Персональные данные. Как избежать ответственности по новым правилам?

Автор: Олег Ефимов

С 1 июля 2017 года в части персональных данных ничего на самом деле не изменилось, изменилась лишь мера ответственности, предусмотренная статьей 13.11. КоАП РФ.

Если раньше гражданина могли привлечь к штрафу от 300 до 500 рублей, должностное лицо — от 500 до 1000 рублей, а юридическое лицо — от 5 000 до 10 000 рублей по одному составу, то с 1 июля 2017 года гражданам уже грозит штраф по шести составам на сумму от 7 400 до 15 500 рублей, должностным лицам — от 30 000 до 62 000 рублей, юридическим лицам — от 130 000 до 285 000 рублей. При этом, если вы являетесь индивидуальным предпринимателем, то размер штрафа для вас может составить от 39 000 до 73 000 рублей.

Тем самым нам понятно, что государство преследует  свои цели, а наша цель  — эти штрафы избежать.


1. Что до части 1 статьи 13.11 КоАП РФ, то еще с 2006 года статьей 22 Федерального закона «О персональных данных» была установлена обязанность оператора персональных данных до начала обработки уведомить об этом уполномоченный орган по защите прав субъектов персональных данных, то есть Роскомнадзор. Понятное дело, что должны-то должны, но фактически мало кто это сделал своевременно.

Подать такое уведомление проще простого, можно заполнить форму на сайте Роскомнадзора, либо направить им такое уведомление по старинке Почтой России. Поскольку оба способа по отдельности как-то не особо внушают доверия, то я бы на вашем месте использовал оба способа одновременно.

В некоторых случаях, вы такое уведомление не обязаны подавать и они указаны в части 2 статьи 22 152-ФЗ.


2. Если на вашем интернет-сайте есть форма обратной связи, то в ней следует разместить ссылку на текст согласия на обработку персональных данных и предусмотреть наличие галочки, без проставления которой невозможно отправить вам сообщение.

Если на вашем интернет-сайте предусмотрена регистрация, мы предлагаем заменить согласие на пользовательское соглашение, то есть публичную оферту с разделом об обработке персональных данных. Таким образом, пользователь, регистрируясь на сайте, выражает акцепт условий пользовательского соглашения и согласия на обработку персональных данных.

Выполнив вышеуказанные требования, вы избегаете наложение штрафа, предусмотренного частью 2 статьи 13.11 КоАП РФ.


3. Чтобы избежать штрафа, предусмотренного частью 3 статьи 13.11 КоАП РФ, вам следует, как говорится в законе, «обеспечить неограниченный доступ» посетителей сайта к политике в отношении обработки персональных данных.

Если говорить проще, то вам следует разместить ссылку на политику конфиденциальности в так называемом подвале сайта.


4. Дабы вас не привлекли к ответственности, предусмотренной частям 4 и 5 статьи 13.11 КоАП РФ, вам просто придется отвечать на запросы граждан и Роскомнадзора. Просто-то оно просто, но как бы количество таких запросов не потребовало бы найма специального человека, занятого исключительно ответами на эти самые запросы.


5. А чтобы обезопасить себя от штрафа последней для нас части 6 статьи 13.11 КоАП РФ, вам уже придется выполнить целый ряд условий, предусмотренных статьями 18.1 и 19 ФЗ-152.

Вы самостоятельно определяете состав и перечень мер, необходимых и достаточных для исполнения требований закона. При этом по запросу Роскомнадзора перед началом проверки вы в течение 30 дней обязаны представить последнему документы и локальные акты, подтверждающие соблюдение вами правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

Если говорить проще, то у вас в наличии должен быть достаточно большой пакет документов, который по требованию Роскомнадзора вы ему обязаны предоставить. Кстати, Роскомнадзор проверку может провести не только согласно плану проверки, но и по заявлению любого гражданина, в том числе и представляющего интересы вашего конкурента.


Если после прочтения нашего FAQ по персональным данным вы все же пришли  к неутешительному выводу, что вы или ваша компания являетесь оператором персональных данных, то перед вами встает вопрос «а что делать?».

Вариантов y Вас на самом деле несколько:

I. Пакет «Старт».

В стартовый пакет включается разработка политики в отношении обработки персональных данных и соглашения на обработку персональных данных для сайта, а также подача в Роскомнадзор уведомления о начале обработки персональных данных.


II. Пакет «Базовый».

В базовый пакет входит полный пакет организационно-распорядительной документации необходимой для соблюдения требований Федерального Закона № 152 «О персональных данных», а также подача электронного уведомления об обработке (о намерении осуществлять обработку) персональных данных в Роскомнадзор. Данный пакет не предусматривает анализ сайта и бизнес-процессов, пакет составляется на основе опросного листа. В пакет включаются следующие документы:

  • Приказа об организации работы с персональными данными;
  • Положения о комиссии по организации работы с персональными данными и внутреннему контролю соответствия обработки персональных данных требованиям к защите персональных данных;
  • Формы плана проведения внутренней проверки;
  • Формы акта контроля соответствия обработки персональных данных;
  • Состава комиссии по обработке персональных данных;
  • Плана мероприятий по приведению в соответствие с требованиями законодательства в области персональных данных;
  • Приказа об утверждении локальных нормативных актов в области защиты персональных данных;
  • Политики организации в отношении обработки персональных данных;
  • Инструкции ответственных за обеспечение безопасности и организацию обработки персональных данных;
  • Инструкции по рассмотрению обращений субъектов персональных данных, их законных представителей, запросов уполномоченного органа по защите прав субъектов персональных данных;
  • Таблицу действий в ответ на обращения субъектов персональных данных, их законных представителей, запросов уполномоченного органа по защите прав субъектов персональных данных;
  • Журнал учета обращений субъектов персональных данных, их законных представителей, запросов уполномоченного органа по защите прав субъектов персональных данных;
  • Формы уведомления субъекта об устранении неправомерных действий с его персональными данными;
  • Формы уведомления субъекта об отказе внесения изменений в персональные данные субъекта;
  • Формы уведомления органа по защите прав субъектов персональных данных;
  • Инструкции по порядку уничтожения и обезличивания персональных данных субъектов персональных данных
  • Форму акта уничтожения персональных данных;
  • Инструкции по резервному копированию персональных данных;
  • Формы листа ознакомления с требованиями законодательства в области защиты персональных данных;
  • Формы обязательства о неразглашении персональных данных;
  • Формы поручения на обработку персональных данных;
  • Формы согласия на обработку персональных данных;
  • Приказа об утверждении перечня лиц, обрабатывающих персональные данные, мест хранения материальных носителей персональных данных, инструкции по допуску работников к обработке персональных данных, порядку доступа в помещения в которых ведется обработка персональных данных;
  • Перечня лиц, обрабатывающих персональные данные;
  • Перечня мест хранения персональных данных;
  • Перечня обрабатываемых персональных данных;
  • Инструкции по допуску работников к обработке персональных данных.

III.  Пакет «Бизнес».

Бизнес пакет предполагает разработку пакета организационно-распорядительной документации с учетом особенностей вашего бизнеса после детального его анализа. В стоимость также включены консультации и правовая поддержка на время внедрения разработанного пакета документов в структуру вашего бизнеса и в течение года после внедрения.


IV. Пакет «Максимум».

Максимальный пакет в дополнение к бизнес пакету включает консультации и правовую поддержку в течение года, а также в прохождении проверки Роскомнадзора.


Заказать услугу