Персональные данные с 1 июля. Как защитить персональные данные

С 1 июля 2017 года вступили в силу более жесткие меры наказания в сфере нарушений законодательства о персональных данных (статья 13.11. КоАП РФ). Для юридических лиц штрафы вырастут с 10 000 до 75 000 рублей.

К кому это относится?

Данная статья применима к компании, если у неё:

• Есть форма заявки или личный кабинет на сайте.
• Маркетологи или менеджеры пользуются такими инструментами как e-mail рассылки, sms-рассылки, обзвон клиентской базы.
• Хранится в каком-либо виде клиентская база с персональными данными.

Т.е. эта норма относится практически ко всем действующим бизнесам. Помимо этого, закон распространяется и на работодателей, получающих сведения от сотрудников по трудовым договорам и по договорам гражданско-правового характера.

Что нужно делать?

Зарегистрироваться в РОСКОМНАДЗОРЕ

Если вы обрабатываете персональные данные (далее ПДн) в целях:

• Исполнения обязательств по договору и при этом не распространяете и не передаёте ПДн третьим лицам без согласия субъекта ПДн.
• Организации однократного пропуска субъекта ПДн на территорию, на которой находится оператор.
• Соблюдения трудового законодательства.
• А также если вы обрабатываете общедоступные данные.

этот пункт не для вас, можно переходить к следующему.

Если же вы используете инструменты е-mail или sms-рассылок, регулярно обзваниваете клиентов и т.п. — то вам необходимо зарегистрироваться в реестре операторов, осуществляющих обработку персональных данных на сайте Роскомнадзора. Это процедура бесплатная. Правда, никто не гарантирует, что собранная база операторов не будет использована Роскомнадзором для планомерной проверки последних требованиям закона.

Соблюдать требования обработки ПДн, а именно:

• Обрабатывать ПДн только с совместимыми целями сбора этих данных, т.е. обработка данных должна быть только по назначению (например, при регистрации в личном кабинете стоит осуществлять сбор паспортных данных только в том случае, если этого от вас требует отраслевое законодательство).
• Получить согласие на использование персональных данных.
• Опубликовать в открытом доступе политику обработки ПДн и сведения о реализуемых требованиях к защите ПДн.
• Информировать клиентов (по их запросу), о том, как используются (обрабатываются) их ПДн.
• Выполнять требования клиентов об уточнении ПДн, их блокировании или уничтожения. Это необходимо, когда ПНн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
• Обеспечить сохранность материальных носителей ПДн, исключая несанкционированный доступ, их уничтожение, изменение, блокирование, копирование и т.п.
• Хранить ПДн на территории Российской Федерации.

Обеспечить безопасность передачи и хранения данных

Одно из основных требований нового закона — это обеспечение безопасности передачи, хранения и использования персональных данных. Но в тексте статьи законодатели ограничились общими формулировками, поставив ссылку на рекомендации ФСБ

Попробуем разобраться подробнее. Весь процесс передачи и хранения данных можно условно разделить на 4 зоны.

Зона 1

Когда пользователь заходит на ваш сайт и заполняет на нем форму заявки, регистрируется или заходит в личный кабинет, его личные данные отправляются на сервер вашего сайта. Если это происходит по незащищенному протоколу http, особенно в открытых wi-fi сетях, данные относительно просто перехватываются злоумышленниками.

Проблема решается настройкой на вашем домене защищенного протокола https. После этой процедуры данные передаются в зашифрованном виде и уже слабо поддаются перехвату.

Зона 2

Все личные данные пользователя передаются на сервер (хостинг) вашего сайта.

Как обеспечить безопасность этой зоны:

• Подписать с сотрудником, ответственным за администрирование и доработку сайта, соглашение о неразглашении.
• Обязать хранить пароли от CMS и хостинга в зашифрованном виде.
• Обеспечить защиту от brute force взлома (перебор паролей) доступа к хостингу и CMS..

Зона 3

С сервера вашего сайта данные обычно передаются в CRM-систему (информационная система персональных данных, ИСПДн). Эта зона обычно не подвергается атакам, но и она должна быть защищена шифрованием траффика с использованием сертифицированных средств криптографической защиты информации.

Зона 4

Непосредственно защита вашего сервера, где развернута CRM-система. Защитить эту зону позволит:

• Использовать прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
• Определить круг сотрудников, работающих c CRM-системой.
• Определить уровни доступа к системе.
• Подписать с ними соглашение о неразглашении.
• Обязать хранить пароли в зашифрованном виде.

Получение согласия на использование персональных данных

Согласие пользователя можно получить двумя способами — в письменном виде на бумажном носителе и в электронном виде. Рассмотрим второй способ, как более простой и часто используемый.

Получение согласия можно разделить на два уровня

1. Согласие на обработку только в рамках, необходимых для оказания услуг (исполнения условий договора),
2. Согласие на дальнейшее коммерческое использование данных (рассылки и т.п).

Обычно в первом случае в качестве выражения согласия пользователем используется постановка галочки в «чекбоксе», под которым есть ссылка на страницу (или текст) политики использования конфиденциальных данных компании .

На ней подробно описано, что данные собираются только для целей исполнения договора, а постановка галочка нужна по закону. Дальнейшее прохождение формы регистрации (заявки) невозможно без постановки галочки, что, скорее всего, и будет являться доказательством получения согласия.

Во втором случае (коммерческое использование данных) желательно сделать подтверждение согласия по системе d ouble opt-in, при которой пользователь не только cсоглашается на обработку персональных данных, указывая свой e-mail и выказывая таким образом заинтересованность в ней, но и направляет подтверждение с указанного адреса.

Объединять первый и второй случай крайне не желательно . Тогда вам придется в политике использования конфиденциальных данных прописывать, что данные будут использоваться вами, в том числе, в маркетинговых целях. А это противоречит норме закона о необходимости сбора только тех данных, которые необходимы в рамках исполнения договора или оказания услуги.

Исходя из вышесказанного, нормальной практикой будет следующий алгоритм:

• При заполнении формы заявки/регистрации на сайте пользователь ставит первую галочку — согласие на обработку персональных данных только в рамках, необходимых для выполнения договора — и нажимает кнопку «Отправить» или «Зарегистрироваться».
• После чего ему показывается экран, где обещанием всяческих выгод выманивается согласие на коммерческое использование его данных.

Получение согласия от существующей клиентской базы

Если вы не озаботились получением согласия в прошлом — необходимо это сделать. При e-mail рассылках обычно используются «приветственные письма». Такое письмо рассылается по существующей базе и содержит:

• Текст обращения к клиенту. Что-то вроде «Мы раньше старались вас не спамить, а присылать только нужную информацию. Будем стараться и впредь, но законодательство обязывает нас получить ваше согласие на рассылку»
• Кнопка «Спасибо, присылайте»
• Кнопка «Отписаться»

Исключения для источников сбора персональных данных

Если вы собрали свою базу из открытых источников, а к ним относятся соц. сети, адресные книги, корпоративные сайты и т.п, то волноваться не стоит — требования закона к ним не относятся.

Как пользователь может убрать свои данные из базы

Если вас замучили ежедневные звонки или smsот компаний, которых вы даже не знаете, или ежечасные письма, захламляющие вашу почту — отказаться от этого будет не просто.

Законодатели предусмотрели два варианта принудить компанию удалить ваши данные из своей базы:

• Отправить ваше требование на юридический адрес компании в бумажном виде по почте.
• Или отправить требование в электронном виде, но для этого нужно получить квалифицированную электронную цифровую подпись. А это не быстро и не бесплатно.

Информация по теме

• Услуга по подготовки документов под требования закона по защите персональных данных (ФЗ 152)
• Услуга по внедрению системы обработки персональных данных в соответствии требованиями Регламента (ЕС) N 2016/679 (GDPR)

Персональные данные работников есть у всех компаний. С 1 июля 2017 года применяются новые штрафы. Они больше прежних. Подскажем, как работать без нарушений.

С 1 июля 2017 года повышается ответственность за нарушения в работе с персональными данными. Изменения затронут всех без исключения работодателей, у которых в распоряжении есть личные сведения сотрудников и других физлиц.

Что относится к персональным данным в 2017 году

Под персональными данными понимается любая информация о физлице (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ). К таким сведениям, относятся фамилия, имя, отчество, пол, возраст, образование, место жительства физического лица и т.д.

А значит, все документы с персональными данными физлиц работодатель должен обрабатывать, хранить и уничтожать в соответствии с требованиями законодательства.

К таким документам относятся:

• трудовая книжка;
• паспорт или иной документ, удостоверяющий личность;
• страховое свидетельство обязательного пенсионного страхования;
• документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
• документы об образовании и (или) о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
• документы (справки) содержащие сведения о состоянии здоровья работника;
• документы (справки) содержащие сведения о возрасте или семейном положении работника.

июля

2017 года увеличатся штрафы за нарушения правил работы с персональными данными

Как обеспечить защиту персональных данных

Рассмотрим, что нужно предпринять в хозяйстве в связи с защитой персональных данных сотрудников и других физлиц. Всего пять шагов.

Шаг 1. Закрепите порядок получения, обработки, передачи и хранения персональных данных в локальном акте организации. Например в положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 № 152-ФЗ).

Шаг 2. Назначьте работника, ответственного за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Это может быть сотрудник отдела кадров, который взаимодействует с личными делами сотрудников. Он будет получать согласие работников на обработку персональных данных, вести карточки сотрудников и т.д.

Шаг 3. Подготовьте шаблон согласия на обработку персональных данных. Без него запрашивать личные сведения физлиц нельзя. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ):

• ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате и месте выдачи документа;
• наименование или ФИО и адрес работодателя, который получает согласие сотрудника;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие;
• наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
• срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
• подпись работника.

Образец согласия на обработку персональных данных

Шаг 4. Предоставить по запросу физлица информацию, которая касается обработки его персональных данных (ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ). Среди таких сведений, например:

• подтверждение факта обработки персональных данных;
• цели обработки персональных данных;
• способы обработки персональных данных;
• наименование и адрес работодателя, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные по закону и т. д.

Как работать с персональными данными на сайте

Опубликуйте или иначе обеспечьте неограниченный доступ к документу, который определяет политику обработки персональных данных. Если хозяйство собирает персональные данные в интернете, этот шаг тоже нужно сделать (п. 2 ст. 18.1 Закона от 27 июля 2006 г. № 152-ФЗ).

Например, на некоторых сайтах пользователь указывает свои ФИО и e-mail при регистрации или отклике на вакансию. Тогда на сайте нужно разместить ссылки на документы:

• «Политика обработки персональных данных»;
• «Положение об обработке персональных данных» и т.п.

Сколько хранить персональные данные

Персональные данные нужно уничтожить через 30 дней с той даты получения согласия на обработку его персональных данных. Другой срок можно установить в договоре или соглашении с физлицом.

Если у хозяйства нет возможности уничтожить персональные данные в срок, сведения нужно заблокировать. После этого уничтожить личные сведения нужно не позднее, чем через шесть месяцев (ч. 6 ст. 21 Закона № 152-ФЗ).

Уничтожает персональные данные комиссия на основании приказа руководителя. Результат нужно оформить в виде акта о прекращении обработки персональных данных. Еще вариант - можно сделать запись об уничтожении в специальном журнале.

Кому грозят новые штрафы за нарушение работы с персональными данными

С 1 июля 2017 года расширится перечень оснований для привлечения работодателя к административной ответственности в области защиты персональных данных. Кроме того, увеличатся размеры штрафов (Федеральный закон от 7 февраля 2017 г. №13-ФЗ).

Раньше штраф был только один: от 500 руб. до 1000 руб. для директора и от 5000 руб. до 10 000 руб. для юрлица (ст. 13.11 КоАП РФ). Теперь будет шесть видов ответственности. За разные нарушения работодателей в сфере персональных данных проверяющие смогут применять несколько штрафов. Подробнее о видах нарушения и штрафах - в таблице.→00

Штрафы за нарушение правил работы с персональными данными

С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона "О персональных данных" от 27.07.2006 № 152-ФЗ. О том, как избежать штрафов при проверках Роскомнадзора, БУХ.1С рассказал эксперт по налогообложению Игорь Кармазин .

Штрафы за несоблюдение требований Федерального закона "О персональных данных" были повышены в соответствии с Федеральным законом от 07.02.2017 № 13-ФЗ. Новые штрафы по сравнению с действующими выросли в разы . Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей. При этом, если раньше в КоАП существовал только один, общий для всех случаев состав правонарушения в области персданных (ст.13.11 КоАП РФ), то теперь в данной статье появилось целых семь составов.

Чтобы избежать штрафов по 152-ФЗ , компаниям и ИП с 1 июля 2017 года следует внимательнее подходить к соблюдению требований закона о персональных данных.

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

1. С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона "О персональных данных".

2. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей.

3. Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. Закон не содержит конкретного перечня таких организаций.

4. Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре.

5. Обезопасить себя от штрафов можно, соблюдая 6 правил:

• исключить случаи нецелевого сбора и обработки данных;
• получать письменное согласие граждан на обработку их данных;
• знакомить граждан с политикой обработки персональных данных;
• отвечать на вопросы граждан о том, каким образом используются их персональные данные;
• выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении;
• обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д.

6. С 01.07.2017 начинает действовать упрощенный порядок привлечения к административной ответственности. Дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры.

Кого коснутся новые штрафы

Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. По закону они отнесены к операторам персональных данных и обязаны соблюдать законодательные ограничения.

Закон не содержит конкретного перечня таких организаций. Однако к ним можно отнести банки, страховые компании, операторов мобильной связи и интернета, медицинские организации, транспортные компании, учебные заведения и все те компании, при обращении в которые граждан просят указать личные данные или заполнить анкету.

Но и это еще не все. Закон распространяется на работодателей, получающих сведения от сотрудников как по трудовым договорам, так и по договорам гражданско-правового характера. Работодатели тоже являются операторами персональных данных с небольшой оговоркой. Если работодатель состоит с гражданином в трудовых или гражданско-правовых отношениях, ему не требуется уведомлять Роскомнадзор об обработке личной информации (ч. 2 ст. 22 Федерального закона № 152-ФЗ).

Также к операторам персональных данных относятся компании, имеющие собственные сайты с обратной формой связи и регистрацией пользователей, у которых запрашиваются личные сведения.

Как обезопасить себя от штрафов: 6 правил

1. Исключить случаи нецелевого сбора и обработки данных.

Под данное нарушение попадают и случаи сбора излишней информации о гражданах. Например, когда сайт для новостной рассылки по e-mail требует от посетителей предоставить, скажем, паспортные данные. Это считается обработкой данных не по назначению, поэтому исключите подобные случаи из практики работы своей компании и сайта.

Данные действия образуют состав правонарушения по ч. 1 ст. 13.11 КоАП РФ. Штраф для предпринимателей – от 5 до 10 тысяч рублей, а для организаций – от 30 до 50 тысяч рублей.

2. Получать письменное согласие граждан на обработку их данных.

Согласие граждан на обработку персональных данных, когда это требуется по закону, операторы получают в соответствии с ч. 4 ст. 9 Федерального закона № 152-ФЗ. Исключений из этого правила не так много. Например, не требуется письменного согласия при получении персональных данных в личных, семейных целях (ч. 2 ст. 1 Федерального закона № 152-ФЗ).

В большинстве же случаев дополнительно к основному договору стороны должны подписывать соглашение об обработке персональных данных. Это соглашение может включаться в текст основного договора, или выступать в качестве отдельного документа. Согласие должно поступить лично от гражданина. Без его ведома передавать данные нельзя.

Самый банальный пример злоупотреблений в этой части – когда, например, оператор мобильной связи передает контакты абонентов без их ведома сторонним компаниям, и на телефонные номера граждан начинает поступать всевозможный спам.

Если письменного соглашения на обработку данных у компании нет, на граждан (ИП) наложат штраф в размере от 3 до 5 тысяч рублей, на должностных лиц от 10 до 20 тысяч рублей, а на юрлиц – от 15 до 75 тысяч рублей (ч.2 ст.13.11 КоАП РФ). Судя по судебной практике, ИП первый раз штрафуют как физлиц, а если нарушение повторяется, то уже как должностных лиц - руководителей ИП, так как во втором случае штраф выше.

Последствия неполучения письменного согласия контролерам будут неважны, а важен будет сам факт наличия или отсутствия такого согласия в письменной форме.

3. Знакомить граждан с политикой обработки персональных данных.

Эта информация должна находиться в свободном доступе и с ней должен иметь возможность ознакомиться каждый. Например, сайты вывешивают информацию о порядке работы с персданными на отдельных своих страницах.

В противном случае наступит ответственность по ч. 3 ст. 13.11 КоАП РФ. ИП заплатят штраф в размере от 5 до 10 тысяч рублей, а организации в размере от 15 до 30 тысяч рублей.

4. Отвечать на вопросы граждан о том, каким образом используются их персональные данные .

На практике бывают случаи, когда данные «утекают» третьим лицам, и клиентам компании начинает поступать всевозможная реклама от магазинов, медицинских центров и кредитных организаций. В этом случае клиент может потребовать от оператора персональных данных предоставить информацию о том, как используются и хранятся его личные сведения.

За игнорирование обращений граждан операторы персданных несут ответственность по ч. 4 ст. 13.11 КоАП РФ. Штраф для ИП – от 10 до 15 тысяч рублей, а для юрлиц – от 20 до 40 тысяч рублей.

5. Выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении .

Это нужно делать в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Неисполнение этой обязанности грозит штрафом по ч. 5 ст. 13.11 КоАП РФ. Для ИП штраф составит от 10 до 20 тысяч рублей, для организаций – от 25 до 45 тысяч рублей.

6. Обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д .

Ответственность за необеспечение сохранности личных сведений установлена ч. 6 ст. 13.11 КоАП РФ. Для предпринимателей – от 10 до 20 тысяч рублей, для компаний – от 25 до 50 тысяч рублей.

Ответственность для государственных и муниципальных органов власти

Штрафная ответственность предусмотрена и для государственных и муниципальных органов власти (ч. 7 ст. 13.11 КоАП РФ).

В своих документах (протоколах, сводках, решениях и т.д.) они должны обезличивать персональные данные граждан, не допуская указания их места жительства и полных ФИО.

В противном случае придется заплатить штраф в размере от 3 до 6 тысяч рублей.

Регистрация операторов персональных данных в Роскомнадзоре

Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре. Для этого необходимо подать уведомление об обработке (о намерении осуществлять обработку) персональных данных (ч. 3 ст. 22 Федерального закона № 152-ФЗ).

После заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных ее следует отправить в информационную систему Уполномоченного органа по защите прав субъектов персональных данных. Затем заполненную форму нужно распечатать и заверить надлежащим образом, скрепив подписью и печатью организации, после чего направить в соответствующий территориальный орган Роскомнадзора по месту регистрации компании-оператора персональных данных.

Что делать сайтам

Что касается сайтов (а сейчас они есть практически у любой компании), то основная масса нарушений здесь связана именно с нецелевым сбором и использованием персональных данных (ч. 1 ст. 13.11 КоАП РФ).

Например, нередко в форме регистрации на сайте используются такие поля, как «дата рождения» и «телефон», а в форме профиля пользователя - «отчество», «дата рождения», «место жительства» (страна, область/край, город).

Следует понимать, что для регистрации пользователя на большинстве сетевых ресурсов не требуется знать такие данные, как телефон и место жительства/регистрации пользователя. Из формы регистрации эти сведения следует убрать.

А из формы личного профиля лучше убрать такие сведения, как «профессия», «www-страница», Skype (или другой мессенджер) и «дата рождения».

Посторонним лицам (а ваша компания и является таким лицом) знать эту информацию ни к чему. Форма подписки на новости сайта должна собирать информацию только об e-mail пользователей. Форма регистрации может собирать имя, фамилию, e-mail и пол пользователя.

Сбор лишней информации при проверке могут посчитать нарушением.

Выполнение вышеописанных правил и знание закона позволят избежать ответственности за его нарушение. При этом следует учитывать одно немаловажное обстоятельство. Если раньше закон о персональных данных обходил вашу компанию стороной и никакой ответственности за его нарушение вы не несли, то с 1 июля все может измениться кардинальным образом.

Дело в том, что с этой даты начинает действовать упрощенный порядок привлечения к административной ответственности. Раньше дела в этой сфере возбуждала прокуратура (ст. 28.1 КоАП РФ). По новым же правилам (п. 58 ч. 2 ст. 28.3 КоАП РФ) дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры. На практике это означает, что количество штрафов и доведенных до суда дел может значительно увеличиться, и уйти от ответственности станет значительно сложнее.

Уже слышали, что Яндекс ужесточил санкции за кликджекинг – сайты, которые используют технологии, похищающие личные данные посетителей, существенно понижаются в выдаче.

Cайты, которые используют технологии, похищающие личные данные посетителей, существенно понижаются в выдаче. С 01.07.2017 сильнее карать за подобные махинации будет и законодательство: штрафы за несоблюдение закона о персональных данных будут увеличены до 75 000 рублей. Изменения коснутся интернет-ресурсов, собирающих, обрабатывающих и хранящих персональные данные любого рода.

Штрафы теперь не только увеличены во много раз, но и подразделяются по видам нарушений. Если, допустим, на сайте не изложена политика конфиденциальности, то индивидуального предпринимателю могут наложить штраф на 10 000 р., а компании - на 30 000 р. В случае, если подвергаются обработке персональные данные заказчика интернет-магазина или подписчика на информационный ресурс, а своего согласия на это они не давали – сумма штрафа для юридического лица приближается к 75 000 р., для директоров предприятий или предпринимателей – до 20 000. Разумеется, число взысканий будет равняться количеству допущенных нарушений.

Всем владельцам сайтов необходимо в кратчайшие сроки приводить их в порядок. Проверки уже начались!

В настоящее время лишь прокуратура имеет право выписывать протоколы о правонарушениях в указанной сфере, никакого различия для видов нарушений не делается, а сама сумма невелика: для ИП или директора она составит 1 000 р. максимум, для юридического лица - 10 000 р. Кроме того, сама процедура связана с большими временными затратами, а значит проверяют далеко не всех и крайне редко. Однако с 1 июля всё изменится: составлять протоколы уполномочен будет Роскомнадзор, а значит, на судебные проволочки рассчитывать больше не приходится.

Теперь - краткие ответы на самые популярные вопросы, которые могут возникнуть у владельцев сайтов и других интернет-ресурсов.

А кто вообще является оператором персональных данных?

Под такими данными понимаются любые сведения о человеке, которые можно использовать для его идентификации. Законодательством круг этих данных четко не очерчен, так что надо догадываться самостоятельно, исходя из логики. Допустим, по одному имени или никнейму невозможно понять, кто конкретно имеется в виду, а вот по имени и телефонному номеру (или имени и e-mail) - вполне возможно.

Итак, вероятнее всего, вы можете быть признаны оператором персональных данных, если любым способом получаете, подвергаете обработке и храните сведения о людях, сходные с перечисленными ниже (сочетания могут быть любыми):

• Любой физический адрес;
• E-mail;
• Телефонный номер;
• Сведения о дате и/ или месте рождения;
• Личное фото;
• Адрес персонального сайта или ссылку на страницу в любой из соцсетей;
• Данные о профессии или роде занятий;
• Сведения об образовании, доходах и т.д.

Следовательно, все люди, владеющие интернет-ресурсами, где имеются личные кабинеты, любые формы обратной связи, возможность подписаться или зарегистрироваться, совершить покупку, разместить объявление или заполнить какую-либо анкету - это всё операторы персональных данных. Даже в том случае, когда на ресурсе присутствует одна лишь кнопка, нажатием на которую можно заказать обратный звонок или отправить сообщение - это всё равно будет признано обработкой персональных данных.

В случае если я записал номер приятеля или e-mail девушки на сайте знакомств, я тоже нарушил закон?

Информацию для собственных нужд можно сохранять сколько угодно. Правонарушением будет, если вы вышлете номер приятеля в коллекторскую фирму, а e-meil девушки вместе с её фото опубликуете на сайте по предложению интимных услуг.

Я не хочу нарушать закон! Скажите, как грамотно работать с личными данными пользователей ресурса?

Для этого необходимо:

• Получить согласие в письменном виде у всех ваших посетителей в том случае, если ему необходимо передать вам какую-либо информацию о себе;
• Вы можете запрашивать только данные, необходимые для определенной цели. К примеру, просить физический адрес или номер паспорта для новостийной рассылки - подозрительно;
• Использовать полученные данные строго для целей, перечисленных в документах, и о которых пользователь предупрежден;
• по первому требованию пользователя сообщить, какая информация о нем у вас хранится, с какой целью она используется и кому вы её передали (в том случае если такой факт имел место);
• В случае поступления требования от пользователя - немедленно удалить данные, использующиеся для рассылок о скидках, акциях и т.д.;
• защищать базы данных от взлома, не допускать утечек информации;
• пройти регистрацию в Роскомнадзоре.

Что? Какая регистрация? Где?

В соответствии с законодательством операторы персональных данных обязаны поставить в известность Роскомнадзор. Сделать это необходимо до того, как данные начнут обрабатываться, а вообще – чем скорее, тем лучше. Роскомнадзор занесет сведения об операторе в сводный реестр и будет выдавать по запросу.

Уведомление подавать необязательно в следующих случаях:

• обработке подвергаются только информация о сотрудниках;
• информацию вы получили исключительно для осуществления конкретного договора с указанным лицом и никаким иным образом не будут использованы или переданы;
• пользователь сам опубликовал свои данные в общем доступе;
• в вашей базе хранится только ФИО заказчика.

Я являюсь владельцем сайта и получаю указанные данные от пользователей. Каковы мои действия?

А вы всё ещё ничего не предприняли? Значит, вы уже нарушаете действующее законодательство, и вам прямо сейчас могут выписать штраф. Даже в том случае, если ваш интернет-ресурс обслуживается сторонней web-студией, занимающейся продвижением сайтов , взыскание так или иначе будет выписано на организацию, название которой прописано на интернет-ресурсе.

Необходимо подготовить публичные документы, после чего на вашем ресурсе сделать их доступными во всех разделах. Либо изложите условия обработки пользовательских данных в оферте либо обыкновенном договоре.

На сайте обязательно должно присутствовать решение, ясно дающее понять, что пользователь разрешил обработку его данных: галочка в регистрационной форме, информирование о сборе данных при оформлении заказа и т.д. Будет лучше, если вы заверите веб-страницу в нотариальной конторе.

Главное правило: если вы сомневаетесь, надо или нет высылать в Роскомнадзор уведомление - лучше вышлите.

Да ладно, ерунда это! Кому надо штрафовать кого-то из-за отсутствия каких-то там оферт и форм регистрации?

Вынуждены расстроить: прецедентов уже достаточно. Прокуратура Тамбовской области выписала штраф фирмы, оказывающей юридические услуги, за обработку информации о пользователях без их на то согласия. Суд решение поддержал.

А астраханская прокуратура налагает штрафы на владельцев интернет-ресурсов за формы обратной связи по алфавиту.

Ну и стоит добавить, что за подобные нарушения могут не только вдобавок к штрафу взыскать компенсацию морального ущерба, но и дать вполне реальный тюремный срок.

Вывод для всех владельцев сайтов: пишем в Роскомнадзор и живём спокойно.

15.02.2017, 18:16

С 1 июля 2017 года существенно ужесточена ответственность за нарушения при взаимодействии с персональными данными физических лиц. Это следует из положений Федерального закона от 07.02.2017 № 13-ФЗ). Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц. Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего в персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей). Как подготовится к изменениям? Увеличатся ли штрафы? Кто будет выявляться нарушения в обработке персональных данных? Давайте разбираться.

Персональные данные: особая информация

Персональные данные работников – это любая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных»).

У работодателя (организации или ИП) персональные данные работников, чаще всего, обобщаются в их личных карточках и личных делах. При этом почти каждый менеджер отела кадров или HR-специалист знает, что персональные данные допускается получать только лично от работников. Если персональные сведения возможно получить только от третьих лиц, то российское законодательство обязывает уведомить об этом работника и получить от него письменное согласие (пункт 3 части 1 статьи 86 Трудового кодекса РФ).

Работодатели не вправе получать и обрабатывать персональные данные, которые не относятся напрямую к трудовой деятельности человека. То есть, собирать сведения, допустим, о вероисповедании сотрудников – нельзя. Ведь такая информация представляет из себя личную или семейную тайну и никак не может быть связана с выполнением трудовых обязанностей (пункт 4 части 1 статьи 86 Трудового кодекса РФ).

Получив персональные данные, работодатель в силу требований законодательства обязан их не распространять и не раскрывать третьим лицам без согласия работника (ст. 7 Федерального закона от 27 июля 2006 № 152-ФЗ).

Под персональными данными можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу (субъекту персональных данных) – пункт 1 статьи 3 Федерального закона от 27 июля 2006 № 152-ФЗ. Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д.

Как работодатель обязан защищать персональные данные

В целях защиты и ограничения доступа к персональным данным работодатель должен обеспечить качественную и современную систему их защиты. Как именно это сделать? Этот вопрос решает каждый работодатель самостоятельно. При этом порядок получения, обработки, передачи и хранения персональных данных должен быть закреплен в локальном акте организации, допустим в Положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 № 152-ФЗ).

Также у работодателя должен быть официально назначен работник, который отвечающий за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Им может быть, например, работник отдела кадров, которые взаимодействует с личными делами, получает согласия работников на обработку, ведет карточки сотрудников и т.д.

Проверки работодателя по вопросам обработки им персональных данных проводят подразделения Роскомнадзора. Приказом Минкомсвязи России от 14.11.2011 № 312 утвержден Административный регламент исполнения Роскомнадзором функций по осуществлению государственного контроля (надзора).

Какая ответственность применяется к работодателям

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27 июля 2006 № 152-ФЗ). Разберем каждую из этих видов ответственности.

Дисциплинарная ответственность

К дисциплинарной ответственности за нарушения при работе с персональными данными можно привлечь к ответственности работников, которые в силу трудовых отношений обязаны соблюдать правила работы с личными данными, но нарушили их (ст. 192 ТК РФ). То есть, привлечь к ответственности можно, к примеру, менеджера отдела кадров, которому поручена соответствующая работа. За дисциплинарный проступок сбора, обработки и хранения персональных данных работодатель может наказать своего работника, применив к нему одно из следующих взысканий (ч.1 ст. 192 ТК РФ):

• замечание;
• выговор;
• увольнение.

Материальная ответственность

Материальная ответственность работника может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 238 ТК РФ). Предположим, что ответственный работник отдела кадров допустил грубое нарушение – распространил персональные данные сотрудников в сети Интернет. Работники, узнав об этом, подали на работодателя в суд, который постановил: «выплатить пострадавшим работникам денежную компенсацию – 50 000 рублей каждому». В такой ситуации работодатель имеет возможность возложить на виновного сотрудника отдела кадров ограниченную материальную ответственность в пределах его среднего месячного заработка (ст. 241 ТК РФ). Взыскание причиненного ущерба можно осуществить по распоряжению руководителя не позднее одного месяца со дня окончательного установления размера причиненного сотрудником ущерба. Если месячный срок истек, то взыскать ущерб придется через суд. Такой порядок предусмотрен в статье 248 Трудового кодекса РФ.

При полной материальной ответственности сотрудник должен будет полностью возместить организации всю сумму ущерба, возникшего в связи с нарушениями в сфере персональных данных (ст. 242 и 243 ТК РФ). Однако, как правило, на работников, ответственных за обработку персональных данных полную материальную ответственность не возлагают.

Дисциплинарную и материальную ответственность работодатель (к примеру, коммерческая организация) применяет исключительно по своему усмотрению. Государственные контролирующие органы (в том числе., Роскомнадзор) в этом процессе участия не принимают.

Административная ответственность

За нарушение порядка сбора, хранения, использования или распространения персональных данных работодателя и должностных лиц контролирующие органы могут привлечь к административной ответственности в виде штрафов, которые могут составлять:

• для должностных лиц (например, генерального директора, главного бухгалтера, кадровика или индивидуального предпринимателя): от 500 до 1000 рубле;
• для организации: от 5000 до 10 000 рублей.

Отдельный (самостоятельный) штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 рублей. Такие меры ответственности описаны в статьях 13.11 и 13.14 Кодекса РФ об административных правонарушениях.

Уголовная ответственность

Уголовная ответственность для директора, главного бухгалтера или начальника отдела кадров компании или другого лица, ответственного за работу с персональными данными, может наступить за незаконные действия:

• сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
• распространение сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.

За такие нарушения в части обращения с персональными данными допускаются следующие меры уголовной ответственности:

• штраф до 200 000 рублей (или в размере доходов осужденного за период до 18 месяцев);
• обязательные работы на срок до 360 часов;
• исправительные работы на срок до одного года;
• принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
• арест на срок до четырех месяцев;
• лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются жестче:

• штрафом от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
• лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
• принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового;
• арестом на срок от четырех до шести месяцев;
• лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет (статья 137 Уголовного кодекса РФ).

Что изменится с 1 июля 2017 года

Федеральный закон от 07.02. 2017 № 13-ФЗ расширил перечень оснований для привлечения работодателя к административной ответственности в области защиты персональных данных, а также увеличил размеры административных штрафов. Этот закон вступает в силу с 1 июля 2017 года. Сразу скажем, что административная ответственность в сфере персональных данных существенно ужесточена. При этом важно следующее: вместо единственного вида административной ответственности, описанного в статье 13.11 КоАП РФ, появится семь. Таким образом, за различные нарушения работодателей в сфере персональных данных можно будет применять разные штрафы. Если нарушение по разным составам выявят несколько, то, соответственно, количество штрафов может увеличиваться. Поясним новые составы правонарушений более детально.

Нарушение 1: обработка персональных данных в «иных» целях

С 1 июля 2017 года обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями сбора персональных данных – самостоятельные виды административного нарушения (ч. 1 ст. 13.11 КоАП РФ). Приведем пример: организация-работодатель собирает персональные данные работников и передает эти данные сторонним компаниям в рекламных целях (передаются ФИО, телефоны, регионы проживания, уровень дохода). Потом рекламные фирмы начинают рассылать работникам на телефон, e-mail и домашние адреса различный спам и рекламные предложения. Если в таких действиях работодателя не будет выявлено уголовного состава преступления, то можно будет применить административную ответственность. С 1 июля 2017 года административное наказание может быть следующим:

• или предупреждение;
• или штрафы: для граждан от 1000 до 3000 рублей, для должностных лиц – 5000 до 10 000 руб., для юридических лиц – от 30 000 до 50 000 руб.

Нарушение 2: обработка персональных данных без согласия

Обработка персональных данных работодателем, по общему правилу, возможна только с письменного согласия работников. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ):

• ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
• наименование или ФИО и адрес работодателя (оператора), получающего согласие сотрудника;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие;
• наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
• срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
• подпись работника.

С 1 июля 2017 года обработка персональных данных без согласия работника в письменной форме, либо если письменное согласие не содержит обозначенных выше сведений – это самостоятельное административное нарушение, предусмотренное в части 2 статьи 13.11 КоАП РФ. За него возможны штрафные санкции:

• для граждан – от 3000 до 5000 рублей;
• для должностных лиц (например, директор, кадровик или ИП) – от 10 000 до 20 000 руб.;
• для организации – от 15 000 до 75 000 руб.

Нарушение 3: доступ к политике по обработке персональных данных

Оператор персональных данных (например, работодатель или интернет-сайт) обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных в Интернете (например, через сайт), обязан опубликовать в Интернете документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу. Это предусмотрено пунктом 2 статьи 18.1 Закона от 27 июля 2006 г. № 152-ФЗ.

С выполнением этой обязанности на практике сталкиваются многие пользователи сети Интернет. Так, например, когда вы оставляете какую-либо заявку на сайтах и указываете свои ФИО и e-mail, то можете обратить внимание на ссылку на подобные документы: «Политика обработки персональных данных», «Положение об обработке персональных данных» и т.п. Однако стоит признать, что некоторые сайты этим пренебрегают и никакой ссылки не приводят. И получается, что человек оставляет заявку на сайте, не знает, в каких целях сайт собирает персональные данные.

Некоторые работодатели также на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить форму «О себе». В таких случаях интернет-сайт также должен обеспечить доступ к «Политике обработке персональных данных».

С 1 июля 2017 года в части 3 статьи 13.11 КоАП РФ выделен самостоятельный состав правонарушения – невыполнение оператором обязанности по публикации или предоставлению неограниченного доступа к документу с политикой по обработке персональных данных или сведениями по их защите. Ответственность по этой статье может выглядеть как предупреждение или административные штрафы:

• для граждан – от 700 до 1500 рублей;
• для должностных лиц (например, директора или главбуха) – от 3000 до 6000 руб.;
• для индивидуальных предпринимателей – от 5000 до 10 000 руб.;
• на организации – от 15 000 до 30 000 руб.

Нарушение 4: сокрытие информации

Субъект персональных данных (то есть, физическое лицо, кому принадлежат эти данные) имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей (ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ):

1. подтверждение факта обработки персональных данных оператором;
2. правовые основания и цели обработки персональных данных;
3. цели и применяемые оператором способы обработки персональных данных;
4. наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6. сроки обработки персональных данных, в том числе сроки их хранения;
7. порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10. иные сведения, предусмотренные Федеральным законом или другими федеральными законами.

С 1 июля 2017 года невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, является самостоятельным административным нарушением. Оно влечет предупреждение или наложение административных штрафов:

• граждане – от 1000 до 2000 рублей;
• должностные лица (например, директор, кадровик или бухгалтер) – от 4000 до 6000 руб.;
• индивидуальные предприниматели – 10 000 до 15 000 руб.;
• юридических лиц (организаций) – от 20 000 до 40 000 руб.

Нарушение 5: уточнения или блокировка

Статья 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» предусматривает, что в ряде случаев оператор обязан уточнять, блокировать или уничтожать персональные данные физических лиц.

С 1 июля 2017 года введен новый вид административного нарушения – невыполнение оператором требования субъекта персональных данных или его представителя об уточнении, блокировке, уничтожении данных (если данные неполные, устаревшие, неточные, незаконно получены или не являются необходимыми для заявленной цели обработки). Такие действия с 1 июля 2017 года влекут т предупреждение или наложение административных штрафов:

• на граждан – от 1000 до 2000 рублей;
• на должностных лиц (например, директора, кадровика или главбуха) – от 4000 до 10 000 рублей;
• на ИП – от 10 000 до 20 000 рублей;
• на юридических лиц – 25 000 до 45 000 руб.

Нарушение 6: сохранность персональных данных

Многие работодатели собирают персональные данные работников только «на бумаге» и не ведут никакой автоматизированной обработки, не имеют специальных программ для обработки и за данных. С 1 июля 2017 года законодатели выделили для таких операторов (в частности, работодателей) новый вид правонарушения за необеспечение оператором при обработке персональных данных без использования средств автоматизации обязанности по сохранности персональных данных при хранении их материальных носителей, если это привело к неправомерному или случайному доступу к персональным данным. А это, в свою очередь, послужило причиной их уничтожения, изменения, блокирования, копирования, предоставления, распространения либо иного неправомерного действия. Если это произошло, то административная ответственность может наступить в виде административного штрафа:

• на граждан – от 700 до 2000 руб.;
• на должностных лиц (например, руководителя) – от 4000 до 10 000 руб;
• на индивидуальных предпринимателей – от 10 000 до 20 000 руб;
• на организаций – от 25 000 до 50 000 руб.

Нарушение 6: обезличивание

В исключительных случаях, предусмотренных законодательством, государственные и муниципальные органы должны обезличивать персональные данные, которые обрабатывают в своих информационных системах, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (подп. «з» п. 1 перечня, утвержденного постановлением Правительства РФ от 21 марта 2012 г. № 211). К таким случаям относится, например, необходимость государственных и муниципальных органов размещать в открытом доступе документы, содержащие персональные данные, допустим, обезличенные копии судебных актов (п. 3 ст. 15 Закона от 22 декабря 2008 г. № 262-ФЗ).

Под обезличиванием персональных данных можно понимать процесс, в результате которого становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному человеку (ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).

С 1 июля 2017 года невыполнение должностными лицами государственного или муниципального органа – оператора персональных данных обязанностей по обезличиванию персональных данных либо за нарушение требований к этому процессу – административное нарушение. Возможна ответственность в виде предупреждения или наложения административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.

Получается, что административные штрафы с 1 июля 2017 года существенно увеличились. При этом установили новые размеры штрафов в зависимости от вида совершенного правонарушения. Так, должностных лиц могут оштрафовать на сумму от 3000 до 20 000 руб., ИП – на сумму от 5000 до 20 000 руб., организации – на сумму от 15 000 до 75 000 руб. Причем привлекать в ответственности могут по разным составам правонарушений. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

До 1 июля 2017 года максимально возможный административный штраф составлял для организаций – 10 000 рублей. И состав нарушения в статье 13.11 КоАП РФ был одним.

Привлекать к ответственности станет проще

До 1 июля 2017 года возбуждать дела по административным делам, связанным с персональными данными, по статье 13.11 КоАП РФ был вправе исключительно прокурор. Это предусмотрено частью 1 ст. 28.4 КоАП РФ. С 1 июля 2017 года участие прокурора будет необязательным. С указанной даты дела по статье 13.11 КоАП будут вправе возбуждать должностные лица Роскомнадзора. Такая поправка внесена комментируемым законом в пункт 58 части 2 статьи 28.3 КоАП РФ. Следовательно, процедура привечения к ответственности по делам о персональных данных становится проще.

Материал предоставлен нашему сайту порталом “Бухгуру”. Исходник данной статьи размещен в статье “