Закон о нарушение персональных данных

Содержание:

Ответственность за нарушение закона о персональных данных

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Таблица 1. «Виды ответственности за нарушение закона о персональных данных»

Вид ответственности

Нарушение

Санкция

Норма

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации

Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.

Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 3 тыс. руб.;
  • на должностных лиц – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 30 тыс. до 50 тыс. руб.

Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие

  • на граждан – от 3 тыс. до 5 тыс. руб.;
  • на должностных лиц – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 75 тыс. руб.

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных

Предупреждение или административный штраф:

  • на граждан – от 700 до 1 тыс. руб.;
  • на должностных лиц – от 3 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 30 тыс. руб.

Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 15 тыс. руб.;
  • на юридических лиц – от 20 тыс. до 40 тыс. руб.

Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 45 тыс. руб.

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них

  • на граждан – от 700 до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 50 тыс. руб.

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов

Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.

Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде

  • на граждан – от 100 до 300 руб.;
  • на должностных лиц – от 300 до 500 руб.;
  • на юридических лиц – от 3 тыс. до 5 тыс. руб.

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ

Ш траф до 200 тыс. руб., либо обязательные работы на срок до 360 ч асов , либо исправительны е работы на срок до одного года, либо принудительные работы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет или без такового ) , либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет )

То же деяние, совершенное с использованием служебного положения

Ш траф от 100 тыс. до 300 тыс. руб. , либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет или без такового ) , либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет )

Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий

Ш траф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительны е работ ы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет или без такового ), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет )

Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан

Ш траф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование

Ш траф до 200 тыс. руб. , либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительны е работ ы на срок до двух лет, либо лишение свободы на тот же срок

Причинение лицу убытков в результате нарушения правил обработки его персональных данных.

Под убытками при этом понимаются:

  • расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права;
  • утрата или повреждение его имущества;
  • неполученные доходы, которые лицо получило бы, не будь его право нарушено.

Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных

Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)

Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей

Иные нарушения в области персональных данных при их обработке

www.garant.ru

Ответственность за нарушение требований по защите персональных данных

К федеральным законам, раскрывающим ответственность за нарушения в сфере защиты персональных данных, можно отнести:

  1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 23.12.2010).
  2. Федеральный закон от 27 июля 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  3. Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ (ред. от 07.02.2011) (с изменениями и дополнениями, вступившими в силу с 07.04.2011).
  4. Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ (ред. от 07.03.2011).
  5. Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (ред. от 29.12.2010).
  6. Гражданский кодекс РФ.

Виды ответственности

Статья 24 закона № 152-ФЗ «О персональных данных» прямо определяет виды ответственности за нарушение требований федерального закона. Лица, виновные в нарушении требований закона «О персональных данных», несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. Рассмотрим ответственность по перечисленным законам с акцентом на ответственности за нарушения требований по защите персональных данных.

Гражданский кодекс РФ

Гражданский кодекс РФ в ст. 946 вводит ответственность за нарушение «тайны страхования». Страховщик не вправе разглашать полученные им в результате своей профессиональной деятельности сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц. За нарушение тайны страхования страховщик в зависимости от рода нарушенных прав и характера нарушения несет ответственность в соответствии с кодексом и другими законами в случаях и в порядке, ими предусмотренных, а также в тех случаях и тех пределах, в каких использование способов защиты гражданских прав (компенсация морального вреда, возмещение убытков) вытекает из существа нарушенного нематериального права и характера последствий этого нарушения. Прецедент правоприменения данной статьи автору пока не известен.

Уголовный кодекс РФ

Уголовный кодекс РФ предусматривает наказание по ст. 137, 140 и 272.

По ст. 137 наступает ответственность за нарушение неприкосновенности частной жизни, выражающееся в незаконном собирании или распространении сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространении этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. По статье предусмотрен штраф в размере до 200 тысяч рублей или лишение свободы на срок до 2 лет. Те же деяния, совершенные лицом с использованием своего служебного положения, предусматривают штраф в размере от 100 тысяч до лишения свободы на срок до 4 лет. Как следует из диспозиции статьи, правоприменимость статьи не зависит от наличия средств защиты персональных данных.

По ст. 140 ответственность наступает при неправомерном отказе должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан. По статье предусмотрено наказание: штраф в размере до 200 тысяч рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет.

По ст. 272 Уголовного кодекса РФ наступает ответственность за неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. По статье предусмотрен штраф в размере от 200 тысяч рублей или лишение свободы на срок до 2 лет. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, предусматривает штраф в размере от 100 тысяч или лишение свободы на срок до 5 лет.

Как следует из диспозиции статьи, правоприменимость статьи зависит от наличия средств защиты персональных данных как признака охраняемой информации. Но статья относится к лицу, совершившему неправомерный доступ, а не к оператору персональных данных. Кроме того, данная норма содержит условие, которое позволяет отнести данное правонарушение к разряду уголовно наказуемых деяний, «если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети».

Кодекс об административных правонарушениях

Кодекс об административных правонарушениях включает наказание по ст. 5.39 (отказ в предоставлении информации), 13.11 (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)), 13.12 (нарушение правил защиты информации), 13.13 (незаконная деятельность в области защиты информации) и 13.14 (разглашение информации с ограниченным доступом).

Отказ в предоставлении информации (ст. 5.39) наиболее часто встречается в правоприменительной практике. Это связано не только с малыми сроками предоставления информации, но и прежде всего с отсутствием у оператора регламентов предоставления информации.

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации влекут наложение административного штрафа на должностных лиц в размере от 1 до 3 тысяч рублей.

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11) напрямую указывает на необходимость соблюдения ФЗ-152 «О персональных данных». Санкциями за данные нарушения являются предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1 тысячи рублей; на юридических лиц – от 5 до 10 тысяч рублей.

Ст. 13.12 «Нарушение правил защиты информации» содержит три обязательных признака, только при их наличии наступает ответственность по ст. 13.12:

  1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну). Это указывает на обязательность лицензирования деятельности по защите информации. Если лицензии отсутствуют, то отсутствуют и объективные признаки нарушения. Санкции по статье – это наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1 тысячи рублей; на юридических лиц – от 5 до 10 тысяч рублей.
  2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации. Санкции в этом случае – наложение административного штрафа на граждан в размере от 500 до 1 тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц – от 1 до 2 тысяч рублей; на юридических лиц – от 10 до 20 тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой. То есть, если при проверке окажется, что в системе защиты используются несерти-фицированные средства, они могут быть конфискованы.
  3. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну).

Это условие рассмотрим более подробно во второй части статьи, которая будет опубликована в журнале «Информационная безопасность» № 4.

www.itsec.ru

Что будет, если нарушить закон «О персональных данных»

Об ответственности за нарушения 152-ФЗ говорится в самых разных законах. В первую очередь это КоАП, Трудовой кодекс, Гражданский кодекс и Уголовный кодекс. Обычно компания-нарушитель и её работники платят штрафы, однако только штрафами наказание не ограничивается.

Дисциплинарная ответственность

Глава 14 Трудового кодекса касается защиты персональных данных работников. Они могут обжаловать действия работодателя при обработке их персональных данных в судебном порядке, а виновные в нарушениях работники могут получить замечание, выговор или быть уволены. Увольнение по инициативе работодателя возможно за разглашение любой охраняемой законом тайны, в том числе персональных данных другого работника. Будьте осторожны, рассказывая кому-либо о своих коллегах.

Уголовная ответственность

Уголовный кодекс предостерегает от незаконного сбора или распространения сведений о частной жизни, составляющих личную или семейную тайну человека, без его согласия. Наказанием может стать штраф до 300 000 руб. и выше, принудительные работы, а также лишение свободы на срок до 4 лет. Не правда ли, суровое наказание за вторжение в частную жизнь?

Административная ответственность

Кодекс об административных правонарушениях даёт возможность оштрафовать физическое или должностное лицо, индивидуального предпринимателя или компанию за невыполнение 152-ФЗ на 10 000 руб. Штраф может быть наложен не только на компанию, но и на работника: руководителя или ответственного за организацию обработки персональных данных.

Также компания может быть оштрафована на сумму до 20 000 руб., если не выполнит в срок предписание Роскомнадзора или не ответит на его запрос. Нарушения трудового законодательства, в том числе главы 14 Трудового кодекса, наказываются штрафом до 50 000 руб. Для компании может стать неприятной новостью, что не только Роскомнадзор, но и Трудовая инспекция интересуется тем, как она осуществляет обработку персональных данных.

Гражданско-правовая ответственность

Закон «О персональных данных» даёт физическим лицам право на возмещение морального и имущественного вреда, а также понесённых убытков. Размер возмещения будет определяться судом, и заранее он ничем не ограничен.

Лучший способ обезопасить себя и свою компанию от штрафов и других видов ответственности — аккуратно выполнять требования законодательства о персональных данных. Это очень просто сделать с помощью нашего сервиса.

152.kontur.ru

Нарушения закона «О персональных данных» обойдутся дороже

В минувшую пятницу Госдума РФ приняла в третьем чтении законопроект, вносящий поправки в КоАП РФ, об изменении административных штрафов за нарушение положений федерального закона №152 ФЗ («О персональных данных»). Авторы законопроекта предложили увеличить размеры административных штрафов за нарушение правил сбора, обработки и хранения персональных данных как для должностных, так и для юридических лиц в несколько раз. Эксперты считают, что даже увеличенные штрафы не станут значимой статьей пополнения государственного бюджета.

О решении принять законопроект об увеличении штрафов за нарушение закона о сборе, обработке и хранении персональных данных в третьем окончательном чтении стало известно по итогам заседания парламента 27 января. На сайте Госдумы сообщается, что проект закона поддержали 422 депутата.

Согласно документам, представленным в Автоматизированной системе обеспечения законодательной деятельности (АСОЗД), обновленный федеральный закон должен вступить в силу с 1 июля 2017 г.

Речь идет о поправках, которые планируется внести в ст.13.11 КоАП «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах» (персональных данных).

Согласно действующей редакции ст.13.11 КоАП РФ, нарушения установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) караются небольшими штрафами. Сегодня за такие нарушения установлена ответственность в виде предупреждения или штрафа от 300 до 500 руб. для граждан, от 500 до 1000 руб. — для должностных лиц, от 5 тыс. до 10 тыс. руб. — для юридических лиц.

Законопроект предлагает усилить административную ответственность за нарушение ФЗ №152 («О персональных данных»). Авторы законопроекта считают, что действующая статья не позволяет защищать права и интересы граждан в должной мере, а также не учитывает тяжесть негативных последствий в полной мере. Поэтому предлагается увеличить размеры административных штрафов в несколько раз.

Добавим, что законопроект был зарегистрирован и направлен председателю Госдумы в декабре 2014 г., в 2015 г. законопроект был принят на рассмотрение и в этом же году был принят в первом чтении. Во втором чтении законопроект был принят только в начале января 2017 г.

Согласно проекту закона, представленному к третьему чтению, за обработку данных в не установленном законом порядке и за использование этих данных не по назначению нарушитель — частное лицо может получить предупреждение или штраф в размере от 1 тыс. до 3 тыс. руб. При этом должностное лицо заплатит от 5 тыс. до 10 тыс. руб., а юридическое лицо — от 30 тыс. до 50 тыс. руб.

Обработка персональных данных без согласия гражданина приведет к наложению штрафа в размере от 3 тыс. до 5 тыс. руб. для граждан, от 10 тыс. до 20 тыс. руб. — для должностных лиц и от 15 тыс. до 75 тыс. руб. для юридических лиц.

В случае если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф. Для граждан он составит от 700 до 1500 руб., для должностных лиц — от 3 тыс. до 6 тыс. руб., для индивидуальных предпринимателей (ИП) — от 5 тыс. до 10 тыс. руб., а для юридических лиц — от 15 тыс. до 30 тыс. руб.

За отказ оператора предоставить информацию об обработке персональных данных субъекту этих данных устанавливается ответственность в форме предупреждения или штрафа от 1 тыс. до 2 тыс. руб. для граждан, от 4 тыс. до 6 тыс. руб. — для должностных лиц, от 10 тыс. до 15 тыс. руб. — для ИП, от 20 тыс. до 40 тыс. руб. — для юридических лиц.

Кроме того, административный штраф налагается и за невыполнение оператором персональных данных требований субъекта данных по уточнению персональных данных, их блокированию или уничтожению. Для граждан это приведет к административному штрафу в размере от 1 тыс. до 2 тыс. руб., для должностных лиц — от 4 тыс. до 10 тыс. руб., для ИП — от 10 тыс. до 20 тыс. руб., для юридических лиц — от 25 тыс. до 45 тыс. руб.

Согласно проекту закона, оператор персональных данных, не использующий при обработке таких данных специальные средства автоматизации, будет оштрафован, и если не соблюдает условия по хранению материальных носителей персональных данных, исключающие несанкционированный доступ к ним. Но только в случае, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление или распространение.

В этом случае сразу налагается штраф от 700 до 2000 руб. — для граждан, от 4 тыс. до 10 тыс. руб. — для должностных лиц, от 10 тыс. до 20 тыс. руб. — для ИП и от 20 тыс. до 50 тыс. руб. — для юридических лиц. За невыполнение государственным или муниципальным оператором персональных данных требований по обезличиванию данных предусматривается предупреждение или штраф для должностных лиц в размере от 3 тыс. до 6 тыс. руб.

Как рассказали корреспонденту ComNews представители ПАО «Ростелеком» и ПАО «ВымпелКом» (бренд «Билайн»), хранение и обработка персональных данных ведется в компаниях в полном соответствии с действующим законодательством. Пресс-секретарь ПАО «МегаФон» Юлия Дорохина добавила, что «МегаФон» как оператор связи прилагает серьезные усилия для соблюдения законодательных требований о защите персональных данных и об обеспечении тайны связи. «Поэтому повышение размера ответственности не должно существенно сказаться на деятельности компании», — заключила она.

По мнению независимого эксперта адвоката Александра Титова, законопроект направлен на обособление нарушений, связанных с обработкой персональных данных. «Если сейчас ст. 13.11 КоАП РФ говорит о нарушении закона «О персональных данных» как об основании привлечения к административной ответственности, то в предлагаемой редакции обособляются отдельные его нарушения с установлением соответствующей меры наказания», — отметил юрист.

По его словам, размер представленных в законопроекте административных штрафов не сыграет особой роли, так как для операторов они вполне посильные. «Эти штрафы не будут иметь особого значения и для бюджета, так как, судя по отчету Роскомнадзора за первое полугодие, выявлено всего 1003 нарушения в сфере персональных данных, многие из которых даже не описаны в предлагаемой редакции ст.13.11 КоАП РФ», — заключил юрист.

Основатель и старший партнер юридической компании «Катков и партнеры» Павел Катков считает, что увеличение размера штрафов, как и любое ужесточение нормы, обострит ее применение и повысит внимательность отношения к ней. «Однако гораздо большее значение имеет качество работы самого органа, ее применяющего», — поделился с корреспондентом ComNews юрист.

По его словам, не менее важно и то, как будут реагировать на штрафы юридические представители штрафуемых организаций: при грамотном подходе штрафа можно избежать, а если он неизбежен — снизить его размер или отсрочить его выплату.

«Что касается такой нормы как штраф в целом, то ее эффективность — вопрос дискуссионный. С одной стороны, это чувствительная мера, с другой — до такой действенной нормы КоАП РФ, как административное приостановление деятельности, ей далеко», — отметил Павел Катков, добавив, что если увеличение размеров штрафов, предусмотренное рассматриваемым законопроектом, не сработает, то не исключено, что законотворцы задумаются о возможности применения административного приостановления деятельности в качестве меры воздействия на нарушителей.

В Роскомнадзоре (контролирует исполнение положений закона «О персональных данных») эту тему комментировать отказались, сославшись на то, что данный законопроект еще не стал законом.

www.comnews.ru

Всем, у кого есть сайт! С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей

В феврале внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Они вступят в силу 1 июля 2017 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные .

Штрафы разделили по видам нарушений и увеличили в десятки раз. Например, если не разместить на сайте политику конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а компанию — на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юрлица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч . Если нарушений несколько, то и штрафов будет несколько.

Нужно срочно привести в порядок свои сайты. Проверки уже идут 💻

Сейчас протоколы о нарушениях может выписывать только прокуратура. Штраф не зависит от вида нарушения и составляет для ИП или директора максимум 1000 рублей, а для юрлица — 10 тысяч рублей. Процедура занимает много времени, штрафы маленькие, поэтому проверяют редко и не всех.

С 1 июля выписывать протоколы будет Роскомнадзор — дело пойдет быстрее.

Как узнать, являюсь ли я оператором персональных данных?

Персональные данные — это любые данные о человеке, по которым его можно идентифицировать. В законе нет перечня таких данных, поэтому приходится догадываться самим. Например, по имени или логину нельзя понять, что это за человек, а по имени и телефону или имени и электронной почте — можно.

Скорее всего, вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:

  • фамилию,
  • имя,
  • отчество,
  • какой-то физический адрес,
  • электронную почту,
  • телефон,
  • дату или место рождения,
  • фотографию,
  • ссылку на персональный сайт или соцсети,
  • профессию,
  • образование,
  • уровень доходов,
  • семейное положение.

Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, — это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения — это тоже обработка персональных данных.

А если я записываю телефон друга или электронную почту девушки на сайте знакомств, мне нужно соблюдать этот закон?

Нет, не нужно. На данные для личных и семейных нужд закон не распространяется. Но если передать телефон друга коллекторам или опубликовать объявление с почтой девушки на форуме женоненавистников — это уже нарушение.

Как правильно работать с персональными данными, чтобы не нарушить закон?

Как минимум нужно:

  • получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
  • публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
  • запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
  • использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
  • сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
  • удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
  • хранить базы данных в надежном месте, защищать их от взлома и утечки;
  • научить сотрудников работать с персональными данными;
  • зарегистрироваться в Роскомнадзоре.

Что? Я должен еще где-то зарегистрироваться?

Да, по закону операторы персональных данных должны уведомить Роскомнадзор. Причем сделать это нужно до начала обработки данных или как можно скорее. Роскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более — распространяться;
  • человек сам опубликовал эти данные в общем доступе;
  • у вас есть только ФИО клиента и больше ничего.

У меня есть сайт, и я получаю персональные данные. Что мне делать?

Если вы до сих пор ничего не сделали, то вы уже нарушаете закон и вас уже сейчас могут оштрафовать. Даже если ваш сайт обслуживает веб-студия или удаленный айтишник, штраф всё равно выпишут на ту компанию или ИП , которые указаны на сайте.

Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны на всех страницах. Это может быть пользовательское соглашение, как у «Ламоды», правила продажи, как у «Читай-города», официальное уведомление, как у «М-видео», политика конфиденциальности, как у «Рестора», «Адидаса» или «Озона». Можно прописать условия обработки персональных данных в обычном договоре или оферте, как это делает Сбербанк.

Не используйте чужие документы. Их можно взять для ориентира, но список данных и цели использования нужно прописывать свои. То, что нужно банку для оформления кредита или интернет-магазину для доставки товара, не понадобится для электронной рассылки или доски объявлений. Запрашивать ненужные данные — нарушение закона и повод для штрафа.

Реализуйте решение, которое позволит четко установить, что человек согласился на обработку персональных данных. Это может быть галочка в форме регистрации или предупреждение при оформлении заказа. Для надежности заверьте веб-страницы у нотариуса.

Подготовьте внутренние документы о хранении персональных данных и ответственности сотрудников, которые с ними работают. Приказы, регламенты и должностные инструкции не нужно выкладывать в общий доступ.

Если нужно, отправьте уведомление в Роскомнадзор. Если уверены, что уведомление отправлять не нужно, оформите документы так, чтобы это было понятно при проверке. Например, пропишите в политике, что используете персональные данные только для исполнения конкретного договора. Или укажите, что создаете ресурс, на котором данные размещаются в общем доступе по желанию пользователя.

Если не знаете, нужно ли вам отправлять уведомление, лучше отправьте.

Это правда, что хранить персональные данные можно только на российских серверах? Если у меня хостинг в Европе, я нарушаю закон?

В законе много непонятного по этому поводу. С одной стороны, собирать, обрабатывать и хранить базы данных нужно на российских серверах. Но при этом есть отдельная статья про трансграничную передачу данных. На сайте Минкомсвязи опубликованы разъяснения по этому поводу, но в них тоже много противоречий.

Сами делайте выводы, где хранить данные. Если не знаете, что делать, отправьте запрос в Роскомнадзор или Минкомсвязи. Еще можно обратиться к своему хостеру: чаще всего у таких компаний есть готовые решения.

Да успокойтесь вы все! Никого не будут штрафовать из-за каких-то форм на сайте и ненужных бумаг.

В Тамбовской области прокуратура оштрафовала юридическую компанию за заполнение формы обратной связи без согласия пользователя на обработку персональных данных. Суды поддержали.

Директора управляющей компании оштрафовали за то, что он передал юристам данные должников, чтобы составить исковые заявления. Согласие на обработку персональных данных у жильцов он не получил. Конституционный суд ему не помог.

В Астрахани прокуроры штрафуют владельцев сайтов за формы обратной связи по алфавиту.

Кроме штрафов в пользу государства за нарушение правил обработки персональных данных могут взыскать компенсацию морального вреда и даже посадить в тюрьму.

В законе про персональные данные много непонятного. Мы разобрались и ответили на сложные вопросы.

journal.tinkoff.ru

Популярное:

  • 72 приказ минтранса Законодательная база Российской Федерации Бесплатная консультация Федеральное законодательство Главная ПРИКАЗ Минтранса РФ от 04.05.2009 N 72 "О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ПРИКАЗ МИНИСТЕРСТВА ПУТЕЙ СООБЩЕНИЯ РОССИЙСКОЙ […]
  • Исчисление налогов упрощенной декларации ИП упрощенка: Упрощённая декларация в Казахстане - условия и особенности ведения Преимущества упрощенки : - налог 3% от дохода; - налоговая отчетность сдается раз в полгода. Налогообложение на упрощенке Кроме того, за себя ИП и […]
  • Ошибочно выплачено пособие Пособие по уходу за ребенком до 3 лет в 2018 году Статьи по теме Когда женщина уходит в отпуск по уходу за ребенком, ей полагается пособие. До полутора лет пособие выплачивается за счет ФСС. Помимо этого работнице положено […]
  • Правила пдд 2018 категория е Экзаменационные билеты ПДД категории СД 2018 года Экзаменационные билеты CD ГИБДД 2018 Официальные экзаменационные билеты категории СД 2018 года. Билеты и комментарии составлены на основе ПДДот 18 июля 2018 года (применяются с […]
  • Упрощенный налог пени Несвоевременная уплата УСН-налога Если организация вовремя не заплатит налог (авансовый платеж по налогу), у нее возникнет недоимка. Тогда инспекторы примут меры, чтобы заставить вас расплатиться с бюджетом. Одна из таких мер – […]
  • Ставка транспортного налога в спб в 2018 Транспортный налог 2018: Санкт-Петербург Похожие публикации Транспортный налог относится к сфере влияния главы 28 НК РФ и властей субъектов РФ, которые на региональном уровне могут устанавливать свои ставки налогообложения […]
  • 10 лет вредного стажа Стаж на опасном и вредном производстве Законодательством закреплено, что сотрудники опасного и вредного производства имеют право на досрочную трудовую пенсию. Среди них этим правом обладают те, у кого в страховой стаж и стаж на […]
  • Кто сдавал экзамены на патент Тестирование по русскому языку для получения патента Сертификат для иностранного работника о прохождении государственного экзамена входит в пакет документов, необходимых для осуществления трудовой деятельности на территории РФ в […]