Процесс анализа и обработки данных персонального характера играет важнейшую роль в любом цивилизованном государстве. В Российской Федерации данная процедура регламентируется законодательно - в 152-ФЗ "О персональных данных". Именно этот нормативный акт будет разобран в статье.
Основные термины
В законе № 152-ФЗ "О персональных данных" применяется ряд терминов. Первое и самое важное понятие - это, конечно же, «персональные данные». Согласно 152-ФЗ, это информация, которая косвенно или прямо относится к определенному физическому лицу. Обрабатыванием персональных данных занимается оператор - муниципальный или государственный орган, а иногда просто физическое лицо. Сам процесс обработки данных заключается в совершении совокупности операций, целью которых является сбор, систематизация, анализ и хранение персональной информации о каждом гражданине России.
Персональные данные могут быть переданы определенному кругу лиц, а порой и вовсе подлежать уничтожению или обезличиванию.
Общие положения ФЗ
Для чего создан № 152-ФЗ "О персональных данных"? В статье 2 говорится про цель закона. Это обеспечение защиты свобод и прав человека при обработке его персональных данных.
Что может регулировать представленный закон? Согласно статье 1, это любые отношения, связанные с процедурами обработки данных граждан России. Данный процесс осуществляется федеральными государственными инстанциями и властными органами субъектов РФ. Органы проводят систематизацию информации о пользователях, задают специальные алгоритмы поиска и фиксируют информацию о носителях данных. Но какие отношения не должны регулировать органы, занимающиеся персональной обработкой информации о гражданах?
Вот на что указывает закон:
- Организация процессов хранения, учета и систематизации документации Архивного российского фонда и прочих инстанций, связанных с архивной работой.
- Обработка персональных данных физическими лицами для семейных или бытовых нужд, если при этом происходит нарушение прав прочих субъектов персональной информации.
На каких принципах выстраивается и функционирует процесс обработки информации о гражданах? Об этом рассказано в статье 5.
О принципах и условиях обработки данных
На каких принципах базируется процедура обработки персональной информации о гражданах России? Статья 5 № 152-ФЗ "О персональных данных" гласит о законности и справедливой основе, об ограничении конкретными и законными целями. Так, недопустимой считается обработка данных, несовместимая с целями закона. То же самое касается процесса обработки, имеющего противоположные цели и задачи.
Содержание обрабатываемой информации должно строго соответствовать заявленным целям, которые согласованы с законом. Должна быть обеспечена точность и полнота персональной информации. Оператор обязан качественно исполнять свои трудовые функции. Хранение данных допускается только в той форме, что позволила бы точно и быстро определять субъекта системы персональной информации.
Ст. 6 № 152-ФЗ "О персональных данных" закрепляет ряд условий обработки персональной информации. Так, допускается процесс обработки лишь в следующих случаях:
- Обработка и анализ производятся с письменного согласия субъекта персональных данных (статья 9 № 152-ФЗ "О персональных данных").
- Осуществляется для достижения определенных целей, заявленных в законе.
- Обработка необходима для защиты здоровья и жизни граждан.
Еще одним принципом осуществления обработки информации остается наличие специальных категорий, о которых будет рассказано далее.
О категориях персональных данных
В статье 10 рассматриваемого нормативного акта приведены основные категории данных, подлежащих обработке. Пункт 1 статьи говорит про политические, религиозные или философские убеждения, про состояние здоровья, национальную и расовую принадлежность. Все это выделяется в систему особых категорий, сбор которых не допускается на постоянной основе.
Существует лишь небольшой перечень случаев, когда обработка представленных видов информации допустима. Сюда следует отнести:
- случаи, когда сам субъект обработки дал свое письменное согласие на предоставление информации особой категории;
- когда особые персональные данные субъектов уже общедоступны;
- когда это необходимо для защиты жизни, здоровья и интересов субъекта;
- когда обработка подобного рода информации осуществляется в целях медицинского или профилактического характера;
- в иных случаях, установленных Федеральным законом.
Сам субъект персональной информации обладает рядом прав.
О правах субъекта
Какими правами, согласно главе 3 рассматриваемого нормативного акта, обладают субъекты персональных данных? В статье 14 говорится о правах граждан на доступ к их персональной информации. Каким образом это возможно осуществить? Закон гласит о праве требовать от операторов уточнения тех или иных данных. Статья 15 закрепляет нормы, согласно которым существует возможность использовать свои персональные данные для продвижения и рекламирования определенных услуг, товаров, продукции и т. д. Политическая агитация также пополняет этот ряд.
В статье 16 говорится о праве субъектов не допускать автоматическую обработку информации, а в статье 17 - о возможности обжаловать действия оператора. К слову, именно оператор является основным звеном во всей процедуре обработки данных. Это должностное лицо обладает рядом обязанностей, о которых будет рассказано далее.
Обязанности операторов
18 ст. 152-ФЗ "О персональных данных" (с изменениями от 01.07.2017) закрепляет основные функции операторов в области сбора персональной информации. Оператор должен предоставлять субъекту информации следующие данные:
- цель обработки данных;
- правовая основа обработки;
- наименование оператора и его адрес;
- источники приобретения информации.
Оператор обязан принимать ряд мер по обеспечению безопасности персональной информации, по устранению нарушений закона, уточнению, блокировке и ликвидации персональной информации в отдельных установленных законом случаях. Таким образом, № 152-ФЗ "О персональных данных" от 27.07.2006 является наиболее исчерпывающим источником в области сбора информации о российских гражданах.
Обеспечение безопасности обработки информации
Отдельно стоит рассказать про обязанности операторов в области обеспечения безопасности персональной информации.
Вот что закрепляет статья 19 № 152-ФЗ "О персональных данных":
- нарушение закона или любые иные угрозы безопасности данных должны быстро и качественно определяться и пресекаться операторами;
- операторы должны применять ряд организационно-технических средств по обеспечению безопасности данных;
- операторы обязаны оценивать и анализировать применяемые процедуры по обеспечению безопасности;
- учет машин, являющихся носителями информации, а также качественный контроль над ними входят в обязанности работников по обработке данных;
- обязанность по восстановлению доступа к персональным данным, которые обрабатываются в информационной системе.
Не менее важен и контроль со стороны государства, о котором будет рассказано далее.
О государственном контроле обработки данных
Информация персонального характера должна охраняться и анализироваться отдельными государственными органами Российской Федерации. Что именно здесь стоит выделить? В статье 19 Федерального закона № 152-ФЗ "О персональных данных" (с комментариями от 2017 года) говорится про обязанности российского Правительства.
В частности, здесь стоит отметить:
- установление требований к защите данных персонального характера;
- закрепление специальных уровней защищенности персональной информации, которые зависят от степени угроз;
- установление требований к носителям информации.
В статье 23 говорится про уполномоченный орган, коим является Правительство РФ. Здесь закрепляются основные права органа:
- запрос информации у юридических и физических лиц для осуществления своих полномочий;
- требование от оператора отдельных видов документации;
- осуществление проверок в отношении сведений, которые содержатся в специальных информационных базах.
В статье 24 устанавливается норма, в соответствии с которой нарушители рассматриваемого закона будут подвержены ответственности.
1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
5) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее - нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию.
3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.
4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
Об операторах персональных данных написано довольно много статей.
Операторы очень расстроены, что им приходится тратить средства на защиту персональной информации, что им всем тяжело живется и вообще все очень плохо.
С другой стороны есть сами владельцы персональных данных, и я предлагаю рассмотреть тему именно с этой стороны. Что же дает владельцу персональных данных ФЗ № 152 и каким способом он может защитить свои законные интересы?
В данном случае разговор пойдет о коммерческих организациях, вопрос относительно государственных органов – тема отдельной статьи.
Вот пример последствий для оператора персональных данных по обращению владельца:
Случай из жизни: меня в очередной раз расстроил мой интернет-провайдер своим качеством обслуживания, и я решил посмотреть насколько законно он обрабатывает мои персональные данные. Написав и распечатав письмо с запросом информации из статьи 14, я сходил к ним и отдал под роспись секретарю вместе с претензией на качество обслуживания. На следующий день руководитель технической поддержки (до этого мне так и не удалось с ним поговорить, не переключали) с радостью сообщил, что они все починили, дал мне свои контакты с просьбой звонить если что то будет не так ему лично. Интернет с тех пор работает отлично.
Еще один пример нарушения со стороны оператора персональных данных: после покупки машины в автосалоне по почте пришло письмо от производителя из Германии, в котором говорилось, что я приобрел машину такой-то марки с просьбой оценить качество обслуживания их дилера. При заключении договора в тексте договора не было нигде описано, что я разрешаю обрабатывать свои данные, тем более передавать их кому-либо.
Оператор не уничтожил мои персональные данные после достижения целей обработки (договор исполнен), осуществил трансграничную передачу этих данных и продолжает обрабатывать их в своих информационных системах, без какого-либо основания (приходят СМС с информацией об акциях).
Если статья будет интересна читателям, на последнем примере нарушения выложу формы обращения и пошаговую инструкцию по организации запросов к операторам персональных данных, запросов в Роскомнадзор, расскажу, куда можно обратиться помимо Роскомнадзора, и на какие статьи законодательства ссылаться.
Алексей Кондратов
Сооснователь и руководитель юридического отдела сервиса сайт, специалист в области защиты персоальных данных, юридического сопровождения стартапов и судебной защиты бизнеса.
Образование: юридический факультет Поморского государственного университета. Ранее работал на позиции CEO в компании «Иски Онлайн».
С 1 июля 2017 года вступили в силу изменения в российском Кодексе Административных правонарушений. Увеличились размеры взысканий за нарушения по закону №152-ФЗ «О защите персональных данных», изменились некоторые формулировки. Новые правила заставили многих владельцев сайтов забеспокоиться о том, насколько их ресурсы соответствуют нормам закона. Пробуем разобраться.
Начнем с небольшой вводной информации. 152-ФЗ – первый в России современный закон о персональных данных. Он начал разрабатываться в 2000 году и вступил в силу 27 июля 2006 года. Основным положением закона стало обязательное согласие человека на обработку информации о нем в любых целях. Во время разработки 152-ФЗ были введены два новых термина, которыми закон оперирует до сих пор – субъект персональных данных и оператор персональных данных. Легко догадаться, что субъект – человек, личность которого можно установить, используя определенную информацию. Оператором же может стать как физическое, так и юридическое лицо, которое имеет доступ к личным данным субъекта. Последнее определение крайне важно для нас, поэтому остановимся на нем подробнее.
Кто по закону 152-ФЗ считается оператором персональных данных?
Органы государственной власти и муниципального управления, суды, образовательные и медицинские учреждения, работодатели, любые компании и организации, предоставляющие персональные услуги: банки, юридические фирмы, операторы мобильной связи, строительные компании, интернет-ресурсы – всё это операторы персональных данных, поскольку они в разной мере имеют доступ к личной информации людей.
Какие персональные данные пользователей могут быть на вашем сайте?
Чаще всего под персональными данными (ПДн) понимаются:
- фамилия,
- возраст,
- место рождения,
- фото,
- адрес проживания,
- номер телефона.
Также к персональным данным относятся сведения:
- о семейном положении,
- религиозных, философских и политических взглядах,
- интимной жизни,
- состоянии здоровья.
Обезличенные персональные данные и автоматически собираемая информация:
- e-mail,
- IP-адрес,
- геолокация,
- файлы cookie.
Какие есть формы сбора персональных данных на сайте?
- Форма регистрации.
- Форма заказа.
- Форма обратной связи.
- Кнопка «Заказать обратный звонок».
- Форма подписки на e-mail рассылку.
Размеры штрафов после изменений 1 июля 2017 года
|
Номер статьи |
Возможные нарушения |
Размер штрафа |
|
ч.1 ст.13.11 КоАП |
|
Для физ. лиц - до 3 т.р. Для юр. лиц - до 50 т.р. |
|
ст.13.11 КоАП |
|
Для физ. лиц - до 5 т.р. Для юр. лиц - до 75 т.р. |
|
ч. 3 ст.13.11 КоАП |
|
Для физ. лиц - до 1.5 т.р. Для ИП - до 10 т.р. Для юр. лиц - до 30 т.р. |
|
ч. 4 ст.13.11 КоАП |
|
Для физ. лиц - до 2 т.р. Для ИП - до 15 т.р. Для юр. лиц - до 40 т.р. |
|
ч. 5 ст.13.11 КоАП |
|
Для физ. лиц - до 2 т.р. Для ИП - до 20 т.р. Для юр. лиц - до 45 т.р. |
|
ч. 6 ст.13.11 КоАП |
|
Для физ. лиц - до 2 т.р. Для ИП - до 20 т.р. Для юр. лиц - до 50 т.р. |
При совершении уголовного преступления к штрафу прибавляются дополнительные меры взыскания, в том числе блокировка ресурса и арест нарушителя.
Как это работает?
Чтобы выявить нарушения, Роскомнадзор проводит плановые, внеплановые (по заявлениям граждан) и документарные (с запросом документов) проверки сайтов. Например, в ходе проверки в 2016 году «Тамбовскую городскую юридическую компанию» оштрафовали за размещение формы обратной связи без сопроводительных документов, а зимой 2017 года за подобные нарушения были оштрафованы несколько астраханских сайтов.
Как избежать штрафа и блокировки сайта: 5 шагов
- Перенесите базы данных на российские сервера. Это требование закона N149-ФЗ «Об информации, информационных технологиях и о защите информации». Нарушение закона может привести к блокировке ресурса – так, например, прекратила свою деятельность на территории России деловая социальная сеть LinkedIn.
- Составьте два документа – «Политику обработки персональных данных» и «Пользовательское соглашение». Обратите внимание, что публичная оферта заменяет документ о политике конфиденциальности. Крайне важно, чтобы документы не содержали в себе фактических и юридических ошибок. Лучше всего доверить эту работу профессиональному юристу. В 9 статье закона указано, что виртуальный документ равнозначен документу на бумажном носителе, поэтому никаких физических документов не потребуется.
- Подключите форму с согласием на обработку ПДн и обязательным чекбоксом ко всем полям сбора персональных данных на сайте.
- Убедитесь, что страница с «Политикой обработки персональных данных» доступна для прочтения каждому пользователю сайта.
- Отправьте бумажное и электронное уведомление в Роскомнадзор по установленной форме – ее можно найти на сайте Роскомнадзора. В соответствии со 22 статьей закона этот пункт является обязательным.
Если вы сомневаетесь в своей юридической компетенции или просто не хотите тратить много времени на формальности, есть более простое и практичное решение проблемы – сервис . Это простое, дешевое и быстрое решение для Вашего сайта и бизнеса.
Среди наших предложений, Вы, наверняка, сможете подобрать удобное Вам. Если Вы не хотите затягивать с решением проблемы, то можете уже сейчас. Возникающие юридические вопросы можно задать по телефону нашей службы поддержки 8 800 100 43 45 или ниже в форме комментариев.
С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона "О персональных данных" от 27.07.2006 № 152-ФЗ. О том, как избежать штрафов при проверках Роскомнадзора, БУХ.1С рассказал эксперт по налогообложению Игорь Кармазин .
Штрафы за несоблюдение требований Федерального закона "О персональных данных" были повышены в соответствии с Федеральным законом от 07.02.2017 № 13-ФЗ. Новые штрафы по сравнению с действующими выросли в разы . Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей. При этом, если раньше в КоАП существовал только один, общий для всех случаев состав правонарушения в области персданных (ст.13.11 КоАП РФ), то теперь в данной статье появилось целых семь составов.
Чтобы избежать штрафов по 152-ФЗ , компаниям и ИП с 1 июля 2017 года следует внимательнее подходить к соблюдению требований закона о персональных данных.
Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени
1. С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона "О персональных данных".
2. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей.
3. Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. Закон не содержит конкретного перечня таких организаций.
4. Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре.
5. Обезопасить себя от штрафов можно, соблюдая 6 правил:
- исключить случаи нецелевого сбора и обработки данных;
- получать письменное согласие граждан на обработку их данных;
- знакомить граждан с политикой обработки персональных данных;
- отвечать на вопросы граждан о том, каким образом используются их персональные данные;
- выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении;
- обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д.
6. С 01.07.2017 начинает действовать упрощенный порядок привлечения к административной ответственности. Дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры.
Кого коснутся новые штрафы
Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. По закону они отнесены к операторам персональных данных и обязаны соблюдать законодательные ограничения.
Закон не содержит конкретного перечня таких организаций. Однако к ним можно отнести банки, страховые компании, операторов мобильной связи и интернета, медицинские организации, транспортные компании, учебные заведения и все те компании, при обращении в которые граждан просят указать личные данные или заполнить анкету.
Но и это еще не все. Закон распространяется на работодателей, получающих сведения от сотрудников как по трудовым договорам, так и по договорам гражданско-правового характера. Работодатели тоже являются операторами персональных данных с небольшой оговоркой. Если работодатель состоит с гражданином в трудовых или гражданско-правовых отношениях, ему не требуется уведомлять Роскомнадзор об обработке личной информации (ч. 2 ст. 22 Федерального закона № 152-ФЗ).
Также к операторам персональных данных относятся компании, имеющие собственные сайты с обратной формой связи и регистрацией пользователей, у которых запрашиваются личные сведения.
Как обезопасить себя от штрафов: 6 правил
1. Исключить случаи нецелевого сбора и обработки данных.
Под данное нарушение попадают и случаи сбора излишней информации о гражданах. Например, когда сайт для новостной рассылки по e-mail требует от посетителей предоставить, скажем, паспортные данные. Это считается обработкой данных не по назначению, поэтому исключите подобные случаи из практики работы своей компании и сайта.
Данные действия образуют состав правонарушения по ч. 1 ст. 13.11 КоАП РФ. Штраф для предпринимателей – от 5 до 10 тысяч рублей, а для организаций – от 30 до 50 тысяч рублей.
2. Получать письменное согласие граждан на обработку их данных.
Согласие граждан на обработку персональных данных, когда это требуется по закону, операторы получают в соответствии с ч. 4 ст. 9 Федерального закона № 152-ФЗ. Исключений из этого правила не так много. Например, не требуется письменного согласия при получении персональных данных в личных, семейных целях (ч. 2 ст. 1 Федерального закона № 152-ФЗ).
В большинстве же случаев дополнительно к основному договору стороны должны подписывать соглашение об обработке персональных данных. Это соглашение может включаться в текст основного договора, или выступать в качестве отдельного документа. Согласие должно поступить лично от гражданина. Без его ведома передавать данные нельзя.
Самый банальный пример злоупотреблений в этой части – когда, например, оператор мобильной связи передает контакты абонентов без их ведома сторонним компаниям, и на телефонные номера граждан начинает поступать всевозможный спам.
Если письменного соглашения на обработку данных у компании нет, на граждан (ИП) наложат штраф в размере от 3 до 5 тысяч рублей, на должностных лиц от 10 до 20 тысяч рублей, а на юрлиц – от 15 до 75 тысяч рублей (ч.2 ст.13.11 КоАП РФ). Судя по судебной практике, ИП первый раз штрафуют как физлиц, а если нарушение повторяется, то уже как должностных лиц - руководителей ИП, так как во втором случае штраф выше.
Последствия неполучения письменного согласия контролерам будут неважны, а важен будет сам факт наличия или отсутствия такого согласия в письменной форме.
3. Знакомить граждан с политикой обработки персональных данных.
Эта информация должна находиться в свободном доступе и с ней должен иметь возможность ознакомиться каждый. Например, сайты вывешивают информацию о порядке работы с персданными на отдельных своих страницах.
В противном случае наступит ответственность по ч. 3 ст. 13.11 КоАП РФ. ИП заплатят штраф в размере от 5 до 10 тысяч рублей, а организации в размере от 15 до 30 тысяч рублей.
4. Отвечать на вопросы граждан о том, каким образом используются их персональные данные .
На практике бывают случаи, когда данные «утекают» третьим лицам, и клиентам компании начинает поступать всевозможная реклама от магазинов, медицинских центров и кредитных организаций. В этом случае клиент может потребовать от оператора персональных данных предоставить информацию о том, как используются и хранятся его личные сведения.
За игнорирование обращений граждан операторы персданных несут ответственность по ч. 4 ст. 13.11 КоАП РФ. Штраф для ИП – от 10 до 15 тысяч рублей, а для юрлиц – от 20 до 40 тысяч рублей.
5. Выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении .
Это нужно делать в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
Неисполнение этой обязанности грозит штрафом по ч. 5 ст. 13.11 КоАП РФ. Для ИП штраф составит от 10 до 20 тысяч рублей, для организаций – от 25 до 45 тысяч рублей.
6. Обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д .
Ответственность за необеспечение сохранности личных сведений установлена ч. 6 ст. 13.11 КоАП РФ. Для предпринимателей – от 10 до 20 тысяч рублей, для компаний – от 25 до 50 тысяч рублей.
Ответственность для государственных и муниципальных органов власти
Штрафная ответственность предусмотрена и для государственных и муниципальных органов власти (ч. 7 ст. 13.11 КоАП РФ).
В своих документах (протоколах, сводках, решениях и т.д.) они должны обезличивать персональные данные граждан, не допуская указания их места жительства и полных ФИО.
В противном случае придется заплатить штраф в размере от 3 до 6 тысяч рублей.
Регистрация операторов персональных данных в Роскомнадзоре
Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре. Для этого необходимо подать уведомление об обработке (о намерении осуществлять обработку) персональных данных (ч. 3 ст. 22 Федерального закона № 152-ФЗ).
После заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных ее следует отправить в информационную систему Уполномоченного органа по защите прав субъектов персональных данных. Затем заполненную форму нужно распечатать и заверить надлежащим образом, скрепив подписью и печатью организации, после чего направить в соответствующий территориальный орган Роскомнадзора по месту регистрации компании-оператора персональных данных.
Что делать сайтам
Что касается сайтов (а сейчас они есть практически у любой компании), то основная масса нарушений здесь связана именно с нецелевым сбором и использованием персональных данных (ч. 1 ст. 13.11 КоАП РФ).
Например, нередко в форме регистрации на сайте используются такие поля, как «дата рождения» и «телефон», а в форме профиля пользователя - «отчество», «дата рождения», «место жительства» (страна, область/край, город).
Следует понимать, что для регистрации пользователя на большинстве сетевых ресурсов не требуется знать такие данные, как телефон и место жительства/регистрации пользователя. Из формы регистрации эти сведения следует убрать.
А из формы личного профиля лучше убрать такие сведения, как «профессия», «www-страница», Skype (или другой мессенджер) и «дата рождения».
Посторонним лицам (а ваша компания и является таким лицом) знать эту информацию ни к чему. Форма подписки на новости сайта должна собирать информацию только об e-mail пользователей. Форма регистрации может собирать имя, фамилию, e-mail и пол пользователя.
Сбор лишней информации при проверке могут посчитать нарушением.
Выполнение вышеописанных правил и знание закона позволят избежать ответственности за его нарушение. При этом следует учитывать одно немаловажное обстоятельство. Если раньше закон о персональных данных обходил вашу компанию стороной и никакой ответственности за его нарушение вы не несли, то с 1 июля все может измениться кардинальным образом.
Дело в том, что с этой даты начинает действовать упрощенный порядок привлечения к административной ответственности. Раньше дела в этой сфере возбуждала прокуратура (ст. 28.1 КоАП РФ). По новым же правилам (п. 58 ч. 2 ст. 28.3 КоАП РФ) дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры. На практике это означает, что количество штрафов и доведенных до суда дел может значительно увеличиться, и уйти от ответственности станет значительно сложнее.
