Закон о персональных данных с 1.
С 1 июля 2017 года вступили в силу более жесткие меры наказания в сфере нарушений законодательства о персональных данных (статья 13.11. КоАП РФ). Для юридических лиц штрафы вырастут с 10 000 до 75 000 рублей.
К кому это относится?
Данная статья применима к компании, если у неё:
- Есть форма заявки или личный кабинет на сайте.
- Маркетологи или менеджеры пользуются такими инструментами как e-mail рассылки, sms-рассылки, обзвон клиентской базы.
- Хранится в каком-либо виде клиентская база с персональными данными.
Т.е. эта норма относится практически ко всем действующим бизнесам. Помимо этого, закон распространяется и на работодателей, получающих сведения от сотрудников по трудовым договорам и по договорам гражданско-правового характера.
Что нужно делать?
Зарегистрироваться в РОСКОМНАДЗОРЕ
Если вы обрабатываете персональные данные (далее ПДн) в целях:
- Исполнения обязательств по договору и при этом не распространяете и не передаёте ПДн третьим лицам без согласия субъекта ПДн.
- Организации однократного пропуска субъекта ПДн на территорию, на которой находится оператор.
- Соблюдения трудового законодательства.
- А также если вы обрабатываете общедоступные данные.
этот пункт не для вас, можно переходить к следующему.
Если же вы используете инструменты е-mail или sms-рассылок, регулярно обзваниваете клиентов и т.п. — то вам необходимо зарегистрироваться в реестре операторов, осуществляющих обработку персональных данных на сайте Роскомнадзора. Это процедура бесплатная. Правда, никто не гарантирует, что собранная база операторов не будет использована Роскомнадзором для планомерной проверки последних требованиям закона.
Соблюдать требования обработки ПДн, а именно:
- Обрабатывать ПДн только с совместимыми целями сбора этих данных, т.е. обработка данных должна быть только по назначению (например, при регистрации в личном кабинете стоит осуществлять сбор паспортных данных только в том случае, если этого от вас требует отраслевое законодательство).
- Получить согласие на использование персональных данных.
- Опубликовать в открытом доступе политику обработки ПДн и сведения о реализуемых требованиях к защите ПДн.
- Информировать клиентов (по их запросу), о том, как используются (обрабатываются) их ПДн.
- Выполнять требования клиентов об уточнении ПДн, их блокировании или уничтожения. Это необходимо, когда ПНн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
- Обеспечить сохранность материальных носителей ПДн, исключая несанкционированный доступ, их уничтожение, изменение, блокирование, копирование и т.п.
- Хранить ПДн на территории Российской Федерации.
Обеспечить безопасность передачи и хранения данных
Одно из основных требований нового закона — это обеспечение безопасности передачи, хранения и использования персональных данных. Но в тексте статьи законодатели ограничились общими формулировками, поставив ссылку на рекомендации ФСБ
Попробуем разобраться подробнее. Весь процесс передачи и хранения данных можно условно разделить на 4 зоны.
Зона 1
Когда пользователь заходит на ваш сайт и заполняет на нем форму заявки, регистрируется или заходит в личный кабинет, его личные данные отправляются на сервер вашего сайта. Если это происходит по незащищенному протоколу http, особенно в открытых wi-fi сетях, данные относительно просто перехватываются злоумышленниками.
Проблема решается настройкой на вашем домене защищенного протокола https. После этой процедуры данные передаются в зашифрованном виде и уже слабо поддаются перехвату.
Зона 2
Все личные данные пользователя передаются на сервер (хостинг) вашего сайта.
Как обеспечить безопасность этой зоны:
- Подписать с сотрудником, ответственным за администрирование и доработку сайта, соглашение о неразглашении.
- Обязать хранить пароли от CMS и хостинга в зашифрованном виде.
- Обеспечить защиту от brute force взлома (перебор паролей) доступа к хостингу и CMS..
Зона 3
С сервера вашего сайта данные обычно передаются в CRM-систему (информационная система персональных данных, ИСПДн). Эта зона обычно не подвергается атакам, но и она должна быть защищена шифрованием траффика с использованием сертифицированных средств криптографической защиты информации.
Зона 4
Непосредственно защита вашего сервера, где развернута CRM-система. Защитить эту зону позволит:
- Использовать прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
- Определить круг сотрудников, работающих c CRM-системой.
- Определить уровни доступа к системе.
- Подписать с ними соглашение о неразглашении.
- Обязать хранить пароли в зашифрованном виде.
Получение согласия на использование персональных данных
Согласие пользователя можно получить двумя способами — в письменном виде на бумажном носителе и в электронном виде. Рассмотрим второй способ, как более простой и часто используемый.
Получение согласия можно разделить на два уровня
- Согласие на обработку только в рамках, необходимых для оказания услуг (исполнения условий договора),
- Согласие на дальнейшее коммерческое использование данных (рассылки и т.п).
Обычно в первом случае в качестве выражения согласия пользователем используется постановка галочки в «чекбоксе», под которым есть ссылка на страницу (или текст) политики использования конфиденциальных данных компании .
На ней подробно описано, что данные собираются только для целей исполнения договора, а постановка галочка нужна по закону. Дальнейшее прохождение формы регистрации (заявки) невозможно без постановки галочки, что, скорее всего, и будет являться доказательством получения согласия.
Во втором случае (коммерческое использование данных) желательно сделать подтверждение согласия по системе d ouble opt-in, при которой пользователь не только cсоглашается на обработку персональных данных, указывая свой e-mail и выказывая таким образом заинтересованность в ней, но и направляет подтверждение с указанного адреса.
Объединять первый и второй случай крайне не желательно . Тогда вам придется в политике использования конфиденциальных данных прописывать, что данные будут использоваться вами, в том числе, в маркетинговых целях. А это противоречит норме закона о необходимости сбора только тех данных, которые необходимы в рамках исполнения договора или оказания услуги.
Исходя из вышесказанного, нормальной практикой будет следующий алгоритм:
- При заполнении формы заявки/регистрации на сайте пользователь ставит первую галочку — согласие на обработку персональных данных только в рамках, необходимых для выполнения договора — и нажимает кнопку «Отправить» или «Зарегистрироваться».
- После чего ему показывается экран, где обещанием всяческих выгод выманивается согласие на коммерческое использование его данных.
Получение согласия от существующей клиентской базы
Если вы не озаботились получением согласия в прошлом — необходимо это сделать. При e-mail рассылках обычно используются «приветственные письма». Такое письмо рассылается по существующей базе и содержит:
- Текст обращения к клиенту. Что-то вроде «Мы раньше старались вас не спамить, а присылать только нужную информацию. Будем стараться и впредь, но законодательство обязывает нас получить ваше согласие на рассылку»
- Кнопка «Спасибо, присылайте»
- Кнопка «Отписаться»
Исключения для источников сбора персональных данных
Если вы собрали свою базу из открытых источников, а к ним относятся соц. сети, адресные книги, корпоративные сайты и т.п, то волноваться не стоит — требования закона к ним не относятся.
Как пользователь может убрать свои данные из базы
Если вас замучили ежедневные звонки или smsот компаний, которых вы даже не знаете, или ежечасные письма, захламляющие вашу почту — отказаться от этого будет не просто.
Законодатели предусмотрели два варианта принудить компанию удалить ваши данные из своей базы:
- Отправить ваше требование на юридический адрес компании в бумажном виде по почте.
- Или отправить требование в электронном виде, но для этого нужно получить квалифицированную электронную цифровую подпись. А это не быстро и не бесплатно.
Информация по теме
- Услуга по подготовки документов под требования закона по защите персональных данных (ФЗ 152)
- Услуга по внедрению системы обработки персональных данных в соответствии требованиями Регламента (ЕС) N 2016/679 (GDPR)
С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона "О персональных данных" от 27.07.2006 № 152-ФЗ. О том, как избежать штрафов при проверках Роскомнадзора, БУХ.1С рассказал эксперт по налогообложению Игорь Кармазин .
Штрафы за несоблюдение требований Федерального закона "О персональных данных" были повышены в соответствии с Федеральным законом от 07.02.2017 № 13-ФЗ. Новые штрафы по сравнению с действующими выросли в разы . Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей. При этом, если раньше в КоАП существовал только один, общий для всех случаев состав правонарушения в области персданных (ст.13.11 КоАП РФ), то теперь в данной статье появилось целых семь составов.
Чтобы избежать штрафов по 152-ФЗ , компаниям и ИП с 1 июля 2017 года следует внимательнее подходить к соблюдению требований закона о персональных данных.
Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени
1. С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона "О персональных данных".
2. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей.
3. Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. Закон не содержит конкретного перечня таких организаций.
4. Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре.
5. Обезопасить себя от штрафов можно, соблюдая 6 правил:
- исключить случаи нецелевого сбора и обработки данных;
- получать письменное согласие граждан на обработку их данных;
- знакомить граждан с политикой обработки персональных данных;
- отвечать на вопросы граждан о том, каким образом используются их персональные данные;
- выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении;
- обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д.
6. С 01.07.2017 начинает действовать упрощенный порядок привлечения к административной ответственности. Дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры.
Кого коснутся новые штрафы
Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. По закону они отнесены к операторам персональных данных и обязаны соблюдать законодательные ограничения.
Закон не содержит конкретного перечня таких организаций. Однако к ним можно отнести банки, страховые компании, операторов мобильной связи и интернета, медицинские организации, транспортные компании, учебные заведения и все те компании, при обращении в которые граждан просят указать личные данные или заполнить анкету.
Но и это еще не все. Закон распространяется на работодателей, получающих сведения от сотрудников как по трудовым договорам, так и по договорам гражданско-правового характера. Работодатели тоже являются операторами персональных данных с небольшой оговоркой. Если работодатель состоит с гражданином в трудовых или гражданско-правовых отношениях, ему не требуется уведомлять Роскомнадзор об обработке личной информации (ч. 2 ст. 22 Федерального закона № 152-ФЗ).
Также к операторам персональных данных относятся компании, имеющие собственные сайты с обратной формой связи и регистрацией пользователей, у которых запрашиваются личные сведения.
Как обезопасить себя от штрафов: 6 правил
1. Исключить случаи нецелевого сбора и обработки данных.
Под данное нарушение попадают и случаи сбора излишней информации о гражданах. Например, когда сайт для новостной рассылки по e-mail требует от посетителей предоставить, скажем, паспортные данные. Это считается обработкой данных не по назначению, поэтому исключите подобные случаи из практики работы своей компании и сайта.
Данные действия образуют состав правонарушения по ч. 1 ст. 13.11 КоАП РФ. Штраф для предпринимателей – от 5 до 10 тысяч рублей, а для организаций – от 30 до 50 тысяч рублей.
2. Получать письменное согласие граждан на обработку их данных.
Согласие граждан на обработку персональных данных, когда это требуется по закону, операторы получают в соответствии с ч. 4 ст. 9 Федерального закона № 152-ФЗ. Исключений из этого правила не так много. Например, не требуется письменного согласия при получении персональных данных в личных, семейных целях (ч. 2 ст. 1 Федерального закона № 152-ФЗ).
В большинстве же случаев дополнительно к основному договору стороны должны подписывать соглашение об обработке персональных данных. Это соглашение может включаться в текст основного договора, или выступать в качестве отдельного документа. Согласие должно поступить лично от гражданина. Без его ведома передавать данные нельзя.
Самый банальный пример злоупотреблений в этой части – когда, например, оператор мобильной связи передает контакты абонентов без их ведома сторонним компаниям, и на телефонные номера граждан начинает поступать всевозможный спам.
Если письменного соглашения на обработку данных у компании нет, на граждан (ИП) наложат штраф в размере от 3 до 5 тысяч рублей, на должностных лиц от 10 до 20 тысяч рублей, а на юрлиц – от 15 до 75 тысяч рублей (ч.2 ст.13.11 КоАП РФ). Судя по судебной практике, ИП первый раз штрафуют как физлиц, а если нарушение повторяется, то уже как должностных лиц - руководителей ИП, так как во втором случае штраф выше.
Последствия неполучения письменного согласия контролерам будут неважны, а важен будет сам факт наличия или отсутствия такого согласия в письменной форме.
3. Знакомить граждан с политикой обработки персональных данных.
Эта информация должна находиться в свободном доступе и с ней должен иметь возможность ознакомиться каждый. Например, сайты вывешивают информацию о порядке работы с персданными на отдельных своих страницах.
В противном случае наступит ответственность по ч. 3 ст. 13.11 КоАП РФ. ИП заплатят штраф в размере от 5 до 10 тысяч рублей, а организации в размере от 15 до 30 тысяч рублей.
4. Отвечать на вопросы граждан о том, каким образом используются их персональные данные .
На практике бывают случаи, когда данные «утекают» третьим лицам, и клиентам компании начинает поступать всевозможная реклама от магазинов, медицинских центров и кредитных организаций. В этом случае клиент может потребовать от оператора персональных данных предоставить информацию о том, как используются и хранятся его личные сведения.
За игнорирование обращений граждан операторы персданных несут ответственность по ч. 4 ст. 13.11 КоАП РФ. Штраф для ИП – от 10 до 15 тысяч рублей, а для юрлиц – от 20 до 40 тысяч рублей.
5. Выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении .
Это нужно делать в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
Неисполнение этой обязанности грозит штрафом по ч. 5 ст. 13.11 КоАП РФ. Для ИП штраф составит от 10 до 20 тысяч рублей, для организаций – от 25 до 45 тысяч рублей.
6. Обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д .
Ответственность за необеспечение сохранности личных сведений установлена ч. 6 ст. 13.11 КоАП РФ. Для предпринимателей – от 10 до 20 тысяч рублей, для компаний – от 25 до 50 тысяч рублей.
Ответственность для государственных и муниципальных органов власти
Штрафная ответственность предусмотрена и для государственных и муниципальных органов власти (ч. 7 ст. 13.11 КоАП РФ).
В своих документах (протоколах, сводках, решениях и т.д.) они должны обезличивать персональные данные граждан, не допуская указания их места жительства и полных ФИО.
В противном случае придется заплатить штраф в размере от 3 до 6 тысяч рублей.
Регистрация операторов персональных данных в Роскомнадзоре
Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре. Для этого необходимо подать уведомление об обработке (о намерении осуществлять обработку) персональных данных (ч. 3 ст. 22 Федерального закона № 152-ФЗ).
После заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных ее следует отправить в информационную систему Уполномоченного органа по защите прав субъектов персональных данных. Затем заполненную форму нужно распечатать и заверить надлежащим образом, скрепив подписью и печатью организации, после чего направить в соответствующий территориальный орган Роскомнадзора по месту регистрации компании-оператора персональных данных.
Что делать сайтам
Что касается сайтов (а сейчас они есть практически у любой компании), то основная масса нарушений здесь связана именно с нецелевым сбором и использованием персональных данных (ч. 1 ст. 13.11 КоАП РФ).
Например, нередко в форме регистрации на сайте используются такие поля, как «дата рождения» и «телефон», а в форме профиля пользователя - «отчество», «дата рождения», «место жительства» (страна, область/край, город).
Следует понимать, что для регистрации пользователя на большинстве сетевых ресурсов не требуется знать такие данные, как телефон и место жительства/регистрации пользователя. Из формы регистрации эти сведения следует убрать.
А из формы личного профиля лучше убрать такие сведения, как «профессия», «www-страница», Skype (или другой мессенджер) и «дата рождения».
Посторонним лицам (а ваша компания и является таким лицом) знать эту информацию ни к чему. Форма подписки на новости сайта должна собирать информацию только об e-mail пользователей. Форма регистрации может собирать имя, фамилию, e-mail и пол пользователя.
Сбор лишней информации при проверке могут посчитать нарушением.
Выполнение вышеописанных правил и знание закона позволят избежать ответственности за его нарушение. При этом следует учитывать одно немаловажное обстоятельство. Если раньше закон о персональных данных обходил вашу компанию стороной и никакой ответственности за его нарушение вы не несли, то с 1 июля все может измениться кардинальным образом.
Дело в том, что с этой даты начинает действовать упрощенный порядок привлечения к административной ответственности. Раньше дела в этой сфере возбуждала прокуратура (ст. 28.1 КоАП РФ). По новым же правилам (п. 58 ч. 2 ст. 28.3 КоАП РФ) дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры. На практике это означает, что количество штрафов и доведенных до суда дел может значительно увеличиться, и уйти от ответственности станет значительно сложнее.
По поводу нарушений закона о персональных данных. Они вступят в силу 1 июля 2017 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные.
Штрафы разделили по видам нарушений и увеличили в десятки раз. Например, если не разместить на сайте политику конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а компанию - на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юрлица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч . Если нарушений несколько, то и штрафов будет несколько.
Нужно срочно привести в порядок свои сайты. Проверки уже идут 💻
Сейчас протоколы о нарушениях может выписывать только прокуратура. Штраф не зависит от вида нарушения и составляет для ИП или директора максимум 1000 рублей, а для юрлица - 10 тысяч рублей. Процедура занимает много времени, штрафы маленькие, поэтому проверяют редко и не всех.
Как узнать, являюсь ли я оператором персональных данных?
Персональные данные - это любые данные о человеке, по которым его можно идентифицировать. В законе нет перечня таких данных, поэтому приходится догадываться самим. Например, по имени или логину нельзя понять, что это за человек, а по имени и телефону или имени и электронной почте - можно.
Скорее всего, вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:
- фамилию,
- отчество,
- какой-то физический адрес,
- электронную почту,
- телефон,
- дату или место рождения,
- фотографию,
- ссылку на персональный сайт или соцсети,
- профессию,
- образование,
- уровень доходов,
- семейное положение.
Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, - это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения - это тоже обработка персональных данных.
А если я записываю телефон друга или электронную почту девушки на сайте знакомств, мне нужно соблюдать этот закон?
Нет, не нужно. На данные для личных и семейных нужд закон не распространяется. Но если передать телефон друга коллекторам или опубликовать объявление с почтой девушки на форуме женоненавистников - это уже нарушение.
Как правильно работать с персональными данными, чтобы не нарушить закон?
Как минимум нужно:
- получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
- публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
- запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
- использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
- сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
- удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
- хранить базы данных в надежном месте, защищать их от взлома и утечки;
- научить сотрудников работать с персональными данными;
- зарегистрироваться в Роскомнадзоре.
Что? Я должен еще где-то зарегистрироваться?
Да, по закону операторы персональных данных должны уведомить Роскомнадзор . Причем сделать это нужно до начала обработки данных или как можно скорее. Роскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу.
Уведомление можно не подавать, если:
- обрабатываются только данные сотрудников;
- персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более - распространяться;
- человек сам опубликовал эти данные в общем доступе;
- у вас есть только ФИО клиента и больше ничего.
У меня есть сайт, и я получаю персональные данные. Что мне делать?
Если вы до сих пор ничего не сделали, то вы уже нарушаете закон и вас уже сейчас могут оштрафовать. Даже если ваш сайт обслуживает веб-студия или удаленный айтишник, штраф всё равно выпишут на ту компанию или ИП , которые указаны на сайте.
Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны на всех страницах. Это может быть пользовательское соглашение, как у «Ламоды» , правила продажи, официальное уведомление, как у «М-видео» , политика конфиденциальности, как у «Рестора» , «Адидаса» или «Озона» . Можно прописать условия обработки персональных данных в обычном договоре или оферте, как это делает Сбербанк .
Не используйте чужие документы. Их можно взять для ориентира, но список данных и цели использования нужно прописывать свои. То, что нужно банку для оформления кредита или интернет-магазину для доставки товара, не понадобится для электронной рассылки или доски объявлений. Запрашивать ненужные данные - нарушение закона и повод для штрафа.
Реализуйте решение, которое позволит четко установить, что человек согласился на обработку персональных данных. Это может быть галочка в форме регистрации или предупреждение при оформлении заказа. Для надежности заверьте веб-страницы у нотариуса.
Подготовьте внутренние документы о хранении персональных данных и ответственности сотрудников, которые с ними работают. Приказы, регламенты и должностные инструкции не нужно выкладывать в общий доступ.
Если нужно, отправьте уведомление в Роскомнадзор. Если уверены, что уведомление отправлять не нужно, оформите документы так, чтобы это было понятно при проверке. Например, пропишите в политике, что используете персональные данные только для исполнения конкретного договора. Или укажите, что создаете ресурс, на котором данные размещаются в общем доступе по желанию пользователя.
Это правда, что хранить персональные данные можно только на российских серверах? Если у меня хостинг в Европе, я нарушаю закон?
В законе много непонятного по этому поводу. С одной стороны, собирать, обрабатывать и хранить базы данных нужно на российских серверах. Но при этом есть отдельная статья про трансграничную передачу данных. На сайте Минкомсвязи опубликованы разъяснения по этому поводу, но в них тоже много противоречий.
Сами делайте выводы, где хранить данные. Если не знаете, что делать, отправьте запрос в Роскомнадзор или Минкомсвязи. Еще можно обратиться к своему хостеру: чаще всего у таких компаний есть готовые решения.
Да успокойтесь вы все! Никого не будут штрафовать из-за каких-то форм на сайте и ненужных бумаг.
В Тамбовской области прокуратура оштрафовала юридическую компанию за заполнение формы обратной связи без согласия пользователя на обработку персональных данных. Суды поддержали.
Директора управляющей компании оштрафовали за то, что он передал юристам данные должников, чтобы составить исковые заявления. Согласие на обработку персональных данных у жильцов он не получил. Конституционный суд ему не помог.
В Астрахани прокуроры штрафуют владельцев сайтов за формы обратной связи по алфавиту.
Кроме штрафов в пользу государства за нарушение правил обработки персональных данных могут взыскать компенсацию морального вреда и даже посадить в тюрьму.
В законе про персональные данные много непонятного. Мы разобрались и ответили на
Здравствуйте, уважаемые читатели! Совсем недавно вступили в силу изменения в ст. 13.11 КоАП РФ, внесенные Федеральным законом от 07.02.2017 № 13-ФЗ. Персональные данные с 1 июля 2017 года стали для кого-то головной болью, а кто-то на эти изменения не обратил внимания. Как выясняется при анализе поправок — зря.
Законодательство о персональных данных весьма сложное и непонятное. Но ориентироваться в нем сейчас совершенно необходимо, чтобы не попасть под крупный штраф.
Если объяснять суть изменений в двух словах, то штрафы выросли на несколько порядков (до 75 тыс. руб. за одно нарушение), а совершить правонарушение без знания закона можно запросто даже не подозревая об этом.
Поэтому давайте по порядку разбираться во внесенных и вступивших в силу изменениях, на которые многие упорно не обращают внимание.
Сперва давайте в целом поговорим о том, что такое персональные данные.
Что относится к персональным данным физического лица
Отношения, возникающие по поводу обработки персональных данных регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Ключевым понятием, вокруг которого вертится все остальное, является понятие самих персональных данных.
В соответствии с п. 1 ст. 3 указанного закона это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Из этого определения следуют два важных вывода:
- Субъектом персональных данных может быть только физическое лицо. Сведения о юридическом лице не являются и не могут являться персональными данными.
- Чтобы сведения о физическом лице признавались персональными данными, они должны позволять идентифицировать его.
С первым выводом все понятно. Со вторым возникает серьезный вопрос: при каких условиях информация, имеющая отношение к человеку, начинает рассматриваться как персональные данные? Что является персональными данными по закону?
При ответе на этот вопрос выделяют два подхода:
- Это только та информация, из которой можно сделать однозначный вывод о том, что речь идет о конкретном человеке.
- Это любая информация, которая имеет отношение к физическому лицу и позволяет выделить его из общей массы людей.
Но это теоретические подходы. Правильный выбор затруднен из-за отсутствия в законе перечня примеров возможных видов персональных данных. В определенной степени этот пробел восполняется судебной практикой.
Например, в Определении Верховного Суда РФ от 24.06.2015 № 18-АПГ15-7 указано:
«...К данным сведениям относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация».
Апелляционное определение Санкт-Петербургского городского суда от 13.12.2016 N 33-26115/2016 по делу N 2-3830/2016 повторяет то же самое.
Особого внимания заслуживает информация, которую пользователи оставляют на посещаемых сайтах в сети Интернет. Анализ самой последней судебной практики (в частности, Постановления Девятого арбитражного апелляционного суда № 09-АП-17574/2016 от 23.05.2016 по делу № А40-14902/2016) позволяет сделать вывод, что сведения об IP-адресе пользователя, cookie, сведения о географическом местоположении устройства пользователя и т. п. тоже считаются персональными данными.
В целом суды придерживаются первого подхода — к персональным данным относится только та информация, из которой можно сделать однозначный вывод о том, что речь идет о конкретном человеке.
Обычно это связка «имя» и что-то еще. Например, номер мобильного телефона. Или адрес электронной почты. Или те же cookie и иные метаданные.
Поэтому если на сайте есть какая-либо форма для заполнения пользователями, в которой есть поле «Имя», то вместе с передаваемыми метаданными (IP, cookie) вся эта информация будет относиться к персональным данным, а значит владелец этого интернет-ресурса является оператором их обрабатывающим.
Если совсем по-простому, то при наличии на вашем сайте формы обратной связи, то вы обрабатываете персональные данные. А если есть форма подписки, как у меня, то и подавно.
Роскомнадзор придерживается позиции, что персональные данные — это любая информация, относящаяся к физическому лицу. Такую информацию озвучивает само ведомство. Факт идентификации или неидентификации субъекта персональных данных оператором не влияет на статус данных как персональных.
Отговорка «я не обрабатывают персональные данные, я их только собираю», не сработает.
Персональные данные работников есть у всех компаний. С 1 июля 2017 года применяются новые штрафы. Они больше прежних. Подскажем, как работать без нарушений.
С 1 июля 2017 года повышается ответственность за нарушения в работе с персональными данными. Изменения затронут всех без исключения работодателей, у которых в распоряжении есть личные сведения сотрудников и других физлиц.
Что относится к персональным данным в 2017 году
Под персональными данными понимается любая информация о физлице (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ). К таким сведениям, относятся фамилия, имя, отчество, пол, возраст, образование, место жительства физического лица и т.д.
А значит, все документы с персональными данными физлиц работодатель должен обрабатывать, хранить и уничтожать в соответствии с требованиями законодательства.
К таким документам относятся:
- трудовая книжка;
- паспорт или иной документ, удостоверяющий личность;
- страховое свидетельство обязательного пенсионного страхования;
- документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
- документы об образовании и (или) о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
- документы (справки) содержащие сведения о состоянии здоровья работника;
- документы (справки) содержащие сведения о возрасте или семейном положении работника.
июля
2017 года увеличатся штрафы за нарушения правил работы с персональными данными
Как обеспечить защиту персональных данных
Рассмотрим, что нужно предпринять в хозяйстве в связи с защитой персональных данных сотрудников и других физлиц. Всего пять шагов.
Шаг 1. Закрепите порядок получения, обработки, передачи и хранения персональных данных в локальном акте организации. Например в положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 № 152-ФЗ).
Шаг 2. Назначьте работника, ответственного за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Это может быть сотрудник отдела кадров, который взаимодействует с личными делами сотрудников. Он будет получать согласие работников на обработку персональных данных, вести карточки сотрудников и т.д.
Шаг 3. Подготовьте шаблон согласия на обработку персональных данных. Без него запрашивать личные сведения физлиц нельзя. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ):
- ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате и месте выдачи документа;
- наименование или ФИО и адрес работодателя, который получает согласие сотрудника;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие;
- наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
- срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись работника.
Образец согласия на обработку персональных данных
Фамилия, имя, отчество (последнее - при наличии) субъекта персональных данных |
|
Адрес места жительства _________________________________________________________ ______________________________________________________________________________ |
|
Документ, удостоверяющий личность субъекта персональных данных, дата его выдачи и выдавший орган ________________________________________________________________ ______________________________________________________________________________ |
|
СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ |
|
Настоящим выражаю согласие на обработку моих персональных данных, предусмотренную частью 3 статьи 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ, в целях предоставления Федеральной службой по интеллектуальной собственности (Роспатент) в соответствии с Федеральным законом от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» государственной услуги по государственной регистрации изобретения и выдаче патента на изобретение, его дубликата. |
|
______________________________________________________________________________ (указывается название изобретения) |
|
№ заявки ______________________________________________________________________ (указывается при наличии регистрационного номера заявки) |
|
Заявитель _____________________________________________________________________ |
|
______________________________________________________________________________ (указываются фамилия, имя, отчество (последнее - при наличии) и место жительства) |
|
Мне известно, что предоставленные мною персональные данные, которые не являются необходимыми для предоставления указанной государственной услуги, будут подвергнуты обработке, предусмотренной Федеральным законом от 27 июля 2006 г. № 152-ФЗ, при этом публикация моих персональных данных будет произведена Роспатентом в соответствии с действующим законодательством. Мне известно, что настоящее согласие действует бессрочно. В случае отзыва согласия на обработку персональных данных Федеральная служба по интеллектуальной собственности вправе продолжить обработку персональных данных без моего согласия в соответствии с частью 2 статьи 9, пунктом 4 части 1 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ. |
|
Подпись _______________________________________________ фамилия, имя, отчество (последнее - при наличии) |
Дата _____________ |
Шаг 4. Предоставить по запросу физлица информацию, которая касается обработки его персональных данных (ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ). Среди таких сведений, например:
- подтверждение факта обработки персональных данных;
- цели обработки персональных данных;
- способы обработки персональных данных;
- наименование и адрес работодателя, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные по закону и т. д.
Как работать с персональными данными на сайте
Опубликуйте или иначе обеспечьте неограниченный доступ к документу, который определяет политику обработки персональных данных. Если хозяйство собирает персональные данные в интернете, этот шаг тоже нужно сделать (п. 2 ст. 18.1 Закона от 27 июля 2006 г. № 152-ФЗ).
Например, на некоторых сайтах пользователь указывает свои ФИО и e-mail при регистрации или отклике на вакансию. Тогда на сайте нужно разместить ссылки на документы:
- «Политика обработки персональных данных»;
- «Положение об обработке персональных данных» и т.п.
Сколько хранить персональные данные
Персональные данные нужно уничтожить через 30 дней с той даты получения согласия на обработку его персональных данных. Другой срок можно установить в договоре или соглашении с физлицом.
Если у хозяйства нет возможности уничтожить персональные данные в срок, сведения нужно заблокировать. После этого уничтожить личные сведения нужно не позднее, чем через шесть месяцев (ч. 6 ст. 21 Закона № 152-ФЗ).
Уничтожает персональные данные комиссия на основании приказа руководителя. Результат нужно оформить в виде акта о прекращении обработки персональных данных. Еще вариант - можно сделать запись об уничтожении в специальном журнале.
Кому грозят новые штрафы за нарушение работы с персональными данными
С 1 июля 2017 года расширится перечень оснований для привлечения работодателя к административной ответственности в области защиты персональных данных. Кроме того, увеличатся размеры штрафов (Федеральный закон от 7 февраля 2017 г. №13-ФЗ).
Раньше штраф был только один: от 500 руб. до 1000 руб. для директора и от 5000 руб. до 10 000 руб. для юрлица (ст. 13.11 КоАП РФ). Теперь будет шесть видов ответственности. За разные нарушения работодателей в сфере персональных данных проверяющие смогут применять несколько штрафов. Подробнее о видах нарушения и штрафах - в таблице.→00
Штрафы за нарушение правил работы с персональными данными
Нарушение |
|
Незаконно обработали персональные данные либо обработали не по заявленной цели. Например, компания передала ФИО, телефоны, адреса юрлицу для рекламных рассылок. |
Предупреждение или штраф: для физических лиц от 1000 до 3000 руб.; для руководителя или главбуха - от 5000 до 10 000 руб.; для юридических лиц - от 30 000 до 50 000 руб. |
Обработали персональные данные без согласия физлица |
для физических лиц - от 3000 до 5000 руб.; для руководителя или главбуха - от 10 000 до 20 000 руб.; для юридических лиц - от 15 000 до 75 000 руб. |
Не разместили в свободном доступе документы о политике по обработке персональных данных |
для физических лиц - от 700 до 1500 руб.; для директора или главбуха - от 3000 до 6000 руб.; для индивидуальных предпринимателей - от 5000 до 10 000 руб.; для юридических лиц - от 15 000 до 30 000 руб. |
Не предоставили физлицу информацию, которая касается обработки его персональных данных |
для физических лиц - от 1000 до 2000 руб.; для директора, кадровика или бухгалтера - от 4000 до 6000 руб.; для индивидуальных предпринимателей - 10 000 до 15 000 руб.; для юридических лиц - от 20 000 до 40 000 руб. |
Не уничтожили или не заблокировали персональные данные |
для граждан - от 1000 до 2000 руб.; для директора или главбуха - от 4000 до 10 000 руб.; для юридических лиц - 25 000 до 45 000 руб. |
Собрали персональные данные работников только на бумаге и не вели никакой автоматизированной обработки, нет специальных программ для обработки |
для физических лиц - от 700 до 2000 руб.; для руководителя или главбуха - от 4000 до 10 000 руб.; для индивидуальных предпринимателей - от 10 000 до 20 000 руб.; для юридических лиц - от 25 000 до 50 000 руб. |