+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Штрафы за нарушения при обработке персональных данных в 2018 году

Содержание

Штрафы за нарушение закона о персональных данных в 2019 году

Штрафы за нарушения при обработке персональных данных в 2018 году

Вниманию сайтовладельцев! С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей (за одно обнаруженное нарушение).

Так, для поисковых систем, VPN-сервисов и других ресурсов, которые повторно отказываются фильтровать запрещенный контент, штрафы могут составить 30-100 тыс. рублей для физических лиц, 100-500 тыс. для должностных лиц и 1,5-5 млн рублей для юридических лиц.

Все мы постоянно сталкиваемся с необходимостью предоставления личной информации, без которой нельзя выполнить процессуальные действия, купить квартиру или машину. Заполнить специальные анкеты и формы нам предлагают в банках, кредитных организациях, при приеме на работу и заключении договоров.

Злоумышленники всегда могут воспользоваться вашими данными в своих целях, поэтому не стоит делиться личной информацией на сомнительных сайтах в Интернете, и знайте, что ваши данные охраняет закон о защите и обработке персональных данных 152 ФЗ РФ.

С его основными положениями и последними изменениями мы вас сейчас познакомим.

Разработан российский стандарт для устройств интернета вещей

Самое серьезное последствие которое вы можете понести это Роскомнадзор заблокирует доступ на ваш сайт из РФ. Но, во первых такую блокировку достаточно просто обойти.

Во вторых я расцениваю такую вероятность как крайне низкую, поскольку иначе придется блокировать тысячи иностранных сайтов, которые не собирались и не собираются хранить свои базы данных в РФ.

Таким образом, не думаю, что у вас в ближайшее время будут какие то серьезные последствия в связи с этим вопросом.

Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, — это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения — это тоже обработка персональных данных.

Положения Федерального закона уточняют основания для применения мер административной ответственности за нарушение законодательства Российской Федерации в области персональных данных с учётом изменений, внесённых в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Изменения вносятся в основном в статью 13.11, а также в статьи 28.3 и 28.4 КоАП РФ. Итак, что же изменится в области персональных данных с 1 июля 2017 года. Новая редакция статьи 13.11 содержит теперь семь конкретных составов правонарушений и предусматривает соответствующие им штрафы с самым высоким из них – 75 тысяч рублей (для юридических лиц). ФС77–59170 от 22 августа 2014 года). Учредителем и редакцией Издания является Открытое акционерное общество «Телерадиокомпания Вооруженных Сил Российской Федерации «ЗВЕЗДА» (ОАО «ТРК ВС РФ «ЗВЕЗДА»).

Значит, скорее всего это касается и вас. Прокуратуры уже штрафуют компании и суды их поддерживают. Помимо штрафов в пользу государства за нарушение правил обработки персональных данных может быть также взыскана компенсация морального вреда и определена иная ответственность.

Вы сможете учиться на курсах и экспресс-курсах со своего смартфона. Смотрите уроки, решайте тесты, задавайте вопросы, отслеживайте прогресс обучения.

В сообщении говорилось, что речь идет о поправках в КоАП, которые позволят облагать технологические компании штрафом в 1% от их годовой выручки в России за неоднократное нарушение требований закона об информации.

Источники уточняли, что такие крупные штраф власти смогут взимать неоднократно и по-прежнему будут иметь право заблокировать интернет-сервисы за нарушения законодательства.

При этом источник в российской интернет-компании отмечал, что многократное повышение штрафов рассматривается как альтернатива блокировкам, угрозу которых интернет-компании не принимают всерьез.

На прошлой неделе глава Роскомнадзора Александр Жаров пообещал, что группа «профильных» депутатов скоро внесет в парламент законопроект о крупных штрафах для интернет-компаний за нарушения российского законодательства.

Какие данные являются персональными

Все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, — это операторы персональных данных.

Положения Федерального закона уточняют основания для применения мер административной ответственности за нарушение законодательства Российской Федерации в области персональных данных с учётом изменений, внесённых в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Изменения вносятся в основном в статью 13.11, а также в статьи 28.3 и 28.4 КоАП РФ.

Как я уже указал выше Екатерина, сайт не обязательно переносить на сервер в РФ, Вам необходимо чтобы данные собирались только на сервере в РФ, то есть сайт на Итальянском сервере, и на нем должна быть ссылка которая будет вести на сайт на сервере в РФ, где будут собираться данные.

Сейчас протоколы о нарушениях может выписывать только прокуратура. Штраф не зависит от вида нарушения и составляет для ИП или директора максимум 1000 рублей, а для юрлица — 10 тысяч рублей. Процедура занимает много времени, штрафы маленькие, поэтому проверяют редко и не всех.

Мнение Президента РФ Владимира Путина по поводу автономного Рунета

Нет, не нужно. На данные для личных и семейных нужд закон не распространяется. Но если передать телефон друга коллекторам или опубликовать объявление с почтой девушки на форуме женоненавистников — это уже нарушение.

В это сложно сегодня поверить, но до недавнего времени информация о гражданах Российской Федерации не была защищена.

Поэтому не редкими были случаи, когда злоумышленники, воспользовавшись сторонними данными, получали кредиты, продавали не принадлежащие им квартиры, совершали другие противоправные действия.

Источниками утечки данных были сотрудники отделов кадров, кредитных организаций и торговых заведений.

Источник: https://uyutrb.ru/ugolovnoe-pravo/1979-shtrafy-za-narushenie-zakona-o-personalnykh-dannykh-v-2019-godu.html

Нововведения в законодательстве о персональных данных — и как это касается бизнеса

Штрафы за нарушения при обработке персональных данных в 2018 году

В настоящее время персональные данные используются во многих сферах жизни людей и в совершенно различных целях.

Начиная от информации в социальных сетях для коммуникации с друзьями, коллегами и заканчивая банковскими реквизитами при покупке товаров, будь то в интернете или в супермаркете.

Согласно исследованиям, проведённым в 2019 году, в социальных сетях зарегистрировано порядка 3,48 миллиарда пользователей.

При этом обычный человек совсем не интересуется, куда попадают его данные и что с ними происходит дальше.

При покупке товаров человек просто прикладывает телефон или банковскую карту к платёжному терминалу и забирает купленные продукты, размышляя лишь о способах их потребления. Однако кое-кто об этом задумывается, поэтому был внесён законопроект с беспрецедентными для России размерами штрафов за нарушения в сфере персональных данных.

Для начала следует разобраться: а что вообще подразумевается под персональными данными

Закон нам чётко говорит, что это «любая информация, которая прямо или косвенно относится к определённому или определяемому человеку». Однако когда читаешь такое пояснение в первый раз, создаётся впечатление, что это какая угодно информация о людях, начиная с номера телефона и заканчивая цветом волос.

Поэтому данный вопрос порождает массу дискуссионных моментов, множественность мнений и является остро обсуждаемым уже довольно давно. При этом ни одна государственная инстанция не может предоставить исчерпывающего списка сведений о человеке, относящихся к персональным данным.

Если же обратиться к позициям судов, то в состав персональных данных можно внести несколько достаточно очевидных пунктов: ФИО человека, его паспортные данные, адрес проживания, иная информация из пенсионного дела и/ или трудового договора. При этом ИНН человека или логин на каком-нибудь сайте не являются персональными данными, ведь по этим наборам чисел и символов нельзя понять, что это за человек, какого он возраста, пола.

Однако если на аватарке человека есть его фотография или при регистрации он укажет электронную почту, в названии которой будет его ФИО, а в доменном имени — название компании, где он работает, то суммарно эта информация также будет признаваться персональными данными.

Итак, рассмотрим детально, о чём речь

В середине июня 2019 года был опубликован законопроект, который вводит новые штрафы за нарушения в сфере персональных данных, и если сейчас максимальный штраф в сети интернет достигает 75 тысяч ₽ для юридических лиц (ст. 13.11 КоАП РФ), то новый законопроект вводит максимальный штраф в той же статье закона до 18 млн ₽.

Также существенно повышается штраф и за незаконную обработку персональных данных граждан РФ. А в связи с тем, что под обработкой понимается любое действие с персональными данными, то бизнесу необходимо разрабатывать документацию, соответствующую требованиям законодательства для контроля и урегулирования вопросов использования персональных данных.

Однако большинство бизнес-проектов на свою голову относятся пренебрежительно к этому вопросу, не уделяя должного внимания правовым механизмам, регламентирующим использование личной информации, например, при обработке сведений пользователей своих сайтов.

Обсуждаемый законопроект, значительно увеличивающий штрафы, призывает компании быть внимательнее при обработке персональных данных и в обязательном порядке предусматривать ряд превентивных мер, минимизируя спектр рисков, связанных с наложением штрафов за нарушения в сфере персональных данных.

Предполагаю, что разработчики этого законопроекта руководствовались и вдохновлялись международной практикой решения тех же вопросов.

И здесь нельзя обойти стороной GDPR, вступивший в силу и сильно нашумевший в 2018 году

Он увеличивает штрафы за нарушение правил обработки персональных данных до 20 млн € (~1,4 млрд ₽) или 4% годового дохода компании, тем самым усиливая и ужесточая ответственность за такие правонарушения.

В связи с тем, что данный документ имеет экстерриториальное действие, то он применяется ко всем компаниям, обрабатывающим персональные данные граждан Европейского союза, независимо от резидентства или местонахождения такой компании.

Но что же происходит на практике? Так в ноябре 2018 года в Германии был вынесен штраф чат-приложению для знакомств Knuddels за утечку логинов и паролей порядка 330 000 пользователей продукта. За это правовой регулятор Германии, руководствуясь именно положениями GDPR, вынес штраф в размере 20 тысяч € (~1,4 млн ₽).

Британский правовой регулятор также не дремлет и привлёк к ответственности Equifax — кредитное бюро, являющееся одним из трёх крупнейших кредитных агентств в США наряду с Experian и TransUnion, на 550 тысяч € (~39 млн ₽) за нарушения, касающиеся персональных данных 146 миллионов клиентов компании.

В ходе расследования было установлено, что британский филиал Equifax “failed to take appropriate steps” (не предпринял надлежащих шагов) для защиты данных граждан, добавив, что многочисленные сбои в компании привели к тому, что личная информация сохранялась дольше, чем необходимо для целей её обработки, и была совершенно открыта для доступа иных лиц. Британский регулятор также отдельно подчеркнул, что меры для защиты и управления личной информацией были “inadequate and ineffective” (неадекватными и неэффективными).

Безусловно, для российского бизнеса, а особенно для молодых бизнес-проектов прочтение фактов о штрафах таких размеров за утечку или ненадлежащую обработку персональных данных людей поражают и удивляют, однако история знает цифры совсем другого порядка, которые действительно способны впечатлить.

Так, в начале 2019 года GDPR постучал в дверь Google, а именно правовой регулятор Франции, с комментарием, что при использовании смартфонов на платформе Android цели обработки описаны “in a too generic and vague manner” (слишком обобщённо и расплывчато), как и категории данных, обрабатываемых для этих разных целей.

Аналогично передаваемая информация недостаточно ясна, чтобы пользователь мог понять, что правовой основой обработки операций для персонализации рекламы является согласие, а не законный интерес компании. В результате разбирательства Google был оштрафован на 50 млн € (~3,5 млрд ₽) за нарушение положений GDPR по мнению Национальной комиссии по делам информационных технологий и правам человека Франции.

В сентябре 2018 года социальная сеть была взломана, и злоумышленники похитили персональные данные примерно 50-ти миллионов пользователей. В результате проведения расследования европейскими правовыми регуляторами вина социальной сети была установлена, и в настоящий момент ведётся утверждение штрафа в размере 5 млрд $ (~очень много рублей).

Конечно, это всё разговоры о штрафах в других частях мира — Европе, США — и речь о гражданах этих стран

Но есть ощущение, что, вводя этот законопроект об увеличении штрафов в сфере персональных данных до 18 млн ₽, законотворцы в России решили «сделать свой GDPR» со своими историческими максимумами по штрафам.

Россия — это страна, в которой штрафы за нарушения в сфере персональных данных всегда были достаточно низкими, ведь только в 2017 году их максимальная отметка достигла 75 тысяч ₽, ранее было ещё меньше, и это происходит на фоне штрафа Uber на 148 млн $ (~9,3 млрд ₽) в 2016 году — такой контраст действительно поражает и заставляет задуматься.

Мы не можем отрицать, что сегодняшние технологии, гаджеты очень плотно вошли в мир современного человека и в зону его коммуникаций. Настолько плотно, что учёные и психологи совершенно серьёзно выделяют новый вид фобии — номофобию (страх отсутствия мобильного телефона).

А ведь взаимодействие человека с мобильным телефоном, планшетом или ноутбуком неизбежно приводит к предоставлению его персональных данных компаниям-владельцам используемых устройств, мобильных приложений, сайтов.

Бесспорно, это в значительной мере изменяет степень общественной опасности правонарушений в сфере персональных данных, и, конечно же, динамично изменяющиеся условия требуют адекватной реакции и корректировки законов в целях предупреждения противоправных действий в сфере персональных данных. Но остаётся лишь найти ответ на один вопрос — штраф в 18 миллионов — это адекватная реакция?

В целях минимизации риска применения санкций в России всем бизнес-проектам в первую очередь рекомендуется выяснить — отвечает ли документация сайта и организации требованиям законодательства о персональных данных

Закон говорит нам, что при обработке персональных данных организация обязана принимать необходимые правовые, организационные и технические меры для защиты личных сведений пользователей от незаконного или случайного доступа к ним и от иных неправомерных действий в отношении персональных данных.

В частности, под правовыми мерами подразумевается документальное оформление условий обработки персональных данных на сайте в виде пользовательского соглашения, политики обработки персональных данных и cookie policy, а за пределами онлайн-пространства — в виде локальных нормативных актов, то есть внутренней документации организации, касающейся персональных данных.

Организационные и технические меры связаны с работой сайта и с использованием средств защиты информации на нём.

Речь идёт о целом постановлении Правительства РФ, которое содержит объёмный список требований к защите персональных данных при их обработке с целью обеспечения необходимого уровня безопасности личных сведений граждан РФ.

Сведения каждого пользователя должны быть защищены надлежащим образом от третьих лиц, при этом важно своевременное информирование пользователя об использовании его персональных данных в тех или иных целях.

Данные блоки мер для защиты персональных данных пользователей закрепляют спектр императивных норм, обязательных для исполнения, поэтому выполнение таких требований существенно снижает вероятность назначения штрафа. В целом в положениях нет избыточности, все действия действительно важны и работают на защиту как личной информации пользователей сайта, так и интересов организации.

Согласно отчёту Роскомнадзора, в 2018 году было проведено 832 плановые проверки, при этом нарушения были выявлены в 80% случаев от общего числа проведённых проверок. Внеплановых проверок проведено всего 49, а нарушения были выявлены в 33% случаев.

Высокий процент выявления нарушений при плановых проверках говорит лишь о том, что на практике большинство организаций просто не знают, как в рамках требований законодательства управлять персональными данными, которые они обрабатывают.

За весь 2018 год органами Роскомнадзора было составлено и направлено в суды 156 протоколов об административных правонарушениях в отношении персональных данных за такие нарушения:

Как вы видите, превалирующее большинство протоколов об административных нарушениях были вынесены по ч. 1 ст. 13.11 КоАПа РФ, то есть, например, за обработку персональных данных без получения согласия, либо обработку, которая несовместима с целями сбора персональных данных.

И если в 2018 году эти штрафы составляли максимум 50 тысяч ₽, то обсуждаемый законопроект увеличивает их до 18 млн ₽, поэтому если вы думали о закрытии рисков, связанных с персональными данными, но откладывали решение вопроса на потом, то сейчас самое время сменить приоритеты и предпринять необходимые меры по обеспечению безопасности персональных данных.

Мнение редакции может не совпадать с мнением автора. Ваши статьи присылайте нам на 42@cossa.ru. А наши требования к ним — вот тут.

Источник: https://www.cossa.ru/trends/242294/

Штрафы за нарушения при обработке персональных данных в 2018 году: таблица

Штрафы за нарушения при обработке персональных данных в 2018 году

С 1 июля 2017 года выросли штрафы за неправильную работу с персональными данными. На что обратить внимание работодателю в соответствии с новыми правилами.

Федеральный закон №152-ФЗ от 27.07.06 дает нормативное определение понятия «персональные данные». Персональные данные – это сведения, которые помогут в идентификации личности гражданина. Поэтому под ними чаще всего понимают:

  • ФИО гражданина,
  • адресные данные,
  • сведения о семейном положении,
  • контактные данные,
  • информацию о мировоззрении и т. п.

Таблица штрафов за обработку персональных данных в 2018 году

НарушениеШтрафОснование
Обработка персональных данных в случаях, не предусмотренных законодательствомДля граждан – штраф от 1000 до 3000 руб.Для должностных лиц – штраф от 5000 до 10 000 руб.Для организаций – штраф от 30 000 до 50 000 руб.ч. 1 ст. 13.11 КоАП РФ
Обработка персональных данных без письменного согласия лица, когда такое согласие требует законДля граждан – штраф от 3000 до 5000 руб.Для должностных лиц – штраф от 10 000 до 20 000 руб.Для организаций – штраф от 15 000 до 75 000 руб.ч. 2 ст. 13.11 КоАП РФ
Не опубликовали или не предоставили неограниченный доступ к документу с политикой по обработке персональных данных или сведениями по их защитеДля граждан – штраф от 700 до 1500 руб.Для должностных лиц – штраф от 3000 до 6000 руб.Для предпринимателей – штраф от 5000 до 10 000 руб.Для организаций – штраф от 15 000 до 30 000 руб.ч. 3 ст. 13.11 КоАП РФ
Не предоставили субъекту персональных данных информацию, которая касается обработки его персональных данныхДля граждан – штраф от 1000 до 2000 руб.Для должностных лиц – штраф от 4000 до 6000 руб.Для предпринимателей – штраф от 10 000 до 15 000 руб.Для организаций – штраф от 20 000 до 40 000 руб.ч. 4 ст. 13.11 КоАП РФ
Нарушены требования субъекта персональных данных или его представителя об уточнении, блокировке, уничтожении данных. В случае если данные неполные, устаревшие, неточные, незаконно получены или не являются необходимыми для заявленной цели обработкиДля граждан – штраф от 1000 до 2000 руб.Для должностных лиц – штраф от 4000 до 10 000 руб.Для предпринимателей – штраф от 10 000 до 20 000 руб.Для организаций – штраф от 25 000 до 45 000 руб.ч. 5 ст. 13.11 КоАП РФ

Персональные данные работников обрабатывают по правилам закона № 152-ФЗ

Существует ряд правил по сбору и обработке персональных данных работников:

  1. Работодатель собирает информацию только с согласия работника. Без этого получать от работника подобную информацию нельзя. Согласие нужно оформить в письменном виде (ст. 6 закона №152-ФЗ).
  2. Работодатель должен собирать только те данные, которые отвечают целям их обработки. Обычно спрашивают ФИО, паспортные данные и данные о проживании, контактную информацию, а также сведения о семье.
  3. Компания должна хранить персональные данные работников на территории РФ.
  4. Компания, которая приступила к обработке персональных данных работников, является оператором персональных данных. При этом под обработкой понимают любые операции с такими данными. В частности, сбор, хранение, уточнение, систематизацию, накопление, передачу, использование данных. Например, компания собирает такие сведения, когда работник подписывает трудовой договор. В связи с этим работодатель должен уведомить Роскомнадзор об обработке.

Об обработке персональных данных работников нужно уведомить Роскомнадзор

В п. 2 ст. 22 закона № 152-ФЗ присутствуют разъяснения, когда работодателю не нужно уведомлять Роскомнадзор. Извещать не требуется, если компания собирает только данные собственных сотрудников в рамках оформления трудовых договоров и при этом не использует средства автоматизации.

Однако компания может также собирать данные клиентов или направлять данные персонала третьим лицам – например, в рамках программ ДМС. В таком случае уведомление нужно подавать.

Кроме того, поскольку при кадровом учете собирают данные не только работников, но и их родных, это обязывает компанию известить ведомство.

Если Роскомнадзор выявит неуведомление, компанию привлекут к ответственности по ст. 19.7 КоАП РФ.

С 1 июля выросли штрафы за персональные данные работников

1 июля 2017 года увеличили штрафы за неправильную работу с персональными данными (ст. 13.11 КоАП РФ). Роскомнадзор может привлечь работодателя к административной ответственности сразу по нескольким нарушениям. Это означает, что ведомство может наложить несколько штрафов на работодателя за нарушение правил обработки. Максимальный размер одного штрафа – 75 тыс. рублей.

Компанию не оштрафуют, если она соблюдает правила обработки персональных данных работников

Чтобы избежать штрафов, работодателю следует учитывать правила обработки персональных данных работников. Чаще всего встречаются такие нарушения:

  • отсутствие письменного согласия на сбор данных. В случае нарушения предусмотрен штраф для организации от 15 до 75 тыс. р. для должностного лица и предпринимателя – от 10 до 20 тыс. р.;
  • нарушение правил защиты данных. Если работодатель не сохранил персональные данные работников, и они незаконно попали к третьим лицам, компанию оштрафуют. Штраф для предпринимателей составляет от 10 до 20 тыс. р., для организаций – от 25 до 50 тыс. р.;
  • отказ владельцу данных в возможности ознакомиться с ними или с порядком обработки. За это нарушение с 1 июля будут взимать штраф с предпринимателей в размере от 10 до 20 тыс. р., с организаций – от 20 до 40 тыс. р.;
  • сохранение неточных или неактуальных данных или отказ в уничтожении данных. В случае нарушения предусмотрен штраф для предпринимателей от 10 до 20 тыс. р., для организаций – от 25 до 45 тыс. р.

Источник: https://www.tspor.ru/article/2254-qqq-17-m6-02-06-2017-personalnye-dannye-rabotnikov-s-1-iyulya

Блог Главбух Ассистент » 10 ошибок при работе с персональными данными: к чему придерется Роскомнадзор

Штрафы за нарушения при обработке персональных данных в 2018 году

Роскомнадзор проверяет, как работодатели соблюдают правила обработки персональных данных. Расскажем о 10 нарушениях, которые выявляют чаще всего. Пока не выписали штраф или предписание, проверьте, все ли требования вы соблюдаете.

Что нужно сделать.Не только разработать политику обработки данных, но и опубликовать ее на сайтеили другим способом обеспечить неограниченный доступ к документу (ч. 2 ст.18.1 ФЗ от 27.07.2006 № 152-ФЗ).

Разработайте политику илиактуализируйте ту, что у вас есть, по Рекомендациям Роскомнадзора от 27.07.2017. Важно: не копируйтеготовые формулировки, а отобразите в документе особенности именно вашейкомпании. За нарушение грозит штраф до 30 000 руб.

(ч.3 ст. 13.11 КоАП РФ).

Ошибка № 2.Не назначили ответственного за обработку персональных данных

Что нужно сделать.Назначить одного сотрудника, который будет отвечать за обработку персональных данных.Ответственный должен подчиняться непосредственно генеральному директору и унего должны быть полномочия давать указания руководителям подразделений (ч.2ст. 22.1 ФЗ от 27.07.2006 № 152-ФЗ).

Ошибка № 3. Неутвердили перечень лиц, которые имеют доступ к персональным данным

Что нужно сделать.С помощью приказа утвердите перечень сотрудников, которым может понадобитьсядоступ к персональным данным в связи с их должностными обязанностями.

Получатьони должны только те данные, которые им нужны в работе (ст. 88 ТК РФ).

В приказе можно указать ФИО, должности конкретных сотрудников, структурноеподразделение или перечень должностей и структурное подразделение.

Ошибка № 4. Собираетеи храните лишние документы

Что нужно сделать. Проверьте личные дела сотрудников – в них не должно быть лишних документов (ч. 5 ст. 5 ФЗ от 27.07.2006 № 152-ФЗ). Для этого воспользуйтесь чек-листом.

Чек-лист: что можно хранить в личном делеСкачать

Как только вы оформили кадровые документы, предоставилисотруднику гарантии и компенсации и выполнили другие необходимые действияи процедуры, персональные данные больше не нужны.

Копии документовверните сотруднику или уничтожьте. Если в личном деле сотрудника, другихдокументах и папках будете хранить данные, которые уже обработалии которые больше не нужны, компанию оштрафуютна 50 тыс.

 руб. (ч. 1 ст. 13.11 КоАП РФ).

Ошибка № 5. Не проводите внутренний аудит работы с персональными данными

Что нужно сделать.Разработайте процедуру внутреннего контроля или аудита и периодически егопроводите (п. 4 ч. 1 ст. 18.1 ФЗ от 27.07.2006№ 152-ФЗ). Для этого создайте комиссию, которая будет анализироватьдокументы, изучать процессы обработки персональных данных и даватьрекомендации по их защите.

Ошибка № 6. Не знакомите работников под подпись с законом о персональных данных

Что нужно сделать.Оформите лист ознакомления работников с положениями законодательствао персональных данных и внутренними документами по вопросам обработкиперсональных данных (п. 6 ч. 1 ст. 18.1 ФЗ от 27.07.2006№ 152-ФЗ). Другой вариант — включите положения в трудовойдоговор с работником.

Ошибка № 7. Не уведомили Роскомнадзор или неправильно заполнили уведомление об обработке персональных данных

Что нужно сделать.Ваша задача – уведомить территориальный орган Роскомнадзора о том, чтобудете обрабатывать персональные данные. Для этого используйте Методическиерекомендации Роскомнадзора, утв. приказом от 30.05.2017 № 94.Роскомнадзор предупреждает: не берите готовые шаблоны из интернета, они могутбыть ошибочными.

Ошибка № 8. Не сообщили в Роскомнадзор об изменении сведений, которые указали в уведомлении об обработке персональных данных

Что нужно сделать.Если изменили сведения, которые указывали в уведомлении, направьте в 10-дневныйсрок в Роскомнадзор информационное письмо.  Форма информационного письмаесть в Приложении № 2 к Рекомендациям № 94. Заполнитете поля, в которых меняются сведения.

Ошибка № 9. Не утвердили перечень мест хранения персональных данных

Что нужно сделать.Издайте приказ, которым утвердите перечень мест хранения материальных носителейперсональных данных – журналов, личных дел и т.д. (п. 13 Положения, утв.

постановлением Правительства РФ от 15.09.2008 № 687). Во всех кабинетах,где обрабатываете персональные данные на бумаге, определите местахранения — например, сейфы.

Местом хранения может быть и само помещение,например архив организации.

Ошибка № 10.  Используете неверный бланк согласия на обработку персональных данных

Что нужно сделать. Согласие на обработку персональных данных должно включать все обязательные реквизиты, которые предусматривает закон (ч. 4 ст. 9 ФЗ от 27.07.2006 № 152-ФЗ). За некорректную форму согласия предусмотрен штраф до 75 000 руб. (ч. 2 ст. 13.11 КоАП РФ).

Согласие на обработку персональных данных должно содержать:

  1. 1. ФИО, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе.
  2. 2. ФИО, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных).
  3. 3. Наименование или ФИО и адрес оператора, получающего согласие субъекта персональных данных.
  4. 4. Цель обработки персональных данных.
  5. 5. Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных.
  6. 6. Наименование или фамилию, имя, отчество и адрес лица, обрабатывающего персональные данные по поручению оператора, если обработка будет поручена такому лицу.
  7. 7. Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных.
  8. 8. Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.
  9. 9. Подпись субъекта персональных данных.

Образцы необходимых документов и более подробные разъяснения смотрите в презентации Роскомнадзора.

Презентация РоскомнадзораСкачать

Источник: https://blog.gba.guru/10-oshibok-pri-rabote-s-personalnymi-dannymi/

Обработка персональных данных в 2018: как избежать штрафа

Штрафы за нарушения при обработке персональных данных в 2018 году

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы 

ОснованиеРазмер штрафа
ФизлицаДолжностные лицаЮрлицаИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДнпредупреждение или штраф — от 1000 до 3000 руб. предупреждение или штраф — от 5000 до
10 000 руб.
предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб.от 10 000 до 20 000 руб.от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДнот 700 до 1500 руб.от 3000 до 6000 руб.от 15 000 до 30 000 руб. от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработкепредупреждение или штраф — от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 6000 руб.предупреждение или штраф — от 20 000 до 40 000 руб.предупреждение или штраф — от 10 000 до 15 000 руб. 
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)предупреждение или наложение штрафа в размере от 1000 до 2000 руб.предупреждение или штраф — от 4000 до
10 000 руб.
предупреждение или штраф — от 25 000 до 45 000 руб.  предупреждение или штраф — от 10 000 до 20 000 руб. 
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копированияот 700 до 2000 руб.от 4000 до
10 000 руб.
от 25 000 до 50 000 руб.от 10 000 до 20 000 руб. 
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДнпредупреждение или наложение административного штрафа — от 3000 до 6000 руб. 

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:  

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?  

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данныелюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данныхлюбое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан. 

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора  

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально.

 На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.         

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ): 

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.

1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft.

 Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда.

 За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн. 

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;  
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!  

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

5 базовых принципов закона о персональных данных, о которых нужно знать

Как подготовиться к плановой проверке ФСБ по персональным данным?

Проверка Роскомнадзора: как подготовиться и избежать штрафов 

Источник: https://kontur.ru/articles/4816

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.