1 июля 2017 года ужесточается законодательство о персональных данных. Разбор ситуации
Эксперт Илья Шагаев рассказывает об изменениях в законе о персональных данных: что изменится, какие будут последствия и как к этому подготовиться.

Илья Шагаев, генеральный директор CRM-агентства «ДМ Базис». Персональными данными занимается с 2006 года, входил в Консультативный совет при Роскомнадзоре, в рабочие группы различных ассоциаций по 152-ФЗ.
Приверженец подхода «закон о персональных данных — это не о безопасности баз данных, а о правильной работе с данными частного лица — потенциального клиента, покупателя, работника».
В законодательстве произошли большие изменения, но про них практически не говорят. Так что давно пора привлечь к этому внимание широкой общественности.
Законодательство нас часто пугает и порой кажется тайной даже для людей, знакомых с языком договоров, приложений и прочей формальной документации. Поэтому статья написана простым языком, в первую очередь — для представителей бизнес-аудитории, которые используют персональные данные (далее — ПДн) для рекламы и маркетинговых акций.
Как правило, юристы не любят законодательство о персональных данных — мутное, непонятное, примеры не проработаны. При появлении вопросов о ПДн им проще запретить, чем искать пути решения проблемы. Поэтому российскому бизнесу необходимо уметь ориентироваться в этих вопросах, хотя бы для правильной постановки задач юристам и правильного контроля.
В поисковиках мне удалось найти только три статьи на тему изменений в Законе N 152-ФЗ с 1 июля; во всех трёх грубейшие ошибки в трактовке законодательства и изменений. Правда же в том, что некоторые ужесточения не особо страшны, а вот на другие советуем обязательно обратить внимание.
Государство предприняло самый значимый шаг в законодательстве о ПДн со времени появления самого закона 152-ФЗ. С 1 июля 2017 года вступит в силу закон 13-ФЗ от 07.02.2017, вносящий поправки в КоАП. Ужесточается ответственность за нарушения, которые могут допустить операторы (читаем — бизнес) в работе с ПДн.
Если коротко, то штрафы выросли почти на порядок (до 75 тысяч рублей). Причём за нарушения, которые допустить очень легко и которые видны на каждом шагу. Проверяющим и надзорным органам в том числе.
А привлечь к ответственности стало существенно проще. Если раньше это можно было сделать через прокуратуру (которой этими вашими ПДн заниматься некогда), то сейчас возбудить дело об административном правонарушении может непосредственно регулятор — Роскомнадзор. Который, можете быть уверены, заниматься этим хочет и давно уже ждал изменений в КоАП.
Главное
-
«Кошмарить бизнес» за нарушения 152-ФЗ стало гораздо выгоднее. Штраф был до 10 000 рублей, стал до 75 000 рублей.
-
Привлекать к ответственности стало проще. Раньше была прокуратура, которой было не до того, чтобы этим заниматься, а стал Роскомнадзор — регулятор, в зоне ответственности которого и находится 152-ФЗ.
-
Бизнес, однако, расслаблен, и угрозы не заметил.
Давайте разберёмся, будут ли «кошмарить», за что конкретно и зачем это нужно. Где кошмар, а где нет?
Как было раньше и почему не волнуются сейчас
Небольшое сравнение законодательства и поведения операторов (бизнеса, компаний, юрлиц) «раньше и сейчас».
152-ФЗ «О персональных данных» появился в 2006 году. Всё прошло тихо, и люди всполошились не сразу. Довольно долгое время (год–два) к закону не было подзаконной нормативной базы на тему его применения.
Тем не менее, году в 2008–2009 благодаря появлению нормативки (от Роскомнадзора, ФСТЭК и ФСБ) и более активной работе СМИ некоторый мандраж наступил. Не знающих о законе почти не осталось, а отношение к нему было очень разным.
С операторами-клиентами в то время много общались мои сотрудники в рамках наших CRM-проектов (мы ведём крупные проекты, и клиенты были озадачены), я сам выступал и писал на эту тему, как раз в те годы я входил в Консультативный совет при РКН.
По степени реакции на происходящее в законодательстве выделим четыре категории компаний
1. «Не знаем» (очень малочисленная категория).
2. «Знаем, но не обращаем внимания и считаем это всё полной ерундой. Ещё один неработающий закон: как применять — непонятно, и чем грозит — непонятно».
3. «Знаем, смотрим в ту сторону. Как применять — непонятно, чем грозит — непонятно... Немножко что-то сделаем, типа подготовились».
4. «Знаем и подготовимся по полной программе, насколько это можно в непонятном законодательстве».
Последняя категория позволила хорошо заработать интеграторам и компаниям, специализирующимся на информационной безопасности. Стоимость услуги по подготовке документации «на соответствие 152-ФЗ» могла превышать 2 млн рублей, хотя сама услуга была достаточно типовая.
К 2012 году рынок понял, что «реальной опасности» законы о ПДн не представляют — штрафы мизерные, вчинить их довольно сложно, требования умозрительные, проверки редкие и так далее. Операторы из категорий 3 и 4 плавно перетекли в категорию 2; а категория 4 при этом почувствовала себя обманутой — сначала услуги по подготовке подешевели до 600–500 тысяч, потом до 300 тысяч, а после появились сайты, предлагающие типовой пакет документов за 20–30 тысяч рублей.
Что мы имеем сейчас? Пассивность и нежелание бизнеса обращать внимание на изменения. Несмотря на то, что с изменениями «поймать штраф» до 30 тысяч рублей теперь легко может каждый второй интернет-магазин, а в более запущенных случаях и до 75 тысяч рублей, а в инфопространстве тишина и покой! К моему большому удивлению, ничего не обсуждается, подготовка не ведётся — это отчётливо видно по тем же интернет-сайтам, где штрафы можно просто поставить на поток.
Очевидно, что первая волна 2009–2012 годов, всколыхнувшая операторское сообщество, качнула маятник в другую сторону — от волнений тогда до равнодушия сейчас. Прошедшее время показало, что «выиграли» те, кто не готовился — категория 2. Они и время, и деньги сэкономили, и ничего им за это не было. Не обращать внимания, переждать, а потом оно само уляжется — тактика сработала.
И сейчас уже опытный бизнес, как будто бы поднаторевший на ниве ПДн, не воспринимает серьёзно нынешние изменения, поскольку «всё уже знаем, не пугайте, ничего за это не будет».
Но когда изменения в КоАП уже внесены, риски стали значительно выше.
Изменения в 152-ФЗ. Как стало сейчас, и почему риски операторов увеличились
Как я уже упомянул в начале статьи, буду говорить о примерах, актуальных для наиболее многочисленной группы операторов — тех, кто использует персональные данные частных лиц в целях продвижения товаров, работ и услуг. Это — бизнес, использующий CRM-проекты, программы лояльности, интернет-магазины, финансовые сервисы, такси, мобильные приложения и так далее.
Несмотря на десятилетнюю историю законодательства в сфере ПДн, читают закон и нормативные акты к нему очень плохо и воспринимать их не хотят. Поэтому изменения заслуживают более глубокого анализа, сравнения с самим законом и нормативкой в целом.
Терминологию упрощу, а штрафы приведены в отношении юридических лиц. Хотя в изменениях в КоАП ещё есть штрафы в отношении граждан, должностных лиц.
Теперь протоколы об административных правонарушениях будет составлять Роскомнадзор. Это ключевой регулятор в сфере ПДн, и он давно ждал изменений в КоАП. Потому что возбуждать дела через прокуратуру и в итоге выставлять штраф в 5–10 тысяч рублей очень муторно. А ускорить процесс, проведя всё самостоятельно, и выставить в десять раз больше — гораздо интереснее.
Интерес ведомства значим ещё и потому, что РКН желал увеличения штрафов, определяемых КоАП, до 500 тысяч рублей. Хорошо, что этого не случилось (пока), иначе риски бизнеса взлетели бы до небес. Но и увеличение от 5–10 тысяч рублей до 50–75 тысяч рублей, согласитесь, тоже неплохо.
Итак, КоАП с 1 июля 2017 года, статья 13.11. Семь пунктов, нас касаются первые шесть. Седьмой — про операторов, являющихся государственным или муниципальным органом, и это не про нашу тему.
Шесть пунктов
1. Обработка ПДн в случаях, не предусмотренных законодательством РФ, или обработка ПДн, несовместимых с целями обработки. Штраф от 30 до 50 тысяч рублей
В зоне риска:
-
Операторы, не указавшие цели обработки или указавшие их неграмотно. Встречается сплошь и рядом.
-
Операторы, собирающие данные, связь которых с целью обработки очень натянута или вообще необъяснима. Самый частый пример — сбор в анкетах программ лояльности паспортных данных. Это частое требование юристов, плохо читавших закон, и которое теперь может привести к штрафам.
-
Сюда же может быть отнесена принудительная регистрация в личном кабинете интернет-магазина при покупке. Если цель — продажа товара (доставка по указанному адресу), то запрашиваемая для регистрации информация (и сама регистрация) — избыточна и несовместима с целями.
2. Обработка ПДн без письменного согласия в случаях, когда оно должно быть по закону. Штраф от 15 до 75 тысяч рублей
Может показаться странным, но тут риск невелик. Дело в том, что перечень случаев, когда нужно письменное согласие (в терминах 152-ФЗ), ограничен, и продвижение товаров и услуг к нему не относится. А то, что многие называют сбором письменных согласий (в виде анкет), — это неверное понимание и трактовка законодательства. Недавно мне попалась на глаза одна из немногих разъяснительных статей по изменениям с 1 июля — и даже в экспертной статье неверно объясняются принципы письменного согласия. И вообще прелестно выглядит в другой статье рекомендация «получать письменное согласие у каждого подписчика на сайте».
3. Невыполнение оператором обязанности по обеспечению доступа к политике обработки ПДн. Штраф от 15 до 30 тысяч рублей
Вот здесь как раз группа риска огромна.
Любой сбор данных, относящихся к категориям ПДн в формах на сайтах, должен сопровождаться указаниями на политику обработки этих данных. То есть, программа минимум — на любом сайте необходимо реализовать такой документ. И совсем хорошо, когда из формы сбора данных дана ссылка на него. Отсутствие этого документа — повод для штрафа.
Вот примеры того, как обычно бывает:
Ни ссылок из анкет, ни самой политики обработки персональных данных в открытом доступе на сайтах этих интернет-магазинах нет. Кстати, за примерами далеко ходить не надо — это первые два магазина, где я пытался совершить нужную мне покупку. Это обычная ситуация, но получить с магазина от 30 до 50 тысяч рублей штрафа с 1 июля будет просто.
А вот так должно быть:
Активная ссылка ведет на политику обработки данных — так должно быть в идеале.
Годится, если на сайте просто где-то в футере есть ссылка на политику обработки данных или политику конфиденциальности. Пользовательское соглашение, в котором прописаны пункты о соответствии 152-ФЗ, тоже подходит.
4. Невыполнение оператором обязанности по предоставлению частному лицу информации об обработке его ПДн. Штраф от 20 до 40 тысяч рублей
Зона риска:
-
С одной стороны, сам порядок запроса субъектом информации об обработке его ПДн довольно сложен (он прописан в 152-ФЗ). И редкий субъект его выполнит
-
С другой, обязанность о предоставлении информации об обработке ПДн возникает при получении данных через третье лицо. Например, в партнёрских программах, различных кросс-промо, сменах подрядчиков в маркетинговых кампаниях и так далее.
В самом 152-ФЗ прописано, когда и как необходимо уведомлять субъекта.
5. Невыполнение в установленные сроки требования (частного лица, его представителя, уполномоченного органа) о блокировании-уничтожении-изменении ПДн. Штраф от 25 до 45 тысяч рублей
Зона риска:
-
Как упомянул выше, порядок запроса со стороны субъекта довольно сложен, поэтому таких запросов ещё очень мало. В этом смысле пункт оператору особо не угрожает
-
Будут ли при трактовке этого пункта сюда относить, например, отказ от email-рассылки или SMS, это вопрос...
Это заслуживает отдельного изучения. Формально никакого «упрощённого» порядка отзыва субъектом своего согласия на обработку данных законодательство не предусматривает. Но не рекомендовал бы пренебрегать остановкой коммуникаций с покупателем, если он попросил не беспокоить его. Кстати, в этом случае можно поиметь ещё и претензии ФАС в соответствии с законом «О рекламе».
6. Невыполнение обязанностей по хранению материальных носителей ПДн. Штраф от 25 до 50 тысяч рублей
Зона риска:
-
Если вы храните свои бумажные архивы (анкеты, договоры с частными лицами, заявки-запросы) очень долго, убедитесь, что это хранение обеспечивает конфиденциальность. Простой склад по соседству вряд ли подходит, должно быть что-то более безопасное. Либо проработайте с юристами механику перевода архива в электронный вид.
На всякий случай подчеркну, что выше упрощены трактовки и термины и даны самые быстрые и очевидные рекомендации. Этого достаточно, чтобы в целом понять состав изменений и их трактовать.
Если углубляться, то интересных выводов будет ещё много. Как минимум три-четыре пункта из приведённых заслуживают отдельного рассмотрения.
Может, так нам и надо?
Напоследок выскажу такую крамольную мысль. Может, она и странно прозвучит из уст представителя операторов, но скажу. Тем более, она впрямую следует из хронологии событий и моих тезисов «почему сообщество расслаблено».
Давайте честно признаемся — бизнес относится к персональным данным частных лиц довольно халатно. Большие компании стараются выстроить правильную политику работы с ними, но даже крупный бизнес ещё далеко не весь обратил внимание на качественные принципы работы с ПДн. А уж средний и малый — тем более. Многие даже не понимают, что данные покупателей — это ценность, и что нужно уважать права частного лица при работе с его данными. И что сам закон не про информационную безопасность, а про соблюдение прав.
По-прежнему имеют место сливы баз данных «налево», неправомерное использование данных (то самое «не соответствующее целям»). Покупателей раздражает чрезмерная коммуникативная активность бизнеса, тем более когда от неё не удаётся отказаться с первого раза.
Всё это — неверные принципы и неверные бизнес-процессы работы с данными. Непонимание и неверные коммуникационные стратегии как основа, и огульное использование данных как следствие.
Как знать, может быть, огромной массе операторского сообщества и нужна увесистая дубина в виде повышенного внимания надзорного органа и применения штрафов?
Грамотный маркетинговый подход к CRM и лояльности — это то, что называется permission-marketing (разрешительный маркетинг). Правильно выстроенные CRM-процессы и процессы обработки данных могут и должны дружить с законодательными требованиями (в случаях, когда эти требования ясны, конечно).
И необходимо обратить внимание ещё на один важный момент. При увеличении штрафов и ускорении возможного наказания можно найти позитивный момент в изменениях — конкретизацию состава нарушений. В предыдущей редакции была очень общая формулировка «Нарушение установленного законом порядка...» и она могла трактоваться весьма широко. Сейчас же семь (шесть, касающихся бизнеса) пунктов достаточно конкретизированы и понятны. Это, на мой взгляд, хороший шаг государства навстречу прозрачности законодательства в этой сфере.
Помните известное «не умеешь — научим, не хочешь — заставим».
Читать по теме: Что нужно знать о персональных данных, чтобы не заплатить 300 000 рублей штрафа
Мнение редакции может не совпадать с мнением автора. Ваши статьи присылайте нам на 42@cossa.ru. А наши требования к ним — вот тут.
Спасибо Вам за анализ проблемы. Если позволите два вопроса: 1. Есть персональные данные и контактные данные, это одно и тоже или требования законодательства тут различны? 2. Есть сайт где для регистрации указываются сотовый телефон, электронная почта. Для приёма платежей указываются данные карты, но это уже на странице процессингового сервиса. Нужно ли в данном случае предусмотреть политику конфиденциальности?
Странно, ответил быстро, а ответа на сайте нет. Инет сбойнул, видимо.
Дублирую.
1. Персональными данными являются те, по которым можно определить частное лицо. Т.е. просто номер телефона или мейл - не персональные данные, поскольку вы не знаете, кому это принадлежит.
2. А вот тут интересно. Если именно вы запрашиваете только контактную информацию, без имени - то вы не получаете персональных данных. А потом переадресуете пользователя на процессинг, и то имя (владельца карты), которое он там вводит, вы не связываете с полученным ранее номером телефона.
То есть, строго говоря, ваш сайт персональные данные не получает. Но пользователю-то это не ведомо. Только из политики обработки ПДн он может это понять.
Обращу внимание, что "политика конфиденциальности" и "политика обработки" - понятия разные. В вашем случае имеет смысл написать политику обработки, в которой как раз и указать, что а) вы не собираете, б) то, что в процессинге - это их данные, и никак не связаны с контактами, в) зачем контакты тогда...
Другими словами - можете и без политики, но тогда есть шанс, что придется доказывать регулятору очевидное. Куда проще это прописать заранее.
И далее в трактовке говорится про "данные пользователей", а именно: псевдоним, ip-адрес и т. п. Что это за "данные пользователей" и чем о они отличаются от персональных данных пользователей?
Немного странная ситуация складывается с трактовкой нового закона - одни эксперты ударяются в паранойю и называют персональнымии данными все подряд, что касается пользователя, а в другом мнении - вашем, в частности, успокаивается, что почтовые ящики и псевдонимы без ФИО - это не ПДн, Где же истина?
Да и не такие сложные это документы, лучше прописать и разместить.
См. выше, там на это ответили полностью )
Да и, повторюсь, документ-то простой, сделайте и все тут.
В разрезе - для юрика и для физика( у физика ведь тоже может быть сайт...куки,формы подписки и др.).
Физическое лицо тоже может быть оператором, по закону. И зарегистрироваться в реестре на сайте РКН физлицо тоже может.
Поэтому, строго говоря, и физ.лицу тоже надо регистрироваться в реестре. Хотя понятно, что до проверки их руки еще долго не дойдут. Да и сайт физлица вряд ли будет слишком массовым, по сравнению с операторами-юрлицами.
Если перевести сайты в другую зону, например, сом, все равно на них распространяется закон 152 о персональных данных? Или зона тут ни при чем, а речь идет о русскоязычном контенте?
Ни зона, ни контент ни при чем. Речь об обработке данных субъектов перс.данных, под которыми обычно понимают граждан РФ.
Т.е. если вы собираете ПДн граждан РФ, то должны обеспечить не только наличие политики обработки, но и хранить данные на территории РФ (тут отдельная, до сих пор не очень понятная история), и т.д.
Но, судя по описанию, вы ПДн не собираете, поэтому вас это не касается.
Хотя бы маленькую политику, в которой как раз будет написано, что вы не собираете ПДн, разместить имеет смысл.
Многие пробелы в законодательстве начинаются с определения, которое обозначает термин "персональные данные". При желании трактовать можно довольно широко.
Сейчас самой распространенной (и адекватной) является формулировка "данные, по которым можно установить конкретного субъекта, т.е. частное лицо". Если по мейлу и имени вы можете идентицифировать его (например, написать "Здравствуйте, Илья") - значит, это ПДн. Хотя тут можно спорить и ломать копья... ilya_sdfkjhb@sdfkjh.ru - можно ли по этому мейлу однозначно идентифицировать частное лицо? Нет.
По-хорошему, с такими аморфными определениями в законодательстве, много зависит от вашего юриста - какую позицию он выберет и насколько будет готов ее отстаивать. А юристы, в свою очередь, не любят эту область законодательства и, как вы пишете "мало что могут ответить", как раз потому что много белых пятен. Им проще обозначить более-менее твердую и обоснованную законами и нормативкой позицию, чем вырабатывать свою, и потом за нее бороться.
В вашем случае надо проработать бизнес-процессы сбора данных на сайте и описать политику обработки таким образом, чтобы подвести данные к категории "общедоступные", а вашу работу вывести из сущности "обработка ПДн".
В общем-то, вы об этом и написали. См. статьи 10 и 22.
Ну и тот же совет, что уже давал выше - в любом случае напишите политику обработки. Лучше в ней указать, что вы "по таким и таким причинам не собираете и не обрабатываете ПДн", чем считать себя "не обрабатывающим" молча.
И в ней же указать, что данные оставляются общедоступными, и вообще в рамках сайта они не ПДн, т.к. имя и дата рождения, например, не дают возможности однозначно идентифицировать субъекта. К примеру, Андрей, 22 марта 53 года рождения - да их десятки и сотни, если не тысячи.
А там, где не нужно имя, пусть не оставляют, а оставляют ник - это тоже в политике прописать.
В общем, в вашем случае все можно обозначить довольно четко, и сформулировать как отсутствие обработки ПДн.
http://kad.arbitr.ru/PdfDocument/898157da-8f67-4c18-8a6b-d74d68162eac/A40-14902-2016_20160311_Reshenija%20i%20postanovlenija.pdf
Большое Вам спасибо за разъяснения! Теперь многое стало понятно.
Могли бы Вы уточнить что это за статьи? - "См. статьи 10 и 22".
И как насчет Big Data? По этому поводу тоже придется составлять политику конфиденциальности? По закону о Big Data емэйлы и айпи будут считаться данными, подлежащими отчетности перед Роскомнадзор?
Статьи - из закона, 152-ФЗ. В них раскрываются вопросы общедоступных данных.
Законодательства "о бигдата" пока нет, поэтому тут невозможно дать ответ

Если вы хотите охватить вопрос более полно, то имеет смысл обратить внимание на законы "О рекламе", "Об информации", "О связи". Там тоже затрагиваются вопросы использования данных для коммуникаций.
Но, повторюсь, в вашем случае это явно чрезмерно.
Благодарю Вас за вразумительные ответы! Вы очень помогли мне.
Есть еще несколько вопросов:
Имеется интернет магазин, политика обработки данных размещена на сайте.
При оформлении заказа запрашиваются контактные данные ФИО, телефон, емайл, адрес (если адресная доставка).
Происходи регистрация клиента на сайте. на электронную почту периодически присылаются рассылки. Данные третьим лицам не передаются (кроме агентов для осуществления договора с согласия клиента)
1. Я так понимаю регистрация как оператора в данном случае обязательна?
2. Если регистрация на сайте не будет происходить, а только для осуществления договора, то можно будет обойтись без уведомления роскомнадзора?
3. Если клиент все же регистрируется самостоятельно, то в данном случае нужно ли будет уведомлять роскомнадзор (если регистрация только имя и емайл или логин и емайл)?
4. Если все же сейчас подать уведомление, то каким штрафом это грозит?
Не сразу добрался до ответа )
1. Обязательна
2. Обработка ПДн с целями осуществления договора, одной из сторон которого является субъект ПДн, в законодательстве имеет существенные преференции. Это верно.
Но дальнейшие мейл-рассылки под эту категорию уже не подходят
3. Про регистрацию с именем/ником и мейлом я выше писал в комментариях
4. На сайте ПДн Роскомнадзора можно подать уведомление о включении в реестр в электронном виде, нет проблем. Это совсем нестрашная процедура.
Скажите обязательно ли интернет-магазину подавать уведомление для внесения в реестр операторов персональных данных в РКН ? Есть ли штраф, если не подавать ?
Выше в комментариях не раз обсуждалось. Вот буквально перед этим вопрос Вашего коллеги по цеху.
Почему все так опасаются реестра операторов?
Благодарю за статью и комментарии, кое что прояснилось. Однако осталось два вопроса.
1. Если в моём интернет-магазине могут регистрироваться только юридические лица, и я запрашиваю Ф.И.О., должность, и телефон контактного лица ( т.е. могут оставить рабочий ) - нужен ли мне какой-либо дисклаймер ( защищающий то как я буду использовать ПДн контактных лиц предприятий ) ?
2. Я храню комбинацию вида Ф.И.О. физ. лица и адрес ( причём это характеристики объектов недвижимости ), данные были собраны не мной а моими клиентами ( не знаю в соответствии с законом или нет, но определённо с письменного согласия физ.лица-клиента ); несу ли я перед этими физ. лицами какую-либо ответственность ? ( эти данные используются строго в интересах юр. лиц их собравших, между клиентами не распространяются, т.е. они у каждого клиента изолированные ) - нужен ли мне статус оператора ПДН в таком случае ?
1. В законодательстве не проводится граница между ПДн "физлиц" и ПДн "физлиц, которые на работе". И то и другое имеет одинаковый статус.
Поэтому дисклеймер не повредит.
2. Если вы получили ПДн не напрямую от субъектов, а от третьих лиц, то в законе прямо прописана ваша ответственность. Вам их необходимо уведомить, как минимум. Неважно, в чьих интересах используются.
Чтобы избежать лишних процедур, те, кто данные собирают, должны при сборе сообщить о передаче третьим лицам (вам).
Про статус оператора выше отвечал не раз

Нужен.