152-фз о персональных данных штрафы

по защите персональных данных — 2018

№ 152-ФЗ от 27.07.2006г. «О персональных данных» (в ред. от 03.07.2016),

все действующие организации Российской Федерации, обязаны

разработать и внедрить систему защиты персональных данных .

занесены в единый реестр

Согласно Федеральному закону № 152-ФЗ «О персональных данных», каждое юридическое лицо, независимо от организационно-правовой формы и формы собственности, и каждое физическое лицо (в т.ч. индивидуальный предприниматель), которое использует персональные данные в профессиональной деятельности, обязаны:

2) Подать заявление в Роскомнадзор.

Система защиты персональных данных представляет собой уникальный набор документации, который обеспечивает контроль за персональными данными любых участников деятельности организации, включая работников, клиентов и посетителей, с момента получения персональных данных, до их уничтожения.

Перечень разрабатываемой документации, в соответствии с требованиями ФЗ № 152-ФЗ «О персональных данных» от 03.07.2016.

xn--152—84d1f.xn--e1arfcdaj.xn--p1ai

152-фз о персональных данных штрафы

по ФЗ №152-ФЗ и №149-ФЗ

Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» регламентирует требования к защите и организации обработки персональных данных. Под обработкой подразумеваются любые действия с персональными данными в электронном виде или на бумажном носителе, включая их сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение.

Административные штрафы с 1 июля 2017 года существенно возросли. До 1 июля 2017 года максимально возможный административный штраф для организаций за нарушение закона по статье 13.11 КоАП РФ составлял 10 000 рублей.

В настоящее время размеры штрафов для должностных лиц варьируются от 3000 до 20 000 рублей, для ИП — от 5000 до 20 000 рублей, для организаций — от 15 000 до 75 000 руб. Ответственность может налагаться по нескольким составам правонарушений, соответственно, одна компания может получить несколько штрафов.

Неисполнение требований Федерального закона «О персональных данных» влечет для бизнеса компании риски следующего характера:

  • гражданские иски со стороны клиентов или работников;
  • приостановление действия или аннулирование лицензий на основной вид деятельности компании;
  • репутационные риски;
  • привлечение компании и (или) ее руководителя к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности.
  • mrpim.ru

    Помогаем владельцам сайтов избежать штрафа до 125 000 ?

    за нарушение закона о персональных данных

    Проверьте свой сайт на соответствие ФЗ-152

    за пару секунд абсолютно бесплатно

    Вы являетесь оператором персональных данных если на вашем сайте есть

  • форма обратной связи
  • заказ обратного звонка
  • форма любой заявки
  • корзина
  • оплата
  • доставка
  • Регистрация
  • Подписка на новости
  • Авторизация
  • Социальные сети
  • ШТРАФЫ В СООТВЕТСТВИИ С ФЗ 152

    В Тамбовской области прокуратура оштрафовала юридическую компанию за заполнение формы обратной связи без согласия пользователя на обработку персональных данных. Суды поддержали.

    Директора управляющей компании оштрафовали за то, что он передал юристам данные должников, чтобы составить исковые заявления. Согласие на обработку персональных данных у жильцов он не получил. Конституционный суд ему не помог.

    В Астрахани прокуроры штрафуют владельцев сайтов за формы обратной связи по алфавиту. Кроме штрафов в пользу государства за нарушение правил обработки персональных данных могут взыскать компенсацию морального вреда и даже посадить в тюрьму.

    Разместите документы на Вашем сайте прямо сейчас

    Нашим сервисом уже воспользовалось более 11 000 сайтов, среди которых

    МЕРОПРИЯТИЯ С УЧАСТИЕМ НАШИХ ЭКСПЕРТОВ

    Наши эксперты высоко ценятся, и регулярно выступают на площадках страны

  • Сгенерировать Политику конфиденциальности и Пользовательское соглашение с помощью нашего сервиса.
  • Разместить документы на сайте или вставить наш виджет.
  • Добавить чекбоксы согласия с политикой во все формы сайта, где обрабатываются персональные данные. (Если используете наш виджет, можно настроить в автоматическом режиме)
  • Подготовить и использовать набор документов для предприятия (если уместно), куда включены документы, приказы, положения, формы, инструкции и т.д. (как правило, 31 документ).
  • Зарегистрироваться в качестве оператора персональных данных в Роскомнадзоре.
  • Вы заполняете общую информацию о Вашем сайте и бизнесе.
  • С помощью простого мастера настраиваете шаблон документов, к пожеланию заказываете дополнительные услуги.
  • Вставляете простой код на сайт и всё. Все необходимые документы уже на сайте! При использовании виджета Вы можете в любой момент изменить содержимое документов через личный кабинет, настроить в нем простановку чекбоксов в формах сайта, показ приветственного дисклеймера при первом визите пользователя на сайт.
  • СОЗДАТЬ ДОКУМЕНТЫ

    Часто задаваемые вопросы

    1. Долгий способ: Скачать pdf файлы, скопировать содержимое, создать на Вашем сайте новые страницы, куда нужно будет вставить содержимое созданных документов, разместить ссылки, ведущие на эти страницы.

    2. Быстрый способ: Установить наш виджет на сайт. Для этого просто скопируйте код виджета и вставьте в то место на сайте, где должны быть ссылки на Политику конфиденциальности и Пользовательское соглашение. Все заработает автоматически 😉

    Специалист в области гражданского и процессуального законодательства.

    Опыт в области права более 10 лет. Занимается сопровождением стартапов от регистрации и подготовки документов до сопровождения сделок M&A.

    xn--152-1dd8d.xn--p1ai

    Закон 152-ФЗ о персональных данных: как обезопасить бизнес от новых штрафов с 1 июля 2017

    Штрафы за несоблюдение требований Федерального закона "О персональных данных" были повышены в соответствии с Федеральным законом от 07.02.2017 № 13-ФЗ. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей. При этом, если раньше в КоАП существовал только один, общий для всех случаев состав правонарушения в области персданных (ст.13.11 КоАП РФ), то теперь в данной статье появилось целых семь составов.

    Чтобы избежать штрафов по 152-ФЗ, компаниям и ИП с 1 июля 2017 года следует внимательнее подходить к соблюдению требований закона о персональных данных.

    Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

    1. С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона "О персональных данных".

    2. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей.

    3. Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. Закон не содержит конкретного перечня таких организаций.

    4. Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре.

    5. Обезопасить себя от штрафов можно, соблюдая 6 правил:

    • исключить случаи нецелевого сбора и обработки данных;
    • получать письменное согласие граждан на обработку их данных;
    • знакомить граждан с политикой обработки персональных данных;
    • отвечать на вопросы граждан о том, каким образом используются их персональные данные;
    • выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении;
    • обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д.
    • 6. С 01.07.2017 начинает действовать упрощенный порядок привлечения к административной ответственности. Дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры.

      Кого коснутся новые штрафы

      Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. По закону они отнесены к операторам персональных данных и обязаны соблюдать законодательные ограничения.

      Закон не содержит конкретного перечня таких организаций. Однако к ним можно отнести банки, страховые компании, операторов мобильной связи и интернета, медицинские организации, транспортные компании, учебные заведения и все те компании, при обращении в которые граждан просят указать личные данные или заполнить анкету.

      Но и это еще не все. Закон распространяется на работодателей, получающих сведения от сотрудников как по трудовым договорам, так и по договорам гражданско-правового характера. Работодатели тоже являются операторами персональных данных с небольшой оговоркой. Если работодатель состоит с гражданином в трудовых или гражданско-правовых отношениях, ему не требуется уведомлять Роскомнадзор об обработке личной информации (ч. 2 ст. 22 Федерального закона № 152-ФЗ).

      Также к операторам персональных данных относятся компании, имеющие собственные сайты с обратной формой связи и регистрацией пользователей, у которых запрашиваются личные сведения.

      Как обезопасить себя от штрафов: 6 правил

      1. Исключить случаи нецелевого сбора и обработки данных.

      Под данное нарушение попадают и случаи сбора излишней информации о гражданах. Например, когда сайт для новостной рассылки по e-mail требует от посетителей предоставить, скажем, паспортные данные. Это считается обработкой данных не по назначению, поэтому исключите подобные случаи из практики работы своей компании и сайта.

      Данные действия образуют состав правонарушения по ч. 1 ст. 13.11 КоАП РФ. Штраф для предпринимателей – от 5 до 10 тысяч рублей, а для организаций – от 30 до 50 тысяч рублей.

      2. Получать письменное согласие граждан на обработку их данных.

      Согласие граждан на обработку персональных данных, когда это требуется по закону, операторы получают в соответствии с ч. 4 ст. 9 Федерального закона № 152-ФЗ. Исключений из этого правила не так много. Например, не требуется письменного согласия при получении персональных данных в личных, семейных целях (ч. 2 ст. 1 Федерального закона № 152-ФЗ).

      В большинстве же случаев дополнительно к основному договору стороны должны подписывать соглашение об обработке персональных данных. Это соглашение может включаться в текст основного договора, или выступать в качестве отдельного документа. Согласие должно поступить лично от гражданина. Без его ведома передавать данные нельзя.

      Самый банальный пример злоупотреблений в этой части – когда, например, оператор мобильной связи передает контакты абонентов без их ведома сторонним компаниям, и на телефонные номера граждан начинает поступать всевозможный спам.

      Если письменного соглашения на обработку данных у компании нет, на граждан (ИП) наложат штраф в размере от 3 до 5 тысяч рублей, на должностных лиц от 10 до 20 тысяч рублей, а на юрлиц – от 15 до 75 тысяч рублей (ч.2 ст.13.11 КоАП РФ). Судя по судебной практике, ИП первый раз штрафуют как физлиц, а если нарушение повторяется, то уже как должностных лиц — руководителей ИП, так как во втором случае штраф выше.

      Последствия неполучения письменного согласия контролерам будут неважны, а важен будет сам факт наличия или отсутствия такого согласия в письменной форме.

      3. Знакомить граждан с политикой обработки персональных данных.

      Эта информация должна находиться в свободном доступе и с ней должен иметь возможность ознакомиться каждый. Например, сайты вывешивают информацию о порядке работы с персданными на отдельных своих страницах.

      В противном случае наступит ответственность по ч. 3 ст. 13.11 КоАП РФ. ИП заплатят штраф в размере от 5 до 10 тысяч рублей, а организации в размере от 15 до 30 тысяч рублей.

      4. Отвечать на вопросы граждан о том, каким образом используются их персональные данные.

      На практике бывают случаи, когда данные «утекают» третьим лицам, и клиентам компании начинает поступать всевозможная реклама от магазинов, медицинских центров и кредитных организаций. В этом случае клиент может потребовать от оператора персональных данных предоставить информацию о том, как используются и хранятся его личные сведения.

      За игнорирование обращений граждан операторы персданных несут ответственность по ч. 4 ст. 13.11 КоАП РФ. Штраф для ИП – от 10 до 15 тысяч рублей, а для юрлиц – от 20 до 40 тысяч рублей.

      5. Выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении.

      Это нужно делать в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

      Неисполнение этой обязанности грозит штрафом по ч. 5 ст. 13.11 КоАП РФ. Для ИП штраф составит от 10 до 20 тысяч рублей, для организаций – от 25 до 45 тысяч рублей.

      6. Обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д.

      Ответственность за необеспечение сохранности личных сведений установлена ч. 6 ст. 13.11 КоАП РФ. Для предпринимателей – от 10 до 20 тысяч рублей, для компаний – от 25 до 50 тысяч рублей.

      Ответственность для государственных и муниципальных органов власти

      Штрафная ответственность предусмотрена и для государственных и муниципальных органов власти (ч. 7 ст. 13.11 КоАП РФ).

      В своих документах (протоколах, сводках, решениях и т.д.) они должны обезличивать персональные данные граждан, не допуская указания их места жительства и полных ФИО.

      В противном случае придется заплатить штраф в размере от 3 до 6 тысяч рублей.

      Регистрация операторов персональных данных в Роскомнадзоре

      Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре. Для этого необходимо подать уведомление об обработке (о намерении осуществлять обработку) персональных данных (ч. 3 ст. 22 Федерального закона № 152-ФЗ).

      Для подачи уведомления об обработке персональных данных необходимо заполнить электронную форму на Портале персональных данных Роскомнадзора . Электронная форма уведомления об обработке персональных данных и порядок его заполнения также размещены на Едином портале государственных и муниципальных услуг (функций) .

      После заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных ее следует отправить в информационную систему Уполномоченного органа по защите прав субъектов персональных данных. Затем заполненную форму нужно распечатать и заверить надлежащим образом, скрепив подписью и печатью организации, после чего направить в соответствующий территориальный орган Роскомнадзора по месту регистрации компании-оператора персональных данных.

      Что касается сайтов (а сейчас они есть практически у любой компании), то основная масса нарушений здесь связана именно с нецелевым сбором и использованием персональных данных (ч. 1 ст. 13.11 КоАП РФ).

      Например, нередко в форме регистрации на сайте используются такие поля, как «дата рождения» и «телефон», а в форме профиля пользователя — «отчество», «дата рождения», «место жительства» (страна, область/край, город).

      Следует понимать, что для регистрации пользователя на большинстве сетевых ресурсов не требуется знать такие данные, как телефон и место жительства/регистрации пользователя. Из формы регистрации эти сведения следует убрать.

      А из формы личного профиля лучше убрать такие сведения, как «профессия», «www-страница», Skype (или другой мессенджер) и «дата рождения».

      Посторонним лицам (а ваша компания и является таким лицом) знать эту информацию ни к чему. Форма подписки на новости сайта должна собирать информацию только об e-mail пользователей. Форма регистрации может собирать имя, фамилию, e-mail и пол пользователя.

      Сбор лишней информации при проверке могут посчитать нарушением.

      Выполнение вышеописанных правил и знание закона позволят избежать ответственности за его нарушение. При этом следует учитывать одно немаловажное обстоятельство. Если раньше закон о персональных данных обходил вашу компанию стороной и никакой ответственности за его нарушение вы не несли, то с 1 июля все может измениться кардинальным образом.

      Дело в том, что с этой даты начинает действовать упрощенный порядок привлечения к административной ответственности. Раньше дела в этой сфере возбуждала прокуратура (ст. 28.1 КоАП РФ). По новым же правилам (п. 58 ч. 2 ст. 28.3 КоАП РФ) дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры. На практике это означает, что количество штрафов и доведенных до суда дел может значительно увеличиться, и уйти от ответственности станет значительно сложнее.

      buh.ru

      Штрафы за нарушение закона 152-ФЗ и как их избежать

      С 1 июля 2017 года введены в действие поправки в Кодекс по административным правонарушениям, которые увеличивают штрафы за нарушения федерального закона №152 «О персональных данных». ИП и особенно юрлица, у которых есть сайты, сильно рискуют.

      В Интернете активно цитируют афоризм Салтыкова-Щедрина о том, что строгость российских законов компенсируется необязательностью их исполнения. Как обычно, люди думают, что их это не коснётся.

      Буквально только что прочитал в блоге одного SEO-шника рекомендацию: выждать пару месяцев и посмотреть на правоприменительную практику. Парень просто не в курсе: решения судов уже есть, вплоть до Конституционного. Закон действует второй год, а новые поправки только изменяют суммы штрафов.

      Персональные данные: что к ним относится

      Самое простое определение персональных данных: это данные, на основе которых можно идентифицировать человека. Например, зная номер телефона и ФИО человека, его можно идентифицировать. А зная только электронный адрес — как правило, нельзя.

      К персональным данным относится следующее:

    • фамилия, имя, отчество;
    • адрес;
    • E-mail;
    • телефон;
    • дата рождения;
    • место рождения;
    • личное фото;
    • ссылка на личный сайт;
    • ссылка на страничку в социальной сети;
    • профессия;
    • образование;
    • доходы;
    • имущественное положение;
    • семейное положение;
    • раса;
    • философские убеждения;
    • религиозные убеждения;
    • национальность;
    • состояние здоровья;
    • состояние интимной жизни;
    • другое.
    • Если ваш сайт собирает что-то из перечисленного, то вы должны быть зарегистрированы в Роскомнадзоре как оператор персональных данных.

      Предварительно нужно выполнить ряд требований: хранить базу данных сайта, включающую заказы и обращения пользователей, на территории России, подготовить пакет документов предприятия по работе с персональными данными, проинструктировать сотрудников и т.п.

      Почему не штрафовали раньше

      Штрафовали! Это не получило широкой огласки, потому что суммы были меньше, а занималась этим только прокуратура. Известно о нескольких случаях:

      1. Прокуратура Астрахани зимой решила проверять все фирмы по алфавиту. При наличии на сайте формы обратной связи брали штраф.
      2. В Тамбовской области прокуратура оштрафовала за форму обратной связи юридическую фирму. Областной суд поддержал.
      3. Управляющая компания нарушила закон, передавая юристам данные должников, не получив согласия на обработку персональных данных. Конституционный суд РФ оставил в силе решение судов предыдущих инстанций.

      Решение Конституционного суда по нарушению 152-ФЗ Управляющей компанией

      Закон о персональных данных действует с осени 2015 года, поэтому ждать правоприменительной практики не нужно: она уже есть.

      С 1 июля 2017 года вопрос передан Роскомнадзору. А значит, дело пойдёт гораздо веселее.

      О нарушениях будут узнавать из двух основных источников: собственные проверки и заявления граждан. Проще сказать, если Роскомнадзор не найдёт нарушений сам, ему поможет конкурент-недоброжелатель.

      • Если на сайте не опубликована политика конфиденциальности при обработке персональных данных, штраф составит до 30 тысяч рублей.
      • За обработку персональных данных без согласия клиента или подписчика сайта — штраф до 75 тысяч рублей.
      • За отсутствие предупреждения о передаче данных за границу (особенно касается пользователей Wix и других «конструкторов») — до 40 тысяч рублей.
      • Самое «популярное» нарушение на сегодня — сбор персональных данных без уведомления Роскомнадзора. Новый штраф — до 50 тысяч рублей.

      Указаны максимальные штрафы для ООО. За каждое нарушение придётся заплатить отдельно.

      Если данные утекут с сайта и человек в результате пострадает, то наказание предусмотрено ещё серьёзнее, вплоть до тюрьмы и лишения права заниматься определённой деятельностью. Но это регулируется уже не КоАП, а уголовным кодексом (статья 137).

      Как избежать штрафов: советы для сайтовладельцев

    • В любом случае — разработайте политику конфиденциальности. Разместите её на сайте и поставьте ссылку таким образом, чтобы было видно на любой странице. В первую очередь, на страницах заказа или формы обратной связи.
    • Сократите форму обратной связи: чтобы перезвонить человеку, не обязательно знать его ФИО, равно как и чтобы ответить на электронное письмо. Сокращение формы может положительно сказаться на откликах — ведь заполнять придётся меньше.
    • Сделайте так, чтобы форму обратной связи нельзя было отправить, не поставив галку о согласии с политикой конфиденциальности.
    • Если на сайте нельзя отредактировать форму обратной связи, нельзя добавить галочку о согласии с политикой конфиденциальности и с обработкой персональных данных — удалите такую форму.
    • Существуют «кнопки обратной связи», поставщики которых являются зарегистрированными в России операторами персональных данных. Заключите с ними договор и разместите такую кнопку на сайте вместо формы обратной связи. Предварительно проверьте наличие данного юрлица в реестре операторов персональных данных.
    • Если сайт работает на оборудовании за рубежом, то сайт нужно перенести в Россию. При необходимости передачи данных за рубеж (например, в целях исполнения заказа), пользователь должен быть предупреждён об этом заранее. Роскомнадзор — тоже.
    • Если вы хотите хранить и обрабатывать персональные данные, то подготовить вас к регистрации в этом качестве поможет бесплатный сервис «Персональные данные» от СКБ Контур. Он проведёт вас через все шаги процедуры и автоматически сгенерирует необходимые документы, включая политику конфиденциальности для сайта и внутренние инструкции для сотрудников.

      Регистрироваться в качестве оператора персональных данных и уведомлять Роскомнадзор не обязательно, если собираете данные только в целях исполнения договора.

      Текст такого договора нужно разместить на самом сайте и он должен быть доступен каждому перед регистрацией и оплатой.

      1. За соблюдением закона следят и будут следить дальше. Хотя вряд ли проверки будут тотальными.
      2. Штрафы за разные нарушения могут суммироваться.
      3. Можно собирать персональные данные без уведомления Роскомнадзора, если они нужны только для исполнения договора.
      4. Это не отменяет наличия на сайте политики конфиденциальности и «галочки» согласия с обработкой данных.
      5. Если данные нужны вам в каких-то ещё целях, зарегистрируйтесь как оператор персональных данных: подготовьте пакет документов с помощью бесплатного сервиса «Персональные данные» и отправьте заявление в Роскомнадзор.
      6. Если вы по техническим причинам не можете привести свой сайт в соответствие новым законам — обратитесь к нам за технической помощью.

        wp-vip.ru

        Что будет, если нарушить закон «О персональных данных»

        Об ответственности за нарушения 152-ФЗ говорится в самых разных законах. В первую очередь это КоАП, Трудовой кодекс, Гражданский кодекс и Уголовный кодекс. Обычно компания-нарушитель и её работники платят штрафы, однако только штрафами наказание не ограничивается.

        Дисциплинарная ответственность

        Глава 14 Трудового кодекса касается защиты персональных данных работников. Они могут обжаловать действия работодателя при обработке их персональных данных в судебном порядке, а виновные в нарушениях работники могут получить замечание, выговор или быть уволены. Увольнение по инициативе работодателя возможно за разглашение любой охраняемой законом тайны, в том числе персональных данных другого работника. Будьте осторожны, рассказывая кому-либо о своих коллегах.

        Уголовная ответственность

        Уголовный кодекс предостерегает от незаконного сбора или распространения сведений о частной жизни, составляющих личную или семейную тайну человека, без его согласия. Наказанием может стать штраф до 300 000 руб. и выше, принудительные работы, а также лишение свободы на срок до 4 лет. Не правда ли, суровое наказание за вторжение в частную жизнь?

        Административная ответственность

        Кодекс об административных правонарушениях даёт возможность оштрафовать физическое или должностное лицо, индивидуального предпринимателя или компанию за невыполнение 152-ФЗ на 10 000 руб. Штраф может быть наложен не только на компанию, но и на работника: руководителя или ответственного за организацию обработки персональных данных.

        Также компания может быть оштрафована на сумму до 20 000 руб., если не выполнит в срок предписание Роскомнадзора или не ответит на его запрос. Нарушения трудового законодательства, в том числе главы 14 Трудового кодекса, наказываются штрафом до 50 000 руб. Для компании может стать неприятной новостью, что не только Роскомнадзор, но и Трудовая инспекция интересуется тем, как она осуществляет обработку персональных данных.

        Гражданско-правовая ответственность

        Закон «О персональных данных» даёт физическим лицам право на возмещение морального и имущественного вреда, а также понесённых убытков. Размер возмещения будет определяться судом, и заранее он ничем не ограничен.

        Лучший способ обезопасить себя и свою компанию от штрафов и других видов ответственности — аккуратно выполнять требования законодательства о персональных данных. Это очень просто сделать с помощью нашего сервиса.

        152.kontur.ru

        Закон №152-ФЗ о персональных данных: как обезопасить бизнес от штрафов?

        Согласно Закону №152-ФЗ, персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

        Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

        Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

        В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся физлицу, в том числе:

        — ФИО (вместе и даже по отдельности);

        — ссылка на персональный сайт;

        — ссылка на профиль в социальных сетях.

        Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта, имеющий форму обратной связи, или любой работодатель является оператором персональных данных, и как следствие, обязан соблюдать требования Закона №152, так как попадает под административную ответственность.

        Следует также различать: если физическое лицо записывает контакты своих знакомых в блокнот, чтобы просто не забыть поздравить их с днем рождения – это не сбор персональных данных. Если то же лицо выступает в качестве ИП, оказывая частные услуги на дому, к примеру, делает маникюр, и ведет такую запись – это сбор персональных данных. У клиентов в этом случае надо спрашивать согласие на него и нести ответственность за разглашение, если таковое случится.

        Нарушение №1: Обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями сбора персональных данных – самостоятельные виды административного нарушения (ч. 1 ст. 13.11 КоАП РФ).

        Приведем пример: организация-работодатель собирает персональные данные работников в отношении их религиозных предпочтений. Или организация передает персональные данные сторонним компаниям в рекламных целях (передаются ФИО, телефоны, регионы проживания, уровень дохода).

        Если в таких действиях работодателя не будет выявлено уголовного состава преступления, то можно будет применить административную ответственность. Штраф в данном случае:

        для граждан — в размере от 1000 до 3000 руб.;

        для должностных лиц – от 5 000 до 10 000 руб.;

        для юридических лиц – от 30 000 до 50 000 руб.

        для граждан – в размере от 3000 до 5000 руб.;

        для должностных лиц (например, директор, кадровик или ИП) – от 10 000 до 20 000 руб.;

        для организаций – от 15 000 до 75 000 руб.

        для граждан – от 700 до 1500 руб.;

        для должностных лиц (например, директора или главбуха) – от 3000 до 6000 руб.;

        для индивидуальных предпринимателей – от 5000 до 10 000 руб.;

        для организаций – от 15 000 до 30 000 руб.

        — подтверждение факта обработки персональных данных оператором;

        — правовые основания и цели обработки персональных данных;

        — цели и применяемые оператором способы обработки персональных данных;

        — наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

        — обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

        — сроки обработки персональных данных, в том числе сроки их хранения;

        — порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

        — информацию об осуществленной или о предполагаемой трансграничной передаче данных;

        — наименование или фамилию, имя, отчество и ад-рес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

        — иные сведения, предусмотренные Федеральным законом или другими федеральными законами.

        В этом случае административная ответственность:

        для должностных лиц (например, директора, кадровика или бухгалтера) – от 4000 до 6000 руб.;

        для индивидуальных предпринимателей – от 10 000 до 15 000 руб.;

        для юридических лиц (организаций) – от 20 000 до 40 000 руб.

        Административная ответственность в этом случае:

        для граждан – от 1000 до 2000 руб.;

        для должностных лиц (например, директора, кадровика или главбуха) – от 4000 до 10 000 рублей;

        для ИП – от 10 000 до 20 000 рублей;

        для юридических лиц – от 25 000 до 45 000 руб.

        для граждан – от 700 до 2000 руб.;

        для должностных лиц (например, руководителя) – от 4000 до 10 000 руб;

        для индивидуальных предпринимателей – от 10 000 до 20 000 руб;

        для организаций – от 25 000 до 50 000 руб.

        Указанные штрафы налагаются за каждое допущенное нарушение, поэтому изначально заявленная сумма штрафа от 15 000 до 75 000 руб. в итоге может вырасти до весьма внушительных размеров.

        Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. В настоящее время это Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (Постановление Правительства РФ от 16.03.2009 №228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»).

        Плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года. Таким образом, если в указанный период в вашей компании она проводилась и в дальнейшем вы не допускали каких-либо нарушений, в ближайшее время ожидать проверки не стоит. Если же за последние 3 года инспекторы не были у вас в гостях, то самое время подготовиться к их визиту. Но никогда не стоит забывать о внеплановых проверках, по заявлению или жалобе физических лиц. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.

        К сведению. Помимо Роскомнадзора проверить соблюдение работодателем требования законодательства в области персональных данных может Роструд. Положениями гл. 14 ТК РФ (наравне с Законом №152-ФЗ) определены требования к обработке персональных данных работников и гарантии их защиты. Инспекторы по труду наделены полномочиями по составлению протоколов об административных правонарушениях, в том числе предусмотренных ст. 5.27 КоАП РФ, в случаях нарушения трудового законодательства (пп. 16 ч. 2 ст. 28.3 КоАП РФ).

        Федеральная служба по техническому и экспортному контролю (ФСТЭК) осуществляет надзор за техническими средствами обработки персональных данных за исключением криптографических средств. Кроме того, полномочиями по контролю за выполнением организационных и технических мер по обес-печению безопасности персональных данных при их обработке в информационных системах наделена ФСБ РФ.

        Надзорными полномочиями в сфере персональных данных обладает прокуратура в силу статьи 1 Федерального закона «О прокуратуре РФ» от 17 января 1992 г. №2202-1.

        Согласно ч. 1 ст. 57 ТК РФ в трудовом договоре обязательно указываются фамилия, имя, отчество работника, сведения о документах, удостоверяющих его личность, ИНН. Это значит, что каждый работодатель, заключая трудовой договор, получает информацию, относящуюся к персональным данным. Такая информация содержится в документах, предъявляемых работником при приеме на работу:

        — в военном билете (у военнообязанных);

        — в свидетельстве о присвоении ИНН;

        — в страховом пенсионном свидетельстве;

        — в документах об образовании;

        — в водительском удостоверении и документах на машину, если это требуется в связи с исполнением трудовой функции;

        — в медицинской справке о прохождении медицинского осмотра (медицинской книжке), если это необходимо в связи с исполнением работником трудовой функции.

        Вся эта информация относится к персональным данным, и ее можно получить только от сотрудника. Если персональные сведения возможно получить только от третьих лиц, то сначала уведомите об этом сотрудника и получите от него письменное согласие. При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и о последствиях отказа сотрудника дать согласие на их получение. Такой порядок предусмотрен в пункте 3 части 1 статьи 86 Трудового кодекса РФ.

        Работодатель не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника, например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п. Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в пункте 4 час-ти 1 статьи 86 Трудового кодекса РФ и статье 10 Закона №152.

        Получив персональные данные, работодатель обязуется их не распространять и не раскрывать треть-им лицам без согласия на то сотрудника (ст. 7 Закона №152-ФЗ).

        Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

        Рассмотрим, что нужно предпринять в хозяйстве в связи с защитой персональных данных сотрудников и других физлиц.

        1. До начала обработки персональных данных сотрудников работодателю необходимо уведомить территориальный орган Роскомнадзора о намерении осуществить обработку. Исключение составляют случаи обработки персональных данных:

        — обрабатываемых в соответствии с трудовым законодательством;

        — сделанных сотрудниками общедоступными;

        — полученных организацией в связи с заключением договора, стороной которого является сотрудник (при условии, что персональные данные не распространяются, а также не предоставляются третьим лицам без согласия сотрудника и используются работодателем исключительно для исполнения указанного договора и заключения иных договоров с сотрудником);

        — относящихся к членам (участникам) общественного объединения или религиозной организации;

        — включающих в себя только фамилии, имена и отчества сотрудников;

        — необходимых в целях однократного пропуска сотрудника на территорию работодателя и в иных аналогичных целях;

        — включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

        — обрабатываемых без использования средств автоматизации в соответствии с законодательными актами, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

        — обрабатываемых в случаях, предусмотренных законодательством России о транспортной безопасности.

        Форма уведомления о намерении осуществлять обработку персональных данных, а также порядок ее заполнения утверждены приказом Роскомнадзора от 30 мая 2017 г. №94. Кроме того, подробный перечень сведений, которые должны быть указаны в уведомлении, приведен в части 3 статьи 22 Закона №152-ФЗ. Работодатель может направить уведомление в бумажном виде в адрес территориального органа Роскомнадзора или в электронном виде через портал персональных данных (ч. 3 ст. 22 Закона №152-ФЗ).

        2. Закрепить порядок получения, обработки, передачи и хранения персональных данных в локальном акте организации. Например в положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального Закона №152-ФЗ).

        Отсутствие в организации локального нормативного акта, устанавливающего порядок обработки персональных данных работников, является нарушением трудового законодательства и влечет административную ответственность по ст. 5.27 КоАП РФ (постановления Московского городского суда от 29.08.2011 №4а-1743/11, 4а-1742/11, ФАС МО от 27.11.2006 №КА-А40/11424-06 по делу №А40-17389/06-146-165, от 01.11.2006, 08.11.2006 №КА-А40/10787-06 по делу №А40-32068/06-96-156).

        3. Назначить работника, ответственного за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Это может быть сотрудник отдела кадров, который взаимодействует с личными делами сотрудников. Он будет получать согласие работников на обработку персональных данных, вести карточки сотрудников и т.д.

        4. Подготовить шаблон согласия на обработку персональных данных. Без него запрашивать личные сведения физлиц нельзя. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона №152-ФЗ):

        — ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате и месте выдачи документа;

        — наименование или ФИО и адрес работодателя, который получает согласие сотрудника;

        — цель обработки персональных данных;

        — перечень персональных данных, на обработку которых дается согласие;

        — наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;

        — перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;

        — срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;

        Не требуется согласие работника на передачу его персональных данных:

        — третьим лицам в целях предупреждения угрозы жизни и здоровью работника;

        — в налоговые органы;

        — по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем;

        — по мотивированному запросу органов прокуратуры;

        — по мотивированному требованию правоохранительных органов и органов безопасности;

        — по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности;

        — в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом;

        — в случаях, связанных с исполнением работником должностных обязанностей, в том числе при направлении в командировку;

        — для предоставления сведений в банк, обслуживающий банковские карты работников, при условии что в договоре о выпуске карт (коллективном договоре, локальном нормативном акте организации) содержится пункт о праве работодателя передавать

        персональные данные работников либо работодатель действует на основании доверенности на представление интересов работников.

        Во всех остальных случаях передача персональных данных производится с письменного согласия работника, из которого должно быть ясно, кому будут передаваться его персональные данные и с какой целью.

        Кроме того, работодатель обязан предупредить лиц, получающих персональные данные, о том, что данные сведения могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что данное правило соблюдено.

        Действия фактически аналогичны.

        1. Подать уведомление об обработке персональных данных в Роскомнадзор.

        2. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

        3. Сопроводить предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки персональных данных. Это может быть как пользовательское соглашение, согласие на обработку персональных данных, так и договор, политика конфиденциальности, так и часть оферты – название не столь принципиально.

        4. Подготовить текст документа с условиями обработки персональных данных. (согласно ст. 9 Закона №152-ФЗ, описано выше).

        5. Подготовить документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится

        в п. 2 ст. 18.1 Федерального закона №152-ФЗ) и разместите его на сайте в свободном доступе.

        2. Удалить данные по первому требованию лица, персональные данные которого хранятся в вашей базе.

        3. Хранить базы данных в надёжном месте, защищать их от взлома и утечки (требования определены законодательством!).

        4. Обучить сотрудников работе с персональными данными.

        5. Не использовать документы других компаний без обработки. Их можно использовать в качестве шаблона, но список данных и цели использования персональных данных необходимо прописать свои. То, что требуется типографии для оформления заказа или интернет-магазину для доставки товара, не понадобится для e-mail рассылки. Запрос излишних данных может быть расценен как нарушение закона и стать поводом для штрафа.

        6. И самое главное: лучше привлечь специалистов, которые проведут анализ деятельности компании, выявят все недостатки и нарушения, и помогут составить все необходимые документы, уведомят территориальный орган Роскомнадзора.

        Партнер рубрики «Аграрное право»

        Журнал «Нивы России» №11 (155), декабрь 2017

        svetich.info