В 2015-2017 годах в законодательстве по персональным данным произошли важные изменения, которые в том числе привели к блокировке нескольких крупных ресурсов, таких как Linkedin.
Я объясню, какие изменения произошли и как они повлияют на организации.
Защита персональных данных: кейс Linkedin и основные изменения
Тема персональных данных в 2016-2017 годах получила новый виток развития во многом в связи с иском Роскомнадзора на Linkedin — в августе суд признал, что Linkedin нарушает права субъектов персональных данных (физических лиц). А именно без согласия на обработку персональных данных собирает и обрабатывает персональные данные физических лиц, которые не зарегистрированы в социальной сети (пользователи интернета, зашедшие на сайт). Именно поэтому дело Linkedin стало показательным: с этого года метаданные, cookies и другие данные о посетителях сайта тоже относятся к персональным данным — их сбор и обработка требуют согласия пользователей. Также социальная сеть нарушила требования по локализации баз персональных данных на территории России, что стало сигналом для всего иностранного бизнеса, работающего на российском рынке. В итоге Linkedin был заблокирован на территории РФ. Скорее всего, это лишь «первая ласточка» среди крупных компаний, и в 2017 году можно ждать и других блокировок. Поэтому стоит быть в курсе изменений законодательства и требуемых законом действий, которые необходимо выполнить операторам персональных данных.
Каких ужесточений стоит по линии персональных данных?
- С 1 июля 2017 года выросли штрафы и количество нарушений, за которые могут оштрафовать. Если раньше юридические лица могли оштрафовать за нарушение законодательства на сумму от 5 до 10 тысяч рублей, то с момента вступления в силу нового Кодекса об административных правонарушениях общая сумма штрафов по разным нарушениям может достигать 300 тысяч рублей. Штрафовать будут за обработку персональных данных без письменного согласия субъекта, невыполнение оператором требований к публикации в открытом доступе документа о его политике обработки персональных данных, непредоставление оператором субъекту информации об обработке его персональных данных, невыполнение оператором требований субъекта об уточнении, блокировке или уничтожении его персональных данных, ненадлежащее хранение (в том числе при помощи электронных носителей) персональных данных, несоблюдение правил по обезличиванию персональных данных.
Например, если у вас на сайте не будет ссылки на согласие или публичную оферту под формой ввода персональных данных, то это может повлечь штраф в размере 50 тысяч рублей, а если ещё не будет и политики в отношении обработки персональных данных на том же сайте, то это добавит ещё 50 тысяч рублей к штрафу.
- Роскомнадзор и суды стали относить данные посетителей сайта к персональным данным. Их позиция отражена в деле Linkedin и Перечне запрашиваемой информации, которую Роскомнадзор высылает проверяемым организациям до проверки. Теперь на сайте нужно размещать дисклеймер о том, что пользователь соглашается на обработку его персональных данных.
- Роскомнадзор получил полномочия заводить административные дела без прокуратуры и выдавать запреты на обработку персональных данных без суда, а также вышел из-под действия закона № 294-ФЗ о защите прав юридических лиц и индивидуальных предпринимателей и получил право проводить проверки, минуя этот закон.
Теперь вы не сможете найти проверки частных организаций по персональным данным в сводном плане проверок прокуратуры, а также права бизнеса при таких проверках могут быть существенно ущемлены.
Кого касается законодательство в области персональных данных и его изменения?
Закон о локализации и Закон «О персональных данных» касаются каждой организации, которая собирает, обрабатывает или хранит персональные данные граждан РФ. Но наибольший риск (если анализировать опыт проверок и статистику судебных дел) имеют следующие компании:
- иностранный бизнес — юридические лица иностранных компаний на территории РФ и иностранные компании, которые без создания юридического лица собирают и обрабатывают персональные граждан РФ через сайт;
- интернет-сервисы, которые обрабатывают в больших количествах (информация более чем о 100 тысячах физических лиц) пользовательские данные или сервисы, где обрабатываются медицинские данные и паспортные данные;
- финансовые организации (банки, лизинговые компании, МФО, МКК и т. д.);
- медицинские организации и телемедицина.
Основные мифы, которым подвержены представители компаний
- «Мы не подавали уведомление в Роскомнадзор и не являемся операторами персональных данных».
Оператором персональных данных является любое юридическое лицо, ИП, государственные и муниципальные органы, которые обрабатывают и ставят цели обработки персональных данных. Подача уведомления является лишь одним из требований для оператора персональных данных.
По статистике Б-152, примерно 50% компаний, которые проверяет Роскомнадзор, подали уведомления о персональных данных, остальные 50% — нет.
- «Мы обрабатываем немного персональных данных, Роскомнадзор к нам не придёт».
От внеплановых и плановых проверок не застрахована ни одна компания. План проверок Роскомнадзора не зависит от объёма персональных данных, которые обрабатывает каждая компания — Роскомнадзор в равной степени проверяет как крупные компании, так и микропредприятия, индивидуальных предпринимателей или представителей малого и среднего бизнеса.
Также на каждую жалобу физического лица на компанию за неправильную или незаконную обработку персональных данных Роскомнадзор должен отреагировать незамедлительно и обратиться за разъяснениями в компанию, на которую написана жалоба. Таких жалоб в прошлом году было подано 33 тысячи, что на 15 тысяч больше, чем в 2015 году.
- «Для выполнения требований закона достаточно подать уведомление, подписать согласия с сотрудниками и издать положение об обработке персональных данных».
Но Роскомнадзор при проверках запрашивает в десятки раз большее количество документов — справки, политики, приказы о назначении и инструкции ответственных лиц, регламенты резервного копирования, перечни информационных систем персональных данных и другую информацию по более чем 60 пунктам.
Какие требования законодательства необходимо выполнить, чтобы избежать санкций Роскомнадзора?
1) Иметь в наличии актуальный пакет документов: приказы, положения, согласия, регламенты, инструкции, перечни, акты. В среднем 30 документов.
Эти документы должны отражать то, как в действительности обрабатываются и защищаются персональные данные в организации.
2) Уведомить Роскомнадзор об обработке персональных данных, не забыв указать адрес месторасположение баз персональных данных. Необходимо подать уведомление, попасть в реестр операторов персональных данных, а также в десятидневный срок актуализировать данные, если они стали неактуальными.
3) Локализовать базы персональных данных на территории РФ.
4) Назначить в компании ответственных за обеспечение безопасности персональных данных и издать соответствующий приказ.
5) Обеспечить защиту персональных данных в соответствии с установленным законом уровнем защищённости для каждой категории данных.
Роскомнадзор проверяет первые четыре пункта, последний проверяет ФСТЭК России и ФСБ России, а их проверки коммерческих организаций можно посчитать по пальцам.
Что делать дальше: рекомендации для юридических лиц
Законодательству о защите персональных данных уже почти 11 лет, оно постоянно меняется, возрастают суммы и количество штрафов. Это происходит не только в России, но и во всем мире. Наше законодательство напрямую зависит от европейского, которое кардинальным образом изменится в 2018 году. Поэтому необходимо уделять серьёзное внимание обновлению законодательства и соблюдению всех его требований.
Какие рекомендации можно дать?
- Не забывать разместить на сайте политику обработки персональных данных, а также поставить дисклеймер на сайте.
- Готовиться к проверкам заранее: подготовьте список документов, которые запрашивает Роскомнадзор, проведите анализ существующих документов по персональным данным, актуальны ли они.
- Иметь под рукой примеры получения согласий правильного образца и эксперта, который сможет оценить, насколько ваши документы соответствуют требованиям законодательства.
- Отвечать на запросы физических лиц по персональным данным (а не дожидаться, пока они пожалуются в Роскомнадзор).
- В случае проверки сотрудничать с представителями Роскомнадзора, оперативно предоставлять информацию по их запросам, а также стараться устранить выявленные нарушения как можно скорее.