Каково наказание за нарушение закона о персональных данных?

Об увеличении штрафов за нарушение закона о персональных данных

Каково наказание за нарушение закона о персональных данных?

С февраля 2017 года были предложены правки в статье 13.11 КоАП, которые ужесточают ответственность за нарушение требований закона относительно использования персональных данных. Они приняты и начинают действовать с 1.06.2017 года. Они коснуться тех, кто имеет отношение к сбору, обработке или хранению различных персональных данных.

Штрафы теперь разделены по типам нарушений, а размеры их возросли на порядок. Так, за не размещение на ресурсе мероприятий по политике конфиденциальности, ИП может быть оштрафован на 10 000 рублей, компания — на 30 000 рублей.

При обработке персональных данных без ведома клиентов интернет магазина или подписчиков на какой-либо ресурс, штраф для юридических лиц возрастает до 75 000 рублей. Руководитель компании или бизнесмен (владелец сайта) будет оштрафован на сумму до 20 000 рублей.

При выявлении нескольких нарушений, владелец ресурса облагается штрафами по их количеству.

Необходимо срочно приводить в соответствие закону свои интернет площадки, так как проверки уже начались.

Сегодня протоколы о правонарушениях могут составлять только органы прокуратуры. Штраф независим от вида правонарушения и может составлять для ИП или руководителя 1000 рублей максимум, для юридического лица — 10 тысяч рублей. Процедура занимает довольно много времени, а штрафы незначительные, поэтому проверки осуществляются редко, проверяют далеко не всех.

С 01.07.17 контролировать ситуацию будет Роскомнадзор, и дело пойдет значительно быстрее.

Как выяснить, отношусь ли я к операторам по персональным данным?

Персональные данные — это самые различные данные о конкретном человеке, пригодные для его идентификации. В существующем законе точного списка этих данных не имеется, поэтому о нем каждый догадывается самостоятельно. При регистрации логина и имени, например, понять что-либо о человеке, их владельце, невозможно, а при регистрации имени и номера телефона – это возможно.

По сути, вы – оператор персональных данных, если получили самыми различными способами от разных людей в произвольном сочетании следующую информацию:

  • ФИО;
  • Адрес проживания;
  • Адрес электронной почты;
  • Номер телефона;
  • Дату и место рождения;
  • Профессия;
  • Образование;
  • Уровень дохода;
  • Семейное положение;
  • Фотография;
  • Ссылка на персональный сайт или страницу социальной сети.

Следовательно, все обладатели веб ресурсов с личными кабинетами, формами обратной связи, регистрациями или подписками, возможностью что-либо купить, заполнить анкету или поместить объявление являются операторами персональных данных. Сайты с кнопками «Заказ звонка» или «Отправка сообщения» тоже относятся к категории операторов.

Если я записал телефон сослуживца или электронный адрес девушки на сайте знакомств, распространяется на меня этот закон 152-фз «О персональных данных»?

Нет. Действие закона не распространяется на любые данные для личных или семейных нужд. При передаче телефона коллеги компании коллекторов или публикации электронной почты подруги на тематическом форуме, ваше действие будет нарушением закона.

Как правильно обрабатывать персональные данные без нарушения закона?

Минимальные требования для этого:

  • заручиться письменным согласием всех посетителей, клиентов или подписчиков на возможность обработки, хранения и распространения их личных данных;
  • сделать доступной информацию, касающуюся данных клиентов или посетителей вашего сайта;
  • выяснять и использовать лишь необходимые данные, требуемые для каждого конкретного случая. Нельзя, например, требовать от клиентов сведения о домашнем адресе, паспортных данных при организации подписки на рассылку электронной почтой;
  • заранее предупреждать клиента о целях использования его данных, использовать данные только для целей, одобренных клиентом;
  • отвечать на запрос человека о том, какие именно данные о нем имеются у вас, как и для каких целей они обрабатываются, кому передаются;
  • удалять данные, используемые для рассылок информации на скидки или акции, по первому требованию клиента;
  • гарантировать сохранность баз личных данных, оберегать их от взломов и возможных утечек;
  • обучать и обязать своих сотрудников соблюдать конфиденциальность при обработке персональных данных;
  • обязательная регистрация в Роскомнадзоре.

Где и зачем мне еще нужно зарегистрироваться?

По требованиям принятого закона операторы персональных данных в обязательном порядке должны поставить в известность Роскомнадзор еще перед началом работы с персональными данными или как можно быстрее. Роскомнадзор вносит информацию в общий специальный реестр об операторе и обязуется выдать ее по вашему запросу.

Уведомление не требуется, если:

  • вы обрабатываете персональные данные только своих сотрудников;
  • персональные данные используются исключительно по индивидуальному договору с конкретным человеком, а потом не используются и не распространяются;
  • посетитель или клиент опубликовал эти данные самостоятельно;
  • вам известны лишь ФИО клиента.

У меня интернет ресурс и уже получаю и использую персональные данные. каковы мои действия?

В случае если вы на данный момент еще ничего не сделали, то вы автоматически нарушаете закон, и уже сейчас вы можете быть оштрафованы. Не важно, что сайтом управляет посторонний IT-менеджер или веб-компания. Штрафные санкции будут выписаны на имя компании – владельца сайта или ИП.

Сделайте доступными свои документы: в виде пользовательского соглашения, как у фирмы «Ламода», правил продажи, как у «Читай-города», официального уведомления, как с компании «М-видео», политики конфиденциальности – «Рестора» и «Озона». Пропишите условия использования персональных данных в пунктах договора или оферты, как Сбербанк.

Не нужно использовать кальки чужих документов. Возьмите их за образец, а список необходимых данных и цели их использования следует прописать самостоятельно.

Тот объем и вид данных, которые обрабатывает банк для оформления кредита или интернет магазин при адресной доставке товара не понадобится при электронной рассылке и на доску объявлений.

Требование лишних данных противозаконно и является поводом для штрафных санкций.

Используйте решение, где четко видно, что человек соглашается на обработку своих личных данных: галочка в специальной графе при регистрации или запрос на подтверждение в каждом оформлении заказа. Для подстраховки рекомендуется заверить веб-страницы в нотариальной конторе.

Оформите внутреннюю документацию о порядке хранения персональных данных и персональной ответственности сотрудников, имеющих к ним доступ. Приказы, регламенты и должностные инструкции в общий доступ выкладывать не нужно.

Уведомите Роскомнадзор.

Хранить личные данные разрешено только на российских серверах. Так ли это? Мой хостинг в ЕС, нарушаю ли я закон?

В представленном законе много противоречий по этому вопросу. Сбор, обработка и хранение баз персональных данных требуется на серверах в РФ. Но имеется отдельная статья о трансграничной передаче данных. Сайт Минкомсвязи опубликовал разъяснения по этому вопросу, но и в них много нестыковок.

Предлагаем самим сделать выводы, где сохранять данные. Сомневаетесь, отправьте запрос в адрес Роскомнадзора или Минкомсвязи. Еще вариант решения — обратиться к хостеру: часто они имеют готовые решения.

Да, ладно вам! Никого не оштрафуют из-за форм на сайтах и оформления лишних бумаг

Прокуратура Тамбовской области наложила штраф на юридическую компанию, заполнившую форму обратной связи без разрешения пользователя на обработку личных данных. Суд удовлетворил требование прокуратуры.

Директор управляющей компании был оштрафован за передачу данных должников юристам с целью составления исковых заявлений. Согласия на обработку персональных данных у жильцов получено не было. Конституционный суд его кассацию не удовлетворил.

Астраханские прокуроры штрафуют владельцев веб ресурсов за размещение форм обратной связи в алфавитном порядке.

Помимо штрафов в пользу государства за нарушение закона об обработке персональных данных суд может взыскать компенсацию за моральный вред или даже лишить свободы.

Источник: https://elites.studio/blog/ob-uvelichenii-shtrafov-za-narushenie-zakona-o-personalnyh-dannyh/

Каковы штрафы за нарушение работы с персональными данными

Каково наказание за нарушение закона о персональных данных?

Какие внутренние документы обязано оформить юридическое лицо, являющееся оператором персональных данных? Какова процедура осуществления проверок? Какая ответственность у компаний, обрабатывающих персональные данные, которые не заявили о себе как об операторе обработки персональных данных (не подали сведения в реестр)? Какой срок давности привлечения к ответственности?

В соответствии с п. 2 ч. 1 ст. 18.

1 Федерального закона № 152-ФЗ каждая организация обязана издать документ, определяющий ее политику в отношении обработки персональных данных, локальный акт по вопросам обработки персональных данных, а также локальный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений. Но должны быть и иные локальные акты, направленные на соблюдение требований закона и прав граждан, в том числе работников организации.

Небольшая компания может ограничиться, например, таким составом документов:

  •  положение о персональных данных;
  •  приказ о назначении ответственных за работу с персональными данными;
  •  приказ о назначении ответственных за обеспечение безопасности персональных данных;
  •  заявления работников о согласии на обработку персональных данных.

Однако такой минимальный набор документов может иметь место лишь в случае, когда компания обрабатывает только данные собственных сотрудников и не передает персональные данные третьим лицам.

У компаний, деятельность которых непосредственно связана с персональной информацией о гражданах, число внутренних документов, регулирующих порядок работы с этой информацией, может достигать нескольких десятков. Какого-либо исчерпывающего перечня документов, который  гарантировал бы отсутствие претензий, не существует.

Стоит отметить, что п. 2 ст. 22 Федерального закона № 152-ФЗ содержит перечень исключений, когда направлять уведомление оператор не обязан.

В частности, таким исключением является обработка персональных данных в рамках трудовых отношений.

Таким образом, если обработка происходит только в пределах кадрового документооборота и третьим лицам эти сведения не передаются, оператор не обязан подавать уведомление.

Порядок проведения проверок регламентирован Приказом Минкомсвязи РФ от 14.11.2011 № 312. Данный документ предписывает в ходе проведения проверки истребовать и проанализировать:

  • уведомление об обработке персональных данных;
  • документы, необходимые для проверки фактов, содержащих признаки нарушения законодательства РФ в области персональных данных, изложенных в обращениях граждан и информации, поступившей в службу или ее территориальный орган;
  • документы, подтверждающие выполнение оператором предписаний об устранении ранее выявленных нарушений законодательства Российской Федерации в области персональных данных;
  • письменное согласие субъекта персональных данных на обработку его персональных данных;
  • документы, подтверждающие соблюдение требований законодательства Российской Федерации при обработке специальных категорий и биометрических персональных данных;
  • документы, подтверждающие уничтожение оператором персональных данных субъектов по достижении цели обработки;
  • локальные акты оператора, регламентирующие порядок и условия обработки персональных данных.

Кроме того, должно проводиться обследование информационной системы персональных данных, в части, касающейся персональных данных субъектов персональных данных, обрабатываемых в ней.

Что касается срока давности привлечения к ответственности, то в соответствии с ч. 1 ст. 4.5 КоАП РФ постановление по делу об административном правонарушении не может быть вынесено по истечении 2 месяцев (по делу об административном правонарушении, рассматриваемому судьей, — по истечении 3 месяцев) со дня совершения административного правонарушения.

Однако ввиду того, что нарушения Закона о персональных данных могут иметь длящийся характер, точкой отсчета срока давности следует считать день, когда должностное лицо, уполномоченное составлять протокол об административном правонарушении, выявило факт совершения правонарушения.

За непредставление или несвоевременное представление уведомления оператором ст. 19.7 КоАП РФ предусмотрена административная ответственность в виде предупреждения или штрафа для должностных лиц — от 300 до 500 рублей, для юридических лиц — от 3 до 5 тыс. рублей.

Но эта санкция далеко не единственная и не самая крупная, административная ответственность за нарушения в сфере защиты персональных данных предусмотрена ст. 5.39, 13.11, 13.14, 19.7 КоАП РФ.

С июля 2017 года в ст. 13.11 КоАП было выделено 7 самостоятельных составов нарушений, предусматривающих различные размеры штрафов.

Помимо этого законодательством предусмотрена и уголовная ответственность (ст. 137, 272 УК РФ) за неправомерные действия с информацией, касающейся частной жизни граждан, а также за неправомерный доступ к охраняемой законом компьютерной информации.

Ответ подготовлен службой правового консалтинга компании РУНА

Источник: http://www.v2b.ru/quest/kakovy-shtrafy-za-narushenie-raboty-s-personalnymi-dannymi/

Роскомнадзор: ответственность за персональные данные станет жестче

Каково наказание за нарушение закона о персональных данных?

Портал персональных данных Уполномоченного органа по защите персональных данных

В преддверии второй международной конференции “Защита персональных данных”, которая начнется 26 октября в Москве, корреспондент РИА Новости поговорил с Романом Шерединым, заместителем руководителя контролирующего органа в этой сфере – Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Шередин, ведомство которого стало инициатором конференции, рассказал агентству о последствиях крупных скандалов в российском интернете, связанных с массовой утечкой персональных данных, а также о том, какие меры Роскомнадзор предпримет в ближайшее время для повышения уровня защиты персональных данных в стране.

Персональные данные сегодня нередко “всплывают” в интернете. Как Роскомнадзор с этим борется?

– По искам Федеральной службы судами к сегодняшнему дню закрыт 22 интернет-сайта, где были размещены такие сведения. Вроде, и немного, но ведь нельзя дом построить за день. Мы нарабатываем практический опыт. Есть сложности с тем, как разбирают такие дела разные суды, иногда возникает недопонимание при взаимодействии с прокуратурой.

Имела ли продолжение нашумевшая летом история с “Яндексом”, которыйиндексировал SMS абонентов “Мегафона”?

– Напомню, что по этому случаю в действиях ОАО “МегаФон” нарушений законодательства в области персональных данных выявлено не было, поскольку тексты не позволяли идентифицировать их отправителя.

Были установлены факты нарушения законодательства в области связи в части обеспечения соблюдения тайны связи. “Мегафон” был оштрафован по исковому заявлению Роскомнадзора за нарушение лицензионных условий деятельности на 30 тыс. рублей. Оператор, правда, обжаловал решение, и рассмотрение этой жалобы назначено на 26 октября.

В свободном доступе летом обнаружились и сведения о покупателях интернет-магазинов. Какие меры приняты Роскомнадзором?

– Несмотря на отсутствие жалоб со стороны этих покупателей, Роскомнадзор установил более 80 интернет-магазинов, информация о клиентах которых попала в открытый доступ.

Мы определили 15 интернет-магазинов, которые предоставили доступ к наиболее широкому перечню сведений о покупателях, и направили документы в органы прокуратуры.

На сегодняшний день дела об административном правонарушении возбуждены в отношении владельцев шести сайтов.

Уже скоро зима, а дела возбуждены лишь в шести случаях. Почему так мало?

– Вы затронули одну из проблем надзорной деятельности в сфере персональных данных, которая ждет своего решения. Дело в том, что установленный срок для привлечения к административной ответственности по статье 13.11 КоАП РФ – три месяца. Дела по этой статье имеют право возбуждать только органы прокуратуры, которые зачастую перегружены и не всегда могут во время рассмотреть наши документы.

– Можно ли как-то изменить эту ситуацию?

– Анализируя ее, мы вышли в Госдуму с инициативой по внесению изменений в законодательство. Суть инициативы в том, чтобы полномочия по возбуждению дел в области нарушений закона “О персональных данных” передать Роскомнадзору.

Принятие поправок, рассмотрение которых должно состояться уже этой осенью, позволит существенно сократить время возбуждения и передачи в суды административных дел. Но главное, что будет соблюден принцип неотвратимости наказания.

Считаете ли вы, что наказания, предусмотренные за нарушение закона о защите персональных данных, недостаточно жесткие?

– Мы выдвинули законодательную инициативу, согласно которой, ответственность за нарушения закона об охране персональных данных будет ужесточена. Я уверен, что ужесточение ответственности повысит защищенность данных. Сейчас максимальный штраф в отношении юридического лица – 10 тысяч рублей, а суды обычно выписывают всего 3-5 тысяч рублей за нарушение.

Кроме того, я считаю, что ответственность должна быть дифференцирована в зависимости от степени вреда. Разумеется, должны быть разработаны и четкие критерии, которые позволят степень вреда определить. Пока никакой градации нарушений у нас нет, но насколько я знаю, наша идея с дифференциацией ответственности находит поддержку и в Госдуме.

Мы хотим, чтобы штрафы соотносились с единоразовыми затратами операторов персональных данных на организацию адекватной защиты.

Оператор должен понимать, что единожды потратив деньги на необходимые организационно-технические мероприятия, он, во-первых, будет избавлен от многих проблем с защитой персональных данных, а во-вторых, избежит штрафов, которые могут самым негативным образом сказаться на результатах деятельности его организации, а где-то – и на устойчивости бизнеса.

Много ли вообще Роскомнадзор выявил нарушений в области защиты персональных данных?

– С 2008 года Роскомнадзор провел более 3 тысяч проверок в отношении операторов, осуществляющих обработку персональных данных, выдано более 4 тысяч предписаний об устранении нарушений, составлено и направлено на рассмотрение в суды 6,5 тысячи протоколов об административных правонарушениях. Суммарно все нарушители оштрафованы на сумму свыше 10,8 миллиона рублей.

Как же все же добиться того, чтобы персональные данные не оказывались в свободном доступе в интернете? Или хотя бы минимизировать риски?

– Проблема неприкосновенности частной жизни в интернете будет существовать до тех пор, пока граждане будут продолжать доверять ресурсам сомнительного происхождения. В свою очередь, операторы для минимизации риска и сокращения расходов на защиту должны обезличивать обрабатываемые персональные данные.

Вернемся в офлайн, в реальную жизнь. Нередко при входе, например, в бизнес-центры у нас требуют паспорт, часто – снимают его копию. Законно ли это?

– Требование предъявить документы не является незаконным. Но если у вас попросили документ и внесли ваши данные при посещении других организаций, эти данные должны быть удалены после вашего ухода.

А как люди могут это проконтролировать?

– В соответствии с законом “О персональных данных” у каждого гражданина есть право обратиться к оператору, осуществляющему обработку персональных данных, и запросить у него перечень обрабатываемых персональных данных, цели их обработки и сроки хранения. В этом смысле охранное предприятие – тоже оператор персональных данных.

По закону оператор, в свою очередь, обязан, в том числе, отвечать на запросы граждан. Если обращение в ЧОП вам не помогает, вы можете обратиться в Роскомнадзор, и если мы выявим нарушение, предприятие будет привлечено к ответственности.

По все тому же закону бюджетные и часто далеко не богатые организации, такие как поликлиники, детские сады, школы должны будут тоже позаботиться о защите персональных данных. Действительно ли у них найдутся средства для обеспечения такой защиты?

– Новая редакция закона “О персональных данных”, которая вступила в силу с 1 июля, установила более гибкие подходы к обеспечению безопасности обрабатываемых персональных данных. Сейчас каждая организация сама определяет модели угроз для себя и самостоятельно определяет набор организационно-технических мер, которые эти угрозы парируют.

Вместе с тем, закон действует с 2007 года, и руководители должны были все эти расходы заранее спланировать.

Для государственных предприятий есть программа “Информационное общество”, выделены расходы на информатизацию….

Пожалуйста, закладывайте эти расходы, регистрируйте свои информационные системы в реестре федеральных государственных информационных систем и получайте на их развитие и поддержку государственное финансирование.

Снижению издержек может способствовать и привлечение сторонней организации, которая займется обработкой персональных данных. Сейчас закон это допускает.

Международная конференция по защите персональных данных, инициатором которой стал Роскомнадзор, проводится второй год подряд, и означает ли это, что она оказалась востребованной у специалистов разных стран?

– Убежден, что да. Об этом можно судить хотя бы по количеству участников 2-й конференции, в том числе из-за рубежа.

В прошлом году на конференцию приезжали представители уполномоченных органов по защите персональных данных стран СНГ.

Сейчас же мы ждем высоких гостей ещё и из стран Центральной и Восточной Европы, Балканского полуострова. Всего участие в конференции подтвердили представители 16 государств.

Для Роскомнадзора, как уполномоченного органа в России, конференция приобретает особый смысл, так как на нас возложены полномочия по сотрудничеству с аналогичными органами из других стран.

Планируется ли подписать на конференции какие-либо документы?

– Мы предложим коллегам присоединиться к Меморандуму о сотрудничестве уполномоченных органов, что позволит нашим гражданам чувствовать себя защищенными в любой стране.

На прошлогодней конференции Меморандум вместе с нами подписали Республика Молдова, Республика Кыргызстан. Позднее к нему присоединилась Республика Армения. Знаю, что у ряда других стран есть заинтересованность присоединиться к “первопроходцам”.

Каковы практические результаты вашего международного сотрудничества по защите персональных данных?

– Преимущественно нам оказывают содействие в закрытии интернет-сайтов, на которых размещены базы с персональными данными граждан России.

Так, в мае Роскомнадзор направил в адрес американского регистратора MarkMonitor письмо с просьбой прекратить делегирование доменного имени shockcrim.blogstop.com.

Компания MarkMonitor перенаправила письмо в адрес администратора доменного имени, который закрыл сайт.

Аналогичным образом мы поступили и по сайту Rusleaks.com – направили письмо администратору в США. Ответ пока не получили. Помимо этого, подано исковое заявление в Таганский районный суд Москвы о признании деятельности сайта незаконной.

Всего же в 2011 году Роскомнадзор направил регистраторам доменных имен в США материалы по 13 сайтам. На сегодняшний день по результатам рассмотрения материалов Роскомнадзора американскими и индийским регистраторами, в общей сложности, прекращено делегирование шести доменных имен.

Всегда ли обращения в другие страны заканчиваются удовлетворением ваших требований?

– К сожалению, не всегда на наши обращения реагируют так, как нам бы хотелось. К примеру, мы обратились в Республику Беларусь с аналогичной RusLeaks ситуацией, просили привлечь гражданина Белоруссии к ответственности. Но белорусы нам ответили, что на сегодняшний день у них нет норм в законодательстве, которые позволили бы это сделать.

Этот факт еще раз подтверждает, сколь нова эта сфера деятельности для многих стран, и что необходимо максимально плотное сотрудничество для выработки единых, сопряженных мер противодействия злоупотреблениям в сфере защиты персональных данных.

Интервью Р.В. Шередина на интернет-сайте агентства РИА «Новости»

Адрес статьи: http://pd.rkn.gov.ru/press-service/

Источник: http://pd.rkn.gov.ru/press-service/news1099.htm?print=1

152-ФЗ: Согласие на обработку персональных данных и пресловутая Политика конфиденциальности

Каково наказание за нарушение закона о персональных данных?

СМИ пишут об изменениях в законе о персональных данных, согласно которым с июля 2017 года требуется получать согласие на обработку персональных данных во всех случаях, когда пользователь интернета предоставляет какие-либо свои данные. Мол, даже под любой формой обратной связи на сайте должно быть согласие на обработку персональных данных.

Пишут, что и Роскомнадзор надо уведомить о том, что компания по указанной выше причине является оператором персональных данных.

Предупреждают, что нарушение правил обработки персональных данных приведет к наложению штрафа в размере 300.000 руб. Такого размера штрафа в ст. 13.11 КоАП нет, это сумма максимальных штрафов по всем перечисленным в статье нарушениям правил обработки персональных данных.

Разберемся в этой надуманной проблеме получения согласия на обработку персональных данных!

Рассмотрим:

  1. В каком случае не требуется получать согласие на обработку персональных данных.
  2. В каких случаях нужно уведомлять Роскомнадзор об обработке персональных данных.
  3. Что считать персональными данными.
  4. Когда нужны Политика конфиденциальности на сайте и Положение о персональных данных.
  5. Когда согласие на обработку персональных данных должно содержать полные паспортные данных.

C июля 2017 года изменения были внесены не в закон №152-ФЗ о персональных данных, а в ст. 13.11 Кодекса об административных правонарушениях. Иными словами, требования к обработке персональных данных остались прежними, изменили наказание за нарушение закона.

1. Согласие на обработку персональных данных не требуется, если данные нужны для исполнения договора или сделаны общедоступными по желанию субъекта

Вот оно то, что Роскомнадзор, многие юристы и следом предприниматели как будто в законе не замечают.

Ну правда, разве интернет-магазин заинтересован в персональных данных своих клиентов? Нет!

  • Имя нужно, чтобы как-то обращаться,
  • имейл, чтобы поддерживать связь, а теперь еще (тоже с июля 2017) и отправлять онлайн чек (в связи с этим очаровательным пакетом изменений, называемым “онлайн кассы”),
  • телефон, чтобы держать связь в целях доставки товаров,
  • адрес, чтобы доставить товар,
  • хотите возраст, социальное положение? зачем? Чтобы делать индивидуальные предложения, давать таргетированную рекламу? Так и укажите!
  • И так далее.

Вы можете собирать много данных, но все они нужны для совершения вами какого-то действия в отношении cyбъeктa персональных данных. То есть реально они вам нужны для исполнения договора с ним. Вот это и должно быть в вашем договоре.

Пункт 5.8 Правил ВКонтакте: “Поскольку Администрация Сайта осуществляет обработку персональных данных Пользователя в целях исполнения настоящих Правил, в силу положений законодательства о персональных данных согласие Пользователя на обработку его персональных данных не требуется”.

Это так просто! Никакой паники. Никаких штрафов. Никаких согласий на обработку персональных данных.

Закон 152-ФЗ о персональных данных

Статья 6. Условия обработки персональных данных

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия cyбъeктa персональных данных на обработку его персональных данных;

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных)…

Помните, однако, что ряд действий требует согласия (например, передача данных службе доставки), поэтому имеет значение, как данные предоставляются и как это юридически оформлено. Надежнее получить консультацию и заказать документы юристам.

2. Уведомление Роскомнадзора об обработке персональных данных

Штраф за неуведомление Роскомнадзора согласно ст. 19.7 КоАП составляет для юрлиц до 5.000 руб.

Большинству лиц не требуется уведомлять Роскомнадзор об обработке персональных данных!

Сейчас в реестре операторов, осуществляющих обработку персональных данных, около 388 тыс. лиц. В их числе нет, например, ВКонтакте.

Вы же не поверите в логику, что крупнейшей социальной сети не требуется “регистрироваться” в качестве оператора, а вашему интернет-магазину, интернет-сервису или вообще простому сайту-визитке с формой обратной связи вдруг необходимо?

Смотрим раздел 1 настоящей статьи – когда не требуется получать согласие на обработку персональных данных. В указанных же ситуациях не требуется уведомлять и Роскомнадзор об обработке персональных данных.

Не вносите вклад в дурную практику получения согласия на обработку персональных данных всегда и везде (как это рекомендуют делать юристы сомнительного уровня, например, Единого центра документов).

3. Что относится к персональным данным?

Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 федерального закона от 27.07.2006 №152-ФЗ “О персональных данных”).

Ни закон, ни подзаконные акты не содержат четкого указания на то, что относится к персональным данным.

Серьезные проблемы связаны с “определяемым” физическим лицом. Определяемым кем и как? По интернету любым лицом с проведением собственного поиска (насколько глубокого, насколько профессионального?)? В результате общения со знакомыми? Детективом? Полицией? ФСБ? Судом?

В ряде случаев полные ФИО и регион относили к персональным данным, в ряде – нет.

Можно написать целую статью, но к однозначному выводу о том, что всегда будет относиться к персональным данным, а что никогда не будет, на текущий момент невозможно.

Например, можно ли номер паспорта сам по себе считать персональными данными? Едва ли. А номер телефона? Тоже. Но при появлении других сведений, например: имени и фамилии (прямо относятся к субъекту персональных данных) или идентификация человека через обстоятельства, известные события и т.п. (косвенно относятся), – то в связке с другими сведениями они могут стать персональными данными.

Именные ящики в собственных доменных именах, вероятно, могут быть сами по себе отнесены к персональным данным, а с помощью имейла типа [email protected] напрямую лицо не установить, разве что косвенно – через поиск по соответствующему адресу в интернете.

4. Политика конфиденциальности, Положение о персональных данных

Вот на это действительно надо обратить внимание.

Закон называет оператором персональных данных любое лицо, которое осуществляет любые действия с персональными данными. Хочется верить, цель законодателя едва ли была настолько глупой, чтобы фактически любое лицо провозгласить оператором персональных данных.

Однако согласно федеральному закону от 27.07.2006 №152-ФЗ “О персональных данных” любой владелец сайта, через который собираются персональные данные (даже в целях исполнения заказов), должен иметь на сайте Политику конфиденциальности (штраф – до 30.000 руб.

), а каждому работодателю или даже индивидуальному предпринимателю без работников, но заключающему договоры с физлицами, желательно иметь Положение об обработке персональных данных, которое по запросу Роскомнадзора он сможет предоставить в качестве доказательства принятия мер по защите обрабатываемых персональных данных (один из самых простых способов).

К слову, Роскомнадзор нередко трактует положения закона так, что Положение об обработке персональных данных как локальный документ (для внутреннего использования) должен быть у любого оператора персональных данных.

Подробнее в статье Политика конфиденциальности для сайта и Положение о персональных данных.

Наши юристы помогут вам разобраться в том, относится ли получаемая вами информация к персональным данным, и помогут правильно составить юридические документы, избавив от необходимости получать согласие на обработку персональных данных, т.к. в большинстве случаев персональные данные обрабатываются для исполнения договора с субъектом персональных данных.

5. Когда согласие на обработку персональных данных должно содержать полные паспортные данные

Не правда ли, очаровательно: хотите получить согласие на обработку достаточно ограниченного объема персональных данных, но обязаны потребовать целиком ФИО, адрес, паспортные данные. В противном случае – платим штраф до 75.000 руб.

Но закон!

Статья 9 ФЗ №152 от 27.07.2006 “О персональных данных”. Согласие субъекта персональных данных на обработку его персональных данных

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.

Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом…

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Статья 13.11 КоАП. Нарушение законодательства Российской Федерации в области персональных данных

2.

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, –

влечет наложение административного штрафа на граждан в размере от 3.000 до 5.000 рублей; на должностных лиц – от 10.000 до 20.000 рублей; на юридических лиц – от 15.000 до 75.000 тысяч рублей.

Случаи, в которых согласие на обработку персональных данных должно быть обязательно в письменной форме (а соответственно, должно включать в себя полные паспортные данные лица):

  • персональные данные предоставляются для размещения в общедоступных источниках (к которым относятся и сайты в интернете, но у них есть свои особенности по сравнению, в частности, с приведенными в законе примерами – справочниками и адресными книгами);
  • данные касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, если они не сделаны субъектом персональных данных общедоступными;
  • биометрические персональные данные (отпечатки пальцев, рост, вес, фотографии лица и другие), если они используются оператором для установления личности субъекта персональных данных, при этом Роскомнадзор полагает, что идентификация стороны по договору по паспорту, в том числе копирование паспорта в этих целях, не относится к обработке биометрических персональных данных, т.к. цели иные, т.е. такие данные обрабатываются на общих основаниях;
  • при проведении автоматических розыгрышей и иные случаи, когда юридические последствия порождаются исключительно компьютером (например, розыгрыши скидок, призов среди клиентов);
  • другие случаи, предусмотренные законодательством.

Источник: https://kolosov.info/kommentarii/soglasie-na-obrabotku-personalnyh-dannyh-i-politika-konfidencialnosti

Ответственность за нарушение закона о персональных данных

Каково наказание за нарушение закона о персональных данных?

Екатерина Добрикова

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Таблица 1. “Виды ответственности за нарушение закона о персональных данных”

Вид ответственности

Нарушение

Санкция

Норма

Административная

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации

Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.

Статья 5.39 КоАП РФ

Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 3 тыс. руб.;
  • на должностных лиц – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 30 тыс. до 50 тыс. руб.

Часть 1 ст. 13.11 КоАП РФ

Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие

Административный штраф:

  • на граждан – от 3 тыс. до 5 тыс. руб.;
  • на должностных лиц – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 75 тыс. руб.

Часть 2 ст. 13.11 КоАП РФ

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных

Предупреждение или административный штраф:

  • на граждан – от 700 до 1 тыс. руб.;
  • на должностных лиц – от 3 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 30 тыс. руб.

Часть 3 ст. 13.11 КоАП РФ

Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 15 тыс. руб.;
  • на юридических лиц – от 20 тыс. до 40 тыс. руб.

Часть 4 ст. 13.11 КоАП РФ

Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 45 тыс. руб.

Часть 5 ст. 13.11 КоАП РФ

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них

Административный штраф:

  • на граждан – от 700 до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 50 тыс. руб.

Часть 6 ст. 13.11 КоАП РФ

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов

Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.

Часть 7 ст. 13.11 КоАП РФ

Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде

Административный штраф:

  • на граждан – от 100 до 300 руб.;
  • на должностных лиц – от 300 до 500 руб.;
  • на юридических лиц – от 3 тыс. до 5 тыс. руб.

Статья 19.7 КоАП РФ

Уголовная

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ

Штраф до 200 тыс. руб.

, либо обязательные работы на срок до 360 часов, либо исправительные работы на срок до одного года, либо принудительные работы на срок до двух лет (с лишением права занимать определенные должности на срок до трех лет или без такового), либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет (с лишением права занимать определенные должности на срок до трех лет)

Статья 137 Уголовного кодекса

То же деяние, совершенное с использованием служебного положения

Штраф от 100 тыс. до 300 тыс. руб.

, либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет или без такового), либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет)

Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий

Штраф от 100 тыс. до 300 тыс. руб.

, либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительные работы на срок до пяти лет (с лишением права занимать определенные должности на срок до шести лет или без такового), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет (с лишением права занимать определенные должности на срок до шести лет)

Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан

Штраф до 200 тыс. руб.

, либо лишение права занимать определенные должности на срок от двух до пяти лет

Статья 140 УК РФ

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование

Штраф до 200 тыс. руб.

, либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительные работы на срок до двух лет, либо лишение свободы на тот же срок

Статья 272 УК РФ

Гражданско-правовая

Причинение лицу убытков в результате нарушения правил обработки его персональных данных.

Под убытками при этом понимаются:

  • расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права;
  • утрата или повреждение его имущества;
  • неполученные доходы, которые лицо получило бы, не будь его право нарушено.

Возмещение убытков

Статья 15 Гражданского кодекса

Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных

Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)

Статья 24 закона о персональных данных, ст. 151 ГК РФ

Дисциплинарная

Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей

Увольнение

Подпункт “в” п. 6 ч. 1 ст. 81 Трудового кодекса

Иные нарушения в области персональных данных при их обработке

Замечание или выговор

Статья 90, ст. 192 ТК РФ

Источник: http://www.garant.ru/actual/persona/otvetstvennost/

Адвокат-online
Добавить комментарий