Вход Регистрация
Подписка

Работаем с персональными данными по-новому

18.08.2017

С 1 июля 2017 года вступают в силу изменения, касающиеся усиления ответственности за нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон о персональных данных»). За счет бурного муссирования и панического ажиотажа, созданного СМИ, данные поправки стали восприниматься как некое революционное событие, радикально меняющее существующий порядок работы с персональными данными. Попробуем разобраться в том, что подразумевают поправки

Между тем — ничего сверхъестественного и революционного, все происходит в лучших национальных традициях. Отечественный законодатель в очередной раз продемонстрировал свои ярчайшие особенности правотворчества: казуистичность, которая царит в отечественном праве со времен Русской Правды (сборника правовых норм Киевской Руси, датированного различными годами, начиная с 1016-го. — Ред.), и страсть к повышению штрафов. То есть законодатель вместо одного ранее существовавшего состава административного правонарушения в области охраны персональных данных, предусмотренного ст. 13.11 КоАП РФ, ввел семь составов, а также поднял размеры штрафов.

В остальном ничего не изменилось, Закон о персональных данных существует уже десять лет, и никаких принципиальных новшеств, кроме увеличения карательных мер, в него не было внесено, отсюда можно сделать вывод, что паника надумана и раздута.

Важно отметить, что Закон о персональных данных — яркое проявление жанра этатического позитивизма в праве. Представители данного жанра известны тем, что тщательно пытаются залезть в самые укромные уголки частной жизни граждан. Так, Законом о персональных данных государство декларирует, что оно имеет лучшее представление о том, как гражданину пользоваться своими персональными данными.

У многих представителей общественности, в том числе профессионального сообщества, существует ряд претензий к качеству юридической техники Закона о персональных данных. Безусловно, Закон сложный, точнее, он плохо сформулирован, однако если толковать его телеологически с учетом вышеозвученной этатической идеи, то становится немного легче, но низкое качество герменевтики, в частности неуклюжесть формулировок, все же напоминает общение с малолетним ребенком, который говорит неразборчиво и путано, но при определенных усилиях смысл понять можно.

Гражданам, не имеющим юридической сноровки, эти нормативные акты покажутся интеллектуальной пыткой, но для юриста, особенно практикующего в сфере информационного права, такие законы должны быть истинным наслаждением, поскольку только подобные правовые шарады позволяют оттачивать свое мастерство. Поэтому для использования такой правовой субстанции, как Закон о персональных данных, требуются хорошая правовая креативность, некоторая прозорливость и изворотливость, ибо работать с ним увлекательно по обе стороны баррикад.

Возвращаясь к вопросу расширения составов правонарушений в сфере персональных данных, важно понимать, что цель такого расширения видится исключительно в фискально-карательном ракурсе, то есть, если раньше независимо от того, сколько действий, нарушающих Закон о персональных данных, было совершено, нарушителя ждало одно наказание с символическим штрафом, то сейчас практически за каждое деяние предусмотрен свой состав. Иначе говоря, сколько действий — столько и штрафов, причем сумма штрафов уже не кажется символической.

Кроме того, если раньше административные дела по данной статье возбуждали органы Прокуратуры, которым было не до таких мелочей (в их понимании), как персональные данные, то теперь данные дела рассматривает Роскомнадзор, для которого такой институт, как персональные данные, является привычным, и составить лишний протокол с привлекательным штрафным обеспечением будет для сотрудника Рос­комнадзора искушением, от которого крайне трудно отказаться.

Рассмотрим те составы, которые наиболее актуальны для банковского сектора, и дадим соответствующий комментарий.

В п. 1 ст. 13.11 КоАП РФ говорится об обработке персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо об обработке персональных данных, не совместимой с целями сбора персональных данных.

Существенным аспектом для правильного правоприменения данного пункта будет вопрос о том, кто определяет цель сбора персональных данных. По смыслу, необходимо учитывать, что, согласно п. 2 ст. 3 Закона о персональных данных, оператор персональных данных самостоятельно определяет цель их сбора. При обработке персональных данных оператор по требованию субъекта персональных данных должен предоставить информацию о целях обработки этих данных и правовое основание этого действия (ч. 7 ст. 14 Закона о персональных данных). Правовым основанием обработки, как это ни комично звучит, является как раз Закон о персональных данных.

Таким образом, банк, будучи оператором, должен исчерпывающим образом определять в соответствующей политике работы с персональными данными цели обработки. К таким целям могут относиться: оказание соответствующих финансовых услуг, информирование, в том числе рекламное, субъекта персональных данных о банковских продуктах и продуктах партнеров, контроль качества обслуживания и т.д.

Соответственно контролирующий орган, рассматривая дела по данному составу, должен учитывать цели сбора персональных данных, обозначенные оператором, то есть Роскомнадзор не может исключительно на свое усмотрение определить, соответствует ли сбор персональных данных в конкретной ситуации требованиям Закона, без учета положений политики оператора.

 

Санкция: нарушение данного пункта влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от тридцати тысяч до пятидесяти тысяч рублей.

 

Вторая часть ст. 13.11 КоАП касается обработки персональных данных без согласия в письменной форме субъекта персональных данных на их обработку либо обработки персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме.

В ряде случаев Закон о персональных данных допускает обработку персональных данных без согласия субъекта персональных данных, перечень таких случаев содержится в ч. 2 ст. 6 Закона о персональных данных. Один из случаев, когда не требуется согласия субъекта персональных данных, гласит: обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных. Данный пункт говорит о том, что субъект персональных данных, заключая, например, кредитный договор, автоматически дает банку согласие на обработку своих персональных данных в объеме, необходимом для исполнения договора.

При этом, если субъект персональных данных только подает заявку на получение кредита, то есть между ним и банком идут переговоры о заключении договора, то в такой ситуации необходимо получение согласия на обработку персональных данных.

Также, говоря о получении согласия субъекта на обработку его персональных данных сайтом, необходимо учитывать неоднократные разъяснения Роскомнадзора, согласно которым при заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в Интернете критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных, является электронная цифровая подпись.

То есть, если вы предоставляете различные услуги или продаете товары в Интернете, то для соблюдения требований Закона о персональных данных вам необходимо для обработки персональных данных указывать, что, используя сервисы сайта, субъект персональных данных дает свое согласие на обработку персональных данных в порядке, определяемом оператором. Как указывалось выше, оператор определяет, что такие действия могут быть совершены заполнением соответствующей вэб-формы, конклюдентными действиями или акцептованием пользовательского соглашения.

 

Санкция: нарушение данного пункта влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от пятнадцати тысяч до семидесяти пяти тысяч рублей.

 

В третьей части комментируемой статьи говорится о невыполнении оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных.

Согласно ч. 2 ст. 18 Закона о персональных данных оператор обязан опубликовать документ или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

Продолжая говорить в плоскости Интернета, мы приходим к однозначному выводу, что банк — владелец сайта должен опубликовать на этом сайте соответствующую политику обработки персональных данных. Размесить он ее может в любом разделе сайта, главное — чтобы пользователь имел доступ к этой информации при взаимодействии с сайтом. При этом старайтесь избегать типовых политик, которые могут за счет своей абстрактности создавать контролирующим органам дополнительные поводы для претензий. Разработайте свою индивидуальную политику, наиболее точно отражающую суть и порядок работы пользователей с вашим банковским сервисом.

 

Санкция: за нарушение данной нормы предусмотрено предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц — от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от пятнадцати тысяч до тридцати тысяч рублей.

 

Четвертая часть ст. 13.11 КоАП предусматривает ответственность оператора за невыполнение обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.

В соответствии с ч. 1, 7 ст. 14 Закона о персональных данных субъект персональных данных вправе требовать от оператора предоставления информации о порядке обработки персональных данных. Далее следуют десять пунктов о том, что именно относится к такой информации. Обращает на себя внимание последний, десятый («иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами»), который наводит на мысль, что субъект может потребовать практически любую информацию. Такой подход представляется чрезмерным, то есть перечень информации можно считать закрытым; так, субъект не может требовать, например, предоставления копии паспорта или фото лица, осуществляющего обработку персональных данных по поручению оператора.

Согласно п. 3–6 ст. 14 Закона о персональных данных, такая информация предоставляется субъекту на основании соответствующего запроса, который должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя; сведения о дате выдачи указанного документа и выдавшем его органе; сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором [номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения], либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Если запрос не соответствует указанным выше требованиям, то оператор вправе не отвечать на него.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации, поэтому владельцам сайта разумно предусмотреть форму обратной связи с субъектом по вопросам соблюдения его прав в части информирования об обработке персональных данных.

 

Санкция: данный состав в качестве санкции влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц — от двадцати тысяч до сорока тысяч рублей.

 

В пятой части ст. 13.11 КоАП речь идет о невыполнении оператором требования субъекта персональных данных или его представителя об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Согласно ч. 1–3 ст. 21 Закона о персональных данных, после выявления неточностей в персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора оператор обязан осуществить блокирование персональных данных с момента получения указанного запроса. В случае подтверждения факта неточности персональных данных оператор в течение семи рабочих дней со дня представления таких сведений уточняет данные и снимает блокировку персональных данных.

В случае выявления неправомерной обработки персональных данных, осуществляемой оператором, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных.

Закон не определяет требования к содержанию требования субъекта, но, используя аналогию права, можно сделать вывод, что такой запрос должен соответствовать требованиям ч. 3 ст. 14 Закона о персональных данных.

Также важно отметить, что ответственность по данной статье наступает только при неисполнении требований субъекта персональных данных, а не Роскомнадзора.

 

Санкция: предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до сорока пяти тысяч рублей.



18.08.2017
Эта статья была разослана 1442 on-line подписчикам bosfera.ru
Материалы альянса финансовых медиа:
Разговоры финансистов

Вверх