Персональные данные с 1 июля 2017 года: обработка, штрафы

Содержание

Персональные данные с 1 июля 2017 года: новые штрафы

Персональные данные с 1 июля 2017 года: обработка, штрафы
Персональные данные работников есть у всех компаний. С 1 июля 2017 года применяются новые штрафы. Они больше прежних. Подскажем, как работать без нарушений.

С 1 июля 2017 года повышается ответственность за нарушения в работе с персональными данными. Изменения затронут всех без исключения работодателей, у которых в распоряжении есть личные сведения сотрудников и других физлиц.

Что относится к персональным данным в 2017 году

Под персональными данными понимается любая информация о физлице (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ). К таким сведениям, относятся фамилия, имя, отчество, пол, возраст, образование, место жительства физического лица и т.д.

А значит, все документы с персональными данными физлиц работодатель должен обрабатывать, хранить и уничтожать в соответствии с требованиями законодательства.

К таким документам относятся:

  • трудовая книжка;
  • паспорт или иной документ, удостоверяющий личность;
  • страховое свидетельство обязательного пенсионного страхования;
  • документы воинского учета – для военнообязанных и лиц, подлежащих призыву на военную службу;
  • документы об образовании и (или) о квалификации или наличии специальных знаний – при поступлении на работу, требующую специальных знаний или специальной подготовки;
  • документы (справки) содержащие сведения о состоянии здоровья работника;
  • документы (справки) содержащие сведения о возрасте или семейном положении работника.

1

июля

2017 года увеличатся штрафы за нарушения правил работы с персональными данными

Как обеспечить защиту персональных данных

Рассмотрим, что нужно предпринять в хозяйстве в связи с защитой персональных данных сотрудников и других физлиц. Всего пять шагов.   

Шаг 1. Закрепите порядок получения, обработки, передачи и хранения персональных данных в локальном акте организации. Например в положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 № 152-ФЗ).

Шаг 2. Назначьте работника, ответственного за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Это может быть сотрудник отдела кадров, который взаимодействует с личными делами сотрудников. Он будет получать согласие работников на обработку персональных данных, вести карточки сотрудников и т.д.

Шаг 3. Подготовьте шаблон согласия на обработку персональных данных. Без него запрашивать личные сведения физлиц нельзя. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ):

  • ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате и месте выдачи документа;
  • наименование или ФИО и адрес работодателя, который получает согласие сотрудника;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
  • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись работника.

Образец согласия на обработку персональных данных

Фамилия, имя, отчество (последнее – при наличии) субъекта персональных данных______________________________________________________________________________
Адрес места жительства _______________________________________________________________________________________________________________________________________
Документ, удостоверяющий личность субъекта персональных данных, дата его выдачи и выдавший орган ______________________________________________________________________________________________________________________________________________
СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Настоящим выражаю согласие на обработку моих персональных данных, предусмотренную частью 3 статьи 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ, в целях предоставления Федеральной службой по интеллектуальной собственности (Роспатент) в соответствии с Федеральным законом от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» государственной услуги по государственной регистрации изобретения и выдаче патента на изобретение, его дубликата.
______________________________________________________________________________(указывается название изобретения)
№ заявки ______________________________________________________________________(указывается при наличии регистрационного номера заявки)
Заявитель _____________________________________________________________________
______________________________________________________________________________(указываются фамилия, имя, отчество (последнее – при наличии) и место жительства)
Мне известно, что предоставленные мною персональные данные, которые не являются необходимыми для предоставления указанной государственной услуги, будут подвергнуты обработке, предусмотренной Федеральным законом от 27 июля 2006 г. № 152-ФЗ, при этом публикация моих персональных данных будет произведена Роспатентом в соответствии с действующим законодательством.Мне известно, что настоящее согласие действует бессрочно. В случае отзыва согласия на обработку персональных данных Федеральная служба по интеллектуальной собственности вправе продолжить обработку персональных данных без моего согласия в соответствии с частью 2 статьи 9, пунктом 4 части 1 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ.
Подпись _______________________________________________фамилия, имя, отчество (последнее – при наличии)Дата _____________

Шаг 4. Предоставить по запросу физлица информацию, которая касается обработки его персональных данных (ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ). Среди таких сведений, например:  

  • подтверждение факта обработки персональных данных;
  • цели обработки персональных данных;
  • способы обработки персональных данных;
  • наименование и адрес работодателя, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные по закону и т. д.

Как работать с персональными данными на сайте

Опубликуйте или иначе обеспечьте неограниченный доступ к документу, который определяет политику обработки персональных данных. Если хозяйство собирает персональные данные в интернете, этот шаг тоже нужно сделать (п. 2 ст. 18.1 Закона от 27 июля 2006 г. № 152-ФЗ).

Например, на некоторых сайтах пользователь указывает свои ФИО и e-mail при регистрации или отклике на вакансию. Тогда на сайте нужно разместить ссылки на документы:

  • «Политика обработки персональных данных»;
  • «Положение об обработке персональных данных» и т.п.

Сколько хранить персональные данные

Персональные данные нужно уничтожить через 30 дней с той даты получения согласия на обработку его персональных данных. Другой срок можно установить в договоре или соглашении с физлицом.

Если у хозяйства нет возможности уничтожить персональные данные в срок, сведения нужно заблокировать. После этого уничтожить личные сведения нужно не позднее, чем через шесть месяцев (ч. 6 ст. 21 Закона № 152-ФЗ).

Уничтожает персональные данные комиссия на основании приказа руководителя. Результат нужно оформить в виде акта о прекращении обработки персональных данных. Еще вариант – можно сделать запись об уничтожении в специальном журнале.

Попробуйте новый сервис «Хранение документов».

Кому грозят новые штрафы за нарушение работы с персональными данными

С 1 июля 2017 года расширится перечень оснований для привлечения работодателя к административной ответственности в области защиты персональных данных. Кроме того,  увеличатся размеры штрафов (Федеральный закон от 7 февраля 2017 г. №13-ФЗ).

Раньше штраф был только один: от 500 руб. до 1000 руб. для директора и от 5000 руб. до 10 000 руб. для юрлица (ст. 13.11 КоАП РФ). Теперь будет шесть видов ответственности. За разные нарушения работодателей в сфере персональных данных проверяющие смогут применять несколько штрафов. Подробнее о видах нарушения и штрафах – в таблице.→00

Штрафы за нарушение правил работы с персональными данными

НарушениеОтветственность с 1 июля
Незаконно обработали персональные данные либо обработали не по заявленной цели. Например, компания передала ФИО, телефоны, адреса  юрлицу для рекламных рассылок.Предупреждение или штраф:для физических лиц от 1000 до 3000 руб.;для руководителя или главбуха – от 5000 до 10 000 руб.;для юридических лиц – от 30 000 до 50 000 руб.
Обработали персональные данные без согласия физлицаШтраф:для физических лиц – от 3000 до 5000 руб.;для руководителя или главбуха – от 10 000 до 20 000 руб.;для юридических лиц – от 15 000 до 75 000 руб.
Не разместили в свободном доступе документы о политике по обработке персональных данныхШтраф:для физических лиц – от 700 до 1500 руб.;для директора или главбуха – от 3000 до 6000 руб.;для индивидуальных предпринимателей – от 5000 до 10 000 руб.;для юридических лиц – от 15 000 до 30 000 руб.
Не предоставили физлицу информацию, которая касается обработки его персональных данныхШтраф:для физических лиц – от 1000 до 2000 руб.;для директора, кадровика или бухгалтера – от 4000 до 6000 руб.;для индивидуальных предпринимателей – 10 000 до 15 000 руб.;для юридических лиц  – от 20 000 до 40 000 руб.
Не уничтожили или не заблокировали персональные данныеШтраф:для граждан – от 1000 до 2000 руб.;для директора или главбуха – от 4000 до 10 000 руб.;для индивидуальных предпринимателей – от 10 000 до 20 000 руб.;для юридических лиц – 25 000 до 45 000 руб.
Собрали персональные данные работников только на бумаге и не вели никакой автоматизированной обработки, нет специальных программ для обработкиШтраф: для физических лиц – от 700 до 2000 руб.;для руководителя или главбуха  – от 4000 до 10 000 руб.;для индивидуальных предпринимателей – от 10 000 до 20 000 руб.;для юридических лиц – от 25 000 до 50 000 руб.

Налоговые проверки бизнеса и алгоритм подготовки к ним

Дорогой коллега, кофеварка и кофейная пара в подарок за подписку! Оформите годовую подписку и получите еще три месяца в подарок! Узнать больше

На все ваши вопросы с радостью ответят по телефону 8 (800) 222-15-72.

Источник: //www.glavbukh.ru/art/90282-kak-rabotat-s-personalnymi-dannymi

Персональные данные или что поменялось с 01 июля 2017 года?

Персональные данные с 1 июля 2017 года: обработка, штрафы

Персональные данные — думаю уже каждый знает или как минимум слышал что с июля 2017 года произошли изменения, связанные с их обработкой. Что именно поменялось и что нужно делать — буду разбираться в этой статье.

Как оказалось — ничего не поменялось, все требования по персональным данным остались неизменны. Но! Поменялась ответственность за нарушения в этой сфере и если раньше можно было попросту игнорировать требования закона, а словосочетание «персональные данные» вызывали смутное представление что это вообще такое, то теперь — хочешь не хочешь, а исполнять придется.

Штрафы действительно большие, кроме того, расширены основания, по которым можно привлечь к ответственности. И то и другое можно самостоятельно изучить в статье 13.11 КоАП.

Что такое персональные данные?

Точного перечня закон не содержит, увы. Определение дано общее — любая прямая или косвенная информация, относящаяся к определенному или определяемому человеку. Как видно, информация может напрямую указывать на человека или позволить определить человека.

Это, в первую очередь, конечно фамилия — имя — семейное положение — национальность — состояние здоровья — сведения о гражданстве — паспортные данные — отпечатки пальцев — телефон и прочее подобное.

Что значит обработка персональных данных?

Это абсолютно любые действия, касающиеся ПД — накопление, хранение, систематизация, использование, уточнение, передача, извлечение и даже блокирование, уничтожение. Все эти манипуляции (а точный их список указан в ФЗ 152) требуют получения согласия от человека на обработку, наличия большого количества документов у ИП или юридического лица и уведомление Роскомнадзора.

Можно ли не уведомлять РКН?

Да, если ваш случай указан в пункте 2 статьи 22 ФЗ 152 —  для многих подходят такие основания, как:

  • обработка ПД осуществляется по трудовому законодательству — словом, это прием\увольнение работника;
  • обработка ПД связана с исполнением договора — это может абсолютно любой договор, стороной которого является физическое лицо (подряда, услуг, в том числе услуги управляющего ИП в ООО и т.п.), главное — персональные данные не должны передаваться третьему лицу. К примеру, если вас наняли сделать ремонт в квартире, а вы привлекаете субподрядчика — ему передавать ПД уже нельзя;
  • Физ лицо само раскрыло свои данные широкому кругу лиц — к примеру, у вас есть сайт, на котором указаны ваши контактные данные, номер телефона и прочие, то есть данные общедоступны;
  • Персональные данные включают в себя только ФИО — больше ничего;
  • ПД обрабатываются без использования средств автоматизациии.

Как видно, уведомлять Роскомнадзор не нужно во многих случаях, но это не умаляет обязанности получить от стороны согласие на обработку его данных, а также иметь всю документацию по обработке данных. Для тех кто хочет «перестраховаться» — заполнить форму уведомления в РКН не составляет сложности, даже ходить никуда не нужно.

Что делать владельцам сайтов?

Как я указывала выше, закон делает исключения в части уведомления РКН для сторон договора. Любого договора, будь то договор уборки квартиры, оферта в пункте проката или пользовательское соглашение на игровом сайте.

  Сам документ может называться по разному — договор, соглашение, публичная оферта, соглашение о конфиденциальности, политика, пользовательское соглашение, главное условие — документ должен быть двухсторонним — с одной стороны физическое лицо, чьи персональные данные охраняются как зеница ока, с другой — любое другое, кому эти данные вверяются.

Таким образом, что нужно сделать, если у вас сайт? Правильно, разработать и разместить соглашение или политику по обработке ПД (назовем его «документ»), который должен быть доступен неограниченному кругу лиц. Кстати, данная обязанность прямо указана в п. 2 ст. 18.1 152 ФЗ.

Что указывать в документе?

Все что угодно, но обязательно должны быть:

  • контактные данные (ФИО, адрес) оператора ПД;
  • цель обработки ПД;
  • предполагаемые пользователи;
  • права носителя ПД, в том числе право на отзыв данных;
  • источник получения.

Документ можно составить самостоятельно, скопировать у других или разработать под себя посредством услуг юристов. Размещать лучше на видном месте.

Делать или нет специальное окошко, в котором пользователь будет ставить галочку о согласии — решает каждый сам для себя.  Акцепт может быть разный и это не обязательно окошко с галочкой.

Форму акцепта необходимо прописать в соглашении — документе.

Это же указано в ГОСТ для сайтов, а также про это (необязательность специальных окон) говорил Роскомнадзор в своих  разъяснениях об акцепте при заказе в интернет магазине. Согласие посредством смс — акцептом не является.

Являются ли куки, ip адрес и прочие технические характеристики пользователя персональными данными?

Анализируя практику за последние 2 года можно сказать, что да — являются.

Но каждое судебное решение имеет свои особенности, а штраф всегда накладывался при совокупности нарушений — не просто за сбор файлов cookie, IP-адресов, а, к примеру, платежных данных или данных третьих лиц, имеющихся в контактах пользователя.

К примеру, по делу LinkedIn основанием для привлечение к ответственности была совокупность нарушений вместе с которыми были также сбор куки файлов и айпи адресов (решение было обжаловано, но оставлено в силе).

Трудно заранее предугадать будет ли суд накладывать штраф только за сбор IP адреса или нет — по сути он обезличен, не указывает напрямую на пользователя, к тому же может быть динамическим.

Но есть и ряд других судебных дел, не имеющих, на первый взгляд, отношения к ПД. Одно из них дошло даже до Верховного суда. Суд рассматривал отказ оператора связи выдать персональные данные по запросу полиции, ссылаясь на тайну связи.

Суд указал, что сведения об IP адресе не имеют отношения к защищаемой законом тайне связи, а всего лишь относится к пользователю услуг. Как это самое «всего лишь» в последствии скажется на судебных решениях по ПД — практика покажет.

Что касается иных технических характеристик пользователя  — в постановлении Апелляционной инстанции, указано, что к ПД абонента относятся

время инициации запроса пользователем, адрес web-страницы, посещенной активным пользователем, HTTP referer (ссылка), User agent, coockie, src ip, src port, dst ip, dst port, геоидентификатор.

Таким образом, лучше заранее позаботиться о наличии на своем сайте оферты\соглашения. И не важно где расположен сайт — хоть в Африке, если услуги оказываются на территории РФ, он русскоязычный, имеет иные признаки, относящиеся к РФ — на него также распространяются требования 152 ФЗ.

Кстати, еще в 2006 году Роскомнадзор публиковал комментарии к 152 ФЗ, в котором на многие вопросы даны ответы. Как я указала в начале статьи — ничего нового с 01 июля 2017 года в законе не принято, только ужесточается ответственность.

Судебная практика по данному закону показала, что больше всего под «раздачу» попали банки, коллекторы и управляющие компании, осуществляющие действия по взысканию задолженности, не имея согласия на это от субъектов ПД и как ни странно — больницы, поликлиники, не обеспечивающие надлежащее хранение историй болезни. Думаю пострадавшим от салонов красоты, фильтров для воды, матрасов, посуды и прочего сервиса можно взять на вооружение новые нормы о штрафе и жаловаться на навязчивые звонки с предложением услуг.

Даже работников кладбищ беспокоят новые штрафы и они на полном серьезе направили в Минкомсвязь письмо с разъяснением волнующего вопроса — у кого нужно испрашивать разрешение на размещение ФИО на могильных плитах. И государственный орган отвечает — согласие на обработку ПД умершего необходимо получать у родственников.

Кстати, если у кого то есть вопросы в части применения закона 152 ФЗ — запросы нужно направлять в Минкомсвязь, а не Роскомандзор.

И еще. Важным моментом является то, что согласие на обработку ПД можно дать исключительно в отношении себя. Поэтому незаконна передача личных данных родственников, друзей как контактных лиц МФО или банку, нельзя публиковать какие то сведения о других людях в соц сетях\форумах и так далее.

Что делать, если я обнаружил свои данные в интернете?

Отвечу кратко: можно на выбор написать заявление в прокуратуру, жалобу хостеру, в Роскомнадзор или заявление поисковикам об удалении ваших данных по закону о забвении. Ну и суд конечно никто не отменял — если вышеуказанные действия не помогут.

В тему

Недавно Верховный суд принял постановление, в которому указал, что в текстах судебных актов, публикуемых на сайтах судов, не нужно удалять ФИО участников процесса, размеры взыскиваемых сумм, адреса юр лиц, за исключением особой категории дел, которая также приводится в постановлении.

Источник: //urist-rostov.com/personalnye-dannye/

Ответственность за персональные данные и их обработку с 1 июля 2017 года

Персональные данные с 1 июля 2017 года: обработка, штрафы

С 1 июля 2017 года усилена административная ответственность за нарушение законодательства в области персональных данных и их обработку.

ВНИМАНИЕ!

В настоящее время проверочные действия в Интернет госструктурами ведутся очень активно, штрафы значительные и исчисляются суммарно по каждому нарушению.

Настоятельно рекомендуем Вам связаться с нами: воспользоваться нашими консультациями и составить необходимую документацию, что позволит соблюсти все требования Закона и избежать больших штрафов.

Внимательно изучите данную статью или воспользуйтесь нашими услугами по проведению всех необходимых мероприятий. 

Федеральный закон от 07.02.2017 N 13-ФЗ “О внесении изменений в Кодекс Российской Федерации об административных правонарушениях”

С этой целью новой редакцией статьи 13.11 КоАП РФ расширен перечень составов правонарушений, а также увеличены размеры штрафов.

Так, в частности, установлена административная ответственность за:

– обработку персональных данных в случаях, не предусмотренных законодательством в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния (повлечет предупреждение или наложение штрафа на граждан в размере от 1000 рублей до 3000 рублей, на должностных лиц – от 5000 рублей до 10000 рублей, на юридических лиц – от 30000 рублей до 50000 рублей);

– обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством, если эти действия не содержат уголовно наказуемого деяния, либо обработку персональных данных с нарушением установленных законодательством в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных;

– невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных;

– невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.

Составление протоколов по административным делам данной категории отнесено к компетенции должностных лиц Роскомнадзора (ранее дела данной категории возбуждались прокурором).

В прежней редакции статьи 13.

11 КоАП РФ была установлена ответственность лишь за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), которая предусматривала предупреждение или наложение штрафа на граждан в размере от 300 рублей до 500 рублей, на должностных лиц – от 500 рублей до 1000 рублей, на юридических лиц – от 5000 рублей до 10000 рублей.

Как соблюдать закон о персональных данных 2017 года

Вниманию сайтовладельцев! С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей (за одно обнаруженное нарушение).

У вас на сайте есть контактная форма?

Значит, скорее всего это касается и вас. Прокуратуры уже штрафуют компании и суды их поддерживают. Помимо штрафов в пользу государства за нарушение правил обработки персональных данных может быть также взыскана компенсация морального вреда и определена иная ответственность.

Правила безопасности при работе с персональными данными

В феврале 2017 года внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных, которые вступят в силу 1 июля. Нововведения коснутся всех, кто получает, собирает, обрабатывает или хранит персональные данные.

Штрафы увеличены в десятки раз и разделены по видам нарушений. Так, если на сайте не размещена политика конфиденциальности, то штраф для ИП составит 10 тысяч рублей, а для компании — 30 тысяч.

До 75 тысяч рублей составит штраф для юрлица, если посредством сайта обрабатываются персональные данные клиента интернет-магазина или подписчика на информационный ресурс без его согласия (директор компании или ИП должен будет заплатить до 20 тысяч).

И т.д. Если будет зафиксировано несколько нарушений, штрафов будет тоже несколько.

Что делать? Срочно привести сайты в порядок! Проверки уже начались

Сейчас протоколы о нарушениях имеет право выписывать только прокуратура, и размер штрафа вне зависимости от вида нарушения составляет для юрлица 10 тысяч рублей, а для ИП или директора — 1000 рублей. С 1 июля уже в соответствии с более высокими ставками и, по всей видимости более рьяно, выписывать протоколы будет Роскомнадзор.

Как узнать, являетесь ли вы тем самым оператором персональных данных?

Персональные данные согласно Федеральному закону «О персональных данных» — это любые данные о человеке, по которым его можно идентифицировать. При этом в законе не содержится перечня типов таких данных, поэтому приходится исходить из общей логики закона и практики, и «дуть на воду».

К примеру, по имени пользователя или логину нельзя понять, что это за человек, то по имени и телефону или ФИО и электронной почте уже можно некоторым образом идентифицировать человека, а значит получение подобного сочетания уже может определяться как сбор и хранение персональных данных.

Итак, скорее всего, вы уже являетесь оператором персональных данных, если каким-то образом получаете от людей, к примеру, следующую информацию (в любом сочетании): фамилию, имя, отчество, какой-либо физический адрес, электронную почту, номер телефона, дату или место рождения, фото, ссылку на персональный сайт или соцсети, профессию, образование, уровень доходов, семейное положение и т.д.

На практике это означает, что все владельцы сайтов, которые содержат личные кабинеты, формы обратной связи, подписки или регистрации, анкеты и т.д.

, одним словом заполняемые формы, где посетитель должен оставить свои данные — это операторы персональных данных.

Даже если на сайте есть лишь популярные нынче кнопки заказа обратного звонка (пользователь оставляет имя и номер телефона) или отправки сообщения (имя и электронный адрес) — это тоже может быть квалифицировано как обработка персональных данных.

А записи в моей телефонной книжке тоже считаются сбором и хранением персональных данных?

Нет. На данные, которые вы храните для личных и семейных нужд, данный закон не распространяется. Но если вы передадите эти данные лицу или организации, которая согласно данному закону является оператором персональных данных или опубликуете сведения, это будет считаться нарушением.

Как работать с персональными данными, не нарушая закон?

Как минимум необходимо выполнить и соблюдать 10 нижеследующих правил:

  • публиковать в открытом доступе всю информацию о ваших принципах взаимодействия и работы с персональными данными клиентов и посетителей вашего предприятия или ресурса;
  • запрашивать только те данные, которые нужны для каждой конкретной цели. Например, нельзя запрашивать паспортные данные или домашний адрес для осуществления рассылки по электронной почте;
  • перед получением персональных данных, которые предполагается публиковать в общедоступных источниках, получать письменное согласие у каждого посетителя, клиента или подписчика на их обработку, хранение и распространение. В случае, если данные не публикуются, а используются исключительно для обработки внутри компании, необходимо явным образом ограничить возможность передачи вам персональных данных без согласия на их обработку;
  • использовать данные только для тех целей, о которых вы предупредили человека и которые указаны в опубликованных вами документах, касающихся работы с персональными данными;
  • сообщать по запросу человека, какие у вас есть данные о нём, как и для чего они обрабатываются и кому вы их передавали;
  • удалять данные по первому требованию лица, персональные данные которого хранятся в вашей базе;
  • хранить базы данных в надёжном месте, защищать их от взлома и утечки (требования определены законодательством!);
  • назначить лицо, ответственное за обеспечение безопасности персональных данных и соблюдения определённых ФЗ N152 правил работы с персональными данными;
  • обучить сотрудников работе с персональными данными;
  • зарегистрироваться в Роскомнадзоре.

Согласно Закону обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Законе, возлагается на оператора.

Почему владелец сайта должен регистрироваться?

По закону операторы персональных данных должны уведомить Роскомнадзор. Причем сделать это нужно до начала обработки данных или вскоре после начала осуществления данной деятельности. Роскомнадзор внесёт информацию об операторе в Реестр операторов персональных данных.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и не будут распространяться и использоваться никак иначе;
  • у вас хранятся только ФИО клиента;
  • данные опубликованы в общем доступе самим человеком или кем либо по его поручению.

Что делать, если ваш сайт содержит формы и позволяет получать персональные данные?

Если ваш сайт даёт возможность получать персональные данные и вы до сих пор не выполнили перечисленные выше условия, то уже сейчас может быть зафиксировано нарушение и уже сейчас вас могут оштрафовать.

Даже в том случае, если ваш сайт обслуживается другой компанией или специалистом на аутсорсинге, штраф будет выписан на компанию или ИП, которые указаны на сайте в качестве владельца и, следовательно, получателя персональных данных.

Как избежать возможных проблем (необходимая программа-минимум):1) Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны с любой страницы вашего сайта.

Это может быть уведомление, пользовательское соглашение, правила продажи или политика в отношении обработки персональных данных.

Как бы не назывался этот документ, он должен содержать правила и условия обработки персональных данных.

2) Не используйте документы других компаний без обработки. Их можно использовать в качестве шаблона, но список данных и цели использования персональных данных необходимо прописать свои.

То, что требуется типографии для оформления заказа или интернет-магазину для доставки товара, не понадобится для e-mail рассылки.

Запрос излишних данных может быть расценен как нарушение закона и стать поводом для штрафа.

3) Реализуйте программное решение, которое гарантирует однозначное установление того, что человек согласился на обработку персональных данных.

Это может быть чек-бокс в форме регистрации, в котором необходимо поставить галочку, или кнопка согласия с условиями использования, без активации которых человек не сможет отправить сообщение или оформить заказ.

Для подстраховки можно заверить у нотариуса распечатанные скриншоты веб-страниц с формами, прокомментировав их сопроводительным текстом (к примеру, «на момент заверения указанные на данной распечатке кнопки работали согласно описанному в преамбуле функционалу и без их активации пересылка данных была технически невозможна»).

4) Подготовьте внутренние документы, регламентирующие правила хранения и обработки персональных данных, и ответственности сотрудников, которые имеют к ним доступ.

5) Отправьте, если сайт подпадает под требования Закона, уведомление в Роскомнадзор. Если стопроцентно уверены, что отправка уведомления не требуется, оформите всю документацию так, чтобы это было явно понятно и возможным проверяющим.

Например, можно указать в политике работы с персональными данными, что они используются только для исполнения конкретных договоров, или зафиксировать в документации, что данные открыты для общего доступа по желанию пользователя (но помните, что доказывание этого факта Закон возлагает на оператора).

Настоятельно рекомендуем Вам связаться с нами: воспользоваться нашими консультациями и составить необходимую документацию, что позволит соблюсти все требования Закона.

Источник: //Advokatorium.com/index.php/ru/knowledge/otvetstvennost_za_personalnye_dannye_2017_goda

Обработка персональных данных в 2018: как избежать штрафа

Персональные данные с 1 июля 2017 года: обработка, штрафы

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы 

ОснованиеРазмер штрафа
ФизлицаДолжностные лицаЮрлицаИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДнпредупреждение или штраф — от 1000 до 3000 руб. предупреждение или штраф — от 5000 до
10 000 руб.
предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб.от 10 000 до 20 000 руб.от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДнот 700 до 1500 руб.от 3000 до 6000 руб.от 15 000 до 30 000 руб. от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработкепредупреждение или штраф — от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 6000 руб.предупреждение или штраф — от 20 000 до 40 000 руб.предупреждение или штраф — от 10 000 до 15 000 руб. 
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)предупреждение или наложение штрафа в размере от 1000 до 2000 руб.предупреждение или штраф — от 4000 до
10 000 руб.
предупреждение или штраф — от 25 000 до 45 000 руб.  предупреждение или штраф — от 10 000 до 20 000 руб. 
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копированияот 700 до 2000 руб.от 4000 до
10 000 руб.
от 25 000 до 50 000 руб.от 10 000 до 20 000 руб. 
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДнпредупреждение или наложение административного штрафа — от 3000 до 6000 руб. 

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:  

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?  

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данныелюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данныхлюбое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан. 

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора  

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально.

 На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.         

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ): 

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.

1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft.

 Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда.

 За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн. 

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;  
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!  

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

5 базовых принципов закона о персональных данных, о которых нужно знать

Как подготовиться к плановой проверке ФСБ по персональным данным?

Проверка Роскомнадзора: как подготовиться и избежать штрафов 

Источник: //kontur.ru/articles/4816

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.