Комментарий Анастасии Сивицкой, советника Orchards, для Право.ru.
Компания нанимает на работу сотрудника — и в этот же момент получает его персональные данные. Небольшой интернет-магазин просит покупателя указать номер телефона для связи с курьером или рекламной рассылки — и это тоже персональные данные. Штрафы за неправильную работу с ними могут достигать сотен тысяч и даже миллионов рублей. Иногда можно ждать и репутационных потерь, и исков от пострадавших. В общем, ни один бизнес не сможет пройти мимо персональных данных. А Роскомнадзор, который следит за соблюдением законодательства в этой сфере, не пройдет мимо нарушений.
С обработкой персональных данных каждая компания начинает сталкиваться с момента ее создания — это сведения о сотрудниках, контрагентах, покупателях. Персональные данные, файлы cookie, big data помогают рекламировать и продвигать товары и услуги. К примеру, компании собирают данные о своих покупателях, чтобы направлять им рекламные рассылки, делать специальные предложения, копить скидки и баллы.
Основной закон, регулирующий обращение с персональными данными, — ФЗ № 152-ФЗ «О персональных данных». Этот документ устанавливает подробные требования к каждому аспекту работы с персональными данными. Их можно разделить на четыре большие группы: сбор, обработка, хранение и защита.
Для сбора персональных данных почти всегда нужно согласие конкретного субъекта, но есть и исключения: например, для работодателей, которые собирают данные сотрудников согласно Трудовому кодексу. Обработка персональных данных происходит всегда в строго обозначенных целях, о которых нужно предупреждать. Например, для почтовой рассылки необходимы только адрес электронной почты и, возможно, имя клиента, но точно не его паспортные данные.
Еще один источник требований — закон «Об информации, информационных технологиях и о защите информации». В целом законодательство запрещает бесконечное хранение такой информации — после использования в определенных целях ее нужно либо удалить, либо обезличить.
Правила защиты персональных данных регламентирует и правительственное Постановление от 01.11.2012 № 1119. В целом задача компании сводится к определению уровня угрозы безопасности и требующегося уровня защиты, выбор мер для защиты и последующая регулярная оценка рисков. Перечень мер по обеспечению безопасности данных при их обработке содержится в приказе Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21.
Какая ответственность: от штрафов до «уголовки»
В основном за нарушение законодательства о персональных данных привлекают к административной ответственности.
Специальная ст. 13.11 КоАП содержит несколько составов:
- за нарушение порядка обработки персональных данных. Например, за обработку в случаях, не предусмотренных законом, или не соответствующую целям сбора данных, либо за обработку без согласия;
- нарушение прав субъектов персональных данных на информацию, а именно за неопубликование в свободном доступе политики в отношении персональных данных, непредоставление информации по запросу, невыполнение требований об уточнении, блокировке, уничтожении данных.
- несоблюдение ряда технических требований, регламентирующих сбор и хранение таких данных, и нарушение порядка взаимодействия с государственными органами.
В начале 2021 года штрафы за большинство нарушений выросли в два раза: теперь от 30 000 до 150 000 руб. за первичное нарушение и до 500 000 руб. за повторное. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем прямых контактов с потенциальным потребителем в отсутствие предварительного согласия субъекта наказывается штрафом от 100 000 до 500 000 руб.
За одно из самых распространенных нарушений — обработку данных без законного основания — штраф составляет от 100 000 до 300 000 руб.
Дороже всего обойдется невыполнение обязанности по локализации персональных данных в России — от 1 млн руб. за первое нарушение до 18 млн руб. за повторное.
Но штрафы это не все. Сайт компании может попасть в «Реестр нарушителей прав субъектов персональных данных» и оказаться заблокирован. Туда по решению суда попадают сайты, содержащие информацию, обрабатываемую с нарушением законодательства о персональных данных. Самый известный пример заблокированного за нарушения сайта — соцсеть LinkedIn, которая из-за этого не работает в России с 2016 года. Она отказалась переносить данные на сервера в России.
Возможна и гражданско-правовая ответственность, ведь пострадавший может обратиться в суд с иском о возмещении убытков и компенсации морального вреда.
В Уголовном кодексе нет специального состава преступления за нарушения при работе с персональными данными. Они могут квалифицироваться как нарушение неприкосновенности частной жизни по ст. 137 УК. По словам советника Orchards Анастасии Сивицкой, такая практика уже формируется применительно к случаям, например, массовых утечек персональных данных.
Эксперт обращает внимание и на ситуации с нарушениями, встречающимися в сфере трудовых отношений. Так, работодателя можно привлечь к материальной ответственности по правилам ст. 90 и ст. 232 Трудового кодекса («Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника», «Обязанность стороны трудового договора возместить ущерб, причиненный ею другой стороне этого договора»). А виновного работника можно привлечь еще и к дисциплинарной ответственности по этим же статьям.
Анастасия Сивицкая указывает на ошибку в виде сбора, обработки и хранения данных в принципе без подписания соглашения об обработке. По словам эксперта, порой такое поведение обусловлено не намерением нарушить закон, а тем, что компания просто не анализирует свою деятельность на предмет фактической обработки персональных данных. «В моей практике был случай, когда организация в ходе своей основной деятельности осуществляла обработку персональных данных в больших объемах, но при этом даже не предполагала, что обрабатывает персональные данные без согласия», — рассказывает юрист.
«Часто у субъектов персональных данных нет доступа к информации о политике обработки персональных данных в организации. Если с такой информацией невозможно беспрепятственно ознакомиться, то это тоже нарушение, за которое организацию могут наказать», — комментирует Анастасия Сивицкая.
Прежде всего необходимо правильно подготовить документы, сопровождающие работу, и разместить их проекты в открытом доступе, советует Сивицкая. Это позволит минимизировать риски требований со стороны Роскомнадзора.
Необходимо постоянно следить за изменениями законодательства о персональных данных, особенно в части требований к взаимодействию с государственными органами. «Эта отрасль законодательства развивается, что обусловлено как мировыми трендами, так и развитием технологий, громкими случаями утечек», — отмечает Сивицкая.
Поскольку в законодательстве есть не только юридические, но и технические требования к работе с персональными данными, имеет смысл обратиться за помощью не только сторонних юристов, но и технических специалистов, советует Сивицкая.