За счет большого общественного резонанса эти поправки стали восприниматься как революционное событие, кардинально меняющее существующий порядок работы с персональными данными.

Роскомнадзор на страже

По мнению юристов, ничего революционного не произошло, однако существенные изменения все же есть: законодатель вместо одного ранее существовавшего состава административного правонарушения в области охраны персональных данных (предусмотренного ст. 13.11 КоАП РФ) ввел семь составов, а также поднял размеры штрафов.

«Персональные данные» определены в ч. 1 ст. 3 № 152-ФЗ, как любая информация, относящаяся прямо или косвенно к определенному, или определяемому физическому лицу (субъекту персональных данных). То есть персональными данными будет являться только та информация, объем которой позволяет идентифицировать субъекта, а если такого недостаточно, то такая информация не является персональными данными.

Так, при регистрации на сайте пользователь создает вымышленный никнейм – этот никнейм не будет персональными данными, поскольку с его помощью невозможно установить конкретное физическое лицо.

Но если управляющая компания вывесит списки должников по оплате коммунальных услуг, указав лишь номер дома, номер квартиры и суммы долга, но не указав ФИО должника, то такая информация будет являться персональными данными, поскольку совокупность такой информации будет достаточно жильцам этого же дома для идентификации должников.

Возвращаясь к вопросу об усилении наказания, важно пояснить: раньше (независимо от того, сколько действий, нарушающих закон о персональных данных, было совершено) нарушителя ждало одно наказание с символическим штрафом. Сейчас практически за каждое деяние предусмотрен свой состав, причем сумма штрафов не является символической.

Кроме того, раньше административные дела по данной статье возбуждали органы прокуратуры, теперь такие дела рассматривает Роскомнадзор.

Цели обработки данных

Рассмотрим подробнее законодательные изменения. В первом пункте статьи 13.11 КоАП РФ говорится об обработке персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработке персональных данных, несовместимой с целями сбора персональных данных.

Существенным аспектом для правильного правоприменения данного пункта будет являться вопрос о том, кто определяет цель сбора персональных данных. По смыслу п. 2 ст. 3 152-ФЗ «О персональных данных» оператор персональных данных самостоятельно определяет цель сбора персональных данных.

При обработке персональных данных оператор по требованию субъекта должен предоставить информацию о целях обработки персональных данных и ее правовое основание (ч. 7 ст. 14 N 152-ФЗ). Правовым основанием обработки является как раз закон «О персональных данных».

Таким образом, оператор должен исчерпывающим образом определять в работе с персональными данными цели обработки. Контролирующий орган должен учитывать цели сбора персональных данных, обозначенные оператором.

Роскомнадзор не может исключительно на свое усмотрение определить, соответствует ли сбор персональных данных в конкретной ситуации требованиям закона или нет, без учета положений политики оператора.

Санкция: нарушение данного пункта влечет предупреждение или наложение административного штрафа на граждан в размере от тысячи до трех тысяч рублей; на должностных лиц – от 5 до 10 тыс. рублей; на юридических лиц – от 30 до 50 тыс. рублей.

Согласие в письменной форме

Согласно ч. 4 ст. 9 закона «О персональных данных» согласие субъекта персональных данных в письменной форме должно содержать:

● фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

● фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

● наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

● цель обработки персональных данных;

● перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

● наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

● перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

● срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

● подпись субъекта персональных данных.

Когда согласие не требуется?

В ряде случаев закон о персональных данных допускает обработку персональных данных без согласия субъекта персональных данных. Перечень таких случаев содержится в ч. 2 ст. 6 закона «О персональных данных». Согласия субъекта персональных данных не требуется в следующих случаях:

– обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

– обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

– обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

– обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

– обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

– обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

– осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих госдолжности, должности госслужбы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Требования к оператору

В соответствии с ч. 1 и 7 ст. 14 закона о персональных данных субъект персональных данных вправе требовать от оператора предоставления информации о порядке обработки персональных данных. К такой информации относится:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим ФЗ или другими федеральными законами.

Уточнение персональных данных

Также в законе речь идет о невыполнении оператором требования субъекта об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными.

Согласно ч. 1-3 ст. 21 закона при обращении субъекта персональных данных или по запросу Роскомнадзора оператор обязан осуществить блокирование персональных данных, с момента получения указанного запроса.

В случае подтверждения факта неточности персональных данных оператор в течение 7 рабочих дней со дня представления таких сведений уточняет данные и снимает блокировку.

В случае выявления неправомерной обработки персональных данных, осуществляемой оператором, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных. Ответственность по данной статье наступает только при неисполнении требований субъекта персональных данных, а не Роскомнадзора.

Санкция: предупреждение или наложение административного штрафа на граждан в размере от тысячи до 2 тыс. рублей; на должностных лиц – от 4 тысяч до 10 тыс. рублей; на индивидуальных предпринимателей – от 10 до 20 тыс. рублей; на юридических лиц – от 25 до 45 тыс. рублей.

Ответственность чиновников

Заключительная часть ст. 13.11 КоАП РФ предусматривает административную ответственность за невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных.

Под «обезличиванием персональных данных» закон о персональных данных понимает действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Поскольку государственные и муниципальные органы являются фактически основным оператором персональных данных, то введение такой статьи дает дополнительную гарантию, повышает ответственность чиновников за сохранность персональных данных и уверенность граждан в конфиденциальности сведений о них.

Санкция: предупреждение или наложение административного штрафа на должностных лиц в размере от трех до шести тысяч рублей.

Инна Панкова, фото из открытых источников