Персональные данные: как защититься от штрафа
В прошлой статье мы рассмотрели актуальные изменения в порядке правового регулирования обработки персональных данных. Сейчас, когда волнение, вызванное прошлогодними поправками к 152-ФЗ улеглось, владельцам сайтов особенно важно не терять бдительности – санкции явно ужесточили не в последний раз.
Пока штрафы выдают только за факт нарушения пунктов статьи 13.11 КоАП, но ситуация может вскоре измениться.
В День открытых дверей, который прошел 30 января 2018 года в центральном аппарате Роскомнадзора, представители регулятора рассказали, что трактовка пресловутой статьи 13.11 уже позволяет штрафовать организации за каждое из выявленных нарушений в отдельности. Например, за каждое неверно подписанное согласие – и без того возросшие суммы штрафов увеличатся в разы.
Предлагаем еще раз пройтись по пунктам чек-листа и убедиться, что сайт компании в безопасности. Итак, что делать, чтобы пройти проверку Роскомнадзора без потерь?
Перенести сайт в Россию и узнать адрес сервера
Базы персональных данных должны не только собираться, но и обрабатываться на территории России.
Роскомнадзор может легко проверить информацию о местонахождении сервера, сделав запрос операторам связи.
Убедитесь, что сервер находится внутри страны и выясните его точный физический адрес, вплоть до здания.
Информацию можно запросить у техподдержки хостинг-провайдера или ЦОДа (центра обработки данных).
Подать уведомление об обработке ПДн в Роскомнадзор
Согласно закону “О персональных данных”, занятые в обработке компании обязаны уведомить о своей деятельности Роскомнадзор.
Отсутствие записи в Реестре – гарантированный штраф при проверке.
Уведомление в региональное отделение можно направить в электронном или печатном виде. После рассмотрения заявки РКН зарегистрирует компанию в Реестре операторов, осуществляющих обработку персональных данных.
Разработать Политику в отношении обработки ПДн и разместить ее в свободном доступе на сайте
В 2017 году 82% нарушений, выявленных Роскомнадзором, были связаны с отсутствием или ограничением доступа к этому документу.
Многие владельцы сайтов ошибочно посчитали, что достаточно “Политики конфиденциальности” и воспользовались шаблонами, свободно распространяемыми в интернете.
Чтобы избежать санкций:
- документ должен иметь название “Политика в отношении обработки персональных данных” и отражать виды обрабатываемых ПДн и цели обработки;
- “Политику” должен утвердить приказом владелец сайта;
- документ должен располагаться в свободном доступе в офисе, на сайте и в мобильном приложении компании (например, можно оставить ссылку в футере).
В 2018 году появились и новые аспекты.
- Во-первых, РКН разработал рекомендации по составлению “Политики”. Если раньше контролер проверял только наличие документа и доступ к нему, то теперь внимание будут обращать и на содержание.
Правовой статус рекомендаций пока неясен, но если нормы законодательно закрепят, то документ станет объемнее и будет требовать постоянного обновления.
В “Политике” лучше заранее указать состав ПДн, все цели, действия и условия прекращения обработки, а также сведения о привлекаемых к обработке третьих лицах.
Во-вторых, с перечнем персональных данных легко ошибиться уже сейчас. После того, как Роскомнадзор фактически приравнял пользовательские данные к персональным, в документе нужно отразить и их.
Уведомлять пользователей об обработке ПДн
Проще и доступнее всего реализовать уведомление в виде дисклеймера на сайте. Текст предупреждения должен сообщать посетителю о том, что его данные обрабатываются и передаются аналитическим системам.
Дисклеймер поможет избежать штрафа и в том случае, если на сайте установлены системы аналитики: Google Analytics, Яндекс Метрика или любые другие.
Закон признает дисклеймер формой согласия.
Получить согласие на обработку от пользователей
Под каждой формой сбора данных нужно разместить текст соглашения или интерактивное поле, содержащее ссылку на “Политику”. IP-адреса выразивших согласие посетителей необходимо сохранять.
Распространенная практика, когда под всеми формами сбора прописан текст одного согласия на обработку, больше недопустима.
Разные формы собирают информацию в разных целях: для email-рассылок, звонков, пуш-уведомлений, отправки прайс-листов или буклетов и так далее. Каждому виду цели должно соответствовать отдельное согласие. За идентичный текст на оператора налагаются штрафы.
Оставить email для связи с пользователями
Федеральный закон дает пользователям право запрашивать сведения об обработке их персональных данных, а также требовать их удаления или блокировки.
Чтобы оперативно реагировать на запросы, лучше создать отдельный email-ящик для работы с обращениями физлиц.
В общей почте письмо рискует затеряться.
Заключить договор безопасности с подрядчиками
Закон предписывает заключать соглашения об обеспечении безопасности ПДн со всеми третьими лицами, которых оператор привлекает в процессе обработки.
Например, такое соглашение придется подписать с агентством разработки или технической поддержки сайта, имеющим доступ к ПДн из базы данных или заявок.
Текст соглашения должен указывать перечень данных, доступных третьим лицам, цели их обработки и требования по защите ПДн.
Выполнив рекомендации каждого из представленных пунктов, владелец сайта сможет уберечь организацию от штрафов и блокировки. Но, разумеется, кому-то повезло чуть меньше – в наиболее неоднозначной ситуации оказались те, кто использует в работе облачные CRM. О способах защиты их ресурсов поговорим отдельно в следующем материале.
Заявление о политике конфиденциальности
Настоящее Положение о конфиденциальности (далее — Положение) определяет порядок обработки и защиты персональной информации (далее — Пользователи) с использованием информации и сервисов сайта АО «Эректон» (далее — Компания), расположенного на сайте erecton.ru. доменное имя (далее — Веб-сайт).
Целью настоящей Политики конфиденциальности является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну от несанкционированного доступа и разглашения.
Настоящая Политика конфиденциальности описывает обработку персональных данных — любые действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление , изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование и удаление.
Отношения, связанные с обработкой персональных данных и информации о пользователях Сайта, регулируются настоящим Положением и действующим законодательством Российской Федерации.
Обработка персональных данных осуществляется на основе принципов законности целей и способов обработки персональных данных, добросовестности, соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также а также полномочия Компании, соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных.
Настоящая Политика конфиденциальности регулирует любой вид обработки персональных данных и личной информации (любой информации, позволяющей установить личность, и любой другой информации, связанной с ней) о физических лицах, являющихся потребителями продуктов или услуг Компании.
Действие настоящей Политики распространяется на обработку персональных данных, полученных любыми способами, как активными, так и пассивными, как через сеть Интернет, так и без ее использования, от лиц, находящихся в любой точке мира.
Целью обработки персональных данных является выполнение обязательств Компании перед Пользователями в отношении использования Сайта и его сервисов.
Обработка персональных данных пользователей осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Под персональными данными понимается любая информация, относящаяся к прямо или косвенно субъекту персональных данных и которая может быть использована для идентификации конкретного лица или для связи с ним.
Компания может использовать такие данные в соответствии с настоящей Политикой конфиденциальности. Он также может объединять такую информацию с другой информацией в целях предоставления и улучшения своих продуктов, услуг, контента (контента) и коммуникаций.
Компания может собирать и использовать следующие данные — имя и фамилию, номер телефона, адрес электронной почты.
Персональные данные Пользователей хранятся исключительно на электронных носителях и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда ручная обработка персональных данных необходима в связи с выполнением требований законодательства.
Собранные персональные данные используются ими для улучшения сервиса, контента и коммуникаций, а также для внутренних целей, таких как: проведение аудитов, анализ данных и различных исследований с целью улучшения продуктов и услуг Компании, как а также взаимодействовать с потребителями.
Отказ от рассылки осуществляется путем информирования по указанным контактам для обратной связи.
Персональные данные Пользователей не передаются каким-либо третьим лицам, за исключением случаев, прямо предусмотренных настоящими Правилами.
Обработка персональных данных Пользователя осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.
При указании пользователя или с согласия пользователя возможна передача персональных данных Пользователя третьим лицам — контрагентам Компании, при условии принятия такими контрагентами обязательств по обеспечению конфиденциальности полученной информации, в частности, при использовании Приложения.
Приложения, используемые Пользователями на Сайте, размещаются и поддерживаются третьими лицами (разработчиками), которые действуют независимо от Компании и не действуют от имени или по поручению Компании.
Персональные данные Пользователя могут быть переданы по запросу уполномоченных органов государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.
Компания блокирует персональные данные Пользователя с момента обращения или запроса Пользователя, либо его законного представителя, либо уполномоченного органа по защите прав субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных или действия.
Компания принимает меры предосторожности — в том числе юридические, организационные, административные, технические и физические — для обеспечения защиты ваших персональных данных в соответствии со ст.
19Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» в целях обеспечения защиты персональных данных Пользователя от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иные противоправные действия третьих лиц.
К настоящей Политике конфиденциальности и отношениям между Пользователем и Компанией применяется действующее законодательство Российской Федерации.
Пользователи вправе направлять Компании свои запросы, в том числе запросы, касающиеся использования их персональных данных, направления отзыва согласия на обработку персональных данных в письменной форме по адресу, указанному в разделе «Общие положения» настоящего положения, либо в форме электронного документа, подписанного квалифицированной электронной подписью в соответствии с законодательством Российской Федерации, и направленного через форму обратной связи.
Во всем остальном, прямо не отраженном в Политике конфиденциальности, Компания обязуется руководствоваться нормами и положениями Федерального закона от 27 июля 2006 г.
N 152-ФЗ «О персональных данных».
Посетитель сайта Компании, предоставляющий свои персональные данные и информацию, тем самым соглашается с положениями настоящей Политики конфиденциальности.
Компания вправе вносить любые изменения в Политику в любое время по своему усмотрению в целях дальнейшего совершенствования системы защиты от несанкционированного доступа к персональным данным, сообщаемым Пользователями без согласия Пользователя.
Действие настоящей Политики не распространяется на действия и интернет-ресурсы третьих лиц.
Разъяснение процедур гражданской ответственности
Обеспечение безопасности коммерческого транспорта по всему Огайо является приоритетом Комиссии по коммунальным предприятиям штата Огайо (PUCO). Одним из способов достижения этого является разработка правил защиты прав потребителей и безопасности и контроль за соблюдением автомобильными перевозчиками соответствующих федеральных и государственных правил.
Если установлено, что автомобильный перевозчик нарушает правила перевозки, ему выписывается гражданско-правовая конфискация или штраф.
До 1988 года транспортные нарушения рассматривались местными судами. Поскольку нарушения были вынесены в отношении водителя, у автоперевозчиков было мало стимулов для соблюдения правил безопасности. Кроме того, нарушения не были включены в отчет о безопасности перевозчика, что затрудняет выявление перевозчиков с характерными нарушениями.
Чтобы создать согласованные средства для отслеживания нарушений безопасности и наложения штрафов, PUCO было предоставлено право оценивать гражданские конфискации за нарушения, связанные с транспортировкой по шоссе и опасными материалами в 1988. В 1995 г. закон штата Огайо уполномочил PUCO налагать гражданско-правовые взыскания за все нарушения безопасности автотранспортных средств. PUCO ежегодно выдает в среднем 35 000 уведомлений о штрафах и собирает около 2,5 миллионов долларов в виде гражданских конфискаций.
Обзоры соответствия
Ежегодно сотрудники PUCO проводят около 450 проверок соответствия. Обзор соответствия — это проверка на месте транспортных записей компании. Обзоры соответствия оценивают соблюдение компанией правил, информируя перевозчиков о правилах перевозки и сравнивая опыт перевозчика в области безопасности с аналогичными перевозчиками. Такие записи, как квалификационные файлы водителей, записи о статусе работы, записи о техническом обслуживании транспортных средств и файлы обучения сотрудников, работающих с опасными материалами, проверяются на соответствие правилам. Проверка соответствия показала свою эффективность в выявлении тех областей, в которых перевозчик испытывает трудности с соблюдением правил, и в изменении практики перевозчика. Результаты проверок соответствия передаются в Министерство транспорта США (USDOT), которое присваивает рейтинги безопасности перевозчикам.
Штрафы за проверки соответствия соответствуют штрафам, начисленным в соответствии с единым графиком начисления штрафов USDOT за аналогичные нарушения.
Осмотр коммерческих автомобилей
Выборочные проверки коммерческих автомобилей на дорогах проводятся в различных местах, таких как зоны отдыха и весовые станции, по всему штату. Проверки проводятся сотрудниками PUCO и дорожного патруля Огайо, которые обеспечивают соблюдение федеральных правил безопасности автотранспортных средств и правил обращения с опасными материалами. Ежегодно в Огайо проводится около 80 000 придорожных проверок.
Штрафы за нарушения, обнаруженные во время придорожных проверок незащищенных транспортных средств, основаны на рекомендованном Администрацией безопасности коммерческих транспортных средств графике максимальных штрафов.
Штрафы за нарушения, связанные с опасными материалами, основаны на федеральных критериях, содержащихся в Своде федеральных правил (CFR), Раздел 49 107.331, и учитывают:
(a) Характер и обстоятельства нарушения;
(b) степень и тяжесть нарушения;
(c) степень вины ответчика;
(d) предыдущие нарушения ответчика;
(e) платежеспособность респондента;
(f) Влияние на способность респондента продолжать свою деятельность; и
(g) Такие другие вопросы, которые может потребовать правосудие.
Исследования предметов домашнего обихода
Расследование жалоб на предметы домашнего обихода проводят сотрудники PUCO. Жители Огайо имеют новые права потребителей, которые гарантируются законом, когда они заключают договор с перевозчиком в штате. Эти новые права будут:
- Обеспечить полное раскрытие всей важной информации, чтобы способствовать выбору потребителей;
- Защита потребителей путем предотвращения «пересмотра контракта на стороне»;
- Способствовать скорейшему разрешению всех претензий потребителей на справедливой и равноправной основе.
Оценка
Нарушения, обнаруженные в ходе проверки соответствия, проверки автотранспортных средств или расследования в отношении перевозчика бытовых товаров, отмечаются в отчете об инспекции, который передается в PUCO для рассмотрения. PUCO рассматривает каждый отчет, проверяя наличие серьезных нарушений, обнаруженных во время проверки, проверки соответствия или расследования предметов домашнего обихода.
Перевозчики должны соблюдать федеральные правила безопасности автомобильных перевозчиков.
Перевозчики и грузоотправители опасных материалов должны соблюдать правила перевозки опасных материалов, содержащиеся в Разделе 49 CFR, разделы 100–199. За нарушения налагаются денежные штрафы, именуемые гражданско-правовыми конфискациями. Эти конфискации могут составлять до 10 000 долларов США за нарушение правил, связанных с опасными материалами, и до 1000 долларов США за нарушение правил техники безопасности.
Письмо «уведомление о намерении оценить гражданско-правовую конфискацию» отправляется заказным письмом стороне, совершившей нарушение. Перевозчик, грузоотправитель и/или водитель могут быть оценены индивидуально из одной инспекции. У стороны есть 30 дней, чтобы произвести оплату или запросить конференцию. Большинство конференций проводятся по телефону, хотя иногда требуются личные конференции. Узнайте, как оплатить гражданско-правовую конфискацию или как запросить конференцию.
Преимущество программы гражданской конфискации PUCO заключается в том, что она позволяет представителям компании обсуждать или оспаривать нарушения с обученными, опытными специалистами по комплаенсу во время неформальной конференции. Программа обеспечивает постоянный уровень правоприменительной практики. Это также дает уникальную возможность тесно координировать и сосредоточить штрафы в качестве эффективного инструмента. Например, штрафы основаны на истории нарушений перевозчика. Примерно 600 раз в год штрафы увеличиваются из-за прошлой истории перевозчика. Штрафы также снижены для перевозчиков с хорошей историей нарушений. Иногда значительные денежные штрафы частично откладываются, что является своего рода «испытательным сроком», чтобы обеспечить общее повышение безопасности перевозчиком. Дела, не урегулированные на конференции, могут быть переданы на административные слушания в PUCO и, возможно, в суд.
Инструкция для писем NAV и NIF
Вы получили либо уведомление о явном нарушении (NIF), либо уведомление о явном нарушении и намерении оценить конфискацию (NAV), как описано в правиле 4901:2-7-09 Административного кодекса штата Огайо (O.
A.C.). В течение 30 дней с момента получения этого уведомления вы должны либо: (1) выплатить сумму конфискации, указанную в уведомлении, либо (2) подать письменный запрос на конференцию. Если вы не оплатите конфискацию или не запросите конференцию в течение 30 дней с момента получения уведомления о намерении оценить конфискацию, ваше дело будет помещено в наш процесс по умолчанию.
Обе процедуры описаны ниже.
Как оплатить конфискацию
Вы можете оплатить конфискацию, указанную в уведомлении, кредитной картой или электронным чеком. Никаких дополнительных комиссий за этот вид оплаты не взимается. Платежи также могут производиться чеком компании или денежным переводом (не иностранными чеками или денежными переводами) по почте на адрес: «Комиссии по коммунальным предприятиям штата Огайо» с указанием номера дела, по которому производится платеж.
Пожалуйста, отправьте платеж по адресу:
Комиссия по коммунальным предприятиям штата Огайо
Внимание: Fiscal Division
180 East Broad Street
Columbus, Ohio 43215-3793
Как сделать запрос на конференцию
Если вы считаете, что какое-либо из нарушений, описанных в уведомлении, произошло не так, как утверждается, что какое-либо из описанных происшествий не является нарушением правил безопасности или что вы не несете ответственности за явные нарушения, или если вы хотите представить смягчающие обстоятельства в отношении суммы конфискации, вы должны подать «просьбу о совещании», как описано в правиле 49.
01:2-7-10, О.А.К. Ваш «запрос на конференцию» должен быть в письменной форме и должен быть запрошен онлайн, отправлен по почте, факсу или доставлен иным образом в течение тридцати дней после получения вами NIF по следующему адресу:
Комиссия по коммунальным предприятиям штата Огайо
Transportation — Compliance Division
180 East Broad Street, 4th Floor
Columbus, Ohio 43215-3793
Интернет: Интернет-службы безопасности автотранспортных средств
Телефон: (614) 466-0351
Факс: (614) 466 -2753
Ваш запрос на конференцию должен содержать «номер дела», который можно найти в верхней части письма NAV и NIF. Кроме того, укажите контактное имя, адрес и номер телефона лица, которому следует направлять дальнейшие сообщения по этому вопросу. Оно должно быть обозначено как «запрос на конференцию», в нем должно быть указано ваше предпочтение, обсудить ли этот вопрос по телефону или лично, и оно должно включать любую дополнительную информацию, которую вы желаете представить в настоящее время в поддержку своей позиции.
Не удалось сделать запрос на конференцию
Если вы не направите своевременный «запрос о совещании» в порядке, описанном выше, вы потеряете свое право оспорить ответственность перед штатом Огайо в отношении суммы конфискации, указанной в уведомлении. Более того, случаи нарушений, описанных в уведомлении, будут окончательно установлены для целей включения в вашу «историю нарушений». Если история нарушений выявит постоянную проблему безопасности, результатом может быть увеличение суммы любой гражданской конфискации, начисленной за будущие нарушения.
Сумма нарушений, коды и группа нарушений
Пересмотренные разделы 4921.99 и 4923.99 кодекса штата Огайо уполномочивают Комиссию по коммунальным предприятиям штата Огайо налагать гражданскую конфискацию в размере до 10 000 долларов США в день за любое нарушение правил обращения с опасными материалами или безопасности, обнаруженное во время проверки соответствия. Сумма любой конфискации зависит от характера, серьезности, обстоятельств и масштабов нарушения, степени виновности правонарушителя в нарушении и истории правонарушителя о нарушениях.
«Код» в уведомлении определяет правило, которое было нарушено. Номера в сериях 100 или 300 относятся к определенным разделам правил обращения с опасными материалами или правил безопасности автотранспортных средств, Раздел 49, Свод федеральных правил. Коды в других форматах относятся к нарушениям правил штата Огайо. Некоторые номера разделов могут иметь суффиксы помимо тех, что указаны в CFR. Они используются для внутренних целей сбора данных.
«Группа нарушений» и «общая сумма к уплате» в уведомлении определяют числовую группу штрафа (1-4) кода, по которому было совершено нарушение. Общая сумма штрафа за все нарушения указана в «итого». Для получения дополнительной информации о тонкой структуре свяжитесь с отделом соответствия.
Нарушения, которые могут привести к лишению лицензии после вынесения обвинительного приговора
Если придорожная инспекция, которая привела к этому письму, выявила предполагаемое нарушение одного или нескольких из указанных ниже правил, ваш CDL может быть дисквалифицирован.
Если PUCO обнаружит, что вы совершили нарушение какого-либо из этих правил, это нарушение будет рассматриваться как обвинительный приговор для целей федерального законодательства и законодательства штата, и уведомление о таком осуждении будет направлено в Бюро транспортных средств штата Огайо (BMV). BMV может лишить вас права управлять коммерческим транспортным средством минимум на 60 дней. Любая санкция BMV равна в дополнение к санкциям , наложенным PUCO.
49 CFR 177.804(b)(1), 177.804(b)(2), 177.804(b)(3), 177.804(c), 4901:2-5-07D, 383.23(a)(2), 383.51( а), 383.51A-NSIN, 383.51A-NSOUT, 383.51A-SIN, 383.51A-SOUT, 383.91(a), 383.93(b)(1), 383.93(b)(2), 383.93(b)(3 ), 383.93(b)(4), 383.93(b)(5), 391.15(a), 391.15A-NSIN, 391.15A-NSOUT, 391.15A-SIN, 391.15A-SOUT, 392.10(a)(1) , 392,10(а)(2), 392,10(а)(3), 392,10(а)(4), 392,11, 392,12, 392,4(а), 392,5(а)(2), 392,5A2-UI, 392,5(с )(2), 392,80(а), 392,82(а)(1), 395,13(г), 396,9(в)(2).
Федеральные правила определяют обвинительный приговор как «неотмененное признание вины или определение того, что лицо нарушило или не соблюдал закон в суде первой инстанции или уполномоченным административным трибуналом, неотмененная конфискация внесения залога или залога для обеспечения явки лица в суд, признания судом признания вины или nolo contendere, уплаты штрафа или судебных издержек или нарушения условия освобождения без залога, независимо от того, штраф отменяется, отменяется или закрепляется».
