Закон на обработку персональных данных. Защита персональных данных

С 1 июля 2017 года применяются новые штрафы за нарушение обработки и хранения персональных данных.

Все это влечет за собой пересмотр политики компаний и ИП в отношении защиты данных сотрудников. Давайте рассмотрим внимательно новые требования, что относится к персональным данным, как их хранить с 1 июля 2017 года.

Что относится к персональным данным с 1 июля 2017 года

Прежде чем начать разговор о новых штрафах за неправильную обработку и хранение персональных данных с 1 июля 2017 года, нужно сначала определить, что относится к этим персональным данным.

Персональные данные – это личная информация о сотруднике, имеющая отношения к его частной или рабочей жизни. К ним относятся:

• паспортные данные;
• адрес, прописка;
• данные о семье;
• справка о состоянии здоровья;
• страховые документы;
• военный билет;
• дипломы об образовании;
• сведения о трудовой биографии.

Важно! Нельзя брать у сотрудника данные, не относящиеся к его работе и не влияющие на его трудовые обязанности, зарплату, выплаты, пособия и т. Д. Имеются в виду: национальность, религиозная принадлежность, политические предпочтения и пр.

Новые штрафы за персональные данные с 1 июля 2017 года

Согласно ст.13.11 Федерального закона №13-ФЗ от 7 февраля 2017 года за нарушение обработки и использования персональных данных с 1 июля 2017 года налагаются новые штрафы, рассмотрим их поближе:

За какое нарушение по использованию, обработке и хранению персональных данных (далее ПД) положен штраф	Размер штрафа для «физиков» (в руб.)	Размер штрафа для ответственных лиц (в руб.)	Размер штрафа для ИП (в руб.)	Размер штрафа для компаний (в руб.)
Противоречащая закону обработка ПД или вы делаете это с целью, идущей в разрез с законодательством (то есть теперь передача данных сторонней компании для распространения рекламы карается очень строго)			30 000 – 50 000
Если вы обрабатываете ПД человека, не взяв предварительно с него согласие на это
Не проинформировали о своей политике по использованию и обработке ПД
Не проинформировали человека о том, как вы собираетесь обрабатывать его ПД или дали ему информации о его ПД
Пропустили срок, оговоренного субъектом, по уточнению, блокировке, либо уничтожению его ПД
Если вы не имеете автоматизированной системы по хранению и защите ПД, и это привело к опубликованию ПД, уничтожению, блокировке, копированию, изменению и пр. незаконным операциям

Внимание! За обработку персональных данных без согласия на то, самого человека, помимо штрафа предусмотрена также уголовная ответственность. Поэтому не забывайте брать с сотрудников заявление, в котором они дают свое разрешение на обработку данных, на предоставление этих данных банку, налоговой и иным заинтересованным организациям, оговаривают срок хранения информации и подтверждают, что ознакомлены с целью сбора данных.

Что изменить в обработке персональных данных с 1 июля 2017 года под новые требования

Для того чтобы вас с 1 июля 2017 года не оштрафовали за то, что вы обрабатываете, распространяете, изменяете и т.д. персональные данные ваших сотрудников, нужно взять с них письменное заявление, что они согласны на эти действия.

Утвержденного образца заявления пока нет, пишется оно в свободной форме. При этом ориентируясь на ч.4 ст.9 ФЗ №152-ФЗ от 27.07.2006, оно должно включать в себя следующие данные:

• ФИО, адрес работника;
• серию, номер паспорта, где и кем выдан;
• перечень персональных данных и причина, по которой дается согласие;
• манипуляции, которые работник разрешает производить со своими данными;
• срок действия соглашения;
• дата, подпись, расшифровка.

Образец заявления-соглашения на использование персональных данных

Хранение и обработка персональных данных, новые изменения с 01.07.2017г.

Федеральный закон от 01.07.2017 года №13-ФЗ ввел новые штрафы за нарушение обработки или уничтожения хранения личных данных сотрудников и клиентов, однако не сделал никаких новых изменений в этой части. Поэтому, чтобы избежать новых больших штрафов при обработке, хранении, изменении и уничтожении персональных данных, руководствуйтесь Законом №152-ФЗ от 27.07.2006 года.

Как хранить персональные данные с 1 июля 2017 года

Итак, что же нужно сделать компании и ИП, чтобы не нарушить закон и не подвергнуться большим штрафам, при пользовании персональными данными.

1. Пусть за хранение, изменение, обработку, уничтожение персональных данных у вас отвечают, специально назначенные для этого, должностные лица. Это может быть кадровик, бухгалтер, руководитель подразделения, даже генеральный директор, если речь идет о маленьких организациях.
2. Обязательно разработайте правила обработки, хранения, уничтожения персональных данных в согласии с Федеральным законом. Создайте специальный локальный акт, в котором пропишите все эти правила. Чаще всего компании используют «Положение о защите персональных данных работников» (ст.18.1 ФЗ от 27.07.2006 №153-ФЗ), но можно использовать свое.
3. Ознакомьте с этим актом всех своих сотрудников, кроме того инструкция должна у вас всегда находится в зоне свободного доступа.
4. Разработайте соглашение о согласии сотрудника на обработку, изменение, хранение, уничтожение его персональных данных (примерный образец такого соглашения можно скачать по ссылке выше). Проследите, чтобы все ваши сотрудники заполнили это соглашение.
5. Проинформируйте сотрудников, если у них возникнут вопросы, как вы обрабатываете и используете их персональные данные (ст.14 ФЗ №153-ФЗ от 27.07.2006).
6. Своевременно вносите изменения в персональные данные сотрудников, например при смене фамилии, имени, места жительства, состоянии здоровья и т.д.
7. Организуйте грамотную систему хранения и защиты персональных данных. Как это сделать, вы должны определить самостоятельно, руководствуясь ст.19 Закона №153-ФЗ. Оградите персональные данные от несанкционированного или даже случайного доступа. Если личная информация о ваших сотрудниках даже случайно попадет в руки посторонних лиц, санкций компании не избежать.
8. Своевременно уничтожайте персональные данные ваших сотрудников. Срок хранения документов определяется соглашением с вашими сотрудниками. Если вы не оговорили срок хранения с работником, то данные уничтожаются через 30 дней с момента их получения. Если нет такой возможности, блокируйте личную информацию.

Будьте внимательны! Организацию, обработку, хранение, изменение, удаление личных данных в компании проверяет Трудовая инспекция и сотрудники Роскомнадзора. Если они отметят нарушения, вас оштрафуют.

С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона "О персональных данных" от 27.07.2006 № 152-ФЗ. О том, как избежать штрафов при проверках Роскомнадзора, БУХ.1С рассказал эксперт по налогообложению Игорь Кармазин .

Штрафы за несоблюдение требований Федерального закона "О персональных данных" были повышены в соответствии с Федеральным законом от 07.02.2017 № 13-ФЗ. Новые штрафы по сравнению с действующими выросли в разы . Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей. При этом, если раньше в КоАП существовал только один, общий для всех случаев состав правонарушения в области персданных (ст.13.11 КоАП РФ), то теперь в данной статье появилось целых семь составов.

Чтобы избежать штрафов по 152-ФЗ , компаниям и ИП с 1 июля 2017 года следует внимательнее подходить к соблюдению требований закона о персональных данных.

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

1. С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона "О персональных данных".

2. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей.

3. Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. Закон не содержит конкретного перечня таких организаций.

4. Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре.

5. Обезопасить себя от штрафов можно, соблюдая 6 правил:

• исключить случаи нецелевого сбора и обработки данных;
• получать письменное согласие граждан на обработку их данных;
• знакомить граждан с политикой обработки персональных данных;
• отвечать на вопросы граждан о том, каким образом используются их персональные данные;
• выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении;
• обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д.

6. С 01.07.2017 начинает действовать упрощенный порядок привлечения к административной ответственности. Дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры.

Кого коснутся новые штрафы

Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. По закону они отнесены к операторам персональных данных и обязаны соблюдать законодательные ограничения.

Закон не содержит конкретного перечня таких организаций. Однако к ним можно отнести банки, страховые компании, операторов мобильной связи и интернета, медицинские организации, транспортные компании, учебные заведения и все те компании, при обращении в которые граждан просят указать личные данные или заполнить анкету.

Но и это еще не все. Закон распространяется на работодателей, получающих сведения от сотрудников как по трудовым договорам, так и по договорам гражданско-правового характера. Работодатели тоже являются операторами персональных данных с небольшой оговоркой. Если работодатель состоит с гражданином в трудовых или гражданско-правовых отношениях, ему не требуется уведомлять Роскомнадзор об обработке личной информации (ч. 2 ст. 22 Федерального закона № 152-ФЗ).

Также к операторам персональных данных относятся компании, имеющие собственные сайты с обратной формой связи и регистрацией пользователей, у которых запрашиваются личные сведения.

Как обезопасить себя от штрафов: 6 правил

1. Исключить случаи нецелевого сбора и обработки данных.

Под данное нарушение попадают и случаи сбора излишней информации о гражданах. Например, когда сайт для новостной рассылки по e-mail требует от посетителей предоставить, скажем, паспортные данные. Это считается обработкой данных не по назначению, поэтому исключите подобные случаи из практики работы своей компании и сайта.

Данные действия образуют состав правонарушения по ч. 1 ст. 13.11 КоАП РФ. Штраф для предпринимателей – от 5 до 10 тысяч рублей, а для организаций – от 30 до 50 тысяч рублей.

2. Получать письменное согласие граждан на обработку их данных.

Согласие граждан на обработку персональных данных, когда это требуется по закону, операторы получают в соответствии с ч. 4 ст. 9 Федерального закона № 152-ФЗ. Исключений из этого правила не так много. Например, не требуется письменного согласия при получении персональных данных в личных, семейных целях (ч. 2 ст. 1 Федерального закона № 152-ФЗ).

В большинстве же случаев дополнительно к основному договору стороны должны подписывать соглашение об обработке персональных данных. Это соглашение может включаться в текст основного договора, или выступать в качестве отдельного документа. Согласие должно поступить лично от гражданина. Без его ведома передавать данные нельзя.

Самый банальный пример злоупотреблений в этой части – когда, например, оператор мобильной связи передает контакты абонентов без их ведома сторонним компаниям, и на телефонные номера граждан начинает поступать всевозможный спам.

Если письменного соглашения на обработку данных у компании нет, на граждан (ИП) наложат штраф в размере от 3 до 5 тысяч рублей, на должностных лиц от 10 до 20 тысяч рублей, а на юрлиц – от 15 до 75 тысяч рублей (ч.2 ст.13.11 КоАП РФ). Судя по судебной практике, ИП первый раз штрафуют как физлиц, а если нарушение повторяется, то уже как должностных лиц - руководителей ИП, так как во втором случае штраф выше.

Последствия неполучения письменного согласия контролерам будут неважны, а важен будет сам факт наличия или отсутствия такого согласия в письменной форме.

3. Знакомить граждан с политикой обработки персональных данных.

Эта информация должна находиться в свободном доступе и с ней должен иметь возможность ознакомиться каждый. Например, сайты вывешивают информацию о порядке работы с персданными на отдельных своих страницах.

В противном случае наступит ответственность по ч. 3 ст. 13.11 КоАП РФ. ИП заплатят штраф в размере от 5 до 10 тысяч рублей, а организации в размере от 15 до 30 тысяч рублей.

4. Отвечать на вопросы граждан о том, каким образом используются их персональные данные .

На практике бывают случаи, когда данные «утекают» третьим лицам, и клиентам компании начинает поступать всевозможная реклама от магазинов, медицинских центров и кредитных организаций. В этом случае клиент может потребовать от оператора персональных данных предоставить информацию о том, как используются и хранятся его личные сведения.

За игнорирование обращений граждан операторы персданных несут ответственность по ч. 4 ст. 13.11 КоАП РФ. Штраф для ИП – от 10 до 15 тысяч рублей, а для юрлиц – от 20 до 40 тысяч рублей.

5. Выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении .

Это нужно делать в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Неисполнение этой обязанности грозит штрафом по ч. 5 ст. 13.11 КоАП РФ. Для ИП штраф составит от 10 до 20 тысяч рублей, для организаций – от 25 до 45 тысяч рублей.

6. Обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д .

Ответственность за необеспечение сохранности личных сведений установлена ч. 6 ст. 13.11 КоАП РФ. Для предпринимателей – от 10 до 20 тысяч рублей, для компаний – от 25 до 50 тысяч рублей.

Ответственность для государственных и муниципальных органов власти

Штрафная ответственность предусмотрена и для государственных и муниципальных органов власти (ч. 7 ст. 13.11 КоАП РФ).

В своих документах (протоколах, сводках, решениях и т.д.) они должны обезличивать персональные данные граждан, не допуская указания их места жительства и полных ФИО.

В противном случае придется заплатить штраф в размере от 3 до 6 тысяч рублей.

Регистрация операторов персональных данных в Роскомнадзоре

Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре. Для этого необходимо подать уведомление об обработке (о намерении осуществлять обработку) персональных данных (ч. 3 ст. 22 Федерального закона № 152-ФЗ).

После заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных ее следует отправить в информационную систему Уполномоченного органа по защите прав субъектов персональных данных. Затем заполненную форму нужно распечатать и заверить надлежащим образом, скрепив подписью и печатью организации, после чего направить в соответствующий территориальный орган Роскомнадзора по месту регистрации компании-оператора персональных данных.

Что делать сайтам

Что касается сайтов (а сейчас они есть практически у любой компании), то основная масса нарушений здесь связана именно с нецелевым сбором и использованием персональных данных (ч. 1 ст. 13.11 КоАП РФ).

Например, нередко в форме регистрации на сайте используются такие поля, как «дата рождения» и «телефон», а в форме профиля пользователя - «отчество», «дата рождения», «место жительства» (страна, область/край, город).

Следует понимать, что для регистрации пользователя на большинстве сетевых ресурсов не требуется знать такие данные, как телефон и место жительства/регистрации пользователя. Из формы регистрации эти сведения следует убрать.

А из формы личного профиля лучше убрать такие сведения, как «профессия», «www-страница», Skype (или другой мессенджер) и «дата рождения».

Посторонним лицам (а ваша компания и является таким лицом) знать эту информацию ни к чему. Форма подписки на новости сайта должна собирать информацию только об e-mail пользователей. Форма регистрации может собирать имя, фамилию, e-mail и пол пользователя.

Сбор лишней информации при проверке могут посчитать нарушением.

Выполнение вышеописанных правил и знание закона позволят избежать ответственности за его нарушение. При этом следует учитывать одно немаловажное обстоятельство. Если раньше закон о персональных данных обходил вашу компанию стороной и никакой ответственности за его нарушение вы не несли, то с 1 июля все может измениться кардинальным образом.

Дело в том, что с этой даты начинает действовать упрощенный порядок привлечения к административной ответственности. Раньше дела в этой сфере возбуждала прокуратура (ст. 28.1 КоАП РФ). По новым же правилам (п. 58 ч. 2 ст. 28.3 КоАП РФ) дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры. На практике это означает, что количество штрафов и доведенных до суда дел может значительно увеличиться, и уйти от ответственности станет значительно сложнее.

В январе 2017 года, Государственной Думой РФ принят закон, который внёс изменения в главу 5 Федерального закона о персональных данных. Этот закон регламентирует правила использования персональных данных организациями и должностными лицами. Федеральный Закон «О персональных данных» был призван привести правовую базу в соответствие с Европейскими законами, с целью обеспечения международной торговли со странами Евросоюза.

В изменениях, вступивших в силу с 1июля 2017 года, были конкретизированы некоторые понятия и определения, добавлен пункт о необходимости регистрации компаний, занимающихся обработкой личных данных физических лиц, в качестве операторов обработки персональных данных в Роскомнадзоре.

Дополнительно внесены изменения в статьи КоАП РФ, связанные с ответственностью за нарушения законодательства в сфере персональных данных, были добавлены новые составы правонарушений и увеличены размеры штрафов.

Как самостоятельно подготовить сайт на битриксе для соответствия требованиям 152 Федерального Закона «О персональных данных»

Кроме того, с 1 июля 2017 года ввели упрощенный порядок привлечения к административной ответственности.

Если ранее для вынесения постановления требовалось участие прокуратуры, то теперь эти функции переданы в Роскомнадзор.

Для юридических и должностных лиц штрафы могут составить до 295 000 рублей. Несмотря на дополнения и уточнения, в законе по-прежнему достаточно нечетких формулировок, допускающих различное толкование. Например, под персональными данными в законе понимается «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». А под обработкой персональных данных подразумевается «любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных».

Очевидно, что даже если вы не используете на сайте формы обратной связи и не вступаете в информационный контакт с пользователем, вы все равно попадаете под действие закона. Например, если у вас на сайте установлена Яндекс.Метрика или Google.Analytics, которая собирает данные о посетителях, такие как ip-адрес, используемая операционная система и браузер, то вы все равно являетесь оператором обработки персональных данных. Причем, в данном случае речь может идти о предоставлении и распространении персональных данных.

Под распространением персональных данных понимаются «действия, направленные на раскрытие персональных данных неопределенному кругу лиц». А под предоставлением персональных данных - «действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц».

Полной защиты от штрафных санкций, к сожалению, мы предоставить не можем, но поможем существенно снизить вероятность штрафа, который могут наложить на вас за нарушения ФЗ 152 на вашем сайте.

Мы предлагаем следующий пакет услуг для сайтов, работающих на CMS 1С-Битрикс:

1. Аудит сайта на выявления точек соприкосновения с пользователем
2. Обновление вашей CMS до версии 17.0.9
3. Стандартное пользовательское соглашение на обработку персональных данных. Если ваши юристы разработали свое соглашение, мы можем использовать его.
4. Доработка форм на вашем сайте в соответствии с требованиями закона.
5. Добавление страницы, содержащей типовое пользовательское соглашение на сайт.
6. Добавление ссылки на страницу, содержащую типовое пользовательское соглашение.

Как правило, работы по приведению сайта в соответствие с изменениями в 152-ФЗ о персональных данных для интернет-магазина занимают около 12 часов. Если у вас остались вопросы относительно того, как быстро и по разумной цене (недорого) привести свой сайт в соответствие с ФЗ №152, пожалуйста свяжитесь с нами по телефону: 8-800-555-0628 (бесплатно по России) или напишите нам на адрес электронной почты:

Одно из важнейших изменений в законодательстве, которое ждет кадровиков летом 2018 года, следующее – с 1 июля увеличатся штрафы за персональные данные. Если ранее максимальный штраф составлял 10 000 рублей, то теперь он может достигать 75 000 рублей. Кроме того, с 1 июля штрафовать работодателей сможет непосредственно Роскомнадзор, а раньше дела такой категории возбуждала прокуратура. Разберемся подробнее, как с 1 июля увеличатся штрафы за персональные данные.

Из статьи вы узнаете:

Персональные данные работников

Прежде чем рассматривать штрафы за персональные данные в 2018 году, выясним, что относится к таким данным. Персональные данные работников – это сведения, которая как прямо, так и косвенно относятся к физическому лицу. Это информация о фактах, событиях и перепитиях частной жизни, которые дают возможность идентифицировать личность человека, за исключением сведений, которые подлежат распространению в СМИ (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ, далее – Закон № 152-ФЗ, Указ Президента РФ от 6 марта 1997 г. № 188).

Скачайте документы по теме:

Выделяют три вида персональных данных работников: общие, специальные и биометрические. К общим относят:

Ф. И.О., место жительства;

паспортные данные;

сведения об образовании;

семейное положение;

Общие персональные данные работников содержатся в паспорте, дипломе, военном билете, личной карточке, трудовой книжке и других документах.

С 1 июля увеличатся штрафы за персональные данные за обработку в нарушение запрета специальных данных. К ним относится информация о (ч. 1 ст. 10 Закона № 152-ФЗ):

расовой, принадлежности, национальности;

политических взглядах;

религиозных или философских убеждениях;

состоянии здоровья и тому подобное.

Специальные персональные данные работников могут быть в анкете, которую сотрудник заполняет при приеме на работу, медицинском заключении и т. д.

Серьезные штрафы за нарушение закона о персональных данных грозят при нарушении порядка работы с биометрическими данными. Это сведения о физиологических и биологических особенностях человека, по которым можно установить его личность. К примеру, такие особенности, как:

• дактилоскопические данные;
• радужная оболочка глаз;
• анализы ДНК;
• рост, вес и прочее.

Обратите внимание! Фотография или видеозапись также относятся к биометрическим персональным данным, если по ним можно идентифицировать человека. Исключение составляют фото- и видеозаписи, которые сделали на массовых и публичных мероприятиях (п. 1 ст. 152.1 ГК РФ).

Новые штрафы: персональные данные

В 2017 году с 1 июля увеличатся штрафы за персональные данные. Поправки в КоАП РФ внес Федеральный закон от 07.02.2017 № 13-ФЗ. Изменения размеров новых штрафов за персональные данные существенные. Поэтому операторам персональных данных, к которым относятся все работодатели, нужно тщательно подготовиться к изменениям.

Действующая в текущий момент редакция статьи 13.11 КоАП РФ содержит только одно общее основание, чтобы привлечь организацию к административной ответственности – за нарушение определенного законом порядка сбора, хранения, использования или распространения персональных данных. С 1 июля увеличатся штрафы за персональные данные и видов нарушений, за которые можно наказать, будет семь.

Важно: сейчас максимальный размер штрафных санкций составляет 1 000 руб. (для должностных лиц) и 10 000 руб. (для юридических лиц). С 1 июля максимум возрастет до 20 000 и 75 000 руб. соответственно.

С 1 июля увеличатся штрафы за персональные данные и одновременно изменится порядок, в котором заводят дела об административных правонарушениях в области персданных. Сейчас такие дела возбуждают прокуроры (п. 1 ст. 28.4 КоАП РФ). С 1 июля 2017 года указанные полномочия передаются должностным лицам Роскомнадзора (подп. 58 п. 2 ст. 28.3 КоАП РФ в новой редакции). Они смогут сами налагать новые штрафы за персональные данные:

• штраф за разглашение персональных данных;
• штрафы за неправильную обработку персональных данных;
• штраф за распространение персональных данных;
• штрафы за нарушение работы с персональными данными и так далее.

Передача функций по возбуждению административных дел Роскомнадзору ускорит процесс привлечения работодателей к ответственности. В настоящее время такие органы лишь собирают информацию о нарушениях и передают ее в прокуратуру для решения вопроса о применении административного наказания.

Закон о персональных данных: штрафы

С 1 июля увеличатся штрафы за персональные данные. Рассмотрим семь составов, которые вводятся с 1 июля (таблица ниже). За нарушение закона о персональных данных штрафы для организаций составят от 15 000 до 75 000 рублей.

Штрафы за нарушение закона о персональных данных с 1 июля 2017 года

Вид правонарушения	Санкция для должностных лиц	Санкция для организаций	Правовое основание
Обработка работодателем персональных данных: – в случаях, не установленных законом; – несовместимая с целями сбора персональных данных	Предупреждение или штраф от 5 000 до 10 000 рублей	Предупреждение или штраф от 30 000 до 50 000 рублей	Ч. 1 ст. 13.11 КоАП РФ
Обработка персональных данных без письменного согласия работника, когда оно должно быть получено в обязательном порядке либо отсутствие в согласии необходимых сведений	Штраф от 10 000 до 20 000 тысяч рублей	Штраф от 15 000 до 75 000 тысяч рублей	Ч. 2 ст. 13.11 КоАП РФ
	Предупреждение или штраф от 3000 до 6000 рублей;	Предупреждение или штраф от 15 000 до 30 000 рублей.	ч. 3 ст. 13.11 КоАП РФ
Непредоставление работнику информации, которая затрагивает обработку его персональных данных	Предупреждение или штраф от 4000 до 6000 рублей;	Предупреждение или штраф от 20 000 до 40 000 рублей.	Ч. 4 ст. 13.11 КоАП РФ
Невыполнение требования работника либо управления Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении в случае, когда данные являются неполными, устаревшими, неточными, незаконно полученными или не требующимися для заявленной цели обработки	Предупреждение или штраф от 4000 до 10 000 рублей	Предупреждение или штраф от 20 000 до 45 000 тысяч рублей	Ч. 5 ст. 13.11 КоАП РФ
Необеспечение сохранности персональных данных при хранении материальных носителей персональных данных, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо другие неправомерные действия	от 4000 до 10 000 рублей	от 20 000 до 50 000 тысяч рублей	Ч. 6 ст. 13.11 КоАП РФ
Невыполнение обязанности по обезличиванию персональных данных или несоблюдение установленных требований или методов по обезличиванию таких данных (для государственных и муниципальных органов)	Предупреждение или штраф от 3000 до 6000 рублей.		Ч. 7 ст. 13.11 КоАП РФ

Чтобы избежать повышенных новых штрафов за персональные данные в 2018 году, работодателям необходимо проанализировать, правильно ли они организовали систему работы с персональными данными, выявить и ликвидировать недочеты. В частности, важно проверить, получал ли работодатель письменное согласие сотрудников на обработку данных в тех случаях, когда оно требуется.

Согласие на обработку персональных данных в письменной форме надлежит получить, когда (подп. 1 п. 2 ст. 10, п. 1 ст. 11, подп. 1 п. 4 ст. 12 Закона № 152-ФЗ):

• речь идет о их передаче в государство, не обеспечивающее необходимую защиту персональных данных;
• обрабатываются биометрические данные, чтобы установить личность;
• обрабатываются специальные категорий и сведений, которые касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

В очередной раз ужесточают ответственность за обработку персональных данных. С 1 июля 2017 года будет действовать новая редакция статьи 13.11 КоАП РФ. Список нарушений стал более детализированным, а размеры штрафов значительно выросли - до 75 тыс. руб. О том, как защититься от нарушений, читайте в статье.

Ответственность за нарушения по персональным данным

Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц. Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего в персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей). Законодатель с 1 июля вносит изменения в статью 13.11 КоАП (Федеральный закон от 7 февраля 2017 г. № 13-ФЗ).

• для юридических лиц - от 5 тыс. до 10 тыс. руб.;
• для должностных лиц - от 500 до 1 тыс. руб.

Ниже в таблице приведу перечень нарушений и размеры новых штрафов за них с 1 июля 2017.

Вид нарушения	Размер штрафа
	для юридических лиц	для должностных лиц
Обработка персональных данных в случаях, не предусмотренных законодательством, либо их обработка, несовместимая с целями сбора персональных данных*.	От 30 тыс. до 50 тыс. руб.	От 5 тыс. до 10 тыс. руб.
Обработка персональных данных без письменного согласия субъекта персональных данных на их обработку*	От 15 тыс. до 75 тыс. руб.	От 10 тыс. до 20 тыс. руб.
Обработка персональных данных с нарушением требований к составу сведений, отражаемых в письменном согласии субъекта персональных данных на их обработку	От 15 тыс. до 75 тыс. руб.	От 10 тыс. до 20 тыс. руб.
Нарушение оператором требований законодательства в области обработки, хранения и предоставления персональных данных	От 15 тыс. до 50 тыс. руб.	От 3 тыс. до 10 тыс. руб.

* Если не предусмотрена уголовная ответственность

Полномочия по возбуждению дел об административных правонарушениях в области персональных данных переданы от прокуроров к Роскомнадзору. Срок давности для административной ответственности - три месяца со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Протокол об административном нарушении составляют сотрудники Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ).

Трудовая инспекция также вправе наказать за нарушения правил работы с персональными данными, которые установлены в трудовом законодательстве (например, если бухгалтер использует сведения сотрудника в незаконных целях или их утерял). Наказание - штраф от 1000 до 5000 руб., за повторное нарушение - штраф от 10 000 до 20 000 руб. или дисквалификация от одного года до трех лет (ч. 1, 2 ст. 5.27 КоАП РФ).

Срок давности для ответственности за персональные данные по трудовому законодательству - один год со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Кроме административной ответственности за нарушения в области обработки персональных данных могут привлечь к дисциплинарной, материальной и даже к уголовной ответственности.

Ситуации из практики: что изменится с 1 июля

Пример 1. Должностное лицо без согласия человека разгласил зарплату, премию, вознаграждение по договору, передал данные должников в юридическую фирму, чтобы составить исковые заявления или разместил копию заявления человека в качестве образца на стенде с образцами других заявлений. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как разглашение персональных данных без письменного согласия от человека или по письменному согласию, которое оформлено с нарушениями и выдадут постановление об административном правонарушении и назначат штраф: на учреждение - от 15 000 до 75 000 руб., на должностное лицо - от 10 000 до 20 000 руб. (ч. 2 ст. 13.11 КоАП РФ).

Пример 2. Бухгалтер не предоставил сотруднику расчетный листок, справку, сведения о страховом стаже и другие документы, в которых есть персонифицированные сведения о человеке. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как сокрытие от человека его персональных данных и назначат штраф: на учреждение - от 20 000 до 40 000 руб., на бухгалтера - от 4000 до 6000 руб. (ч. 4 ст. 13.11 КоАП РФ).

Пример 3. Должностное лицо отказался принять к обработке новые паспортные данные человека, банковские реквизиты или другую изменяющую информацию - за такое нарушение инспекторы могут назначить штраф на учреждение - от 25 000 до 45 000 руб, а на должностное лицо - от 4000 до 10 000 руб.

Пример 4. Должностное лицо небрежно работает с документами, персональные сведения о сотруднике стали известны другим лицам из-за того, что он оставил на столе без присмотра или вынес с рабочего места справки, расчетные листки, другие документы с персональными данными или потерял эти документы. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как невыполнение требования человека уточнить, блокировать или уничтожить его персональные данные и назначат штраф: на учреждение - от 25 000 до 50 000 руб., а на бухгалтера - от 4000 до 10 000 руб. (ч. 6 ст. 13.11 КоАП РФ).

Пример 5. Должностное лицо передает имена, адреса, телефоны и другие данные сотрудников организациям, действующим в рекламных целях коллекторским агентствам или другим третьим лицам. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как обработку персональных данных, когда это не предусмотрено законами и не соответствуют целям сбора персональных данных и назначат штраф на учреждение - от 30 000 до 50 000 руб., а на бухгалтера - от 5000 до 10 000 руб. (ч. 1 ст. 13.11 КоАП РФ).

О других видах ответственности

К дисциплинарной ответственности руководитель учреждения может привлечь работника за нарушения, которые обязаны соблюдать правила работы с личными данными, но нарушили их (ст. 192 ТК РФ). За дисциплинарный проступок руководитель может наказать работника, сделать замечание, объявить выговор и даже уволить (ч.1 ст. 192 ТК РФ).

Материальная ответственность работника может наступить, если его нарушение привело к ущербу для учреждения (ст. 238 ТК РФ). К примеру, ответственный работник за обработку персональных данных распространил персональные данные сотрудников в сети Интернет, а те в свою очередь подали на работодателя в суд, который постановил: «выплатить пострадавшим работникам денежную компенсацию - 50 000 рублей каждому». В таком случае руководитель может привлечь как к ограниченной так и к полной материальной ответственности.

Самый страшный вид ответственности - это уголовная. Она может наступить за незаконные действия:

• сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
• распространение сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.

Как защитить персональные данные

Для защиты и ограничения доступа к персональным данным работодатель должен обеспечить качественную и современную систему их защиты. Как именно это сделать?

Этот вопрос решает каждый работодатель самостоятельно. Чиновниками утверждены меры по обеспечению безопасности персональных данных при их обработке (статья 19 Закона от 27 июля 2006 г. № 152-ФЗ и требованиях, установленных постановлением Правительства РФ от 1 ноября 2012 г. № 1119). Злоумышленники могут уничтожить, изменить, заблокировать, скопировать информацию, предоставить ее третьим лицам. Иногда несанкционированный доступ случайно получают люди, у которых нет дурных намерений. Но угрозу безопасности персональных данных это не исключает.

Примите меры, чтобы предотвратить несанкционированный доступ к персональным сведениям в базе данных.

1. Ограничьте доступ сотрудников к компьютерам.

2. Введите систему индивидуальных паролей. Их нужно периодически менять.

3. Храните диски и другие носители информации в запирающихся шкафах.

4. Закрепите процедуру защиты информации в положении.

Положение об обработке персональных данных

Работодатель может получить все персональные данные сотрудника только от него самого. Учреждение не имеет права собирать информацию, которая не относится напрямую к работе персонала. Поэтому руководитель не должен заставлять сотрудников раскрывать сведения об их вероисповедании, политических пристрастиях, жилищных условиях и т. п. Все это относится к личной или семейной тайне гражданина (п. 4 ч. 1 ст. 86 ТК РФ, ст. 10 от 27 июля 2006 г. Закона № 152-ФЗ).

Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия сотрудника (ст. 7 от 27 июля 2006 г. закона № 152-ФЗ). Чтобы не допустить утечки информации, создайте систему защиты. Порядок получения, обработки, передачи и хранения сведений установите в локальном акте, например в положении о работе с персональными данными сотрудников.

Положение утверждает руководитель учреждения. Ознакомьте сотрудников с положением под подпись (п. 8 ч. 1 ст. 86 ТК РФ). Руководитель определяет, кто будет отвечать за работу с персональными данными (ч. 5 ст. 88 ТК РФ). На практике такую работу поручают работникам отдела кадров, а в бухгалтерии - бухгалтеру по начислению зарплаты, так как они чаще всего имеют дело с персональными данными сотрудников.

Обработка данных без согласия сотрудника

Иногда обрабатывать персональные данные сотрудника можно без его согласия. Например, в случаях, прямо предусмотренных коллективным договором, а также локальными актами учреждения (разъяснения Роскомнадзора от 14 декабря 2012 г.).

Также не нужно получать согласие человека на обработку персональных данных в случаях, когда такая обработка предусмотрена законодательством. К таким случаям относится передача сведений в следующие органы:

• Пенсионный фонд РФ (ст. 9 Закона от 1 апреля 1996 № 27-ФЗ);
• налоговую инспекцию (ст. 24 НК РФ);
• военные комиссариаты (ст. 4 Закона от 28 марта 1998 № 53-ФЗ);
• иные органы (например, суды, прокуратуру, трудовую инспекцию и т. п.).

Кроме того, не требуйте согласия сотрудника для передачи персональных данных банку при открытии и обслуживании платежной карты для начисления зарплаты:

• если договор на выпуск банковской карты заключен напрямую с сотрудником, а в договоре предусмотрена передача персональных данных работника банку;
• если организация оформила доверенность на представление интересов сотрудника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
• если соответствующая форма и система оплаты труда прописана в коллективном договоре учреждения (абзаце 10 пункта 4 разъяснений Роскомнадзора от 14 декабря 2012 г.).