Если организация случайно опубликовала на сайте персональные данные клиента, то Роскомнадзор вправе оштрафовать компанию и заблокировал сайт и недовольный клиент может предъявить иск и потребовал компенсацию. Давайте попробуем разобраться, как попробовать избежать подобной ситуации.
Риск 1. Штраф за неправильную обработку персональных данных
С 1 июля максимальный штраф для организации — 75 тыс. рублей, а для должностного лица — 20 тыс. рублей. Чаще всего Роскомнадзор штрафует компании за четыре нарушения:
- В уведомлении об обработке персональных данных есть неполные или недостоверные сведения.
- У организации нет мест для хранения данных и перечня лиц, которые обрабатывают данные или имеют к ним доступ.
- Компания обрабатывает персональные данные в случаях, которые не предусмотрены законом.
- Письменное согласие субъекта персональных данных не соответствует закону.
Как исключить:
По общему правилу обрабатывать персональные данные можно только с согласия их субъекта. Чтобы снизить риск штрафа, введите обязанность сотрудников разграничивать персональные данные и действовать в зависимости от их категории. Пропишите это требование в локальных актах и должностной инструкции сотрудника, который отвечает за обработку.
Работники должны уметь отличать три категории данных, для обработки которых не нужно согласие субъекта, достаточно получить простое согласие, например по электронной почте, и необходимо письменное согласие. Например, не нужно согласие полицейского, чтобы разместить его фотографию в средствах массовой информации.
Проверьте, соответствует ли закону форма письменного согласия, которую используют в компании. Если оператор собирает анкеты кандидатов для устройства на работу, включите в них поле, в котором можно поставить отметку, что лицо согласно на обработку данных. Иначе Роскомнадзор может оштрафовать.
Если Роскомнадзор уже возбудил дело, посмотрите, не истек ли срок давности. Если истек — госорган обязан прекратить производство. Срок составляет три месяца и начинает течь со дня совершения правонарушения. А если правонарушение длящееся, то с даты, когда госорган его обнаружил. У судов нет единого подхода, какие нарушения в области персональных данных считать длящимися. Компании выгодно обосновать, что нарушение на самом деле не длящееся.
Например, коллекторское агентство неправильно хранило персональные данные должников. Компания вовремя не уничтожала их личные дела и хранила их в коробках в незапираемом шкафу. Прокурор усмотрел в этом нарушение. Мировой судья согласился и назначил штраф. Областной суд оставил решение в силе. Верховный суд указал, что коллекторы должны были уничтожить анкеты в течение 30 дней после того, как достигли цели обработки. Это нарушение не длящееся, давность надо считать с даты, когда закончится этот срок.
Риск 2. Иск от гражданина
Гражданин может предъявить иск к компании, которая обрабатывала его персональные данные с нарушением закона. Например, к СМИ, если оно опубликовало личные данные без согласия субъекта. Истец вправе потребовать, чтобы нарушитель компенсировал моральный вред и возместил убытки. Как правило, суды взыскивают только компенсацию морального вреда, так как доказать причинно-следственную связь между нарушением и убытками почти невозможно.
Найти территориальный орган можно на сайте pd.rkn.gov.ru/authority
Суммы компенсаций обычно составляют 20–30 тыс. рублей, хотя истцы могут требовать гораздо больше. Суды склонны снижать компенсацию ссылками на незначительный характер нарушения и отсутствие нравственных страданий истца.
Как исключить:
Обычно такие споры — проигрышные для компании, так как факт нарушения закона при обработке персональных данных уже установлен. Юрист может только снизить размер компенсации. Для этого заявите в суде о намерении удалить, блокировать персональные данные или ограничить к ним доступ со стороны третьих лиц. Сообщите, что готовы добровольно компенсировать моральный вред истцу в разумных пределах.
Размер штрафа зависит от госоргана, которому отказала компания. Например, за отказ передать персональные данные ФАС штраф — до 500 тыс. рублей, а Центральному банку — до 700 тыс. рублей.
Риск 3. Блокировка сайта компании
Если компания нарушила правила обработки персональных данных на своем сайте, сайт могут заблокировать. Решение о блокировке принимает суд по требованию Роскомнадзора. Если суд удовлетворит требование, информация о сайте попадет в специальный реестр и операторы связи заблокируют к нему доступ.
В первую очередь Роскомнадзор добивается блокировки сайтов, которые массово распространяют персональные данные или выгружают в сеть базы данных в отношении граждан. Но рискует любая организация, у которой есть сайт или, например, мобильное приложение для клиентов.
Еще одна причина для блокировки — обработка персональных данных российских граждан на зарубежных серверах. С 1 сентября 2015 года операторы обязаны обеспечить обработку личных сведений россиян с использованием баз данных, которые находятся в России. За нарушение именно этого требования суд заблокировал социальную сеть LinkedIn.
Как исключить:
Чтобы снизить риск блокировки, сделайте четыре шага:
- Сообщите Роскомнадзору о намерении обрабатывать персональные данные. Для этого заполните и отправьте специальное уведомление. Удобнее это сделать через сайт pd.rkn.gov.ru/operators-registry/notification/form. После заполнения формы и отправки ее в информационную систему распечатайте такое уведомление. Затем заверенную бумагу направьте в территориальный орган Роскомнадзора по месту регистрации компании.
- Опубликуйте на сайте политику обработки персональных данных.
- Сформулируйте цели обработки персональных данных на сайте. Эти цели должны соответствовать действительности. Например, если компания планирует передавать данные контрагентам или рассылать по ним рекламу, так и укажите. Проверьте, чтобы пользователь мог выразить свое согласие на обработку в специальной форме, например, поставив флажок или галочку.
- Выясните, не хранит ли компания персональные данные российских граждан на иностранных серверах. Если да, сообщите руководству о рисках. При этом учитывайте, что личные данные нельзя только хранить за рубежом, но передавать их иностранным компаниям и использовать за границей можно.