Персональные данные с 1 июля 2017 года: ужесточение ответственности + штрафы

Содержание

Ответственность за персональные данные и их обработку с 1 июля 2017 года

Персональные данные с 1 июля 2017 года: ужесточение ответственности + штрафы

С 1 июля 2017 года усилена административная ответственность за нарушение законодательства в области персональных данных и их обработку.

ВНИМАНИЕ!

В настоящее время проверочные действия в Интернет госструктурами ведутся очень активно, штрафы значительные и исчисляются суммарно по каждому нарушению.

Настоятельно рекомендуем Вам связаться с нами: воспользоваться нашими консультациями и составить необходимую документацию, что позволит соблюсти все требования Закона и избежать больших штрафов.

Внимательно изучите данную статью или воспользуйтесь нашими услугами по проведению всех необходимых мероприятий. 

Федеральный закон от 07.02.2017 N 13-ФЗ “О внесении изменений в Кодекс Российской Федерации об административных правонарушениях”

С этой целью новой редакцией статьи 13.11 КоАП РФ расширен перечень составов правонарушений, а также увеличены размеры штрафов.

Так, в частности, установлена административная ответственность за:

– обработку персональных данных в случаях, не предусмотренных законодательством в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния (повлечет предупреждение или наложение штрафа на граждан в размере от 1000 рублей до 3000 рублей, на должностных лиц – от 5000 рублей до 10000 рублей, на юридических лиц – от 30000 рублей до 50000 рублей);

– обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством, если эти действия не содержат уголовно наказуемого деяния, либо обработку персональных данных с нарушением установленных законодательством в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных;

– невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных;

– невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.

Составление протоколов по административным делам данной категории отнесено к компетенции должностных лиц Роскомнадзора (ранее дела данной категории возбуждались прокурором).

В прежней редакции статьи 13.

11 КоАП РФ была установлена ответственность лишь за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), которая предусматривала предупреждение или наложение штрафа на граждан в размере от 300 рублей до 500 рублей, на должностных лиц – от 500 рублей до 1000 рублей, на юридических лиц – от 5000 рублей до 10000 рублей.

Как соблюдать закон о персональных данных 2017 года

Вниманию сайтовладельцев! С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей (за одно обнаруженное нарушение).

У вас на сайте есть контактная форма?

Значит, скорее всего это касается и вас. Прокуратуры уже штрафуют компании и суды их поддерживают. Помимо штрафов в пользу государства за нарушение правил обработки персональных данных может быть также взыскана компенсация морального вреда и определена иная ответственность.

Правила безопасности при работе с персональными данными

В феврале 2017 года внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных, которые вступят в силу 1 июля. Нововведения коснутся всех, кто получает, собирает, обрабатывает или хранит персональные данные.

Штрафы увеличены в десятки раз и разделены по видам нарушений. Так, если на сайте не размещена политика конфиденциальности, то штраф для ИП составит 10 тысяч рублей, а для компании — 30 тысяч.

До 75 тысяч рублей составит штраф для юрлица, если посредством сайта обрабатываются персональные данные клиента интернет-магазина или подписчика на информационный ресурс без его согласия (директор компании или ИП должен будет заплатить до 20 тысяч).

И т.д. Если будет зафиксировано несколько нарушений, штрафов будет тоже несколько.

Что делать? Срочно привести сайты в порядок! Проверки уже начались

Сейчас протоколы о нарушениях имеет право выписывать только прокуратура, и размер штрафа вне зависимости от вида нарушения составляет для юрлица 10 тысяч рублей, а для ИП или директора — 1000 рублей. С 1 июля уже в соответствии с более высокими ставками и, по всей видимости более рьяно, выписывать протоколы будет Роскомнадзор.

Как узнать, являетесь ли вы тем самым оператором персональных данных?

Персональные данные согласно Федеральному закону «О персональных данных» — это любые данные о человеке, по которым его можно идентифицировать. При этом в законе не содержится перечня типов таких данных, поэтому приходится исходить из общей логики закона и практики, и «дуть на воду».

К примеру, по имени пользователя или логину нельзя понять, что это за человек, то по имени и телефону или ФИО и электронной почте уже можно некоторым образом идентифицировать человека, а значит получение подобного сочетания уже может определяться как сбор и хранение персональных данных.

Итак, скорее всего, вы уже являетесь оператором персональных данных, если каким-то образом получаете от людей, к примеру, следующую информацию (в любом сочетании): фамилию, имя, отчество, какой-либо физический адрес, электронную почту, номер телефона, дату или место рождения, фото, ссылку на персональный сайт или соцсети, профессию, образование, уровень доходов, семейное положение и т.д.

На практике это означает, что все владельцы сайтов, которые содержат личные кабинеты, формы обратной связи, подписки или регистрации, анкеты и т.д.

, одним словом заполняемые формы, где посетитель должен оставить свои данные — это операторы персональных данных.

Даже если на сайте есть лишь популярные нынче кнопки заказа обратного звонка (пользователь оставляет имя и номер телефона) или отправки сообщения (имя и электронный адрес) — это тоже может быть квалифицировано как обработка персональных данных.

А записи в моей телефонной книжке тоже считаются сбором и хранением персональных данных?

Нет. На данные, которые вы храните для личных и семейных нужд, данный закон не распространяется. Но если вы передадите эти данные лицу или организации, которая согласно данному закону является оператором персональных данных или опубликуете сведения, это будет считаться нарушением.

Как работать с персональными данными, не нарушая закон?

Как минимум необходимо выполнить и соблюдать 10 нижеследующих правил:

  • публиковать в открытом доступе всю информацию о ваших принципах взаимодействия и работы с персональными данными клиентов и посетителей вашего предприятия или ресурса;
  • запрашивать только те данные, которые нужны для каждой конкретной цели. Например, нельзя запрашивать паспортные данные или домашний адрес для осуществления рассылки по электронной почте;
  • перед получением персональных данных, которые предполагается публиковать в общедоступных источниках, получать письменное согласие у каждого посетителя, клиента или подписчика на их обработку, хранение и распространение. В случае, если данные не публикуются, а используются исключительно для обработки внутри компании, необходимо явным образом ограничить возможность передачи вам персональных данных без согласия на их обработку;
  • использовать данные только для тех целей, о которых вы предупредили человека и которые указаны в опубликованных вами документах, касающихся работы с персональными данными;
  • сообщать по запросу человека, какие у вас есть данные о нём, как и для чего они обрабатываются и кому вы их передавали;
  • удалять данные по первому требованию лица, персональные данные которого хранятся в вашей базе;
  • хранить базы данных в надёжном месте, защищать их от взлома и утечки (требования определены законодательством!);
  • назначить лицо, ответственное за обеспечение безопасности персональных данных и соблюдения определённых ФЗ N152 правил работы с персональными данными;
  • обучить сотрудников работе с персональными данными;
  • зарегистрироваться в Роскомнадзоре.

Согласно Закону обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Законе, возлагается на оператора.

Почему владелец сайта должен регистрироваться?

По закону операторы персональных данных должны уведомить Роскомнадзор. Причем сделать это нужно до начала обработки данных или вскоре после начала осуществления данной деятельности. Роскомнадзор внесёт информацию об операторе в Реестр операторов персональных данных.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и не будут распространяться и использоваться никак иначе;
  • у вас хранятся только ФИО клиента;
  • данные опубликованы в общем доступе самим человеком или кем либо по его поручению.

Что делать, если ваш сайт содержит формы и позволяет получать персональные данные?

Если ваш сайт даёт возможность получать персональные данные и вы до сих пор не выполнили перечисленные выше условия, то уже сейчас может быть зафиксировано нарушение и уже сейчас вас могут оштрафовать.

Даже в том случае, если ваш сайт обслуживается другой компанией или специалистом на аутсорсинге, штраф будет выписан на компанию или ИП, которые указаны на сайте в качестве владельца и, следовательно, получателя персональных данных.

Как избежать возможных проблем (необходимая программа-минимум):1) Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны с любой страницы вашего сайта.

Это может быть уведомление, пользовательское соглашение, правила продажи или политика в отношении обработки персональных данных.

Как бы не назывался этот документ, он должен содержать правила и условия обработки персональных данных.

2) Не используйте документы других компаний без обработки. Их можно использовать в качестве шаблона, но список данных и цели использования персональных данных необходимо прописать свои.

То, что требуется типографии для оформления заказа или интернет-магазину для доставки товара, не понадобится для e-mail рассылки.

Запрос излишних данных может быть расценен как нарушение закона и стать поводом для штрафа.

3) Реализуйте программное решение, которое гарантирует однозначное установление того, что человек согласился на обработку персональных данных.

Это может быть чек-бокс в форме регистрации, в котором необходимо поставить галочку, или кнопка согласия с условиями использования, без активации которых человек не сможет отправить сообщение или оформить заказ.

Для подстраховки можно заверить у нотариуса распечатанные скриншоты веб-страниц с формами, прокомментировав их сопроводительным текстом (к примеру, «на момент заверения указанные на данной распечатке кнопки работали согласно описанному в преамбуле функционалу и без их активации пересылка данных была технически невозможна»).

4) Подготовьте внутренние документы, регламентирующие правила хранения и обработки персональных данных, и ответственности сотрудников, которые имеют к ним доступ.

5) Отправьте, если сайт подпадает под требования Закона, уведомление в Роскомнадзор. Если стопроцентно уверены, что отправка уведомления не требуется, оформите всю документацию так, чтобы это было явно понятно и возможным проверяющим.

Например, можно указать в политике работы с персональными данными, что они используются только для исполнения конкретных договоров, или зафиксировать в документации, что данные открыты для общего доступа по желанию пользователя (но помните, что доказывание этого факта Закон возлагает на оператора).

Настоятельно рекомендуем Вам связаться с нами: воспользоваться нашими консультациями и составить необходимую документацию, что позволит соблюсти все требования Закона.

Источник: https://www.Advokatorium.com/index.php/ru/knowledge/otvetstvennost_za_personalnye_dannye_2017_goda

Ужесточение ответственности за нарушения в области персональных данных

Персональные данные с 1 июля 2017 года: ужесточение ответственности + штрафы

С 1 июля 2017 г. вступают в силу поправки, внесенные в ст. 13.11 Кодекса РФ об административных правонарушениях (далее — КоАП РФ), которая устанавливает наказания за нарушение порядка сбора, хранения, использования или распространения персональных данных граждан.

В статье мы расскажем о том, какие поправки были внесены в данную норму и как изменится размер штрафов.

Что есть сейчас?

Со дня принятия КоАП РФ — с 30 декабря 2001 г. — и до 7 февраля 2017 г. формулировка его ст. 13.11 не изменялась. За это время только лишь Федеральным законом от 22.06.

2007 № 116-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части изменения способа выражения денежного взыскания, налагаемого за административное правонарушение» (далее — Федеральный закон № 116-ФЗ) были увеличены размеры штрафов за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных граждан.

Таким образом, за любое нарушение, которое подпадало под санкции ст. 13.11 КоАП РФ, с момента вступления в силу Федерального закона № 116-ФЗ наказание было одинаковое: штраф для граждан в размере от 300 до 500 руб.; для должностных лиц — от 500 до 1000 руб.; для юридических лиц — от 5000 до 10 000 руб.

Зачем нужны изменения?

Как сказано в пояснительной записке к проекту федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», он разработан по результатам правоприменительной практики Роскомнадзора.

По информации ведомства, отмечена тенденция роста количества жалоб и обращений субъектов персональных данных (граждан) на незаконные действия операторов, осуществляющих обработку персональных данных с нарушением законодательства Российской Федерации в области персональных данных и, соответственно, количества выявленных нарушений.

В пояснительной записке отмечается, что предлагаемые законопроектом составы правонарушений соответствуют тем, которые Роскомнадзор чаще всего выявляет в ходе проверок.

При этом разработчики законопроекта замечают, что штраф за нарушение законодательства в области персональных данных в европейских странах по размеру значительно превышает российский. Так, в Германии за соответствующее нарушение предусмотрены административный штраф в размере до 300 000 евро и конфискация незаконно полученной прибыли.

Что изменится?

Федеральным законом от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее — Федеральный закон № 13-ФЗ), вступающим в силу с 1 июля 2017 г., вводится новая редакция статьи 13.11 КоАП РФ, в которой вместо одного состава правонарушений в области персональных данных появится семь.

При этом составы административных правонарушений в области персональных данных конкретизированы, а также введены дополнительные составы, предусматривающие ответственность за невыполнение оператором конкретных обязанностей, установленных законом. Например:

• за обработку персональных данных без письменного согласия субъекта этих данных в случаях, когда такое согласие должно быть получено;

• невыполнение оператором обязанности по обеспечению неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных;

• невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных;

• невыполнение оператором требования субъекта персональных данных о блокировании или уничтожении персональных данных.

В новой редакции ст. 13.11 КоАП РФ существенно увеличены размеры административных штрафов. Теперь в зависимости от вида совершенного правонарушения они составляют: для граждан — от 700 до 5000 руб.; для должностных лиц — от 3000 до 20 000 руб.; для индивидуальных предпринимателей — от 5000 до 20 000 руб.; для юридических лиц — от 15 000 до 75 000 руб.

Максимальные размеры штрафов для всех категорий нарушителей предусмотрены за обработку персональных данных без письменного согласия их субъекта либо обработку персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие. Физическое лицо может быть оштрафовано на сумму от 3000 до 5000 руб., должностное лицо — от 10 000 до 20 000 руб., а юридическое лицо — от 15 000 до 75 000 руб.

По некоторым составам преступлений предусмотрены предупреждения: для граждан — по ч. 1, 3, 4 и 5 ст. 13.11 КоАП РФ; для должностных лиц — по ч. 7 ст. 13.11 КоАП РФ.

Полномочия по возбуждению дел об административных правонарушениях в области персональных данных переданы от прокуроров должностным лицам Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор):

• пунктом 2 ст. 1 Федерального закона № 13-ФЗ внесены изменения в п. 58 ч. 2 ст. 28.3 КоАП РФ: в перечень статей, которыми предусмотрены административные правонарушения, по которым протоколы вправе составлять должностные лица Роскомнадзора, введена статья 13.11 КоАП РФ;

• соответственно, пунктом 3 ст. 1 Федерального закона № 13-ФЗ ст. 13.11 КоАП РФ исключена из ч. 1 ст. 28.4 КоАП РФ. Тем самым полномочия по возбуждению дел об административных правонарушениях в области персональных данных исключены из полномочий прокуроров.

М. В. Журавлева,
методист по кадровому учету

Источник: https://www.profiz.ru/kr/3_2017/izmenenie_koap/

Обработка персональных данных на сайте: Новые штрафы с 1 июля 2017 года

Персональные данные с 1 июля 2017 года: ужесточение ответственности + штрафы

Несколько дней остается до вступления в силу поправок в КоАП РФ касающихся штрафов за нарушение положений Федерального закона №152-ФЗ («О защите персональных данных»).

Попробуем разобраться, что такое персональные данные, кого могут привлечь к административной ответственности за нарушение законодательства в этой сфере, какие штрафы придется заплатить, и что делать владельцам сайтов, чтобы избежать наступления неблагоприятных последствий.

С 1 июля 2017 года ужесточаются санкции, предусмотренные КоАП РФ за нарушение требований к cбору, обработке и хранению персональных данных. Законопроект был разработан еще в 2014 году Роскомнадзором (уполномоченный орган по защите прав субъектов персональных данных) на основании своей правоприменительной практики.

В пояснительной записке к документу Федеральная служба указала, что фиксирует значительный рост нарушений в области персональных данных, при этом, действующее законодательство не позволяет в полной мере обеспечить эффективную защиту прав и интересов субъектов персональных данных и соблюдение принципа неотвратимости наказания.

Определимся с тем, что следует понимать под персональными данными

Исходя из Федерального закона №152-ФЗ «персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

Так как Законом четко не определен перечень сведений, являющихся персональными данными, соответственно, к ним будут отнесены любые данные, позволяющие идентифицировать субъекта, к примеру, контактная почта, ФИО, телефон и пр.

Кого могут привлечь к административной ответственности?

Ответ здесь очень прост – операторов персональных данных.

Возвращаясь к вышеуказанному №152-ФЗ – оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Что касается санкций

Предыдущая редакция статьи 13.11 КоАП РФ регламентировала ответственность за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) и в качестве санкции предусматривала:

  1. для физических лиц – предупреждение или штраф в размере от 300 рублей до 500 рублей;
  2. для должностных лиц – штраф в размере от 500 рублей до 1 тыс. рублей;
  3. для юридических лиц – штраф в размере от 5 тыс. рублей до 10 тыс. рублей

Теперь, вышеуказанная статья содержит дифференциацию составов административных правонарушений в области персональных данных и имеет новое название: «Нарушение законодательства Российской Федерации в области персональных данных».Рассмотрим каждый состав по отдельности:

1. ч.1 ст.13.

11 КоАП РФ предусматривает ответственность за незаконную обработку персональных данных, либо за обработку персональных данных, несовместимую с целями сбора персональных данных (за искл.

части 2 указанной статьи, если эти действия не содержат уголовно наказуемого деяния) и влечет за собой:

  1. для физических лиц – предупреждение или штраф в размере от 1 тыс. рублей до 3 тыс. рублей;
  2. для должностных лиц – штраф в размере от 5 тыс. рублей до 10 тыс. рублей;
  3. для юридических лиц – штраф в размере от 30 тыс. рублей до 50 тыс. рублей.

2. ч.2 ст.13.

11 КоАП РФ предусматривает ответственность за обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо за обработку персональных данных с нарушением установленных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных и влечет за собой:

  1. для физических лиц – штраф в размере от 3 тыс. рублей до 5 тыс. рублей;
  2. для должностных лиц – штраф в размере от 10 тыс. рублей до 20 тыс. рублей;
  3. для юридических лиц – штраф в размере от 15 тыс. рублей до 75 тыс. рублей.

3. ч.3 ст.13.11 КоАП РФ предусматривает ответственность за невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных и влечет за собой:

  1. для физических лиц – предупреждение или штраф в размере от 700 рублей до 1,5 тыс. рублей;
  2. для должностных лиц – от 3 тыс. рублей до 6 тыс. рублей;
  3. для индивидуальных предпринимателей – от 5 тыс. рублей до 10 тыс. рублей;
  4. для юридических лиц – от 15 тыс. рублей до 30 тыс. рублей.

4. ч.4 ст.13.11 КоАП РФ предусматривает ответственность за невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных и влечет за собой:

  1. для физических лиц – предупреждение или штраф в размере от 1 тыс. рублей до 2 тыс. рублей;
  2. для должностных лиц – от 4 тыс. рублей до 6 тыс. рублей;
  3. для индивидуальных предпринимателей – от 10 тыс. рублей до 15 тыс. рублей;
  4. для юридических лиц – от 20 тыс. рублей до 40 тыс. рублей.

5. ч.5 ст.13.

11 КоАП РФ предусматривает ответственность за невыполнение оператором в сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки и влечет за собой:

  1. для физических лиц – предупреждение или штраф в размере от 1 тыс. рублей до 2 тыс. рублей;
  2. для должностных лиц – от 4 тыс. рублей до 10 тыс. рублей;
  3. для индивидуальных предпринимателей – от 10 тыс. рублей до 20 тыс. рублей;
  4. для юридических лиц – от 25 тыс. рублей до 45 тыс. рублей.

6. ч.6 ст.13.

11 КоАП РФ предусматривает ответственность за невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния и влечет за собой:

  1. для физических лиц – штраф в размере от 700 рублей до 2 тыс. рублей;
  2. для должностных лиц – от 4 тыс. рублей до 10 тыс. рублей;
  3. для индивидуальных предпринимателей – от 10 тыс. рублей до 20 тыс. рублей;
  4. для юридических лиц – от 25 тыс. рублей до 50 тыс. рублей.

7. ч.7 ст.13.

11 КоАП РФ предусматривает ответственность за невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных и влечет за собой, для должностных лиц – предупреждение штраф в размере от 3 тыс. рублей до 6 тыс. рублей.Кроме всего прочего, полномочия по составлению протоколов об административных правонарушений, предусмотренных ст.13.11 КОАП РФ передали Роскомнадзору, ранее эту функцию выполняла прокуратура.

Владельцам сайтов

Тот минимум, который необходимо успеть сделать до 1 июля:
1. В соответствии со ст.

22 Федерального закона №152-ФЗ («О защите персональных данных») необходимо уведомить Роскомнадзор о том, что Вы являетесь оператором персональных данных. Есть исключения, предусмотренные ч.2 ст. 22 №152-ФЗ, когда уведомлять гос.

орган нет необходимости, в частности, когда персональные данные обрабатываются в соответствии с трудовым законодательством или обрабатываются только ФИО субъекта.

2. Чтобы избежать административного наказания, предусмотренного ч.2 ст.13.11 КоАП РФ под каждой формой обратной связи на сайте необходимо разместить текст «нажимая на кнопку Вы даете согласие на обработку своих персональных данных» и ссылку на документ – как правило, это соглашение на обработку и использование персональных данных или пользовательское соглашение.

3. В открытом доступе на сайте должен храниться документ, определяющий политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных. Административная ответственность за невыполнение данного пункта предусмотрена ч.3 ст.13.11 КоАП РФ.
Тут вы можете посмотреть пример, на основе нашего документа.

Немного судебной практики

Следует отметить, что судебная практика по статье 13.11 КоАП РФ достаточно обширна.Например, штрафуют за отсутствие документов, определяющих политику компании.В частности, постановление мирового судьи судебного участка № 1 Ленинского судебного района г. Перми по делу № 5-77/2016 от 24 февраля 2016 года. Суд взыскал с клиники штраф, в размере 5 тыс.

рублей, в связи с тем, что последняя собирала и обрабатывала персональные данные с помощью формы обратной связи на сайте (для вызова врача на дом) не обеспечив доступа к документу, определяющему политику в отношении обработки персональных данных.

* С 1 июля 2017 г. минимальный штраф за такое правонарушение для юридических лиц составит 15 тысяч рублей.

Кому-то повезло больше, суд назначил наказание в виде предупреждения.Постановление Мирового судьи судебного участка № 1 Октябрьского судебного района г. Екатеринбурга по делу № 5-115/2017 от 31 мая 2017 года.

Индивидуальный предприниматель, в рамках своей деятельности (услуги по страхованию) создал себе сайт, после мониторинга которого Управление Роскомнадзора по УрФО выявило отсутствие документов, определяющих политику компании. Суд счел возможным назначить наказание в виде предупреждения.

* С 1 июля 2017 г.

для ИП и юридических лиц отменена санкция в виде «предупреждения», а минимальный штраф за такое правонарушение для ИП составит 5 тыс. рублей.

Как итог

Внушительные штрафы, дифференциация и увеличение составов административных правонарушений, расширение полномочий Роскомнадзора, усиление государственного контроля в этой области – все это говорит о том, что Россия встала на путь сближения со странами Европы в сфере защиты персональных данных. Еще в 2008 году на конференции «Инфофорум» начальник Управления Роскомнадзора по защите прав субъектов персональных данных Л.Б. Васильева предложила разработать международные нормативные акты, которые бы содержали унифицированные требования к защите персональных данных, в том числе требования конфиденциальности.
И, напоследок, тем, кто подпадает под действие Федерального закона №152-ФЗ как оператор, остается пожелать терпения – разработка и внедрение внутренней документации в этой области достаточно кропотливый и трудоемкий процесс. С другой стороны – лучше поздно, чем никогда.

Мария Скрипова, юрист Rush Agency

Источник: https://www.rush-agency.ru/blog/article/obrabotka-personalnyh-dannyh-na-sajte-novye-shtrafy-s-1-ijulya-2017-goda/

С 1 июля 2017 года ужесточается закон о персональных данных

Персональные данные с 1 июля 2017 года: ужесточение ответственности + штрафы

Не спешите закрывать статью. Вы наверняка мысленно задались вопросом — «А при чем здесь я?» — отвечаю, данный закон может коснуться и вас в том числе, а вы даже можете этого и не подозревать. Давайте по порядку.

Вступление

7 февраля 2017 года были внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Вступят в силу эти поправки уже скоро — 1 июля 2017 года.

Федеральный закон от 07.02.2017 N 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» — с полным текстом можете ознакомиться здесь

Что такое персональные данные?

Под персональными данными можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу (субъекту персональных данных) – пункт 1 статьи 3 Федерального закона от 27 июля 2006 № 152-ФЗ. Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д.

Что изменится 1 июля 2017 года?

Новый Федеральный закон от 07.02. 2017 № 13-ФЗ значительно расширил перечень оснований для привлечения лиц к административной ответственности в области защиты персональных данных, а также увеличил размеры административных штрафов.

Что интересно, выписывать протоколы о правонарушении в этой области будет не прокуратура, как раньше, а Роскомнадзор. А это значит, что дела пойдут гораздо быстрее и штрафы будут рассылаться пачками, если не упаковками.

Причем тут мы

Наверное большая часть моих читателей все еще не понимает, как все это относится к ним. Но грань тут очень тонкая, как понять, являетесь ли вы оператором персональных данных?

Если с помощью вашего блога, сайта, портала, интернет-магазина вы получаете какие-либо персональные данные от пользователя (какие именно, смотреть выше) — то вы автоматически попадаете под этот закон. Элементарно, на вашем сайте можно зарегистрироваться, вводя свое имя, эл.почту, адрес? Поздравляю, вы уже попали под закон.

Это вас касается если:

Ваш сайт позволяет производить регистрацию пользователей (даже с минимальным набором данных «имя + e-mail»). Примеры:

  • форумы;
  • социальные сети;
  • многие новостные сайты;
  • интернет-магазины;
  • блоги;
  • сайты с частными объявлениями;
  • и так далее.

Ваш сайт позволяет вносить в формы персональные данные пользователей, которые впоследствии публикуются на сайте или отправляются по e-mail. Например, если на сайте есть функция «перезвонить мне», возможность отправить быстрый заказ или подписаться на рассылку и тому подобное.

Ваш сайт просто уже содержит реальные персональные данные граждан.

Ваша компания (юридическое лицо или индивидуальный предприниматель) на постоянной основе занимаются обработкой персональных данных граждан. Это справедливо для:

  • большинства юридических фирм;
  • абсолютно всех регистраторов (в смысле компаний, занимающиеся регистрацией юрлиц и ИП, изменениями, ликвидацией и так далее);
  • реестродержателей;
  • бухгалтерских компаний, оказывающих услуги по аутсорсингу бухгалтерии и кадрового делопроизводства;
  • банков, МФО и других компаний финансового сектора, работающих с данными граждан;
  • медицинских учреждений;
  • магазинов, салонов красоты и других подобных организаций с персональными клубными картами (это особенно популярно у сетевых магазинов косметики);
  • образовательных организаций и учреждений (в том числе проводящих краткосрочные курсы или разовые тренинги);
  • ТСЖ и управляющих компаний в сфере ЖКХ;
  • турагентств;
  • третейских судов;
  • и так далее.

Ваша компания активно работает с внештатными сотрудниками (по гражданско-правовому договору).

Ваша компания использует CRM или аналогичные системы.

Что делать?

Нужно уметь правильно работать с персональными данными.

Как минимум нужно:

Исключения

Вас это не касается в следующих случаях, так как на них ФЗ «О персональных данных» не распространяется:

  1. Обработка персональных данных производится физическими лицами исключительно для личных и семейных нужд, но если при этом не нарушаются права субъектов персональных данных;
  2. Обработка персональных данных производится при работе с документами Архивного фонда Российской Федерации и аналогичных документов;
  3. Персональные данные, отнесены к сведениям, составляющим государственную тайну;
  4. Персональные данные относятся к публичной информации о деятельности судов в РФ.

К сожалению, я не юрист в этой области и я не смогу дать вам точных ответов что именно нужно сделать чтобы обезопасить себя на 100%.

Что уж там, даже сами профи не могут дать однозначных ответов, так как существует очень много нюансов и неточностей, не говоря уже про то, что закон не вступил в силу.

В любом случае, цель моего поста была именно предупредить Вас о том, что такая «хрень» существует. Ну а дальше, как говорится, предупрежден — значит вооружен

Источник: https://wpkot.ru/s-1-iyulya-uzhestochaetsya-zakon-o-personalnyh-dannyh/

Закон о персональных данных: как уберечь бизнес от новых штрафов

Персональные данные с 1 июля 2017 года: ужесточение ответственности + штрафы

С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований федерального закона «О персональных данных» (№ 152-ФЗ от 27 июля 2006 года). Этот закон коснётся многих индивидуальных предпринимателей и компаний малого и среднего бизнеса. О том, как избежать штрафов при проверках Роскомнадзора, рассказал эксперт по налогообложению Игорь Кармазин.

Кого коснутся новые штрафы

Штрафы за несоблюдение требований федерального закона «О персональных данных» были повышены в соответствии с федеральным законом № 13-ФЗ от 7 февраля 2017 года. Новые штрафы по сравнению с действующими выросли в разы.

Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для индивидуальных предпринимателей увеличили до 20 тысяч рублей.

При этом, если раньше в Кодексе административных правонарушений существовал только один, общий для всех случаев состав правонарушения в области персональных данных (ст.13.11 КоАП РФ), то теперь в данной статье появилось целых семь составов. 

Чтобы избежать штрафов по 152-ФЗ, компаниям и индивидуальным предпринимателям с 1 июля 2017 года следует внимательнее подходить к соблюдению требований закона о персональных данных.

Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. По закону они отнесены к операторам персональных данных и обязаны соблюдать законодательные ограничения.

Закон не содержит конкретного перечня таких организаций. Однако к ним можно отнести банки, страховые компании, операторов мобильной связи и интернета, медицинские организации, транспортные компании, учебные заведения и все те компании, при обращении в которые граждан просят указать личные данные или заполнить анкету.

Но и это ещё не всё. Закон распространяется на всех без исключения работодателей, получающих сведения от сотрудников как по трудовым договорам, так и по договорам гражданско-правового характера.

Работодатели тоже являются операторами персональных данных с небольшой оговоркой.

Если работодатель состоит с гражданином в трудовых или гражданско-правовых отношениях, ему не требуется уведомлять Роскомнадзор об обработке личной информации (ч. 2 ст. 22 федерального закона № 152-ФЗ). 

Также к операторам персональных данных относятся все компании, имеющие собственные сайты с обратной формой связи и регистрацией пользователей, у которых запрашиваются личные сведения.

Как обезопасить себя от штрафов: шесть важных правил 

Под данное нарушение попадают и случаи сбора излишней информации о гражданах. Например, когда сайт для новостной рассылки по e-mail требует от посетителей предоставить, скажем, паспортные данные. Это считается обработкой данных не по назначению, поэтому исключите подобные случаи из практики работы своей компании и сайта.

Данные действия образуют состав правонарушения по ч. 1 ст. 13.11 Кодекса об административных правонарушениях РФ. Штраф для предпринимателей – от 5 до 10 тысяч рублей, а для организаций – от 30 до 50 тысяч рублей. 

2. Получать письменное согласие граждан на обработку их данных

Согласие граждан необходимо получать в обязательном порядке (ч. 4 ст. 9 федерального закона № 152-ФЗ). Исключений из этого правила не так много. Например, не требуется письменного согласия при получении персональных данных в личных или семейных целях. 

В большинстве же случаев дополнительно к основному договору стороны должны подписывать соглашение об обработке персональных данных. Это соглашение может включаться в текст основного договора, или выступать в качестве отдельного документа. Согласие должно поступить лично от гражданина. Без его ведома передавать данные нельзя. 

Самый банальный пример злоупотреблений в этой части – когда кредиторы передают третьим лицам информацию о должниках для взыскания с них займов, кредитов и процентов. Или, скажем, оператор мобильной связи передаёт контакты абонентов без их ведома сторонним компаниям, и на телефонные номера граждан начинает поступать всевозможный спам. 

Если письменного соглашения на обработку данных у компании нет, на ИП наложат штраф в размере от 10 до 20 тысяч рублей, а на юрлиц – от 15 до 75 тысяч рублей. Причем контролёрам будут неважны последствия неполучения письменного согласия. Важен будет сам факт наличия или отсутствия такого согласия в письменной форме. 

3. Знакомить граждан с политикой обработки персональных данных

Эта информация должна находиться в свободном доступе и с ней должен иметь возможность ознакомиться каждый. Например, сайты вывешивают информацию о порядке работы с персональными данными на отдельных своих страницах.  

В противном случае наступит ответственность по ч. 3 ст. 13.11 КоАП РФ. Индивидуальные предприниматели заплатят штраф в размере от 5 до 10 тысяч рублей, а организации – в размере от 15 до 30 тысяч рублей. 

4. Отвечать на вопросы граждан о том,
каким образом используются их персональные данные
 

На практике бывают случаи, когда данные «утекают» третьим лицам, и клиентам компании начинает поступать всевозможная реклама от магазинов, медицинских центров и кредитных организаций. В этом случае клиент может потребовать от оператора персональных данных предоставить информацию о том, как используются и хранятся его личные сведения.  

За игнорирование обращений граждан операторы персональных данных несут ответственность по ч. 4 ст. 13.11 КоАП РФ. Штраф для ИП – от 10 до 15 тысяч рублей, а для юрлиц – от 20 до 40 тысяч рублей. 

5. Выполнять требования граждан  об уточнении персональных данных, их блокировании или уничтожении

Это нужно делать в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.  

Неисполнение этой обязанности грозит штрафом по ч. 5 ст. 13.11 КоАП РФ. Для ИП штраф составит от 10 до 20 тысяч рублей, для организаций – от 25 до 45 тысяч рублей. 

6. Обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д.

Ответственность за необеспечение сохранности личных сведений установлена ч. 6 ст. 13.11 КоАП РФ. Для предпринимателей – от 10 до 20 тысяч рублей, для компаний – от 25 до 50 тысяч рублей.

Как зарегистрироваться в качестве операторов персональных данных   

Компании, по закону отнесённые к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре. Для этого необходимо подать уведомление о намерении осуществлять обработку персональных данных (ч. 3 ст. 22 федерального закона № 152-ФЗ).  

Для подачи уведомления об обработке персональных данных необходимо  заполнить электронную форму на  Портале персональных данных Роскомнадзора. Электронная форма уведомления об обработке персональных данных и порядок его заполнения также размещены на  Едином портале государственных и муниципальных услуг (функций). 

После заполнения формы уведомления о намерении осуществлять обработку персональных данных её следует отправить в информационную систему уполномоченного органа по защите прав субъектов персональных данных.

Затем заполненную форму нужно распечатать и заверить надлежащим образом, скрепив подписью и печатью организации, после чего направить в  соответствующий территориальный орган Роскомнадзора по месту регистрации компании-оператора персональных данных. 

Что делать владельцам сайтов

Что касается сайтов (а сейчас они есть практически у любой компании), то основная масса потенциальных нарушений здесь связана именно с нецелевым сбором и использованием персональных данных.

Например, нередко в форме регистрации на сайте используются такие поля, как «дата рождения» и «телефон», а в форме профиля пользователя – «отчество», «дата рождения», «место жительства» (страна, область/край, город). 

Следует понимать, что для регистрации пользователя на большинстве сетевых ресурсов не требуется знать такие данные, как телефон и место жительства/регистрации пользователя. Из формы регистрации эти сведения следует убрать.  

А из формы личного профиля лучше убрать такие сведения, как «профессия», «www-страница», Skype (или другой мессенджер) и «дата рождения».  

Форма подписки на новости сайта должна собирать информацию только о e-mail пользователей. Форма регистрации может собирать имя, фамилию, e-mail и пол пользователя. Это разрешено и за это не будет штрафов

А вот сбор «лишней» информации при проверке сайта могут посчитать нарушением.

Выполнение вышеописанных правил позволят избежать ответственности за нарушение закона. При этом следует учитывать одно немаловажное обстоятельство: если раньше закон о персональных данных обходил вашу компанию стороной и никакой ответственности за его нарушение вы не несли, то с 1 июля все может измениться кардинальным образом. 

Именно с этой даты начинает действовать упрощённый порядок привлечения к административной ответственности. Раньше дела в этой сфере возбуждала прокуратура (ст. 28 КоАП РФ). По новым же правилам (п. 58 ч. 2 ст. 28.

3 КоАП РФ) дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры.

На практике это означает, что количество штрафов и доведённых до суда дел может значительно увеличиться, и уйти от ответственности станет значительно сложнее.

Экспресс-резюме по статье

1. С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований федерального закона «О персональных данных». 

2. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей. 

3. Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. Закон не содержит конкретного перечня таких организаций. 

4. Компании, по закону отнесённые к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре. 

5. Обезопасить себя от штрафов можно, соблюдая шесть правил

  • исключить случаи нецелевого сбора и обработки данных;

  • получать письменное согласие граждан на обработку их данных;

  • знакомить граждан с политикой обработки персональных данных;

  • отвечать на вопросы граждан о том, каким образом используются их персональные данные;

  • выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении;

  • обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д. 

6. С 1 июля 2017 года начинает действовать упрощённый порядок привлечения к административной ответственности. Дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры.  

Источник: Buh.ru.

Источник: https://biz360.ru/materials/zakon-o-personalnykh-dannykh-kak-uberech-biznes-ot-novykh-shtrafov/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.