Персональные данные работников есть у всех компаний. С 1 июля 2017 года применяются новые штрафы. Они больше прежних. Подскажем, как работать без нарушений.
С 1 июля 2017 года повышается ответственность за нарушения в работе с персональными данными. Изменения затронут всех без исключения работодателей, у которых в распоряжении есть личные сведения сотрудников и других физлиц.
Что относится к персональным данным в 2017 году
Под персональными данными понимается любая информация о физлице (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ). К таким сведениям, относятся фамилия, имя, отчество, пол, возраст, образование, место жительства физического лица и т.д.
А значит, все документы с персональными данными физлиц работодатель должен обрабатывать, хранить и уничтожать в соответствии с требованиями законодательства.
К таким документам относятся:
- трудовая книжка;
- паспорт или иной документ, удостоверяющий личность;
- страховое свидетельство обязательного пенсионного страхования;
- документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
- документы об образовании и (или) о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
- документы (справки) содержащие сведения о состоянии здоровья работника;
- документы (справки) содержащие сведения о возрасте или семейном положении работника.
июля
2017 года увеличатся штрафы за нарушения правил работы с персональными данными
Как обеспечить защиту персональных данных
Рассмотрим, что нужно предпринять в хозяйстве в связи с защитой персональных данных сотрудников и других физлиц. Всего пять шагов.
Шаг 1. Закрепите порядок получения, обработки, передачи и хранения персональных данных в локальном акте организации. Например в положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 № 152-ФЗ).
Шаг 2. Назначьте работника, ответственного за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Это может быть сотрудник отдела кадров, который взаимодействует с личными делами сотрудников. Он будет получать согласие работников на обработку персональных данных, вести карточки сотрудников и т.д.
Шаг 3. Подготовьте шаблон согласия на обработку персональных данных. Без него запрашивать личные сведения физлиц нельзя. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ):
- ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате и месте выдачи документа;
- наименование или ФИО и адрес работодателя, который получает согласие сотрудника;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие;
- наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
- срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись работника.
Образец согласия на обработку персональных данных
|
Фамилия, имя, отчество (последнее - при наличии) субъекта персональных данных |
|
|
Адрес места жительства _________________________________________________________ ______________________________________________________________________________ |
|
|
Документ, удостоверяющий личность субъекта персональных данных, дата его выдачи и выдавший орган ________________________________________________________________ ______________________________________________________________________________ |
|
|
СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ |
|
|
Настоящим выражаю согласие на обработку моих персональных данных, предусмотренную частью 3 статьи 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ, в целях предоставления Федеральной службой по интеллектуальной собственности (Роспатент) в соответствии с Федеральным законом от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» государственной услуги по государственной регистрации изобретения и выдаче патента на изобретение, его дубликата. |
|
|
______________________________________________________________________________ (указывается название изобретения) |
|
|
№ заявки ______________________________________________________________________ (указывается при наличии регистрационного номера заявки) |
|
|
Заявитель _____________________________________________________________________ |
|
|
______________________________________________________________________________ (указываются фамилия, имя, отчество (последнее - при наличии) и место жительства) |
|
|
Мне известно, что предоставленные мною персональные данные, которые не являются необходимыми для предоставления указанной государственной услуги, будут подвергнуты обработке, предусмотренной Федеральным законом от 27 июля 2006 г. № 152-ФЗ, при этом публикация моих персональных данных будет произведена Роспатентом в соответствии с действующим законодательством. Мне известно, что настоящее согласие действует бессрочно. В случае отзыва согласия на обработку персональных данных Федеральная служба по интеллектуальной собственности вправе продолжить обработку персональных данных без моего согласия в соответствии с частью 2 статьи 9, пунктом 4 части 1 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ. |
|
|
Подпись _______________________________________________ фамилия, имя, отчество (последнее - при наличии) |
Дата _____________ |
Шаг 4. Предоставить по запросу физлица информацию, которая касается обработки его персональных данных (ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ). Среди таких сведений, например:
- подтверждение факта обработки персональных данных;
- цели обработки персональных данных;
- способы обработки персональных данных;
- наименование и адрес работодателя, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные по закону и т. д.
Как работать с персональными данными на сайте
Опубликуйте или иначе обеспечьте неограниченный доступ к документу, который определяет политику обработки персональных данных. Если хозяйство собирает персональные данные в интернете, этот шаг тоже нужно сделать (п. 2 ст. 18.1 Закона от 27 июля 2006 г. № 152-ФЗ).
Например, на некоторых сайтах пользователь указывает свои ФИО и e-mail при регистрации или отклике на вакансию. Тогда на сайте нужно разместить ссылки на документы:
- «Политика обработки персональных данных»;
- «Положение об обработке персональных данных» и т.п.
Сколько хранить персональные данные
Персональные данные нужно уничтожить через 30 дней с той даты получения согласия на обработку его персональных данных. Другой срок можно установить в договоре или соглашении с физлицом.
Если у хозяйства нет возможности уничтожить персональные данные в срок, сведения нужно заблокировать. После этого уничтожить личные сведения нужно не позднее, чем через шесть месяцев (ч. 6 ст. 21 Закона № 152-ФЗ).
Уничтожает персональные данные комиссия на основании приказа руководителя. Результат нужно оформить в виде акта о прекращении обработки персональных данных. Еще вариант - можно сделать запись об уничтожении в специальном журнале.
Кому грозят новые штрафы за нарушение работы с персональными данными
С 1 июля 2017 года расширится перечень оснований для привлечения работодателя к административной ответственности в области защиты персональных данных. Кроме того, увеличатся размеры штрафов (Федеральный закон от 7 февраля 2017 г. №13-ФЗ).
Раньше штраф был только один: от 500 руб. до 1000 руб. для директора и от 5000 руб. до 10 000 руб. для юрлица (ст. 13.11 КоАП РФ). Теперь будет шесть видов ответственности. За разные нарушения работодателей в сфере персональных данных проверяющие смогут применять несколько штрафов. Подробнее о видах нарушения и штрафах - в таблице.→00
Штрафы за нарушение правил работы с персональными данными
|
Нарушение |
|
|
Незаконно обработали персональные данные либо обработали не по заявленной цели. Например, компания передала ФИО, телефоны, адреса юрлицу для рекламных рассылок. |
Предупреждение или штраф: для физических лиц от 1000 до 3000 руб.; для руководителя или главбуха - от 5000 до 10 000 руб.; для юридических лиц - от 30 000 до 50 000 руб. |
|
Обработали персональные данные без согласия физлица |
для физических лиц - от 3000 до 5000 руб.; для руководителя или главбуха - от 10 000 до 20 000 руб.; для юридических лиц - от 15 000 до 75 000 руб. |
|
Не разместили в свободном доступе документы о политике по обработке персональных данных |
для физических лиц - от 700 до 1500 руб.; для директора или главбуха - от 3000 до 6000 руб.; для индивидуальных предпринимателей - от 5000 до 10 000 руб.; для юридических лиц - от 15 000 до 30 000 руб. |
|
Не предоставили физлицу информацию, которая касается обработки его персональных данных |
для физических лиц - от 1000 до 2000 руб.; для директора, кадровика или бухгалтера - от 4000 до 6000 руб.; для индивидуальных предпринимателей - 10 000 до 15 000 руб.; для юридических лиц - от 20 000 до 40 000 руб. |
|
Не уничтожили или не заблокировали персональные данные |
для граждан - от 1000 до 2000 руб.; для директора или главбуха - от 4000 до 10 000 руб.; для юридических лиц - 25 000 до 45 000 руб. |
|
Собрали персональные данные работников только на бумаге и не вели никакой автоматизированной обработки, нет специальных программ для обработки |
для физических лиц - от 700 до 2000 руб.; для руководителя или главбуха - от 4000 до 10 000 руб.; для индивидуальных предпринимателей - от 10 000 до 20 000 руб.; для юридических лиц - от 25 000 до 50 000 руб. |
В 2017 году с 1 июля увеличили штрафы за нарушение закона о персональных данных. Например, штраф за обработку персональных данных без согласия владельца составляет 75 тысяч рублей. Чем рискует компания, которая нарушает закон, и сколько ей придется заплатить.
Читайте в нашей статье:
По действующим правилам ответственность несет лицо, которое нарушает правила сбора, хранения, использования или распространения персональных данных. Максимальная сумма штрафа за нарушение требований закона о персональных данных составляет сейчас 75 тыс. руб. ( КоАП РФ).
Новые штрафы за разглашение персональных данных и другие нарушения действуют с 1 июля 2017 года
1 июля 2017 года произошло повышение штрафов, которые Роскомнадзор начислит за нарушение требований о работе с персональными данными, в 2018 году действуют те же правила. Компанию привлекут к административной ответственности, если она обрабатывает персональные данные:
- в случаях, которые не указал . Например, от покупателя интернет-магазина требуют сканы документов, подтверждающих личность;
- в целях, которые отличаются от заявленных. Например, отправляет рекламные сообщения на адрес электронной почты, которую покупатель указал при оформлении заказа в интернет-магазине (ч. 1 ст. 13.11 КоАП РФ).
В качестве наказания могут вынести предупреждение или оштрафовать. Штраф за нарушение обработки о персональных данных составляет:
- 1 – 3 тыс. руб. для граждан;
- 5 – 10 тыс. руб. для должностных лиц и предпринимателей;
- 30 – 50 тыс. руб. для компаний.
Есть исключения. Некоторые случаи могут подпадать под действие ч. 2 ст. 13.11 КоАП РФ. Также иное наказание предусмотрено за действия, в которых присутствует состав уголовного преступления.
Чтобы обезопасить себя от штрафа за персональные данные, нужно обрабатывать их только в заявленных целях и согласно ч. 1 ст. 3 закона о персональных данных.
Штраф за персональные данные достигает 75 тысяч
В ряде случаев граждане должны согласиться на обработку своих данных. Нарушением считается, если компания использует персональные данные граждан без их письменного согласия. Также компанию накажут за несоблюдение требования закона к составу данных, которые необходимо перечислить в документе о согласии на обработку . Например, если компания не указала, каким третьим лицам будут доступны данные после того, как гражданин согласится на их обработку.
По правилам ч. 2 ст. 13.11 КоАП РФ штраф за использование и обработку персональных данных без согласия их владельца составляет:
- 3 – 5 тыс. руб. для граждан;
- 10 – 20 тыс. руб. для предпринимателей и должностных лиц;
- 15 – 75 тыс. руб. для компаний.
Если у нарушения будут признаки уголовно наказуемого деяния, совершивший несет ответственность по ст. 137 или ст. 272 УК РФ.
Чтобы не возникло необходимости платить за обработку персональных данных штраф, нужно получать у граждан согласие на обработку персональных данных и соблюдать требования к списку сведений в документе о согласии.
Если компания не опубликует документ о политике использования данных, ее ждет штраф
Компания не опубликовала на интернет-ресурсе или иным образом не предоставила неограниченный доступ к документу, из которого граждане могут узнать о политике компании в отношении обработки персональных данных, либо к информации о том, как компания реализует требования к защите данных.
Согласно ч. 3 ст. 13.11 КоАП РФ за такое нарушение могут вынести предупреждение или назначить штраф. Штраф за такое нарушение составляет:
- 700 – 1,5 тыс. руб. для граждан;
- 3 – 6 тыс. руб. для должностных лиц;
- 5 – 10 тыс. руб. для предпринимателей;
- 15 – 30 тыс. руб. для компаний.
Чтобы предотвратить нарушение, компании нужно опубликовать у себя на сайте в общем доступе ссылки на документ о политике компании в отношении обработки данных и другие сведения о требованиях к защите данных.
Штраф получит лицо, которое не ответило на запрос граждан
Если компания не предоставила гражданину сведений о том, что касается обработки его данных, такое нарушение наказывают предупреждением или штрафом. Такие правила закрепили в ч. 4 ст. 13.11 КоАП РФ. В данном случае штраф за нарушение обработки персональных данных составляет:
- 1 – 2 тыс. руб. для граждан;
- 4 – 6 тыс. руб. для должностных лиц;
- 10 – 15 тыс. руб. для предпринимателей;
- 20 – 40 тыс. руб. для организаций.
Во избежание нарушения предоставляйте гражданам информацию по запросу в течение 30 дней (ч. 1 ст. 20 Закона о персональных данных).
Если информацию своевременно не уничтожить, это влечет штраф
Гражданин или его полномочный представитель потребовали уточнить персональные данные, блокировать их или уничтожить. Компания обязана сделать это, если данные утратили актуальность, оказались неполными или неточными, а также в случае незаконного получения или если они были собраны с целью, отличающейся от заявленной.
В ч. 5 ст. 13.11 КоАП РФ указано, что нарушение наказывается предупреждением или штрафом. Роскомнадзор начислит штраф за персональные данные по такому нарушению в сумме:
- 1 – 2 тыс. руб. для граждан;
- 4 – 10 тыс. руб. для должностных лиц;
- 10 – 20 тыс. руб. для предпринимателей;
- 25 – 45 тыс. руб. для компаний.
Если компания не хочет, чтобы ее оштрафовали, следует выполнить требования заявителя.
Компания получит штраф, если не обеспечила сохранность носителей с данными
Компания не обеспечила сохранность носителей, на которые записаны персональные данные, и не создала условий, исключающих несанкционированный доступ. Это является нарушением по ч. 6 ст. 13.11 КоАП РФ. Норма касается случаев, когда:
- персональные данные обрабатывают без средств автоматизации;
- нет состава уголовного преступления;
- данные оказались доступны постороннем улицу, которое их уничтожило, распространило или незаконно использовало иным образом.
В этом случае штраф за персональные данные начисляют в размере.
Изменения в закон о персональных данных 2017 года были внесены не только с целью дополнения его новой информацией, но и для изменения степени ответственности операторов данных, допустивших нарушения в ходе обработки сведений такого рода. О том, что именно изменилось в законодательстве, расскажет вам наша статья.
ФЗ «О персональных данных» от 27.06.2006 № 152 с изменениями 2017 года
Действующее законодательство постоянно претерпевает изменения — и федеральный закон № 152 не стал исключением. В 2017 году в текст этого нормативного акта был внесен ряд изменений. Существенного влияния на существующий порядок работы с персональными данными (ПД) они не оказали, т. к. внесены были следующие дополнения:
- Определяющие обязанность уполномоченных органов по осуществлению государственного контроля над деятельностью операторов ПД, выполняющих сбор, обработку и хранение таких данных (федеральный закон «О внесении…» от 22.02.2017 № 16).
- Указывающие на необходимость обработки ПД объектов, находящихся под охраной государства, а также субъектов, находящихся под такой охраной, и членов их семей с учетом особенностей, установленных федеральным законом «О государственной…» от 27.05.1996 № 57 (федеральный закон «О внесении…» от 01.07.2017 № 148).
- Устанавливающие обязанность лиц, ответственных за работу с ПД, содержащимися в информации о деятельности судов в РФ, руководствоваться в своей деятельности положениями федерального закона «Об обеспечении…» от 22.12.2008 № 262 (федеральный закон «О внесении…» от 29.07.2017 № 223).
Новый закон об ответственности за нарушения в сфере оборота персональных данных и их защиты
Перечисленные вышеизменения в законе о персональных данных 2017 года являются не единственным нововведением, которое коснулось операторов ПД. С 01.07.2017 в силу вступил федеральный закон «О внесении…» № 13 от 07.02.2017, внесший коррективы в ст. 13.11 КоАП РФ. Изменениями был расширен перечень оснований, позволяющих привлечь оператора ПД к административной ответственности, а также существенно увеличен размер налагаемого на него материального взыскания.
Не знаете свои права?
При этом к нарушениям в области работы с ПД по новому закону относятся:
- обработка ПД в том случае, если таковое не предусмотрено законодательством;
- отсутствие документально оформленного согласия субъекта ПД на обработку сведений, позволяющих его идентифицировать;
- отсутствие у оператора ПД документа, содержащего политику по обработке ПД (или доступа к нему);
- непредоставление лицу, являющемуся субъектом ПД, сведений о деятельности, направленной на обработку данных;
- невыполнение требования субъекта ПД о внесении правок в ранее полученные оператором сведения, их блокировке или ликвидации;
- нарушение процедуры обеспечения безопасности используемых оператором данных, ставшее причиной нарушения их конфиденциальности;
- неисполнение требований по обезличиванию ПД.
Как видите, в 2017 году законодательство, регулирующее порядок и правила работы с ПД, действительно претерпело некоторые изменения. При этом коррективы были внесены как в ФЗ № 152, так и в действующий КоАП РФ, определяющий размер ответственности операторов ПД, допустивших нарушения при работе с такого рода информацией.
В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.
Персональные данные: штрафы
| Основание | Размер штрафа | |||
| Физлица | Должностные лица | Юрлица | ИП | |
| Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн | предупреждение или штраф — от 1000 до 3000 руб. | предупреждение или штраф — от 5000 до 10 000 руб. |
предупреждение или штраф — от 30 000 до 50 000 руб. | |
| Обработка ПДн без письменного согласия на то их субъекта | от 3000 до 5000 руб. | от 10 000 до 20 000 руб. | от 15 000 до 75 000 руб. | |
| Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДн | от 700 до 1500 руб. | от 3000 до 6000 руб. | от 15 000 до 30 000 руб. | от 5000 до 10 000 руб. |
| Непредоставление субъекту ПДн информации по их обработке | предупреждение или штраф — от 1000 до 2000 руб. | предупреждение или штраф — от 4000 до 6000 руб. | предупреждение или штраф — от 20 000 до 40 000 руб. | предупреждение или штраф — от 10 000 до 15 000 руб. |
| Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки) | предупреждение или наложение штрафа в размере от 1000 до 2000 руб. | предупреждение или штраф — от 4000 до 10 000 руб. |
предупреждение или штраф — от 25 000 до 45 000 руб. | предупреждение или штраф — от 10 000 до 20 000 руб. |
| Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования | от 700 до 2000 руб. | от 4000 до 10 000 руб. |
от 25 000 до 50 000 руб. | от 10 000 до 20 000 руб. |
| Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн | предупреждение или наложение административного штрафа — от 3000 до 6000 руб. | |||
Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.
В связи с этим возникает много вопросов, наиболее часто задаваемые:
- Являюсь ли я оператором персональных данных?
- Распространяется ли на меня закон о персональных данных?
- Как уведомить Роскомнадзор об обработке персональных данных?
- Что делать владельцу сайта, чтобы избежать штрафов?
Давайте разбираться со всеми вопросами по порядку.
С 1 июля 2017 года усилена административная ответственность за нарушение законодательства в области персональных данных и их обработку.
ВНИМАНИЕ!
В настоящее время проверочные действия в Интернет госструктурами ведутся очень активно, штрафы значительные и исчисляются суммарно по каждому нарушению.
Внимательно изучите данную статью или воспользуйтесь нашими услугами по проведению всех необходимых мероприятий.
Федеральный закон от 07.02.2017 N 13-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"
С этой целью новой редакцией статьи 13.11 КоАП РФ расширен перечень составов правонарушений, а также увеличены размеры штрафов.
Так, в частности, установлена административная ответственность за:
Обработку персональных данных в случаях, не предусмотренных законодательством в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния (повлечет предупреждение или наложение штрафа на граждан в размере от 1000 рублей до 3000 рублей, на должностных лиц - от 5000 рублей до 10000 рублей, на юридических лиц - от 30000 рублей до 50000 рублей);
Обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством, если эти действия не содержат уголовно наказуемого деяния, либо обработку персональных данных с нарушением установленных законодательством в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных;
Невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных;
Невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.
Составление протоколов по административным делам данной категории отнесено к компетенции должностных лиц Роскомнадзора (ранее дела данной категории возбуждались прокурором).
В прежней редакции статьи 13.11 КоАП РФ была установлена ответственность лишь за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), которая предусматривала предупреждение или наложение штрафа на граждан в размере от 300 рублей до 500 рублей, на должностных лиц - от 500 рублей до 1000 рублей, на юридических лиц - от 5000 рублей до 10000 рублей.
Как соблюдать закон о персональных данных 2017 года
Вниманию сайтовладельцев! С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей (за одно обнаруженное нарушение).
У вас на сайте есть контактная форма?
Значит, скорее всего это касается и вас. Прокуратуры уже штрафуют компании и суды их поддерживают. Помимо штрафов в пользу государства за нарушение правил обработки персональных данных может быть также взыскана компенсация морального вреда и определена иная ответственность.
Правила безопасности при работе с персональными данными
В феврале 2017 года внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных, которые вступят в силу 1 июля. Нововведения коснутся всех, кто получает, собирает, обрабатывает или хранит персональные данные.
Штрафы увеличены в десятки раз и разделены по видам нарушений. Так, если на сайте не размещена политика конфиденциальности, то штраф для ИП составит 10 тысяч рублей, а для компании — 30 тысяч. До 75 тысяч рублей составит штраф для юрлица, если посредством сайта обрабатываются персональные данные клиента интернет-магазина или подписчика на информационный ресурс без его согласия (директор компании или ИП должен будет заплатить до 20 тысяч).
И т.д. Если будет зафиксировано несколько нарушений, штрафов будет тоже несколько.
Что делать? Срочно привести сайты в порядок! Проверки уже начались
Сейчас протоколы о нарушениях имеет право выписывать только прокуратура, и размер штрафа вне зависимости от вида нарушения составляет для юрлица 10 тысяч рублей, а для ИП или директора — 1000 рублей. С 1 июля уже в соответствии с более высокими ставками и, по всей видимости более рьяно, выписывать протоколы будет Роскомнадзор.
Как узнать, являетесь ли вы тем самым оператором персональных данных?
Персональные данные согласно Федеральному закону «О персональных данных» — это любые данные о человеке, по которым его можно идентифицировать. При этом в законе не содержится перечня типов таких данных, поэтому приходится исходить из общей логики закона и практики, и «дуть на воду». К примеру, по имени пользователя или логину нельзя понять, что это за человек, то по имени и телефону или ФИО и электронной почте уже можно некоторым образом идентифицировать человека, а значит получение подобного сочетания уже может определяться как сбор и хранение персональных данных.
Итак, скорее всего, вы уже являетесь оператором персональных данных, если каким-то образом получаете от людей, к примеру, следующую информацию (в любом сочетании): фамилию, имя, отчество, какой-либо физический адрес, электронную почту, номер телефона, дату или место рождения, фото, ссылку на персональный сайт или соцсети, профессию, образование, уровень доходов, семейное положение и т.д.
На практике это означает, что все владельцы сайтов, которые содержат личные кабинеты, формы обратной связи, подписки или регистрации, анкеты и т.д., одним словом заполняемые формы, где посетитель должен оставить свои данные — это операторы персональных данных. Даже если на сайте есть лишь популярные нынче кнопки заказа обратного звонка (пользователь оставляет имя и номер телефона) или отправки сообщения (имя и электронный адрес) — это тоже может быть квалифицировано как обработка персональных данных.
А записи в моей телефонной книжке тоже считаются сбором и хранением персональных данных?
Нет. На данные, которые вы храните для личных и семейных нужд, данный закон не распространяется. Но если вы передадите эти данные лицу или организации, которая согласно данному закону является оператором персональных данных или опубликуете сведения, это будет считаться нарушением.
Как работать с персональными данными, не нарушая закон?
Как минимум необходимо выполнить и соблюдать 10 нижеследующих правил:
- публиковать в открытом доступе всю информацию о ваших принципах взаимодействия и работы с персональными данными клиентов и посетителей вашего предприятия или ресурса;
- запрашивать только те данные, которые нужны для каждой конкретной цели. Например, нельзя запрашивать паспортные данные или домашний адрес для осуществления рассылки по электронной почте ;
- перед получением персональных данных, которые предполагается публиковать в общедоступных источниках, получать письменное согласие у каждого посетителя, клиента или подписчика на их обработку, хранение и распространение. В случае, если данные не публикуются, а используются исключительно для обработки внутри компании, необходимо явным образом ограничить возможность передачи вам персональных данных без согласия на их обработку;
- использовать данные только для тех целей, о которых вы предупредили человека и которые указаны в опубликованных вами документах, касающихся работы с персональными данными;
- сообщать по запросу человека, какие у вас есть данные о нём, как и для чего они обрабатываются и кому вы их передавали;
- удалять данные по первому требованию лица, персональные данные которого хранятся в вашей базе;
- хранить базы данных в надёжном месте, защищать их от взлома и утечки (требования определены законодательством!) ;
- назначить лицо, ответственное за обеспечение безопасности персональных данных и соблюдения определённых ФЗ N152 правил работы с персональными данными;
- обучить сотрудников работе с персональными данными;
- зарегистрироваться в Роскомнадзоре.
Согласно Закону обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Законе, возлагается на оператора.
Почему владелец сайта должен регистрироваться?
По закону операторы персональных данных должны уведомить Роскомнадзор. Причем сделать это нужно до начала обработки данных или вскоре после начала осуществления данной деятельности. Роскомнадзор внесёт информацию об операторе в Реестр операторов персональных данных.
Уведомление можно не подавать, если:
- обрабатываются только данные сотрудников;
- персональные данные получены только для исполнения конкретного договора с конкретным человеком и не будут распространяться и использоваться никак иначе;
- у вас хранятся только ФИО клиента;
- данные опубликованы в общем доступе самим человеком или кем либо по его поручению.
Что делать, если ваш сайт содержит формы и позволяет получать персональные данные?
Если ваш сайт даёт возможность получать персональные данные и вы до сих пор не выполнили перечисленные выше условия, то уже сейчас может быть зафиксировано нарушение и уже сейчас вас могут оштрафовать. Даже в том случае, если ваш сайт обслуживается другой компанией или специалистом на аутсорсинге, штраф будет выписан на компанию или ИП, которые указаны на сайте в качестве владельца и, следовательно, получателя персональных данных.
Как избежать возможных проблем (необходимая программа-минимум):
1) Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны с любой страницы вашего сайта. Это может быть уведомление, пользовательское соглашение, правила продажи или политика в отношении обработки персональных данных.
Как бы не назывался этот документ, он должен содержать правила и условия обработки персональных данных.
2) Не используйте документы других компаний без обработки. Их можно использовать в качестве шаблона, но список данных и цели использования персональных данных необходимо прописать свои. То, что требуется типографии для оформления заказа или интернет-магазину для доставки товара, не понадобится для e-mail рассылки. Запрос излишних данных может быть расценен как нарушение закона и стать поводом для штрафа.
3) Реализуйте программное решение, которое гарантирует однозначное установление того, что человек согласился на обработку персональных данных. Это может быть чек-бокс в форме регистрации, в котором необходимо поставить галочку, или кнопка согласия с условиями использования, без активации которых человек не сможет отправить сообщение или оформить заказ.
Для подстраховки можно заверить у нотариуса распечатанные скриншоты веб-страниц с формами, прокомментировав их сопроводительным текстом (к примеру, «на момент заверения указанные на данной распечатке кнопки работали согласно описанному в преамбуле функционалу и без их активации пересылка данных была технически невозможна»).
4) Подготовьте внутренние документы, регламентирующие правила хранения и обработки персональных данных, и ответственности сотрудников, которые имеют к ним доступ.
5) Отправьте, если сайт подпадает под требования Закона, уведомление в Роскомнадзор. Если стопроцентно уверены, что отправка уведомления не требуется, оформите всю документацию так, чтобы это было явно понятно и возможным проверяющим. Например, можно указать в политике работы с персональными данными, что они используются только для исполнения конкретных договоров, или зафиксировать в документации, что данные открыты для общего доступа по желанию пользователя (но помните, что доказывание этого факта Закон возлагает на оператора).
