Изменения в законе о персональных данных

Ответственность за нарушения по персональным данным

Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц. Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего в персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей). Законодатель с 1 июля вносит изменения в статью 13.11 КоАП (Федеральный закон от 7 февраля 2017 г. № 13-ФЗ).

До 1 июля 2017 года размеры штрафов за нарушение закона о персональных данных составляют:

  • для юридических лиц – от 5 тыс. до 10 тыс. руб.;
  • для должностных лиц – от 500 до 1 тыс. руб.

Ниже в таблице приведу перечень нарушений и размеры новых штрафов за них с 1 июля 2017.

Вид нарушения

Размер штрафа

для юридических лиц

для должностных лиц

Обработка персональных данных в случаях, не предусмотренных законодательством, либо их обработка, несовместимая с целями сбора персональных данных*. От 30 тыс. до 50 тыс. руб. От 5 тыс. до 10 тыс. руб.
Обработка персональных данных без письменного согласия субъекта персональных данных на их обработку* От 15 тыс. до 75 тыс. руб. От 10 тыс. до 20 тыс. руб.
Обработка персональных данных с нарушением требований к составу сведений, отражаемых в письменном согласии субъекта персональных данных на их обработку От 15 тыс. до 75 тыс. руб. От 10 тыс. до 20 тыс. руб.
Нарушение оператором требований законодательства в области обработки, хранения и предоставления персональных данных От 15 тыс. до 50 тыс. руб. От 3 тыс. до 10 тыс. руб.

* Если не предусмотрена уголовная ответственность

Полномочия по возбуждению дел об административных правонарушениях в области персональных данных переданы от прокуроров к Роскомнадзору. Срок давности для административной ответственности – три месяца со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Протокол об административном нарушении составляют сотрудники Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ).

Трудовая инспекция также вправе наказать за нарушения правил работы с персональными данными, которые установлены в трудовом законодательстве (например, если бухгалтер использует сведения сотрудника в незаконных целях или их утерял). Наказание – штраф от 1000 до 5000 руб., за повторное нарушение – штраф от 10 000 до 20 000 руб. или дисквалификация от одного года до трех лет (ч. 1, 2 ст. 5.27 КоАП РФ).

Срок давности для ответственности за персональные данные по трудовому законодательству – один год со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Кроме административной ответственности за нарушения в области обработки персональных данных могут привлечь к дисциплинарной, материальной и даже к уголовной ответственности.

Изменения в законе о персональных данных

К дисциплинарной ответственности руководитель учреждения может привлечь работника за нарушения, которые обязаны соблюдать правила работы с личными данными, но нарушили их (ст. 192 ТК РФ). За дисциплинарный проступок руководитель может наказать работника, сделать замечание, объявить выговор и даже уволить (ч.1 ст. 192 ТК РФ).

Самый страшный вид ответственности – это уголовная. Она может наступить за незаконные действия:

  • сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
  • распространение сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.

Изменения в 152-ФЗ. Как стало сейчас, и почему риски операторов увеличились

Как я уже упомянул в начале статьи, буду говорить о примерах, актуальных для наиболее многочисленной группы операторов — тех, кто использует персональные данные частных лиц в целях продвижения товаров, работ и услуг. Это — бизнес, использующий CRM-проекты, программы лояльности, интернет-магазины, финансовые сервисы, такси, мобильные приложения и так далее.

Несмотря на десятилетнюю историю законодательства в сфере ПДн, читают закон и нормативные акты к нему очень плохо и воспринимать их не хотят. Поэтому изменения заслуживают более глубокого анализа, сравнения с самим законом и нормативкой в целом.

Терминологию упрощу, а штрафы приведены в отношении юридических лиц. Хотя в изменениях в КоАП ещё есть штрафы в отношении граждан, должностных лиц.

Теперь протоколы об административных правонарушениях будет составлять Роскомнадзор. Это ключевой регулятор в сфере ПДн, и он давно ждал изменений в КоАП. Потому что возбуждать дела через прокуратуру и в итоге выставлять штраф в 5–10 тысяч рублей очень муторно. А ускорить процесс, проведя всё самостоятельно, и выставить в десять раз больше — гораздо интереснее.

Интерес ведомства значим ещё и потому, что РКН желал увеличения штрафов, определяемых КоАП, до 500 тысяч рублей. Хорошо, что этого не случилось (пока), иначе риски бизнеса взлетели бы до небес. Но и увеличение от 5–10 тысяч рублей до 50–75 тысяч рублей, согласитесь, тоже неплохо.

Предлагаем ознакомиться:  Образец дополнительного соглашения к договору аренды: правила оформления и обязательная информация, нюансы составления и пример документа

Итак, КоАП с 1 июля 2017 года, статья 13.11. Семь пунктов, нас касаются первые шесть. Седьмой — про операторов, являющихся государственным или муниципальным органом, и это не про нашу тему.

Федеральный закон «О персональных данных» был принят летом 2006 года. Несмотря на то, что закон действует уже 11 лет, многие пользователи до недавнего времени о нем не слышали.

Всеобщий интерес к этому закону связан с увеличением штрафов за нарушение правил по обработке персональных данных: с 1 июля 2017 года они будут значительно увеличены, при этом за каждое нарушение полагается свой штраф. И если у вас несколько сайтов, то сумма штрафов может быть внушительной.

Если сейчас штраф за нарушение правил, касающихся персональных данных, составляет 10 тысяч рублей максимум, то уже с 1 июля 2017 года ситуация изменится, и максимальный штраф за обработку персональных данных не по правилам будет составлять 75 тысяч рублей. Законодатель утвердил семь составов правонарушений.

Также теперь изменился орган, который может привлекать к ответственности за правонарушения: до принятия поправок возбуждением административных дел занималась прокуратора, теперь ответственным органом станет сам регулятор, то есть Роскомнадзор, что может привести к увеличению количества выписываемых штрафов.

Ознакомиться с содержанием новых поправок вы можете на официальном интернет-портале правовой информации: в статье 13.11 «Нарушение законодательства Российской Федерации в области персональных данных» перечислены все правонарушения и последующие штрафы.

При нарушении правил сбора, хранения или распространения персональных данных ответственность несет лицо, которое нарушило это правило, а именно оператор персональных данных.

Ситуации из практики: что изменится с 1 июля

Должностное лицо без согласия человека разгласил зарплату, премию, вознаграждение по договору, передал данные должников в юридическую фирму, чтобы составить исковые заявления или разместил копию заявления человека в качестве образца на стенде с образцами других заявлений. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как разглашение персональных данных без письменного согласия от человека  или по письменному согласию, которое оформлено с нарушениями и выдадут постановление об административном правонарушении и назначат штраф: на учреждение – от 15 000 до 75 000 руб., на должностное лицо – от 10 000 до 20 000 руб. (ч. 2 ст. 13.11 КоАП РФ).

Пример 2. Бухгалтер не предоставил сотруднику расчетный листок, справку, сведения о страховом стаже и другие документы, в которых есть персонифицированные сведения о человеке. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как сокрытие от человека его персональных данных и назначат штраф: на учреждение – от 20 000 до 40 000 руб., на бухгалтера – от 4000 до 6000 руб. (ч. 4 ст. 13.11 КоАП РФ).

Пример 3. Должностное лицо отказался принять к обработке новые паспортные данные человека, банковские реквизиты или другую изменяющую информацию – за такое нарушение инспекторы могут назначить штраф на учреждение – от 25 000 до 45 000 руб, а на должностное лицо – от 4000 до 10 000 руб.

Пример 4. Должностное лицо небрежно работает с документами, персональные сведения о сотруднике стали известны другим лицам из-за того, что он оставил на столе без присмотра или вынес с рабочего места справки, расчетные листки, другие документы с персональными данными или потерял эти документы. С 1 июля 2017 г.

Пример 5. Должностное лицо передает имена, адреса, телефоны и другие данные сотрудников организациям, действующим в рекламных целях коллекторским агентствам или другим третьим лицам. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как обработку персональных данных, когда это не предусмотрено законами и не соответствуют целям сбора персональных данных и назначат штраф на учреждение – от 30 000 до 50 000 руб., а на бухгалтера – от 5000 до 10 000 руб. (ч. 1 ст. 13.11 КоАП РФ).

Оператор персональных данных

Изменения в законе о персональных данных

Оператором персональных данных считается компания, ИП или даже физическое лицо, которое запрашивает у своих клиентов какие-либо личные данные, которые могут идентифицировать этого клиента: например, фамилию, имя, отчество (вместе и по отдельности), электронный адрес, телефон для связи, адрес проживания (при регистрации в интернет-магазине) и так далее. Персональными данными могут также считаться cookies, IP-адрес и местоположение (геолокация). После сбора данных оператор занимается их обработкой.

В первую очередь под это определение попадают все, кто использует персональные данные клиентов (частных лиц) для того, чтобы продвигать свои товары и услуги. То есть это интернет-магазины, финансовые сервисы, такси, приложения для мобильных телефонов и так далее.

Что нужно сделать на сайте, чтобы избежать штрафов

Мы составили список работ, которые стоит сделать на своём сайте прямо сейчас. Это тот необходимый минимум, который позволит вам избежать проблем в случае проверок Роскомнадзора.

Предлагаем ознакомиться:  Налоги НКО. Налогообложение некоммерческих организаций.

Для того, чтобы максимально снизить или даже исключить шанс каких-либо санкций, вам необходимо учесть и сделать следующее:

  1. Если вы поняли, что вы или ваша компания являетесь оператором персональных данных, то вам необходимо проверить, должны ли вы уведомлять контролирующий орган (Роскомнадзор, сокращенно РКН) о своем статусе, так как в законе существует ряд исключений, когда уведомлять РКН не нужно. Прочитать о них вы можете в ч. 2 ст. 22 ФЗ «О персональных данных».
  2. Персональные данные клиента обрабатываются только с его согласия, поэтому вы должны определить, каким образом вы будете получать это согласие. Согласие должно быть конкретным, информированным и сознательным. Субъект обработки персональных данных (ваш клиент) может дать свое согласие в любой форме, которая позволит подтвердить факт его получения. Но помните, что клиент всегда вправе отозвать свое согласие, в результате чего вы должны незамедлительно прекратить обработку.
  3. Обратите внимание, что согласие на обработку персональных данных нужно получать и у своих работников. Ваша компания должна получить согласие на обработку персональных данных работника после того, как тот ознакомится с документами компании, устанавливающими порядок обработки персональных данных. Однако и в этом случае есть ряд исключений, прочитать которые вы можете в разъяснениях РКН от 14.12.2012 года.
  4. Помните о том, что вы должны обеспечить безопасность персональных данных. Меры безопасности зависят от способа обработки. Если вы обрабатываете данные автоматизированно, то вам необходимо привлечь технических специалистов, согласно Постановлению Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 №1119, а также Приказу ФСТЭК РФ от 18.02.2013 №21.
    Если же вы обрабатываете данные без автоматизации, то вам необходимо выполнить рекомендации, предусмотренные ст. 19 ФЗ «О персональных данных» и пп. 13-15 Положения, утвержденного Постановлением Правительства РФ от 15.09.2008 №687.

Как защитить персональные данные

Для защиты и ограничения доступа к персональным данным работодатель должен обеспечить качественную и современную систему их защиты. Как именно это сделать?

Этот вопрос решает каждый работодатель самостоятельно. Чиновниками утверждены меры по обеспечению безопасности персональных данных при их обработке (статья 19 Закона от 27 июля 2006 г. № 152-ФЗ и требованиях, установленных постановлением Правительства РФ от 1 ноября 2012 г. № 1119). Злоумышленники могут уничтожить, изменить, заблокировать, скопировать информацию, предоставить ее третьим лицам.

Примите меры, чтобы предотвратить несанкционированный доступ к персональным сведениям в базе данных.

1. Ограничьте доступ сотрудников к компьютерам.

2. Введите систему индивидуальных паролей. Их нужно периодически менять.

3. Храните диски и другие носители информации в запирающихся шкафах.

4. Закрепите процедуру защиты информации в положении.

Политика обработки данных

В соответствии с ФЗ № 152, все интернет-ресурсы, на которых хранятся и обрабатываются персональные данные, должны быть расположены на территории Российской Федерации. С учётом того, что контролирующие органы считают персональными данными также и данные о поведении пользователя на сайте, то это касается практически любого интернет-ресурса. За нарушение этого требования Роскомнадзор их блокирует.

Под расположением хостинга подразумевается физическое местонахождение ЦОДа, на котором размещен ваш сайт. То есть, если хостинг-провайдер зарегистрирован в России, а его ЦОДы расположены, к примеру, в Эстонии, вы нарушаете закон и попадаете под блокировку сайта.

Работодатель может получить все персональные данные сотрудника только от него самого. Учреждение не имеет права собирать информацию, которая не относится напрямую к работе персонала. Поэтому руководитель не должен заставлять сотрудников раскрывать сведения об их вероисповедании, политических пристрастиях, жилищных условиях и т. п. Все это относится к личной или семейной тайне гражданина (п. 4 ч. 1 ст. 86 ТК РФ, ст. 10 от 27 июля 2006 г. Закона № 152-ФЗ).

Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия сотрудника (ст. 7 от 27 июля 2006 г.  закона № 152-ФЗ). Чтобы не допустить утечки информации, создайте систему защиты. Порядок получения, обработки, передачи и хранения сведений установите в локальном акте, например в положении о работе с персональными данными сотрудников.

Положение утверждает руководитель учреждения. Ознакомьте сотрудников с положением под подпись (п. 8 ч. 1 ст. 86 ТК РФ). Руководитель определяет, кто будет отвечать за работу с персональными данными (ч. 5 ст. 88 ТК РФ). На практике такую работу поручают работникам отдела кадров, а в бухгалтерии – бухгалтеру по начислению зарплаты, так как они чаще всего имеют дело с персональными данными сотрудников.

Изменения в законе о персональных данных

Иногда обрабатывать персональные данные сотрудника можно без его согласия. Например, в случаях, прямо предусмотренных коллективным договором, а также локальными актами учреждения (разъяснения Роскомнадзора от 14 декабря 2012 г.).

Предлагаем ознакомиться:  Сроки и порядок рассмотрения судом кассационной жалобы по гражданскому делу 2020 год

Также не нужно получать согласие человека на обработку персональных данных в случаях, когда такая обработка предусмотрена законодательством. К таким случаям относится передача сведений в следующие органы:

  • Пенсионный фонд РФ (ст. 9 Закона от 1 апреля 1996 № 27-ФЗ);
  • налоговую инспекцию (ст. 24 НК РФ);
  • военные комиссариаты (ст. 4 Закона от 28 марта 1998 № 53-ФЗ);
  • иные органы (например, суды, прокуратуру, трудовую инспекцию и т. п.).

Кроме того, не требуйте согласия сотрудника для передачи персональных данных банку при открытии и обслуживании платежной карты для начисления зарплаты:

  • если договор на выпуск банковской карты заключен напрямую с сотрудником, а в договоре предусмотрена передача персональных данных работника банку;
  • если организация оформила доверенность на представление интересов сотрудника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
  • если соответствующая форма и система оплаты труда прописана в коллективном договоре учреждения (абзаце 10 пункта 4 разъяснений Роскомнадзора от 14 декабря 2012 г.).

Особое внимание следует обратить на п. 3 статьи 13.11 «Нарушение законодательства Российской Федерации в области персональных данных». Вы как оператор, собирающий персональные данные, обязаны опубликовать и дать доступ к документу, который определяет вашу политику в отношении обработки персональных данных. Если вы этого не сделаете, то вам грозит штраф до 30 тысяч рублей.

Поэтому вам необходимо любой сбор данных, осуществляемый через формы на сайте, сопровождать ссылкой на политику обработки этих данных, а также иметь подтверждение того, что клиент согласен на обработку данных, которые он ввел. На вашем сайте должен быть документ, в котором посетители вашего сайта могут прочитать о политике обработки данных либо о политике конфиденциальности. Либо вы можете опубликовать пользовательское соглашение, в котором будут упомянуты все необходимые пункты об обработке данных.

В документе вы должны рассказать о политике вашей компании в отношении сбора, хранения, обработки и передачи персональных данных, а также для каких целей вы эти данные собираете. Обратите внимание, что если вы не укажете цели сбора данных (либо указанные цели будут не соответствовать истинным), то вам может быть выписан штраф в размере до 50 тысяч рублей (согласно п. 3 статьи 13.11 «Нарушение законодательства Российской Федерации в области персональных данных»).

Поэтому вам обязательно нужно указать в документе следующее:

  • название вашей организации или ваши ФИО, а также адрес;
  • цель сбора и обработки данных;
  • список персональных данных, которые вы собираете;
  • перечень действий с персональными данными, на выполнение которых заполняющий дает свое согласие;
  • срок, в течение которого действует согласие на обработку данных, а также способ отзыва согласия.

После создания такого документа вам необходимо разместить на своем сайте ссылку на него. Как правило, ее ставят либо в самом конце страницы (подвале), либо при заполнении анкеты, рядом с чек-боксом, где пользователь выражает свое согласие на обработку данных. Еще один возможный вариант: разместить рядом с кнопкой отправки данных предложение «Заполняя эту форму, вы даете согласие на обработку ваших персональных данных» или «Заполняя эту форму, вы соглашаетесь с Политикой конфиденциальности», указав внутри ссылку на соответствующий документ.

Также крайне важно получить согласие у пользователя на обработку его данных. Поэтому рядом с любой формой, даже если форма с электронным адресом, необходимо поставить чек-бокс либо, как было сказано выше, просто надпись «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных».

Что еще предпринять

Если вы хотите максимально обезопасить свой сайт от возможных штрафов, то мы рекомендуем:

  • размещать сайт и базу данных с персональными данными на хостинге, находящемся в России;
  • позаботиться о безопасности вашего сайта, защите данных от взлома; регулярно проверяйте сайт на наличие вирусов;
  • дать возможность клиентам уточнять любые вопросы, касающиеся обработки персональных данных, а также их удаления;
  • уведомлять о сборе метаданных (cookies, IP-адрес, геоданные) на своем сайте (если у вас установлены какие-либо счетчики сбора данных).

Итак, в этой статье мы рассказали обо всех основных моментах, касающихся нововведений в законе о персональных данных. Обращаем ваше внимание, что каждый случай уникален и требует принятия индивидуальных мер. Поэтому при возникновении вопросов советуем вам проконсультироваться с юристом и специалистом по безопасности.

Понравилась статья? Поделиться с друзьями:
Юрист онлайн
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Adblock detector