Форум OlegON > Разговоры на отвлеченные темы > Правовые вопросы

Закон 152-ФЗ о персональных данных : Правовые вопросы

23.11.2024 1:22


20.06.2017 17:01


Цитата:
Закон 152-ФЗ о персональных данных: как обезопасить бизнес от новых штрафов с 1 июля 2017

С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона "О персональных данных" от 27.07.2006 № 152-ФЗ. О том, как избежать штрафов при проверках Роскомнадзора, БУХ.1С рассказал эксперт по налогообложению Игорь Кармазин.

Штрафы за несоблюдение требований Федерального закона "О персональных данных" были повышены в соответствии с Федеральным законом от 07.02.2017 № 13-ФЗ. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей. При этом, если раньше в КоАП существовал только один, общий для всех случаев состав правонарушения в области персданных (ст.13.11 КоАП РФ), то теперь в данной статье появилось целых семь составов.

Чтобы избежать этих штрафов, компаниям и ИП с 1 июля 2017 года следует внимательнее подходить к соблюдению требований закона о персональных данных.

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

1. С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона "О персональных данных".

2. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей.

3. Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. Закон не содержит конкретного перечня таких организаций.

4. Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре.

5. Обезопасить себя от штрафов можно, соблюдая 6 правил:

исключить случаи нецелевого сбора и обработки данных;
получать письменное согласие граждан на обработку их данных;
знакомить граждан с политикой обработки персональных данных;
отвечать на вопросы граждан о том, каким образом используются их персональные данные;
выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении;
обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д.
6. С 01.07.2017 начинает действовать упрощенный порядок привлечения к административной ответственности. Дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры.

Кого коснутся новые штрафы

Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. По закону они отнесены к операторам персональных данных и обязаны соблюдать законодательные ограничения.

Закон не содержит конкретного перечня таких организаций. Однако к ним можно отнести банки, страховые компании, операторов мобильной связи и интернета, медицинские организации, транспортные компании, учебные заведения и все те компании, при обращении в которые граждан просят указать личные данные или заполнить анкету.

Но и это еще не все. Закон распространяется на всех без исключения работодателей, получающих сведения от сотрудников как по трудовым договорам, так и по договорам гражданско-правового характера. Работодатели тоже являются операторами персональных данных с небольшой оговоркой. Если работодатель состоит с гражданином в трудовых или гражданско-правовых отношениях, ему не требуется уведомлять Роскомнадзор об обработке личной информации (ч. 2 ст. 22 Федерального закона № 152-ФЗ).

Также к операторам персональных данных относятся все компании, имеющие собственные сайты с обратной формой связи и регистрацией пользователей, у которых запрашиваются личные сведения.

Как обезопасить себя от штрафов: 6 правил

1. Исключить случаи нецелевого сбора и обработки данных.

Под данное нарушение попадают и случаи сбора излишней информации о гражданах. Например, когда сайт для новостной рассылки по e-mail требует от посетителей предоставить, скажем, паспортные данные. Это считается обработкой данных не по назначению, поэтому исключите подобные случаи из практики работы своей компании и сайта.

Данные действия образуют состав правонарушения по ч. 1 ст. 13.11 КоАП РФ. Штраф для предпринимателей – от 5 до 10 тысяч рублей, а для организаций – от 30 до 50 тысяч рублей.

2. Получать письменное согласие граждан на обработку их данных.

Согласие граждан необходимо в обязательном порядке получать в соответствии с ч. 4 ст. 9 Федерального закона № 152-ФЗ. Исключений из этого правила не так много. Например, не требуется письменного согласия при получении персональных данных в личных, семейных целях (ч. 2 ст. 1 Федерального закона № 152-ФЗ).

В большинстве же случаев дополнительно к основному договору стороны должны подписывать соглашение об обработке персональных данных. Это соглашение может включаться в текст основного договора, или выступать в качестве отдельного документа. Согласие должно поступить лично от гражданина. Без его ведома передавать данные нельзя.

Самый банальный пример злоупотреблений в этой части – когда кредиторы передают третьим лицам информацию о должниках для взыскания с них займов, кредитов и процентов. Или, скажем, оператор мобильной связи передает контакты абонентов без их ведома сторонним компаниям, и на телефонные номера граждан начинает поступать всевозможный спам.

Если письменного соглашения на обработку данных у компании нет, на ИП наложат штраф в размере от 10 до 20 тысяч рублей, а на юрлиц – от 15 до 75 тысяч рублей. Причем контролерам будут неважны последствия неполучения письменного согласия. Важен будет сам факт наличия или отсутствия такого согласия в письменной форме.

3. Знакомить граждан с политикой обработки персональных данных.

Эта информация должна находиться в свободном доступе и с ней должен иметь возможность ознакомиться каждый. Например, сайты вывешивают информацию о порядке работы с персданными на отдельных своих страницах.

В противном случае наступит ответственность по ч. 3 ст. 13.11 КоАП РФ. ИП заплатят штраф в размере от 5 до 10 тысяч рублей, а организации в размере от 15 до 30 тысяч рублей.

4. Отвечать на вопросы граждан о том, каким образом используются их персональные данные.

На практике бывают случаи, когда данные «утекают» третьим лицам, и клиентам компании начинает поступать всевозможная реклама от магазинов, медицинских центров и кредитных организаций. В этом случае клиент может потребовать от оператора персональных данных предоставить информацию о том, как используются и хранятся его личные сведения.

За игнорирование обращений граждан операторы персданных несут ответственность по ч. 4 ст. 13.11 КоАП РФ. Штраф для ИП – от 10 до 15 тысяч рублей, а для юрлиц – от 20 до 40 тысяч рублей.

5. Выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении.

Это нужно делать в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Неисполнение этой обязанности грозит штрафом по ч. 5 ст. 13.11 КоАП РФ. Для ИП штраф составит от 10 до 20 тысяч рублей, для организаций – от 25 до 45 тысяч рублей.

6. Обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д.

Ответственность за необеспечение сохранности личных сведений установлена ч. 6 ст. 13.11 КоАП РФ. Для предпринимателей – от 10 до 20 тысяч рублей, для компаний – от 25 до 50 тысяч рублей.

Ответственность для государственных и муниципальных органов власти

Штрафная ответственность предусмотрена и для государственных и муниципальных органов власти (ч. 7 ст. 13.11 КоАП РФ).

В своих документах (протоколах, сводках, решениях и т.д.) они должны обезличивать персональные данные граждан, не допуская указания их места жительства и полных ФИО.

В противном случае придется заплатить штраф в размере от 3 до 6 тысяч рублей.

Регистрация операторов персональных данных в Роскомнадзоре

Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре. Для этого необходимо подать уведомление об обработке (о намерении осуществлять обработку) персональных данных (ч. 3 ст. 22 Федерального закона № 152-ФЗ).

Для подачи уведомления об обработке персональных данных необходимо заполнить электронную форму на Портале персональных данных Роскомнадзора. Электронная форма уведомления об обработке персональных данных и порядок его заполнения также размещены на Едином портале государственных и муниципальных услуг (функций).

После заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных ее следует отправить в информационную систему Уполномоченного органа по защите прав субъектов персональных данных. Затем заполненную форму нужно распечатать и заверить надлежащим образом, скрепив подписью и печатью организации, после чего направить в соответствующий территориальный орган Роскомнадзора по месту регистрации компании-оператора персональных данных.

Что делать сайтам

Что касается сайтов (а сейчас они есть практически у любой компании), то основная масса нарушений здесь связана именно с нецелевым сбором и использованием персональных данных (ч. 1 ст. 13.11 КоАП РФ).

Например, нередко в форме регистрации на сайте используются такие поля, как «дата рождения» и «телефон», а в форме профиля пользователя - «отчество», «дата рождения», «место жительства» (страна, область/край, город).

Следует понимать, что для регистрации пользователя на большинстве сетевых ресурсов не требуется знать такие данные, как телефон и место жительства/регистрации пользователя. Из формы регистрации эти сведения следует убрать.

А из формы личного профиля лучше убрать такие сведения, как «профессия», «www-страница», Skype (или другой мессенджер) и «дата рождения».

Посторонним лицам (а ваша компания и является таким лицом) знать эту информацию ни к чему. Форма подписки на новости сайта должна собирать информацию только об e-mail пользователей. Форма регистрации может собирать имя, фамилию, e-mail и пол пользователя.

Сбор лишней информации при проверке могут посчитать нарушением.

*****

Выполнение вышеописанных правил и знание закона позволят избежать ответственности за его нарушение. При этом следует учитывать одно немаловажное обстоятельство. Если раньше закон о персональных данных обходил вашу компанию стороной и никакой ответственности за его нарушение вы не несли, то с 1 июля все может измениться кардинальным образом.

Дело в том, что с этой даты начинает действовать упрощенный порядок привлечения к административной ответственности. Раньше дела в этой сфере возбуждала прокуратура (ст. 28 КоАП РФ). По новым же правилам (п. 58 ч. 2 ст. 28.3 КоАП РФ) дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры. На практике это означает, что количество штрафов и доведенных до суда дел может значительно увеличиться, и уйти от ответственности станет значительно сложнее.
На сколько я понимаю - если не хотим регистрироваться как оператор персональных данных - чем меньше собираем информации - тем лучше.
26.06.2017 13:03
Я бы сказал, забить на этот закон и внимательно отслеживать только штрафные санкции по нему, т.к. реально по нему работать невозможно в рамках малого и среднего бизнеса. А крупному нужно создавать отдельное подразделение, которое следило бы исключительно за его выполнением, с соответствующими финансовыми затратами.
26.06.2017 13:39
Цитата:
KirillHome А из формы личного профиля лучше убрать такие сведения, как «профессия», «www-страница», Skype (или другой мессенджер) и «дата рождения».
Жесть какая-то... Емейл, значит, не личная информация, а скайп и мессенджер - личная? Дата рождения-то тут каким вообще боком? Впрочем, если уж до кого-то докапывались с cookie, то о чем тут еще можно говорить...
26.06.2017 22:48
Т.е. если небольшой магазинчик, внедряет систему лояльности с персональными дисконтными картами (анкеты с ФИО, датой рождения, e-mail, телефона) и/или онлайн заказов с доставкой (те же данные + адреса для доставки) - это уже "оператор персональных данных" со всеми вытекающими?
26.06.2017 22:51
Это уже из очевидного...
26.06.2017 23:02
Цитата:
OlegON Это уже из очевидного...
Что дальше? Закон, регулирующий количество и состав записей в адресной книге смартов, с обязательной постановкой на учет в Роскомнадзоре?
26.06.2017 23:06
Давай политику тут разводить не будем... Я против, ты против. Еще миллионы против. Кто спрашивает...
27.06.2017 15:58
Интересно все же, что относится к этим данным? Емейл относится или нет? Есть комментарии компетентных лиц?
Цитата:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
под это попадает почти все, что создает пользователь с включением компьютера? забавно, что все на форуме становятся операторами персональных данных, потому, что форум мой, как физического лица и распространяет куки? :)
27.06.2017 17:10
Я понял так, что нужно "показать" - для чего, собственно, используются данные.
К примеру - если на сайте нет возможности послать сообщение через ICQ - то номер ICQ не нужен. А если есть - то он допустим.

Ну и написать какую-то оферту, к примеру - вот у Mail

Цитата:
4. Обязательства пользователя по регистрации в рамках Интернет-сервиса
4.1 Для того чтобы воспользоваться Почтой и Сервисами Mail.Ru, а также получить права на использование дополнительных функциональных (программных) возможностей Интернет-сервиса, Пользователь должен пройти следующую процедуру регистрации:
4.1.1 Заполнить регистрационную форму в Почте или на Сервисах Mail.Ru.
В процессе заполнения регистрационной формы Пользователь самостоятельно выбирает Логин и Пароль, необходимые для последующего доступа к электронному почтовому ящику, а также информационные данные, в том числе секретный вопрос и ответ, позволяющие Пользователю самостоятельно восстановить доступ к его электронному почтовому ящику. Пользователь подтверждает, что является информированным о том, что безопасность электронного почтового ящика напрямую зависит от сложности (количества и вариации символов) Пароля и информационных данных (секретного вопроса и ответа).
4.1.2 При этом Mail.Ru никаким образом не проверяет предоставляемую Пользователем информацию, далее по тексту учетные данные (если иное не предусмотрено условиями предоставления какого-либо отдельного Сервиса), не несет ответственности перед любыми третьими лицами за точность и достоверность учетных данных.
Размещая учетные и иные данные и сведения и присоединяясь к Пользовательскому соглашению, Пользователь выражает свое согласие Mail.Ru на обработку учетных и иных данных, на отражение их в профиле Пользователя и соответствующих Сервисах с учетом доступного функционала (который время от времени может быть изменен по усмотрению Mail.Ru), а также на то, что отражаемые в профиле учетные данные и иные данные будут считаться доступными для пользователей сети Интернет с учетом такого доступного функционала.
В целях исполнения Пользовательского соглашения и предоставления Пользователю доступа к использованию функционала Сервисов, Mail.Ru развивает, совершенствует, оптимизирует и внедряет новый функционал Сервисов (включая сервисы и продукты информационного, коммуникационного, рекламного, образовательного, развлекательного и иного характера). Для обеспечения реализации указанных целей Пользователь соглашается на осуществление Mail.Ru с соблюдением применимого законодательства сбора, хранения, накопления, систематизации, извлечения, сопоставления, использования, наполнения (уточнения) их учетных и иных данных, а также на получение и передачу аффилированным лицам и партнерам результатов автоматизированной обработки таких данных с применением различных моделей оценки информации, в виде целочисленных и/или текстовых значений и идентификаторов, соответствующих заданным в запросах оценочным критериям, для обработки данных Mail.Ru и/или указанными лицами.
Пользователь соглашается, что для целей, предусмотренных в настоящем Пользовательском соглашении, может собираться и использоваться дополнительная информация, связанная с Пользователем, получаемая в процессе доступа пользователя к Сервисам или от третьих лиц, и включающая в себя данные о технических средствах (устройствах) и способах технологического взаимодействия с Сервисами (в т. ч. IP-адрес хоста, вид операционной системы Пользователя, тип браузера, географическое положение, данные о провайдере и иное), об активности Пользователя, а также иные данные, получаемые указанными способами.
Обработка учетных данных Пользователя осуществляется в срок с момента регистрации Пользователя и до момента удаления его учетной записи, если иное не обусловлено функционалом Сервисов и/или предусмотрено применимым законодательством.
Пользователь соглашается, что учетные данные также могут быть переданы третьим лицам в случаях, предусмотренных применимым законодательством, а также для защиты прав и интересов Пользователя, Mail.Ru и третьих лиц в целях выявления, расследования и пресечения противоправных действий.
Размещая информацию в Сервисах, в том числе учетные и иные данные, Пользователь соглашается, что такая информация может быть доступна другим пользователям сети Интернет с учетом существующего функционала Сервисов (который может изменяться время от времени Сервисами), а также что Сервисы могут ограничивать использование третьими лицами информации из Сервисов, в том числе в коммерческих целях. Использование информации определяется настоящим ПС.
4.1.3. Кроме указанного в п. 4.1. порядка регистрации на Интернет-сервисе, Пользователю может быть предоставлено право осуществить регистрацию посредством использования данных (логина и пароля) от электронного почтового ящика созданного Пользователем на ресурсе третьего лица.
При использовании любого из способов регистрации в Интернет-сервисе, пароль Пользователя для доступа в Интернет-сервис для Mail.Ru не доступен.
Любой из указанных способов регистрации позволяет Пользователю, с использованием программы Почтовый клиент, создавать несколько учетных записей, которые относятся к соответствующему электронному почтовому ящику. Условия использования программы Почтовый клиент содержатся в Лицензионном соглашении для программы Почтовый клиент, которое является неотъемлемой частью настоящего Пользовательского соглашения и размещено на соответствующей странице Сайта. Используя интерфейс Интернет-сервиса для регистрации с использованием логина и пароля от электронного почтового ящика стороннего ресурса, а равно создавая соответствующую учетную запись в программе Почтовый клиент, Пользователь соглашается с условиями настоящего Пользовательского соглашения и Лицензионного соглашения для программы Почтовый клиент.
4.2 Пользователь несет персональную ответственность за сохранность и безопасность своего Пароля и информационных данных (секретного вопроса и ответа).
4.2.1 Mail.Ru не несет ответственности и не гарантирует безопасность электронного почтового ящика Пользователя в случаях: передачи третьим лицам (умышленно или по неосторожности) Пароля и информационных данных (секретного вопроса и ответа); доступа третьих лиц к электронному почтовому ящику Пользователя с использованием программных средств, позволяющих осуществить подбор и/или раскодирование Пароля; доступа третьих лиц к электронному почтовому ящику Пользователя путем простого подбора Пароля и информационных данных (секретного вопроса и ответа); невыполнение Пользователем рекомендаций, указанных в настоящем Пользовательском соглашении или интерфейсе Сервиса.
4.3 Mail.Ru вправе предоставить Пользователю возможность передавать учетные данные третьим лицам посредством специальных технологий (Open ID и др.), при условии согласия Пользователя на такую передачу. При этом Mail.Ru не гарантирует Пользователю полноту и корректность передачи учетных данных и не несет ответственности за сохранность данных в процессе передачи.
4.4 Пользователь обязуется:
немедленно уведомлять Mail.Ru о любом неразрешенном Пользователем использовании своего пароля или учетной записи или о любом другом нарушении безопасности;
осуществлять выход из своей учетной записи (завершать каждую сессию по кнопке «Выход») по окончании работы со своей Почтой и персональной частью Сервисов Mail.Ru. Mail.Ru не отвечает за возможную потерю или порчу данных, которая может произойти из-за несоблюдения рекомендаций, изложенных в разделе 4 настоящего Пользовательского соглашения.
4.5 Пароль Почты и любых Сервисов Mail.Ru Пользователя может быть восстановлен только в случае точного, верного и полного указания информации, указанной при регистрации учетной записи. Если Пользователь пренебрег точным, верным и полным указанием регистрационной информации, Служба поддержки Mail.Ru не сможет при обращении восстановить пароль.
В случае утраты пароля от электронного почтового ящика, созданного на ресурсе третьего лица, используемого Пользователем вместе с логином для доступа к Интернет-сервису, такой пароль может быть восстановлен исключительно способами, которые предусмотрены ресурсом третьего лица.
В случае удаления электронного почтового ящика, созданного Пользователем на ресурсе третьего, или изменения от него пароля, который он использовал для доступа в Интернет-сервис, доступ к Интернет-сервису осуществляется с использованием того пароля, который был использован Пользователем при его последнем входе в Интернет-сервис.
Mail.Ru рекомендует беречь пароль и заполнять регистрационную форму Почты и Сервисов Mail.Ru точно, верно и полно.
27.06.2017 17:14
Это все про тот порог, за которым уже получаешь проблемы и должен встать на учет в Роскомнадзоре, как оператор персданных.
А мне хотелось бы понять, с какого момента это все начинается... Толковать такую фразу можно как угодно...
Часовой пояс GMT +3, время: 01:22.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.