Практически в каждой свой статье, в которой прямо или косвенно идёт речь о важности соблюдения Закона о персональных данных, я упоминаю риск получения административного штрафа по ст. 13.11 КоАП РФ. Теперь давайте поговорим не про «очередные страшилки для бизнеса», а про реальную судебную практику.

Контекст ситуации ↓

РКН в рамках установленной компетенции провёл оценку интернет‑ресурсов pravo.ru и event.pravo.ru на предмет соблюдения требований Закона о перс. данных. По результатам оценки РКН установил, что:

1. на сайтах есть формы для сбора перс. данных — фио, телефон. эл. почта, должность

2. на сайтах осуществляется обработка перс. данных с использованием метрических программ «Яндекс Метрика» и «Google Analytics»

3. владелец сайта, являясь оператором перс. данных:

   • не подал уведомление в РКН о намерении осуществлять обработку перс. данных

   • не опубликовал или не обеспечил иным образом неограниченный доступ к документу, определяющему его политику в отношении обработки перс. данных (в народе — политика конфиденциальности)

   • не обеспечил наличие правового основания обработки перс. данных посетителей сайта — отсутствие согласия на обработку перс. данных.

То есть владелец сайта нарушил:

• ст. 22 Закона о перс. данных, согласно которой уведомление о начале обработки перс. данных необходимо подавать до того, как вы начали осуществлять такие действия

• ч. 1 ст. 6 Закона о перс. данных, согласно которой обработка перс. данных осуществляется с согласия субъекта

• ч. 2 ст. 18.1 Закона о перс. данных, согласно которой оператор, осуществляющий сбор перс. данных с использованием информационно‑телекоммуникационных сетей, обязан опубликовать в соответствующей информационно‑телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта, с использованием которых осуществляется сбор перс. данных, документ, определяющий его политику и сведения о реализуемых требованиях к защите перс. данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно‑телекоммуникационной сети.

Как следствие, владелец сайта должен быть привлечён к ответственности по ч. 1, ч. 3, ч. 10 ст. 13.11 КоАП РФ.

Позиция владельца сайта ↓

Просил либо снизить штраф, либо назначить наказание в виде предупреждения, так как:

1. нарушение было устранено = уведомление подано, документы разработаны и опубликованы

2. нарушение было допущено впервые

3. нарушение не повлекло причинение вреда жизни, здоровью, окружающей среде или имуществу

4. нарушение малозначительно

5. РКН не выносил предупреждения.

Решение суда ↓

Нарушение есть. Вынесение предупреждения до подачи заявления о назначении штрафа не обязательно. Назначить следующие штрафы:

• 50 000 рублей за неподачу уведомления в РКН

• 75 000 рублей за отсутствие оснований обработки перс. данных

• 30 000 рублей за отсутствие политики.

Фактически это половина от минимального предела за каждый состав, предусмотренный для юридических лиц по ст. 13.11 КоАП РФ (кроме последнего штрафа). Основание для снижения — владелец сайта состоит в реестре субъектов малого и среднего предпринимательства, как малое предприятие.

Вот такая реальная история, которая произошла совсем недавно (практика свежая)!

Поэтому если вы думаете, что при выявлении нарушения РКН сначала направляет предупреждение, чтобы вы всё исправили и избежали штрафа, то это не всегда так. РКН, действительно, часто использует такой механизм, но надеяться на него не стоит.

Теперь думайте, что выгоднее:
• заранее подать уведомление к РКН, разработать правильные документы по перс. данным на сайт и, что не менее важно, корректно опубликовать их на сайте
• или платить штрафы в несколько раз больше.

Автор статьи → Юрист онлайн‑бизнеса • Александра Ершова

Реквизиты судебных дел → № А40-342666/25-93-2864, № А40-342669/25-145-2654, № А40-342668/25-94-2898.