Штрафы за нарушение закона о персональных данных 2018

Оглавление:

Положение о персональных данных работников в 2018 году — образец

Персональные данные в трудовом праве

Понятие персональных данных (далее — ПД) закреплено в ст. 3 закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — закон 152-ФЗ), который был принят в связи с ратификацией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (заключена в Страсбурге 28.01.1981 и ратифицирована РФ 07.11.2001).

Согласно данной норме, персональные данные — это любые сведения, которые прямо или косвенно относятся к физическому лицу. Физическое лицо, на которого распространяются требования закона 152-ФЗ, признается субъектом персональных данных.

В Трудовом кодексе персональным данным работника и их защите посвящена глава 14, регулирующая вопросы хранения, использования и передачи третьим лицам ПД работников организации, требования к этим действиям, а также ответственность работодателя за нарушение законодательства, регулирующего данную сферу.

Обработка данных работодателем

Обработка ПД работников должна осуществляться в соответствии со следующими основными правилами, установленными ст. 86 ТК РФ:

  • обработка может осуществляться лишь в интересах сотрудников или в связи с осуществлением ими трудовой деятельности;
  • ПД могут быть получены организацией только от своего сотрудника или на основании его письменного согласия от третьей стороны;
  • финансовый источник организации защиты рассматриваемых данных — средства работодателя;
  • не допускается отказ работника от своих прав на защиту ПД, отказ в любой форме не может рассматриваться как действительный;
  • меры по защите ПД — вопрос совместной деятельности работника и работодателя.

О правилах ведения работы с персональными данными в организации подробнее можно узнать здесь.

Положение об обработке и защите персональных данных работников: содержание и образец

Обязанность предприятия иметь утвержденное положение о персональных данных работников следует из ст. 87 ТК РФ. Согласно данной норме, положение разрабатывается и утверждается работодателем самостоятельно. При этом оно должно отвечать требованиям Трудового кодекса и иных правовых актов в сфере защиты ПД и регулировать вопросы их хранения и использования.

Закон не устанавливает структуру документа, но практикой выработаны основные разделы, которые желательно указать в положении.

В их число входят:

  1. Вводная часть, отражающая основания принятия локального акта. В ней также перечисляются нормы законодательства, регулирующие вопросы обработки ПД, а также раскрываются основные понятия, используемые в Положении (можно взять из ст. 3 закона 152-ФЗ).
  2. Перечень сведений, составляющих ПД сотрудников фирмы.
  3. Перечень обрабатываемых организацией документов, в которых такие сведения содержатся.
  4. Правила обработки данных.
  5. Порядок получения доступа к ПД тех или иных лиц.
  6. Меры, направленные на защиту обрабатываемых данных.
  7. Права и обязанности сторон правоотношений в области работы с ПД.
  8. Ответственность организации за нарушения в сфере охраны и защиты ПД.

С положением о защите персональных данных работников необходимо ознакомить под расписку.

Образец положения о персональных данных работников можно скачать по ссылке ниже:

Порядок принятия

Положение об обработке персональных данных работников является локальным актом организации, потому порядок его разработки и утверждения подчиняется общим требованиям ст. 8 ТК РФ, а также внутренним правилам делопроизводства.

Как правило, данный документ разрабатывается кадровой службой или работником, отвечающим за кадровые вопросы на предприятии. Утверждение его осуществляется приказом руководителя или иного лица, уполномоченного работодателем на издание локальных актов в сфере обработки и защиты ПД (например, курирующий заместитель руководителя).

Положение подписывается руководителем организации. Положению присваивается порядковый номер, на нем проставляется дата издания, а также печать (при ее наличии).

Ответственность работодателя

За нарушение установленных законом требований в области защиты ПД, на основании ст. 90 ТК РФ предусмотрены различные виды ответственности:

  • материальная — при нанесении материального ущерба нарушениями в обращении с персональными данными (ст. 232, 233 ТК РФ);
  • дисциплинарная — нарушитель может быть подвергнут актом руководителя дисциплинарному взысканию, такому как замечание, выговор, увольнение, на основании ст. 192 ТК РФ;
  • гражданско-правовая ответственность — например, возмещение убытков по ст. 15 ГК РФ, компенсация морального вреда по ст. 151 ГК РФ;
  • ответственность административного характера, предусмотренная ст. 13.11 КоАП РФ;
  • уголовная ответственность — за нарушения, повлекшие серьезные или тяжкие последствия (например, публичное распространение частных данных), по ст. 137 УК РФ.
  • под понятие ПД подпадает любая информация, относящаяся к конкретному работнику;
  • обработка данных осуществляется в соответствии со ст. 86 ТК РФ и требованиями внутреннего Положения организации;
  • содержание Положения не устанавливается на законодательном уровне, но в силу закона оно должно регулировать порядок хранения и использования ПД;
  • Положение является локальным (внутренним) документом, потому принимается по общим правилам принятия таких актов в организации (ст. 8 ТК РФ);
  • за нарушение правил обработки и распространения ПД нарушитель несет различные виды ответственности (от дисциплинарной до уголовной).

Штрафы за нарушения при обработке персональных данных в 2018 году

Статьи по теме

С 1 июля 2017 года выросли штрафы за неправильную работу с персональными данными. На что обратить внимание работодателю в соответствии с новыми правилами.

Федеральный закон №152-ФЗ от 27.07.06 дает нормативное определение понятия «персональные данные». Персональные данные – это сведения, которые помогут в идентификации личности гражданина. Поэтому под ними чаще всего понимают:

  • ФИО гражданина,
  • адресные данные,
  • сведения о семейном положении,
  • контактные данные,
  • информацию о мировоззрении и т. п.

Таблица штрафов за обработку персональных данных в 2018 году

Обработка персональных данных в случаях, не предусмотренных законодательством

Для граждан – штраф от 1000 до 3000 руб.

Для должностных лиц – штраф от 5000 до 10 000 руб.

Для организаций – штраф от 30 000 до 50 000 руб.

ч. 1 ст. 13.11 КоАП РФ

Обработка персональных данных без письменного согласия лица, когда такое согласие требует закон

Для граждан – штраф от 3000 до 5000 руб.

Для должностных лиц – штраф от 10 000 до 20 000 руб.

Для организаций – штраф от 15 000 до 75 000 руб.

ч. 2 ст. 13.11 КоАП РФ

Не опубликовали или не предоставили неограниченный доступ к документу с политикой по обработке персональных данных или сведениями по их защите

Для граждан – штраф от 700 до 1500 руб.

Для должностных лиц – штраф от 3000 до 6000 руб.

Для предпринимателей – штраф от 5000 до 10 000 руб.

Для организаций – штраф от 15 000 до 30 000 руб.

ч. 3 ст. 13.11 КоАП РФ

Не предоставили субъекту персональных данных информацию, которая касается обработки его персональных данных

Для граждан – штраф от 1000 до 2000 руб.

Для должностных лиц – штраф от 4000 до 6000 руб.

Для предпринимателей – штраф от 10 000 до 15 000 руб.

Для организаций – штраф от 20 000 до 40 000 руб.

ч. 4 ст. 13.11 КоАП РФ

Нарушены требования субъекта персональных данных или его представителя об уточнении, блокировке, уничтожении данных. В случае если данные неполные, устаревшие, неточные, незаконно получены или не являются необходимыми для заявленной цели обработки

Для граждан – штраф от 1000 до 2000 руб.

Для должностных лиц – штраф от 4000 до 10 000 руб.

Для предпринимателей – штраф от 10 000 до 20 000 руб.

Для организаций – штраф от 25 000 до 45 000 руб.

ч. 5 ст. 13.11 КоАП РФ

Персональные данные работников обрабатывают по правилам закона № 152-ФЗ

Существует ряд правил по сбору и обработке персональных данных работников:

  1. Работодатель собирает информацию только с согласия работника. Без этого получать от работника подобную информацию нельзя. Согласие нужно оформить в письменном виде (ст. 6 закона №152-ФЗ).
  2. Работодатель должен собирать только те данные, которые отвечают целям их обработки. Обычно спрашивают ФИО, паспортные данные и данные о проживании, контактную информацию, а также сведения о семье.
  3. Компания должна хранить персональные данные работников на территории РФ.
  4. Компания, которая приступила к обработке персональных данных работников, является оператором персональных данных. При этом под обработкой понимают любые операции с такими данными. В частности, сбор, хранение, уточнение, систематизацию, накопление, передачу, использование данных. Например, компания собирает такие сведения, когда работник подписывает трудовой договор. В связи с этим работодатель должен уведомить Роскомнадзор об обработке.

Об обработке персональных данных работников нужно уведомить Роскомнадзор

В п. 2 ст. 22 закона № 152-ФЗ присутствуют разъяснения, когда работодателю не нужно уведомлять Роскомнадзор. Извещать не требуется, если компания собирает только данные собственных сотрудников в рамках оформления трудовых договоров и при этом не использует средства автоматизации. Однако компания может также собирать данные клиентов или направлять данные персонала третьим лицам – например, в рамках программ ДМС. В таком случае уведомление нужно подавать. Кроме того, поскольку при кадровом учете собирают данные не только работников, но и их родных, это обязывает компанию известить ведомство.

Если Роскомнадзор выявит неуведомление, компанию привлекут к ответственности по ст. 19.7 КоАП РФ.

С 1 июля выросли штрафы за персональные данные работников

1 июля 2017 года увеличили штрафы за неправильную работу с персональными данными (ст. 13.11 КоАП РФ). Роскомнадзор может привлечь работодателя к административной ответственности сразу по нескольким нарушениям. Это означает, что ведомство может наложить несколько штрафов на работодателя за нарушение правил обработки. Максимальный размер одного штрафа – 75 тыс. рублей.

Компанию не оштрафуют, если она соблюдает правила обработки персональных данных работников

Чтобы избежать штрафов, работодателю следует учитывать правила обработки персональных данных работников. Чаще всего встречаются такие нарушения:

  • отсутствие письменного согласия на сбор данных. В случае нарушения предусмотрен штраф для организации от 15 до 75 тыс. р. для должностного лица и предпринимателя – от 10 до 20 тыс. р.;
  • нарушение правил защиты данных. Если работодатель не сохранил персональные данные работников, и они незаконно попали к третьим лицам, компанию оштрафуют. Штраф для предпринимателей составляет от 10 до 20 тыс. р., для организаций – от 25 до 50 тыс. р.;
  • отказ владельцу данных в возможности ознакомиться с ними или с порядком обработки. За это нарушение с 1 июля будут взимать штраф с предпринимателей в размере от 10 до 20 тыс. р., с организаций – от 20 до 40 тыс. р.;
  • сохранение неточных или неактуальных данных или отказ в уничтожении данных. В случае нарушения предусмотрен штраф для предпринимателей от 10 до 20 тыс. р., для организаций – от 25 до 45 тыс. р.

Ответственность за персональные данные 2017 года. Как обжаловать штраф.

Как обжаловать штраф.

С 1 июля 2017 года усилена административная ответственность за нарушение законодательства в области персональных данных и их обработку.

ВНИМАНИЕ!

В настоящее время проверочные действия в Интернет госструктурами ведутся очень активно, штрафы значительные и исчисляются суммарно по каждому нарушению.

Настоятельно рекомендуем Вам связаться с нами: воспользоваться нашими консультациями и составить необходимую документацию, что позволит соблюсти все требования Закона и избежать больших штрафов.

Внимательно изучите данную статью или воспользуйтесь нашими услугами по проведению всех необходимых мероприятий.

Федеральный закон от 07.02.2017 N 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»

С этой целью новой редакцией статьи 13.11 КоАП РФ расширен перечень составов правонарушений, а также увеличены размеры штрафов.

Так, в частности, установлена административная ответственность за:

— обработку персональных данных в случаях, не предусмотренных законодательством в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния (повлечет предупреждение или наложение штрафа на граждан в размере от 1000 рублей до 3000 рублей, на должностных лиц — от 5000 рублей до 10000 рублей, на юридических лиц — от 30000 рублей до 50000 рублей);

— обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством, если эти действия не содержат уголовно наказуемого деяния, либо обработку персональных данных с нарушением установленных законодательством в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных;

— невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных;

— невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.

Составление протоколов по административным делам данной категории отнесено к компетенции должностных лиц Роскомнадзора (ранее дела данной категории возбуждались прокурором).

В прежней редакции статьи 13.11 КоАП РФ была установлена ответственность лишь за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), которая предусматривала предупреждение или наложение штрафа на граждан в размере от 300 рублей до 500 рублей, на должностных лиц — от 500 рублей до 1000 рублей, на юридических лиц — от 5000 рублей до 10000 рублей.

Как соблюдать закон о персональных данных 2017 года

Вниманию сайтовладельцев! С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей (за одно обнаруженное нарушение).

У вас на сайте есть контактная форма?

Значит, скорее всего это касается и вас. Прокуратуры уже штрафуют компании и суды их поддерживают. Помимо штрафов в пользу государства за нарушение правил обработки персональных данных может быть также взыскана компенсация морального вреда и определена иная ответственность.

Правила безопасности при работе с персональными данными

В феврале 2017 года внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных, которые вступят в силу 1 июля. Нововведения коснутся всех, кто получает, собирает, обрабатывает или хранит персональные данные.

Штрафы увеличены в десятки раз и разделены по видам нарушений. Так, если на сайте не размещена политика конфиденциальности, то штраф для ИП составит 10 тысяч рублей, а для компании — 30 тысяч. До 75 тысяч рублей составит штраф для юрлица, если посредством сайта обрабатываются персональные данные клиента интернет-магазина или подписчика на информационный ресурс без его согласия (директор компании или ИП должен будет заплатить до 20 тысяч).

И т.д. Если будет зафиксировано несколько нарушений, штрафов будет тоже несколько.

Что делать? Срочно привести сайты в порядок! Проверки уже начались

Сейчас протоколы о нарушениях имеет право выписывать только прокуратура, и размер штрафа вне зависимости от вида нарушения составляет для юрлица 10 тысяч рублей, а для ИП или директора — 1000 рублей. С 1 июля уже в соответствии с более высокими ставками и, по всей видимости более рьяно, выписывать протоколы будет Роскомнадзор.

Как узнать, являетесь ли вы тем самым оператором персональных данных?

Персональные данные согласно Федеральному закону «О персональных данных» — это любые данные о человеке, по которым его можно идентифицировать. При этом в законе не содержится перечня типов таких данных, поэтому приходится исходить из общей логики закона и практики, и «дуть на воду». К примеру, по имени пользователя или логину нельзя понять, что это за человек, то по имени и телефону или ФИО и электронной почте уже можно некоторым образом идентифицировать человека, а значит получение подобного сочетания уже может определяться как сбор и хранение персональных данных.

Итак, скорее всего, вы уже являетесь оператором персональных данных, если каким-то образом получаете от людей, к примеру, следующую информацию (в любом сочетании): фамилию, имя, отчество, какой-либо физический адрес, электронную почту, номер телефона, дату или место рождения, фото, ссылку на персональный сайт или соцсети, профессию, образование, уровень доходов, семейное положение и т.д.

На практике это означает, что все владельцы сайтов, которые содержат личные кабинеты, формы обратной связи, подписки или регистрации, анкеты и т.д., одним словом заполняемые формы, где посетитель должен оставить свои данные — это операторы персональных данных. Даже если на сайте есть лишь популярные нынче кнопки заказа обратного звонка (пользователь оставляет имя и номер телефона) или отправки сообщения (имя и электронный адрес) — это тоже может быть квалифицировано как обработка персональных данных.

А записи в моей телефонной книжке тоже считаются сбором и хранением персональных данных?

Нет. На данные, которые вы храните для личных и семейных нужд, данный закон не распространяется. Но если вы передадите эти данные лицу или организации, которая согласно данному закону является оператором персональных данных или опубликуете сведения, это будет считаться нарушением.

Как работать с персональными данными, не нарушая закон?

Как минимум необходимо выполнить и соблюдать 10 нижеследующих правил:

  • публиковать в открытом доступе всю информацию о ваших принципах взаимодействия и работы с персональными данными клиентов и посетителей вашего предприятия или ресурса;
  • запрашивать только те данные, которые нужны для каждой конкретной цели. Например, нельзя запрашивать паспортные данные или домашний адрес для осуществления рассылки по электронной почте;
  • перед получением персональных данных, которые предполагается публиковать в общедоступных источниках, получать письменное согласие у каждого посетителя, клиента или подписчика на их обработку, хранение и распространение. В случае, если данные не публикуются, а используются исключительно для обработки внутри компании, необходимо явным образом ограничить возможность передачи вам персональных данных без согласия на их обработку;
  • использовать данные только для тех целей, о которых вы предупредили человека и которые указаны в опубликованных вами документах, касающихся работы с персональными данными;
  • сообщать по запросу человека, какие у вас есть данные о нём, как и для чего они обрабатываются и кому вы их передавали;
  • удалять данные по первому требованию лица, персональные данные которого хранятся в вашей базе;
  • хранить базы данных в надёжном месте, защищать их от взлома и утечки (требования определены законодательством!);
  • назначить лицо, ответственное за обеспечение безопасности персональных данных и соблюдения определённых ФЗ N152 правил работы с персональными данными;
  • обучить сотрудников работе с персональными данными;
  • зарегистрироваться в Роскомнадзоре.

Согласно Закону обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Законе, возлагается на оператора.

Почему владелец сайта должен регистрироваться?

По закону операторы персональных данных должны уведомить Роскомнадзор. Причем сделать это нужно до начала обработки данных или вскоре после начала осуществления данной деятельности. Роскомнадзор внесёт информацию об операторе в Реестр операторов персональных данных.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и не будут распространяться и использоваться никак иначе;
  • у вас хранятся только ФИО клиента;
  • данные опубликованы в общем доступе самим человеком или кем либо по его поручению.

Что делать, если ваш сайт содержит формы и позволяет получать персональные данные?

Если ваш сайт даёт возможность получать персональные данные и вы до сих пор не выполнили перечисленные выше условия, то уже сейчас может быть зафиксировано нарушение и уже сейчас вас могут оштрафовать. Даже в том случае, если ваш сайт обслуживается другой компанией или специалистом на аутсорсинге, штраф будет выписан на компанию или ИП, которые указаны на сайте в качестве владельца и, следовательно, получателя персональных данных.

Как избежать возможных проблем (необходимая программа-минимум):
1) Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны с любой страницы вашего сайта. Это может быть уведомление, пользовательское соглашение, правила продажи или политика в отношении обработки персональных данных.
Как бы не назывался этот документ, он должен содержать правила и условия обработки персональных данных.

2) Не используйте документы других компаний без обработки. Их можно использовать в качестве шаблона, но список данных и цели использования персональных данных необходимо прописать свои. То, что требуется типографии для оформления заказа или интернет-магазину для доставки товара, не понадобится для e-mail рассылки. Запрос излишних данных может быть расценен как нарушение закона и стать поводом для штрафа.

3) Реализуйте программное решение, которое гарантирует однозначное установление того, что человек согласился на обработку персональных данных. Это может быть чек-бокс в форме регистрации, в котором необходимо поставить галочку, или кнопка согласия с условиями использования, без активации которых человек не сможет отправить сообщение или оформить заказ.
Для подстраховки можно заверить у нотариуса распечатанные скриншоты веб-страниц с формами, прокомментировав их сопроводительным текстом (к примеру, «на момент заверения указанные на данной распечатке кнопки работали согласно описанному в преамбуле функционалу и без их активации пересылка данных была технически невозможна»).

4) Подготовьте внутренние документы, регламентирующие правила хранения и обработки персональных данных, и ответственности сотрудников, которые имеют к ним доступ.

5) Отправьте, если сайт подпадает под требования Закона, уведомление в Роскомнадзор. Если стопроцентно уверены, что отправка уведомления не требуется, оформите всю документацию так, чтобы это было явно понятно и возможным проверяющим. Например, можно указать в политике работы с персональными данными, что они используются только для исполнения конкретных договоров, или зафиксировать в документации, что данные открыты для общего доступа по желанию пользователя (но помните, что доказывание этого факта Закон возлагает на оператора).

Настоятельно рекомендуем Вам связаться с нами: воспользоваться нашими консультациями и составить необходимую документацию, что позволит соблюсти все требования Закона.

Консультации(8)

  • Татьяна

Дальний родственник уже не первый раз берет кредит потребительский и вносит мое имя как поручителя и мой телефон домашний и мобильный. Это какой то кошмар когда начинают терроризировать по телефону, звонят с угрозами и на домашний и на мобильный. Я ни родственника ни адреса теперешнего, он сменил местожительства.
Что с этим делать и как остановить

27.02.2018 00
Администратор портала Татьяна

По законодательству РФ банки имеют право продавать долги коллекторским фирмам. Как правило, действия таких фирм, являются незаконными, они разными методами пытаются с должника взять деньги. Коллекторы могут даже могут звонить родственникам и друзьям должника, угрожать им и требовать с них выплатить долг. Что делать, если достали коллекторы звонками за чужие долги?

28.02.2018 00Далее.
Владислав

Наша организация (государственное бюджетное учреждение) заключило договор с аудиторской фирмой о проведении бухгалтерского и кадрового аудита. Проверяющие запросили выборочно ряд личных дел и все трудовые книжки сотрудников. Законно ли это?

18.02.2018 00
Администратор портала Владислав

В данном случае идет речь об обработке персональных данных (ПДн)
ТК разрешает передавать ПДн в случаях, предусмотренных федеральными законами.

Аудиторы руководствуются федеральным законом 307-ФЗ, который:
1. Определяет, что аудиторы действуют на основе професионального Кодекса, обязывающего союблюдать конфиденциальность.
2. Статья 9 определяет понятие аудиторской тайны, которую составляют любые сведения, полученные аудитором.
3. Статья 13 говорит о праве аудитора «исследовать в полном объеме документацию, связанную с финансово-хозяйственной деятельностью аудируемого лица», значит и правильность ведения кадрового учета.
4. Статья 14 обязывает аудируемое лицо «содействовать аудиторской организации, индивидуальному аудитору в своевременном и полном проведении аудита, предоставлять необходимую информацию и документацию».

Значит ст.88 ТК разрешает передавать ПДн сотрудников в ходе аудиторской проверки.

18.02.2018 00Далее.
юрий

У нас домоуправляющая компания. В ее состав входит 15 домоуправляющих компаний разных районов города. В каждой компании есть учет жителей района; ФИО и адрес жительства. Данная информация хранится как на бумажных носителях ,так и в электронном виде (сложилось исторически за многие годы работы). Хотим все объединить в одну базу. Будет ли являться это нарушением законодательства ? Допуск к информации у ограниченного числа лиц. Нужно ли регистрироваться в Роскомнадзоре ?

06.02.2018 00Ответить
Администратор портала юрий

Нарушений в объединении базы нет, но вам нужно подготовить свою деятельность в этой сфере к требованиям Роскомнадзора. Требований много, штрафы значительные.

06.02.2018 00Ответить
Джамиля

Добрый день. Я являюсь заместителем директора по учебной работе колледжа. Наш региональный институт развития образования запросил у нас в срочном порядке даннные на преподавателей колледжа, включающие ФИО, квалификацию по диплому, что и когда окончил, СЕРИЮ и НОМЕР ПАСПОРТА и др., не сообщив даже цели сбора. ответ предлагается выслать по электронной почте. Должны ли мы ответить на запрос по предлагаемой форме? Будет ли это нарушением закона о персональных данных, влекущим за собой штрафные санкции

29.11.2017 00Ответить
Администратор портала Джамиля

Ваши подозрения имеют место быть, т.к. законных оснований получать и обрабатывать персональные данные у такого учреждения пока не видим, запросить в ответ у них основания сбора данных и предупредите об ответственности.

С 1 июля увеличатся штрафы за персональные данные

Статьи по теме

Одно из важнейших изменений в законодательстве, которое ждет кадровиков летом 2018 года, следующее – с 1 июля увеличатся штрафы за персональные данные. Если ранее максимальный штраф составлял 10 000 рублей, то теперь он может достигать 75 000 рублей. Кроме того, с 1 июля штрафовать работодателей сможет непосредственно Роскомнадзор, а раньше дела такой категории возбуждала прокуратура. Разберемся подробнее, как с 1 июля увеличатся штрафы за персональные данные.

Из статьи вы узнаете:

Персональные данные работников

Прежде чем рассматривать штрафы за персональные данные в 2018 году, выясним, что относится к таким данным. Персональные данные работников – это сведения, которая как прямо, так и косвенно относятся к физическому лицу. Это информация о фактах, событиях и перепитиях частной жизни, которые дают возможность идентифицировать личность человека, за исключением сведений, которые подлежат распространению в СМИ (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ, далее – Закон № 152-ФЗ, Указ Президента РФ от 6 марта 1997 г. № 188).

Скачайте документы по теме:

Выделяют три вида персональных данных работников: общие, специальные и биометрические. К общим относят:

Общие персональные данные работников содержатся в паспорте, дипломе, военном билете, личной карточке, трудовой книжке и других документах.

С 1 июля увеличатся штрафы за персональные данные за обработку в нарушение запрета специальных данных. К ним относится информация о (ч. 1 ст. 10 Закона № 152-ФЗ):

Специальные персональные данные работников могут быть в анкете, которую сотрудник заполняет при приеме на работу, медицинском заключении и т. д.

Подробнее об обработке персональных данных читайте здесь:

Серьезные штрафы за нарушение закона о персональных данных грозят при нарушении порядка работы с биометрическими данными. Это сведения о физиологических и биологических особенностях человека, по которым можно установить его личность. К примеру, такие особенности, как:

  • дактилоскопические данные;
  • радужная оболочка глаз;
  • анализы ДНК;
  • рост, вес и прочее.

Обратите внимание! Фотография или видеозапись также относятся к биометрическим персональным данным, если по ним можно идентифицировать человека. Исключение составляют фото- и видеозаписи, которые сделали на массовых и публичных мероприятиях (п. 1 ст. 152.1 ГК РФ).

Новые штрафы: персональные данные

В 2017 году с 1 июля увеличатся штрафы за персональные данные. Поправки в КоАП РФ внес Федеральный закон от 07.02.2017 № 13-ФЗ. Изменения размеров новых штрафов за персональные данные существенные. Поэтому операторам персональных данных, к которым относятся все работодатели, нужно тщательно подготовиться к изменениям.

Действующая в текущий момент редакция статьи 13.11 КоАП РФ содержит только одно общее основание, чтобы привлечь организацию к административной ответственности – за нарушение определенного законом порядка сбора, хранения, использования или распространения персональных данных. С 1 июля увеличатся штрафы за персональные данные и видов нарушений, за которые можно наказать, будет семь.

Важно: сейчас максимальный размер штрафных санкций составляет 1 000 руб. (для должностных лиц) и 10 000 руб. (для юридических лиц). С 1 июля максимум возрастет до 20 000 и 75 000 руб. соответственно.

С 1 июля увеличатся штрафы за персональные данные и одновременно изменится порядок, в котором заводят дела об административных правонарушениях в области персданных. Сейчас такие дела возбуждают прокуроры (п. 1 ст. 28.4 КоАП РФ). С 1 июля 2017 года указанные полномочия передаются должностным лицам Роскомнадзора (подп. 58 п. 2 ст. 28.3 КоАП РФ в новой редакции). Они смогут сами налагать новые штрафы за персональные данные:

  • штраф за разглашение персональных данных;
  • штрафы за неправильную обработку персональных данных;
  • штраф за распространение персональных данных;
  • штрафы за нарушение работы с персональными данными и так далее.

Передача функций по возбуждению административных дел Роскомнадзору ускорит процесс привлечения работодателей к ответственности. В настоящее время такие органы лишь собирают информацию о нарушениях и передают ее в прокуратуру для решения вопроса о применении административного наказания.

Закон о персональных данных: штрафы

С 1 июля увеличатся штрафы за персональные данные. Рассмотрим семь составов, которые вводятся с 1 июля (таблица ниже). За нарушение закона о персональных данных штрафы для организаций составят от 15 000 до 75 000 рублей.

Штрафы за нарушение закона о персональных данных

Итак — с 1 июля 2017 года штрафы за нарушение закона о персональных данных выросли в десятки раз. Хочется спросить в этой связи: а почему же не в сотни. Хотя, кое-для кого и в сотни тоже. Впрочем, спрашивай – не спрашивай — отсчет уже пошел… И, как говорится, «кто не спрятался — тому же хуже». Или около того. Ну, а если серьезно, — то история эта даже не сегодняшняя. Сегодня мы наблюдаем лишь ее продолжение.

Нарушение закона о персональных данных

Начало сего процесса ознаменовал собой Федеральный закон о персональных данных (152 фз) от 27 июля 2006 года. И цель его тогда была вполне понятная и объективная:

урегулировать отношения сторон, имеющих дело с личной информацией и ее, соответственно, предоставлением — с одной стороны, и обработкой — с другой.

Речь шла о разного рода автоматизированных средствах, сетях информации и телекоммуникации, — в том числе, и о всевозможных картотеках и прочих материальных носителях, включающих персональные данные.

Упоминалось в законе также, что взаимодействие с персональными данными других людей — вещь необходимая для того даже, чтобы просто иметь возможность вести свою профессиональную деятельность. И это касается целого ряда специалистов: таких, например, как журналисты, литераторы, ученые — и разные другие категории работников умственного, как говорилось раньше, труда.

То есть, так или иначе, с персональными данными работали и продолжают сегодня работать все те, чья деятельность связана с другими людьми.

Федеральный закон о персональных данных в 2006 году

Надо сказать, и тогда еще он был вполне актуален и предназначался для защиты прав граждан в том случае, если с наступлением и стремительным развитием эры интернета их персональные данные могли бы по каким-то причинам оказаться под угрозой. И важнейшим условием обработки этих персональных данных было, прежде всего, — обязательное согласие на то самого гражданина.

Если же, например, получить его по каким-то причинам было невозможно, то оператор персональных данных мог заниматься информацией о нем лишь тогда, когда здоровье или жизнь человека находились в опасности. При этом, надо заметить, что оператором персональных данных могли быть лишь специально уполномоченные для этого специалисты.

Итак, закон РФ о персональных данных в 2006-м не только выявлял и регулировал всю эту ситуацию, но говорил о правах и самого гражданина, а именно: о предоставлении ему по его требованию всей необходимой информации, как его личных данных — так и связанных с этим сведений об уровне их защиты.

И мотивами отказа в получении такой информации со стороны операторов, осуществляющих обработку персональных данных, могли быть причины весьма незначительные, такие, скажем, как неверное оформление запроса и прочие аналогичные легко устраняемые недоработки.

Кто же в этом случае является оператором?

Кто этот субъект, осуществляющий сбор, анализ и хранение подобной информации, и каковы его основные функции?Как мы уже отметили, —

операторы, как правило, – это специалисты, уполномоченные государственными или муниципальными органами, а также юридические или физические лица, которые сами или вместе с другими лицами участвуют в сборе персональных данных: обрабатывают их, хранят на своих разного рода носителях и проч.

По федеральному закону такие операторы обязаны также:

  • Предоставить гражданам, чьи персональные данные у них хранятся, сведения о себе: должность, фамилию, имя, адрес;
  • Сообщить правила, в соответствии с которыми они намерены пользоваться персональной информацией;
  • Обеспечить качественное внесение, хранение и обработку персональных данных;
  • Действовать, строго соблюдая закон и соответствующие правовые акты.

Итак, основные положения федерального закона о персональных данных регламентируют, как мы уже поняли, положения о хранении персональных данных на территории РФ. И в общих чертах мы их обозначили. Стоит еще добавить, что ответственность за нарушение этого закона тоже, естественно, существует, и классифицируются такие нарушения статьями КоАП следующим образом:

13.11 – нарушение установленного соответствующими нормами порядка сбора, хранения, распространения или использования полученных сведений о гражданах.

13.12 – невыполнение правил защиты сведений.

13.13 – незаконная деятельность в сфере охраны личной информации.

13.14 – разглашение данных с ограниченным доступом.

Кроме того, что подобные деяния влекут за собой по закону ответственность, сформулированную, что называется, классическиуголовную, административную и дисциплинарную — указывались в нем и конкретные суммы взысканий и штрафов. Так, в соответствии со ст. 13.11 КоАП, виновным нарушителям будет вынесено предупреждение или штраф в размере:

  • от 300 до 1000 руб. — для физлиц и служащих;
  • от 5000 до 10000 руб. — для лиц юридических.

Надо отметить, что официально зафиксированными все эти нарушения могли быть лишь при том, что оператором предварительно было получено соответствующее разрешение на выполнение данных операций. Если же такого документа не было, то, как говорится, «на нет и суда нет». То есть, объективные признаки совершения нарушения по факту отсутствовали.

Закон об обработке персональных данных с января 2017 года

был усовершенствован и конкретизирован. В результате его поправок от 7 февраля 2017 года произошло ужесточение условий и правил, а также была значительно усилена ответственность за нарушения закона. И с 1 июля — то есть несколько дней назад, эти поправки, а точнее, — новая редакция статьи 13.11 КоАП РФ вступила в силу.

Теперь модифицированный закон о защите персональных данных будет касаться абсолютно всех собирающих, обрабатывающих и хранящих у себя самые разные персональные данные и в нем появилось семь отдельных составов правонарушений:

  1. Обработка персональных данных «в иных» целях;
  2. Обработка данных без согласия;
  3. Доступ к политике по обработке персональных данных (то есть необходимо обеспечить доступа к данному документу);
  4. Сокрытие информации (непредоставление гражданину его данных и сведений о них оператором);
  5. Уточнение или блокировка (невыполнение оператором данных требований);
  6. Сохранность;
  7. Обезличивание.

Изменения в законе о персональных данных на этот раз коснутся всех.

Новые штрафы с 1 июля 2017 года

конкретизированы и распределены по категориям нарушений и увеличены относительно прежних сумм во много раз. То есть одной тысячей здесь уже не обойдешься. В зависимости, как говорится, «от состава преступления», а, точнее, нарушения — она может превратиться уже в реальные семьдесят пять тысяч, а если таких нарушений окажется несколько (что элементарно, Ватсон) — то и этой суммы будет уже недостаточно: общий штраф юрлица может составить вплоть до 295 000 рублей.

Возможно, Вы — владелец пусть и совсем небольшого сайта или странички-лендинга и все еще наивно полагаете, что это персонально Вас не коснется?

Ошибаетесь. Потому что если Вы хоть каким-то образом получаете от ваших читателей-пользователей-обучающихся элементарную информацию, в которой в любом ее сочетании содержатся их: ФИО, любой физический адрес или электронная почта, телефон с датой, местом рождения и фотографией впридачу, ссылкой на персональный сайт, упоминание о профессии, образовании, уровне доходов или даже семейном положении — поздравляю: Вы — оператор персональных данных. И далее — читайте сначала всё уже вышеперечисленное.

Что же со всем этим делать?

Ответ на этот вопрос весьма прост: всем, кто может быть хоть каким-то образом связан с описанными выше ситуациями, касающимися чьих-либо персональных данных, чтобы себя обезопасить и не подвести под монастырь, надо принять соответствующе меры. Ибо нынешний закон о хранении персональных данных вовсе не предполагает, что с ним можно шутить.

И поэтому владельцам сайтов нужно:

  • Еще раз внимательно перечитать поправки в закон о персональных данных;
  • Регистрироваться как можно быстрее в реестре операторов Роскомнадзора;
  • Подготовить публичные документы (пользовательское соглашение, документы о политике конфиденциальности, о правилах продажи и проч.) и разместить все это на своем ресурсе таким образом, чтобы тексты эти были доступны на всех его страницах. (Условия обработки персональных данных могут быть прописаны и в вашем обычном договоре или оферте).

Если же Вы решили использовать для этого образцы документов с других сайтов — адаптируйте их под ваши нужды: не переписывайте слепо правила и положения, в которых, в вашем случае, например, может и не быть необходимости: подойдите к процессу творчески.

И тогда, будем надеяться, что нас с вами карательные меры, предусмотренные описанным законом, не коснутся и жизнь по-прежнему будет радовать и вдохновлять. Чего мы всем искренне и от души и желаем.

Смотрите еще:

  • Адвокат опрос свидетелей Адвокатский опрос Доказательственное значение адвокатского опроса Принцип состязательности сторон, установленный частью 3 статьи 123 Конституции РФ и статьей 15 Уголовно-процессуального кодекса РФ, определяет такое построение уголовного процесса, в котором стороны […]
  • Статья 201 гк рф Статья 201 ГК РФ. Срок исковой давности при перемене лиц в обязательстве Текущая редакция ст. 201 ГК РФ с комментариями и дополнениями на 2018 год Перемена лиц в обязательстве не влечет изменения срока исковой давности и порядка его исчисления. Комментарий к статье […]
  • Закон о персональных данных 152-фз от 27072006 г Закон о персональных данных 152-фз от 27072006 г О ПЕРСОНАЛЬНЫХ ДАННЫХ Федеральный закон от 27 июля 2006 г. № 152-ФЗ (в ред. Федеральных законов от 25.11.2009 № 266-ФЗ, от 27.12.2009 № 363-ФЗ, от 28.06.2010 № 123-ФЗ, от 27.07.2010 № 204-ФЗ, от 27.07.2010 № 227-ФЗ, […]
  • Закон о сми можно снимать Можно ли фотографировать и вести видеосъемку в магазине? Распространенная ситуация: один из супругов фотографирует товар в магазине, чтобы дома обсудить покупку всей семьей. Или обманутый клиент желает заснять факт мошенничества и грубого обращения продавцов торговой […]
  • Купить долевое участие Долевое участие в строительстве многоквартирных домов в Туле «СК ФАВОРИТ» ведет продажу квартир по договорам долевого участия в строительстве. Покупка жилой недвижимости в ЖК «Времена года», «Южный квартал» и микрорайоне «1-й Юго-Восточный» стала еще выгоднее. […]
  • Закон 214 статья 152 Закон 214 статья 152 Дата опубликования : 30.07.2017 Статья 1. Общие положения Провести в Республике Крым, Алтайском крае, Краснодарском крае и Ставропольском крае (далее — субъекты Российской Федерации) эксперимент по развитию курортной инфраструктуры в целях […]
  • Ооо системы физической защиты саратов ООО «Системы физической защиты», Саратов Компания "ООО "Системы физической защиты"", выставочная продукция, виды услуг Услуги по противопожарным мероприятиям. Минивыписка из ЕГРЮЛ Данные о руководителе являются открытыми и общедоступными согласно ст. 6 Федерального […]
  • Опрос свидетелей адвокатом Протокол опроса адвокатом образец Опрос лиц с их согласия как форма адвокатского расследования Протокол опроса адвокатом бланк На этот случай в судебной практике предусмотрена возможность оформления аффидевите — письменного свидетельства, которое удостоверяется […]