ «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)». Проанализируем, за что именно наказывали по данной статье, и какие виды наказаний применялись чаще всего.

Наиболее часто административные дела по нарушению порядка обработки персональных данных возбуждали после проверок интернет-сайтов, на которых отсутствовало согласие на обработку персональных данных, а также не была опубликована политика в отношении обработки  персональных данных.

Дело №1.

Интернет-сайт муниципального казённого общеобразовательного учреждения средняя общеобразовательная школа с. Мугреевский в Ивановской области осуществлял обработку персональных данных пользователей без их согласия на нее. Кроме того, на нём не был опубликован документ, определявший его политику в отношении обработки персональных данных. Суд вынес постановление о признании МКОУСОШ с. Мугреевский, Южского района, Ивановской области (то есть, всего юридического лица, а не его руководителя) виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, и назначил ему наказание в виде предупреждения. Более подробно о деле.

Дело №2.

В городе Петухово Курганской области на интернет-сайте МБОУ «Октябрьская средняя общеобразовательная школа» при переходе по ссылке «Обратная связь» пользователи могли отправить сообщение, при этом происходил сбор определенной информации о гражданине: его имени и emаil. Обработка персональных данных  субъекта происходила без согласия на неё. Кроме того, на сайте не был опубликован документ, определявший его политику в отношении обработки персональных данных. Судья постановил привлечь данное юридическое лицо к административной ответственности по ст.13.11 КоАП РФ и назначить административное наказание в виде предупреждения. Более подробно о деле.

Дело №3.

Индивидуальный предприниматель из Уфы не принял меры по размещению на своем сайте документа, определяющего политику в отношении обработки персональных данных, а также сведений о реализуемых требованиях к их защите. Суд решил признать виновным этого индивидуального предпринимателя в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП, и назначить ему наказание в виде предупреждения. Более подробно о деле

Дела по данной статье возбуждают не только в отношении физических или юридических лиц и индивидуальных предпринимателей, но и в отношении должностных лиц.

Дело №4.

Глава администрации одного из городских поселений в Ленинградской области не обеспечил публикацию администрацией документа, определяющего политику администрации в отношении обработки персональных данных, а также возможность доступа граждан к этому документу с использованием средств соответствующей информационно-телекоммуникационной сети. Судья постановил признать главу администрации городского поселения виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, и назначить ему административное наказание в виде административного штрафа с перечислением в соответствующий бюджет. Более подробно о деле

Второй тип правонарушения по данной статье – оператор персональных данных не уведомил уполномоченный орган по защите прав субъектов персональных данных (то есть, Роскомнадзор) о своем намерении осуществлять обработку персональных данных.

Дело №5.

Директор общества с ограниченной ответственностью из города Октябрьска Самарской области, осуществляя обработку персональных данных физических лиц, в том числе индивидуальных предпринимателей, а именно: сбор, запись, хранение, извлечение, передачу персональных данных, не уведомил уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку. В реестре операторов, обрабатывающих персональные данные, размещенном на официальном сайте Роскомнадзора, сведения о данном ООО отсутствовали. Судья постановил признать виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП, директора общества с ограниченной ответственностью и назначить ему наказание в виде предупреждения. Более подробно о деле.

Дело №6.

Должностное лицо в Самаре допустило нарушение требований ст.ст. 18.1,22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в части не направления уведомления об обработке персональных данных в уполномоченный орган. В реестре операторов обработки персональных данных сведения о таком операторе отсутствовали. Судья постановил привлечь данное должностное  лицо к административной ответственности, предусмотренной ст. 13.11 КоАП РФ и подвергнуть наказанию в виде административного штрафа в размере 500 (пятьсот) рублей. Более подробно о деле

Также административные дела возбуждают, когда оператор персональных данных заведомо уведомил Роскомнадзор о своем намерении обрабатывать персональные данные через сайт, но при изменении сведений об обработке персональных данных (например, сначала эти данные обрабатывал один человек , а потом другой) не сообщил об этом в Роскомнадзор.

Дело №7.

Учебное заведение в Самаре осуществляло деятельность, связанную с обработкой персональных данных обучающихся. В ходе проведения проверки было установлено, что в реестре операторов, осуществляющих обработку персональных данных значится МБУ ДО «ЦВР «Крылатый» г.о. Самара. Но в реестре операторов персональных данных лицом, ответственным за обработку персональных данных по состоянию на дату внесения записи в реестр, значился один сотрудник. Вместе с тем, приказом директора МБУ ДО «ЦВР «Крылатый» г.о. Самара ответственным за обработку персональных данных был назначен другой сотрудник. Таким образом, МБУ ДО «ЦВР «Крылатый» г.о. Самара не были соблюдены положения ст. 22 Федерального закона «О персональных данных» в части ненаправления уведомления об изменениях сведений об обработке персональных данных в уполномоченный орган. Суд постановил признать МБУ ДО «Центр внешкольной работы «Крылатый»  виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, и назначить наказание в виде предупреждения. Более подробно о деле

Дело №8.

Также в Самаре и.о. директора детской школы искусств (школа искусств значилась в реестре операторов, осуществляющих обработку персональных данных), не направила уведомление об изменении сведений об обработке персональных данных в уполномоченный орган, когда приказом директора был назначен другой ответственный за обработку персональных данных. Суд постановил признать детскую школу искусств виновной в совершении административного правонарушения, предусмотренного ст.13.11 КоАП РФ, и назначить наказание в виде штрафа в размере 5000 рублей. Более подробно о деле

Еще один вид нарушения по ст. 13.11 КоАП состоит в том, что руководитель организации не разработал внутренний пакет документов по обработке персональных данных.

Дело №9.

В городе Северодвинске Архангельской области директор предприятия не издал приказ о назначении лица, ответственного за организацию обработки персональных данных, не разработал и не утвердил локальные акты по вопросам обработки персональных данных, не ознакомил работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, не произвел обучение указанных работников, внутренний контроль и (или) аудит соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных не осуществлял.

В итоге суд постановил признать директора предприятия виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, и назначить ему наказание в виде предупреждения. Более подробно о деле.

Дело №10.

В Чаунском районе Чукотского автономного округа произошла похожая ситуация. Директор (должностное лицо) совершил административное правонарушение, нарушил установленный законом порядок сбора, хранения, использования или распространения информации о гражданах (персональных данных). В ходе проверки было установлено, что в организации отсутствуют документы, определяющие политику в отношении обработки персональных данных, локальные акты, касающиеся обработки таких данных, а также устанавливающие процедуры по предотвращению и выявлению нарушений законодательства РФ, устранению последствий таких нарушений. Суд постановил признать директора виновным в совершении административного правонарушения (по ст. 13.11 КоАП РФ) и назначить ему наказание в виде предупреждения. Подробно о деле

Незнание закона не освобождает от ответственности.

Дело №11. 

Председатель правления жилищно-строительного кооператива в Самаре нарушил порядок сбора, хранения, использования или распространения информации о гражданах (персональных данных). В ходе судебного заседания он пояснил, что исполняет обязанности председателя более года. О необходимости ведения документации он не знал, так как документация в ЖСК никогда не велась, а юридического образования он не имеет. Обещал в ближайшее время устранить недостатки и полагал, что в данной ситуации вины за ним нет. Суд постановил привлечь председателя правления данного ЖСК к административной ответственности, предусмотренной ст. 13.11 КоАП РФ, и подвергнуть наказанию в виде административного штрафа в размере 500 (пятьсот) рублей. Более подробно о деле.  

Как мы видим из приведенных выше дел из реальной судебной практики, в качестве меры ответственности в большинстве случаев было вынесено предупреждение. Это значит, что если правонарушение в сфере персональных данных совершено лицом впервые в течение года, то судья может (но не обязан!) освободить данное лицо от штрафа и вынести официальное порицание (то есть, предупреждение по ст. 3.4 КоАП РФ).

Как Роскомнадзор проводит проверки по закону о персональных данных

До недавнего времени Роскомнадзор проводил проверки деятельности компаний в сфере соблюдения законодательства о персональных данных в соответствии с Федеральным законом "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" от 26.12.2008 N 294-ФЗ .

Согласно этому закону плановые проверки нельзя было проводить чаще, чем один раз в три года (ч. 2 ст. 9 закона «О защите прав юридических лиц и индивидуальных предпринимателей…»). При этом Роскомнадзор действовал на основании плана проверок, который в обязательном порядке сноачала направлялся на согласование в органы прокураторы (ч. 3,ч. 6 ст. 9 закона «О защите прав юридических лиц и индивидуальных предпринимателей…»).

С момента вступления в силу 1 сентября 2015 года Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» от 21.07.2014 N 242-ФЗ Роскомнадзор получил право проводить проверки без таких ограничений и без соблюдения сроков проверок в количестве 20 рабочих дней (ст. 13 закона «О защите прав юридических лиц и индивидуальных предпринимателей…»). На практике иногда получалось, что Роскомнадзор мог провести проверку соблюдения компанией требований по обработке персональных данных в любой момент, по любому поводу и любой длительности. 

Сейчас Роскомнадзор обязан направить материалы по итогам проверок в органы прокуратуры для принятия мер прокурорского реагирования. После 1 июля 2017 года при выявлении нарушений Роскомнадзор будет иметь право самостоятельно составлять протоколы об административных правонарушениях по новой редакции статьи 13.11 КоАП и обращаться в суд, минуя органы прокуратуры. 

Срок привлечения к ответственности нарушителя останется прежний, это три месяца со дня совершения административного правонарушения (дата, если она точно установлена,  фиксируется в протоколе об административном правонарушении). Также ждем регламента проведения проверок Роскомнадзора по выявлению нарушений исполнения закона «О персональных данных», который на сегодняшний момент еще не утвержден и не вступил в силу. В нем будет детально прописан алгоритм проведения таких проверок.

Анастасия Ефимова
Координатор волонтеров, лагерей и спец.проектов «Старость в радость»

«Старость в радость» быстро обросла партнерами. Помощь старикам – тема, интересующая многие благотворительные фонды. Наши партнеры помогают не только средствами, но и делятся экспертным мнением о ситуации в учреждениях для престарелых.