С 1 июля 2017 года штрафы за нарушения при обработке персональных данных увеличены

Постарайтесь не нарушать закон, так как с 1 июля 2017 года вступают в силу поправки в КоАП РФ, которые увеличивают штрафы для компаний за нарушения при обработке персональных данных и вводят семь новых составов правонарушений (Федеральный закон от 07.02.17 № 13-ФЗ, далее — закон № 13-ФЗ). Штрафы будут платить не только компании, но и работники, которые нарушили закон, включая юристов. Для того чтобы не  нарушать закон, необходимо знать азы обработки персональных данных, которые касаются каждой компании.

1

Что и кому грозит за нарушения в сфере персональных данных.

 

  • §За нарушения при обработке персональных данных компанию могут привлечь к гражданско-правовой и административной ответственности по статье 13.11. До 1 июля 2017 года максимальным наказанием для должностного лица был штраф в 1 тыс. рублей, а для компании до 10 тыс. рублей.
  • §С 1 июля 2017 года вступает в силу закон № 13-ФЗ, который усиливает ответственность. Поправки вводят дополнительные составы правонарушений в статью 13.11РФ

ü  обработку персональных данных в случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП РФ), — штраф от 30 до 50 тыс. рублей;

ü  обработку персональных данных без согласия в письменной форме, когда закон требует получить такое согласие (ч. 2 ст. 13.11 КоАП РФ), — штраф от 15 до 70 тыс. рублей;

ü  неопубликование оператором политики в отношении обработки персональных данных, когда такая обязанность предусмотрена законом (ч. 3 ст. 13.11 КоАП РФ), — штраф от 15 до 30 тыс. рублей.

  • §Работника могут привлечь к административной ответственности за те же нарушения. Дополнительно он несет материальную (п. 7 ст. 243 ТК РФ), дисциплинарную (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ) и даже уголовную ответственность (ч. 2 ст. 137 УК РФ).
  • §К ответственности привлекут как работника-нарушителя (например, скопировавшего базу клиентов на свою флешку и передавшего ее конкуренту), так и работника, который несет ответственность за обработку персональных данных в компании на основании локальных нормативных актов.

2

Какая информация относится к персональным данным.

 

Более конкретно перечень такой информации определен в Указе Президента РФ от 06.03.97 № 188: это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, которые позволяют идентифицировать его личность, за исключением сведений, подлежащих распространению в СМИ в случаях, установленных законом.

  • §Обрабатываемые персональные данные обычно включают в себя следующие сведения о лице:

ü  фамилия, имя, отчество, год, месяц, дата и место рождения;

ü  адрес, семейное, социальное, имущественное положение;

ü  образование, профессия, должность, доходы;

ü  биометрические персональные данные.

  • §А также, судами признаны как персональные данные:

ü  сведения о смерти гражданина (постановление АС Поволжского округа от 25.09.14 по делу № А49-2005/2014);

ü  номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.13 по делу № 33–9241/2015);

ü  фотографии гражданина (апелляционное определение Свердловского областного суда от 09.04.15 по делу № 33–5232/2015).

3

Что входит в обработку.

 

  • §Обработка персональных данных — это любое действие с персональными данными. Она включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 закона № 152-ФЗ). Фактически персональные данные обрабатывает любая компания.
  • §Дополнительные условия для обработки персональных данных соискателей и работников установлены гл.14

4

Когда нужно уведомлять Роскомнадзор.

 

  • §Если компания обрабатывает персональные данные, она является оператором (п. 2 ст. 3 закона № 152-ФЗ). Оператор до начала обработки обязан направить уведомление в Роскомнадзор (п. 1 ст. 22 закона № 152-ФЗ).
  • §Направлять его не требуется, если компания обрабатывает персональные данные, в частности:

ü  только своих работников;

ü  для целей заключения и исполнения договоров (например, персональные данные контрагентов);

ü  без использования средств автоматизации (см. постановление Правительства РФ от 15.09.08 № 687).

  • §Если компания не подпадает под исключения, которые указаны в законе № 152-ФЗ, составьте уведомление по официальной форме (Приложение № 2), то направьте его в территориальный орган Роскомнадзора по месту регистрации компании.
  • §Отправить уведомление можно как на бумажном носителе, так и в форме электронного документа через портал «Госуслуги» (gosuslugi.ru) или официальный сайт Роскомнадзора (pd.rkn.gov.ru). Роскомнадзор внесет сведения о компании в реестр операторов в течение 30 дней с даты поступления уведомления. Проверить, включена ли компания в реестр, можно на официальном сайте ведомства.

5

Как правильно собирать персональные данные.

 

  • §Чтобы собирать персональные данные, нужно получить согласие их владельца — субъекта персональных данных (подп. 1 п. 1 ст. 6 закона № 152-ФЗ).
  • §Согласие должно быть конкретным, информированным и сознательным. Это значит, что перечень оснований для обработки должен быть указан в согласии как можно более конкретно, содержать срок обработки и порядок отзыва согласия.
  • §Письменное согласие субъекта нужно для обработки специальных категорий персональных данных. Его можно получить на бумажном носителе или в электронной форме с усиленной квалифицированной электронной подписью.
  • §Закон не устанавливает форму согласия на обработку персональных данных, за исключением особых сведений. Субъект может дать согласие в любой форме, которая позволит подтвердить факт его получения. Например, заполнить анкету на сайте.
  • §Получать согласие на обработку в типовой форме договора рискованно. Суд может признать такой способ ненадлежащим, если потребитель не может изменить это условие — например, сделать отметку о согласии на обработку или отказе (постановления АС Северо-Западного округа от 18.07.16 по делу № А44-9647/2015АС Уральского округа от 22.12.16 по делу № А76-5164/2016).
  • §В случае спора именно оператор обязан доказать, что получил согласие на обработку. Поэтому заранее определите, какой тип персональных данных обрабатывает Ваша компания. В зависимости от этого разработайте форму получения согласия на обработку. Важный момент — субъект всегда вправе отозвать согласие (п. 2 ст. 9 закона № 152-ФЗ). В этом случае компания обязана прекратить обработку.

6

Как получить согласие у работников.

 

  • §Работников надо ознакомить под роспись с документами компании, которые устанавливают порядок обработки персональных данныхп. 8 ст. 86 ТК РФ). Порядок можно прописать в трудовом договоре, правилах внутреннего трудового распорядка или других локальных актах. Ознакомление работников с этими документами нужно отдельно фиксировать — например, в специальном журнале.
  • §Согласие работника на обработку персональных данных не нужно в следующих случаях:

ü  обработки персональных данных близких родственников работника в объеме, предусмотренном личной карточкой по форме Т-2;

ü  получения запросов от прокуратуры, правоохранительных органов, ГИТ;

ü  если обработка нужна для исполнения заключенного с работником договора или возложенных на работодателя обязанностей;

ü  если обработка связана с выполнением работником его трудовых обязанностей, в том числе при отправлении его в командировки.

7

Как обезопасить персональные данные.

 

  • §Меры безопасности зависят от способа обработки данных. Если компания ведет автоматизированную обработку, на нее распространяются Требования, утвержденные постановлением Правительства РФ от 01.11.12 № 1119, и приказ ФСТЭК России от 18.02.13 № 21. Чтобы выполнить эти требования, нужно привлекать IT-специалистов.
  • §Согласие на обработку персональных данных не нужно, если субъект сам сделал их общедоступными. Например, при регистрации на форуме или в социальной сети. Если субъект потом отзовет согласие на обработку, его можно не учитывать (подп. 10).
  • §Для защиты персональных данных без автоматизации предусмотрены рекомендательные меры (ст. 19).

ü  определить во внутренних документах перечень лиц, которые обрабатывают данные или имеют к ним доступ.

ü  раздельно хранить носители данных, которые обрабатываются в разных целях (например, персональные данные работников и клиентов).

 

Источник: http://tpprf.ru/ru/contacts/ 

Яндекс.Метрика