Штрафы и блокировка сайта при обработке персональных данных. Как исключить риски

Организация случайно опубликовала на сайте персональные данные клиента. Роскомнадзор оштрафовал компанию и заблокировал сайт, а недовольный клиент предъявил иск и потребовал компенсацию. Читайте, как исключить эти риски.

Риск 1. Штраф за неправильную обработку персональных данных

С 1 июля максимальный штраф для организации — 75 тыс. рублей, а для должностного лица — 20 тыс. рублей. ^{13.11 КоАП} Чаще всего Роскомнадзор штрафует компании за четыре нарушения. ^РКН

1. В уведомлении об обработке персональных данных есть неполные или недостоверные сведения.
2. У организации нет мест для хранения данных и перечня лиц, которые обрабатывают данные или имеют к ним доступ.
3. Компания обрабатывает персональные данные в случаях, которые не предусмотрены законом.
4. Письменное согласие субъекта персональных данных не соответствует закону.

Как исключить.

По общему правилу обрабатывать персональные данные можно только с согласия их субъекта. Чтобы снизить риск штрафа, введите обязанность сотрудников разграничивать персональные данные и действовать в зависимости от их категории. Пропишите это требование в локальных актах и должностной инструкции сотрудника, который отвечает за обработку.

Работники должны уметь отличать три категории данных, для обработки которых не нужно согласие субъекта, достаточно получить простое согласие, например по электронной почте, и необходимо письменное согласие. Например, не нужно согласие полицейского, чтобы разместить его фотографию в средствах массовой информации.^{4а-969, 152ФЗ}

Проверьте, соответствует ли закону форма письменного согласия, которую используют в компании.^152ФЗ-1 Если оператор собирает анкеты кандидатов для устройства на работу, включите в них поле, в котором можно поставить отметку, что лицо согласно на обработку данных. Иначе Роскомнадзор может оштрафовать.^4а-907

Если Роскомнадзор уже возбудил дело, посмотрите, не истек ли срок давности. Если истек — госорган обязан прекратить производство.^ВС Срок составляет три месяца и начинает течь со дня совершения правонарушения. А если правонарушение длящееся, то с даты, когда госорган его обнаружил.^4.5КоАП У судов нет единого подхода, какие нарушения в области персональных данных считать длящимися. Компании выгодно обосновать, что нарушение на самом деле не длящееся.

Например, коллекторское агентство неправильно хранило персональные данные должников. Компания вовремя не уничтожала их личные дела и хранила их в коробках в незапираемом шкафу. Прокурор усмотрел в этом нарушение. Мировой судья согласился и назначил штраф. Областной суд оставил решение в силе. Верховный суд указал, что коллекторы должны были уничтожить анкеты в течение 30 дней после того, как достигли цели обработки.^152ФЗ-2 Это нарушение не длящееся, давность надо считать с даты, когда закончится этот срок.^ВС

Риск 2. Иск от гражданина

Гражданин может предъявить иск к компании, которая обрабатывала его персональные данные с нарушением закона. Например, к СМИ, если оно опубликовало личные данные без согласия субъекта.^33–2 Истец вправе потребовать, чтобы нарушитель компенсировал моральный вред и возместил убытки.^152ФЗ-3 Как правило, суды взыскивают только компенсацию морального вреда, так как доказать причинно-следственную связь между нарушением и убытками почти невозможно.

Чаще всего граждане подают такие иски после того, как оператора уже привлекли к ответственности по КоАП. Истцы используют решение суда по административному делу как дополнительное доказательство.

Суммы компенсаций обычно составляют 20–30 тыс. рублей, хотя истцы могут требовать гораздо больше. Суды склонны снижать компенсацию ссылками на незначительный характер нарушения и отсутствие нравственных страданий истца.

Как исключить.

Обычно такие споры — проигрышные для компании, так как факт нарушения закона при обработке персональных данных уже установлен. Юрист может только снизить размер компенсации. Для этого заявите в суде о намерении удалить, блокировать персональные данные или ограничить к ним доступ со стороны третьих лиц. Сообщите, что готовы добровольно компенсировать моральный вред истцу в разумных пределах.

Риск 3. Штраф за отказ предоставить персональные данные госоргану

Размер штрафа зависит от госоргана, которому отказала компания. Например, за отказ передать персональные данные ФАС штраф — до 500 тыс. рублей,^19.8КоАП а Центральному банку — до 700 тыс. рублей.^{19.7.3КоАП}

В законе нет конкретного перечня органов, которые вправе запросить персональные данные. Есть только общая норма, что госорган вправе обрабатывать данные, если это необходимо для выполнения функций, которые на него возложены.^152ФЗ-4

Чаще всего суды признают запросы законными, если они связаны с надзорными полномочиями органа.

Как исключить.

Проверьте, когда готовите ответ на запрос госоргана:

• выходит ли запрос за пределы надзорных и контрольных полномочий госоргана;
• есть ли иные препятствия для представления сведений, например истек срок хранения соответствующей документации;
• можно ли формально исполнить запрос госоргана, не раскрывая персональные данные, например предоставить сведения из общедоступной базы данных.

Если хотя бы по одному пункту ответ положительный, персональные данные можно не предоставлять.

Риск 4. Блокировка сайта компании

Если компания нарушила правила обработки персональных данных на своем сайте, сайт могут заблокировать. Решение о блокировке принимает суд по требованию Роскомнадзора. Если суд удовлетворит требование, информация о сайте попадет в специальный реестр и операторы связи заблокируют к нему доступ.^149ФЗ

В первую очередь Роскомнадзор добивается блокировки сайтов, которые массово распространяют персональные данные или выгружают в сеть базы данных в отношении граждан.³³ Но рискует любая организация, у которой есть сайт или, например, мобильное приложение для клиентов.

Еще одна причина для блокировки — обработка персональных данных российских граждан на зарубежных серверах. С 1 сентября 2015 года операторы обязаны обеспечить обработку личных сведений россиян с использованием баз данных, которые находятся в России. За нарушение именно этого требования суд заблокировал социальную сеть LinkedIn.^33–1

Как исключить.

Чтобы снизить риск блокировки, сделайте четыре шага.

1. Сообщите Роскомнадзору о намерении обрабатывать персональные данные.^РКН-1 Для этого заполните и отправьте специальное уведомление. Удобнее это сделать через сайт pd.rkn.gov.ru/operators-registry/notification/form. После заполнения формы и отправки ее в информационную систему распечатайте такое уведомление. Затем заверенную бумагу направьте в территориальный орган Роскомнадзора по месту регистрации компании.
2. Опубликуйте на сайте политику обработки персональных данных.
3. Сформулируйте цели обработки персональных данных на сайте. Эти цели должны соответствовать действительности. Например, если компания планирует передавать данные контрагентам или рассылать по ним рекламу, так и укажите. Проверьте, чтобы пользователь мог выразить свое согласие на обработку в специальной форме, например, поставив флажок или галочку.
4. Выясните, не хранит ли компания персональные данные российских граждан на иностранных серверах. Если да, сообщите руководству о рисках. При этом учитывайте, что личные данные нельзя только хранить за рубежом, но передавать их иностранным компаниям и использовать за границей можно.