06.08.2018

Сооснователь и совладелец компании URVISTA, Петропольская С. В.

Риски без юриста: использование персональных данных

Личные данные каждого человека охраняются законом, и, начиная с лета прошлого года, мониторинг контролирующих органов в области несанкционированной обработки и использования личных данных (ПД) начал набирать обороты. Согласно действующим нормам законодательства, проверки Роскомнадзора и штрафные санкции могут стать неожиданным “сюрпризом” для любой компании или ИП, а особенно для тех из них, кто осуществляет коммуникации с клиентами, партнерами и иными лицами через интернет. В особой зоне риска интернет-магазины, которые собирают информацию о своих клиентах через электронную форму заказа или оформления доставки товара.

Согласие на обработку ПД  - это важно!

Несанкционированная обработка ПД - это сбор, использование и хранение, например данных о клиентах компании, которые не дали на это свое согласие. Это значит, что на сайте компании, где клиенты могут ввести свои личные данные в форму заказа или обратной связи необходимо спрашивать согласия клиента на обработку его данных каждый раз перед тем, как он собирается использовать форму заказа или иную форму, куда он вводит свои данные. Однако, только галочки в чек-боксе для Роскомнадзора явно недостаточно. С точки зрения законодателя, клиент должен четко представлять себе: как и с какой целью будет использоваться информация о нем, которую он предоставляет. Поэтому, к компаниям и ИП предъявляются следующие требования:

1. Разработка политики конфиденциальности и правил работы с личными данными (данные документы должны быть разработаны в полном соответствии с требованиями законодательства и размещены в публичном доступе таким образом, чтобы клиент мог иметь доступ к ним с любой страницы сайта Вашей компании);
2. Получение согласия в письменной форме или электронного подтверждения согласия клиента на обработку его личных данных при оформлении заказа (при этом запрашивать у клиента лишние сведения, которые не требуются для Вашей работы с ним, категорически запрещается);
3. Создание внутренних документов, устанавливающих правила работы с личными данными и ответственность сотрудников.

Регистрация в реестре Роскомнадзора

Кроме просветительской работы с клиентами и с сотрудниками компании по вопросам защиты информации о личных данных, компания также обязана встать на учет в Роскомнадзоре. Для этого нужно направить в территориальные органы Роскомнадзора соответствующее уведомление, на основании которого информация о Вашей компании будет внесена в госреестр операторов ПД. В некоторых случаях, постановка на учет не является обязательной, однако, в законодательстве о ПД еще слишком много неясностей и правовых коллизий, поэтому в случае проверки Роскомнадзора, будет очень трудно доказать, что Вы фактически не являетесь оператором ПД и не нарушали закон.

Риски нарушения требований законодательства о защите информации

В случае игнорирования требований действующего законодательства о защите информации юрлица, ИП, а также должностные лица и граждане несут риски привлечения к различным видам юридической ответственности, вид и объем которой определяется характером совершенного правонарушения.

Административная ответственность наступает в случаях:

1. когда используются несертифицированные (если они требуют специальной сертификации) базы и банки ПД, информационные системы и средства защиты информации ( штрафные санкции для компании от 20 000 до 25 000 рублей, для ответственных лиц - от 2500 до 3 000 рублей);
2. обработки ПД без оформленного надлежащим образом согласия клиента (штрафные санкции для компании от 15 000 до 75 000 рублей, для  ответственных лиц от 10 000 до 20 000 рублей);
3. нецелевой обработки ПД (штрафные санкции для компании от 30 000 до 50 000 рублей, для  ответственных лиц от 5000 до 10 000 рублей);
4. непредставления клиенту неограниченного доступа к документации о политике обработки ПД (штрафные санкции для компании от 15 000 до 30 000 рублей, для ответственных лиц от 3000 до 6000 рублей);
5. непредставления клиенту сведений об обработке его личных данных (штрафные санкции для компании от 20 000 до 40 000 рублей, для ответственных лиц от 4000 до 6000 рублей);

Уголовная ответственность наступает в случаях:

1. незаконного сбора или распространения личной информации, в том числе, если злоумышленник использовал свое должностное положение (санкции от крупных штрафов, исчисляемых в сотнях тысяч рублей вплоть до лишения свободы);
2. нелегального доступа к  охраняемой цифровой информации, в результате чего произошло ее копирование, искажение или уничтожение (санкции от крупных штрафов до лишения свободы);
3. отказ в предоставлении информации или предоставление ложных сведений, затрагивающих права и интересы физлиц (санкции от крупного штрафа до дисквалификации).

Кроме этого, недовольный клиент, чьи личные данные были неправомерно использованы вправе взыскать с компании убытки и моральный вред в суде. А сотрудники компании, непосредственно нарушившие законодательство о ПД могут быть привлечены к дисциплинарной ответственности в виде объявления выговора или увольнения.