Закон про особисті персональних даних. Федеральний закон про персональні дані

У 2017 році з 1 липня збільшили штрафи за порушення закону про персональні дані. Наприклад, штраф за обробку персональних даних без згоди власника становить 75 тисяч рублів. Чим ризикує компанія, яка порушує закон, і скільки їй доведеться заплатити.

Читайте в нашій статті:

За діючими правилами відповідальність несе особа, яка порушує правила збору, зберігання, використання або поширення персональних даних. Максимальна сума штрафу за порушення вимог закону про персональні дані становить зараз 75 тис. Руб. (КоАП РФ).

Нові штрафи за розголошення персональних даних та інші порушення діють з 1 липня 2017 року

1 липня 2017 року відбулася підвищення штрафів, які Роскомнадзор нарахує за порушення вимог про роботу з персональними даними, в 2018 році діють ті ж правила. Компанію притягнуть до адміністративної відповідальності, якщо вона обробляє персональні дані:

  • у випадках, які не вказав. Наприклад, від покупця інтернет-магазину вимагають скани документів, що підтверджують особу;
  • з метою, які відрізняються від заявлених. Наприклад, відправляє рекламні повідомлення на адресу електронної пошти, яку покупець вказав при оформленні замовлення в інтернет-магазині (ч. 1 ст. 13.11 КоАП РФ).

Як покарання можуть винести попередження або оштрафувати. Штраф за порушення обробки про персональні дані становить:

  • 1 - 3 тис. Руб. для громадян;
  • 5 - 10 тис. Руб. для посадових осіб і підприємців;
  • 30 - 50 тис. Руб. для компаній.

Є винятки. Деякі випадки можуть підпадати під дію ч. 2 ст. 13.11 КоАП РФ. Також інше покарання передбачено за дії, в яких присутній склад кримінального злочину.

Щоб убезпечити себе від штрафу за персональні дані, потрібно обробляти їх тільки в заявлених цілях і згідно ч. 1 ст. 3 закону про персональні дані.

Штраф за персональні дані досягає 75 тисяч

У ряді випадків громадяни повинні погодитися на обробку своїх даних. Порушенням вважається, якщо компанія використовує персональні дані громадян без їх письмової згоди. Також компанію покарають за недотримання вимоги закону до складу даних, які необхідно перерахувати в документі про згоду на обробку. Наприклад, якщо компанія не вказала, яким третім особам будуть доступні дані після того, як громадянин погодиться на їх обробку.

За правилами ч. 2 ст. 13.11 КоАП РФ штраф за використання і обробку персональних даних без згоди їх власника становить:

  • 3 - 5 тис. Руб. для громадян;
  • 10 - 20 тис. Руб. для підприємців та посадових осіб;
  • 15 - 75 тис. Руб. для компаній.

Якщо у порушення будуть ознаки кримінально караного діяння, що зробив несе відповідальність за ст. 137 або ст. 272 КК РФ.

Щоб не виникло необхідності платити за обробку персональних даних штраф, потрібно отримувати у громадян згоду на обробку персональних даних та дотримуватися вимог до списку відомостей в документі про згоду.

Якщо компанія не опублікує документ про політику використання даних, її чекає штраф

Компанія не опублікувала на інтернет-ресурсі або іншим чином не надала необмежений доступ до документа, з якого громадяни можуть дізнатися про політику компанії відносно обробки персональних даних, або до інформації про те, як компанія реалізує вимоги до захисту даних.

Згідно ч. 3 ст. 13.11 КоАП РФ за таке порушення можуть винести попередження або призначити штраф. Штраф за таке порушення становить:

  • 700 - 1,5 тис. Руб. для громадян;
  • 3 - 6 тис. Руб. для посадових осіб;
  • 5 - 10 тис. Руб. для підприємців;
  • 15 - 30 тис. Руб. для компаній.

Щоб запобігти порушенню, компанії потрібно опублікувати у себе на сайті в загальному доступі посилання на документ про політику компанії відносно обробки даних та інші відомості про вимоги до захисту даних.

Штраф отримає особа, яка не відповіло на запит громадян

Якщо компанія не надала громадянину відомостей про те, що стосується обробки його даних, таке порушення карають попередженням або штрафом. Такі правила закріпили в ч. 4 ст. 13.11 КоАП РФ. В даному випадку штраф за порушення обробки персональних даних складає:

  • 1 - 2 тис. Руб. для громадян;
  • 4 - 6 тис. Руб. для посадових осіб;
  • 10 - 15 тис. Руб. для підприємців;
  • 20 - 40 тис. Руб. для організацій.

Щоб уникнути порушення надавайте громадянам інформацію за запитом протягом 30 днів (ч. 1 ст. 20 Закону про персональні дані).

Якщо інформацію своєчасно не знищити, це тягне за собою штраф

Громадянин або його повноважний представник зажадали уточнити персональні дані, блокувати їх або знищити. Компанія зобов'язана зробити це, якщо дані втратили актуальність, виявилися неповними або неточними, а також в разі незаконного отримання або якщо вони були зібрані з метою, що відрізняється від заявленої.

У ч. 5 ст. 13.11 КоАП РФ зазначено, що порушення карається попередженням або штрафом. Роскомнадзор нарахує штраф за персональні дані по такому порушенню в сумі:

  • 1 - 2 тис. Руб. для громадян;
  • 4 - 10 тис. Руб. для посадових осіб;
  • 10 - 20 тис. Руб. для підприємців;
  • 25 - 45 тис. Руб. для компаній.

Якщо компанія не хоче, щоб її оштрафували, слід виконати вимоги заявника.

Компанія отримає штраф, якщо не забезпечила збереження носіїв з даними

Компанія не забезпечила збереження носіїв, на які записані персональні дані, і не створила умов, що виключають несанкціонований доступ. Це є порушенням по ч. 6 ст. 13.11 КоАП РФ. Норма стосується випадків, коли:

  • персональні дані обробляють без засобів автоматизації;
  • немає складу кримінального злочину;
  • дані виявилися доступні стороннього вулицю, яка їх знищило, розповсюдило або незаконно використовувало іншим чином.

У цьому випадку штраф за персональні дані нараховують в розмірі.

З 1 липня 2017 року набрали чинності більш жорсткі міри покарання в сфері порушень законодавства про персональні дані (стаття 13.11. КоАП РФ). для юридичних осіб штрафи зростуть з 10 000 до 75 000 рублів.

До кого це відноситься?

Дана стаття може бути застосована до компанії, якщо у неї:

  • Є форма заявки або особистий кабінет на сайті.
  • Маркетологи або менеджери користуються такими інструментами як e-mail розсилки, sms-розсилки, дзвінки до клієнтської бази.
  • Зберігається в будь-якому вигляді клієнтська база з персональними даними.

Тобто ця норма відноситься практично до всіх діючих бізнесам. Крім цього, закон поширюється і на роботодавців, які отримують відомості від співробітників за трудовими договорами та за договорами цивільно-правового характеру.

Що потрібно робити?

Зареєструватися в Роскомнадзор

Якщо ви обробляєте персональні дані (далі ПДН) з метою:

  • Виконання зобов'язань за договором і при цьому не поширюєте і не передаєте ПДН третім особам без згоди суб'єкта ПДН.
  • Організації одноразового пропуску суб'єкта ПДН на територію, на якій знаходиться оператор.
  • Дотримання трудового законодавства.
  • А також якщо ви обробляєте загальнодоступні дані.

цей пункт не для вас, можна переходити до наступного.

Якщо ж ви використовуєте інструменти е-mail або sms-розсилок, регулярно обдзвонювати клієнтів і т.п. - то вам необхідно зареєструватися в реєстрі операторів, які здійснюють обробку персональних даних на сайті Роскомнадзора. Це процедура безкоштовна. Правда, ніхто не гарантує, що зібрана база операторів не буде використана Роскомнадзором для планомірної перевірки останніх вимогам закону.

Дотримуватися вимоги обробки ПДН, а саме:

  • Обробляти ПДН тільки з сумісними цілями збору цих даних, тобто обробка даних повинна бути тільки за призначенням (наприклад, при реєстрації в особистому кабінеті стоїть здійснювати збір паспортних даних тільки в тому випадку, якщо цього від вас вимагає галузеве законодавство).
  • Отримати згоду на використання персональних даних.
  • Опублікувати у відкритому доступі політику обробки ПДН і відомості про реалізовані вимоги до захисту ПДН.
  • Інформувати клієнтів (на їх запит), про те, як використовуються (обробляються) їх ПДН.
  • Виконувати вимоги клієнтів щодо уточнення ПДН, їх блокування або знищення. Це необхідно, коли ПНН є неповними, застарілими, неточними, незаконно отриманими або не є необхідними для заявленої мети обробки.
  • Забезпечити збереження матеріальних носіїв ПДН, виключаючи несанкціонований доступ, їх знищення, зміна, блокування, копіювання і т.п.
  • Зберігати ПДН на території Російської Федерації.

Забезпечити безпеку передачі і зберігання даних

Одне з основних вимог нового закону - це забезпечення безпеки передачі, зберігання і використання персональних даних. Але в тексті статті законодавці обмежилися загальними формулюваннями, поставивши посилання на рекомендації ФСБ

Спробуємо розібратися докладніше. Весь процес передачі і зберігання даних можна умовно розділити на 4 зони.

зона 1

Коли користувач заходить на ваш сайт і заповнює на ньому форму заявки, реєструється або заходить в особистий кабінет, його особисті дані відправляються на сервер вашого сайту. Якщо це відбувається по незахищеному протоколу http, особливо у відкритих wi-fi мережах, дані щодо просто перехоплюються зловмисниками.

Проблема вирішується налаштуванням на вашому домені захищеного протоколу https. Після цієї процедури дані передаються в зашифрованому вигляді і вже слабо піддаються перехоплення.

зона 2

Ваша персональна інформація буде користувача передаються на сервер (хостинг) вашого сайту.

Як забезпечити безпеку цієї зони:

  • Підписати з співробітником, відповідальним за адміністрування та доопрацювання сайту, угоду про нерозголошення.
  • Зобов'язати зберігати паролі від CMS і хостингу в зашифрованому вигляді.
  • Вказівки щодо захисту від brute force злому (перебір паролів) доступу до хостингу і CMS ..

зона 3

З сервера вашого сайту дані зазвичай передаються в CRM-систему (інформаційна система персональних даних, ІСПДн). Ця зона зазвичай не піддається атакам, але і вона повинна бути захищена шифруванням трафіку з використанням сертифікованих засобів криптографічного захисту інформації.

зона 4

Безпосередньо захист вашого сервера, де розгорнута CRM-система. Захистити цю зону дозволить:

  • Використовувати пройшли в установленому порядку процедуру оцінки відповідності засобів захисту інформації.
  • Визначити коло співробітників, що працюють c CRM-системою.
  • Визначити рівні доступу до системи.
  • Підписати з ними угоду про нерозголошення.
  • Зобов'язати зберігати паролі в зашифрованому вигляді.

Отримання згоди на використання персональних даних

Згода користувача можна отримати двома способами - в письмовому вигляді на паперовому носії та в електронному вигляді. Розглянемо другий спосіб, як більш простий і часто використовуваний.

Отримання згоди можна розділити на два рівні

  1. Згода на обробку тільки в рамках, необхідних для надання послуг (виконання умов договору),
  2. Згода на подальше комерційне використання даних (розсилки тощо).

Зазвичай в першому випадку в якості вираження згоди користувачем використовується постановка галочки в «чекбоксі», під яким є посилання на сторінку (або текст) політики використання конфіденційних даних компанії.

На ній докладно описано, що дані збираються тільки для цілей виконання договору, а постановка галочка потрібна за законом. Подальше проходження форми реєстрації (заявки) неможливо без постановки галочки, що, швидше за все, і буде доказом отримання згоди.

У другому випадку (комерційне використання даних) бажано зробити підтвердження згоди по системі double opt-in,при якій користувач не тільки cсоглашается на обробку персональних даних, вказуючи свій e-mail і вказав таким чином зацікавленість в ній, але і направляє підтвердження із зазначеної адреси.

Об'єднувати перший і другий випадок вкрай не бажано. Тоді вам доведеться в політиці використання конфіденційних даних прописувати, що дані будуть використовуватися вами, в тому числі, в маркетингових цілях. А це суперечить нормі закону про необхідність збору тільки тих даних, які необхідні в рамках виконання договору або надання послуги.

Виходячи з вищесказаного, нормальною практикою буде наступний алгоритм:

  • При заповненні форми заявки / реєстрації на сайті користувач ставить першу галочку - згоду на обробку персональних даних лише в рамках, необхідних для виконання договору - і натискає кнопку «Відправити» або «Зареєструватися».
  • Після чого йому показується екран, де обіцянкою усіляких вигод виманюють згоду на комерційне використання його даних.

Отримання згоди від існуючої клієнтської бази

Якщо ви не потурбувалися отриманням згоди в минулому - необхідно це зробити. При e-mail розсилках зазвичай використовуються «привітальні листи». Такий лист розсилається по існуючій базі і містить:

  • Текст звернення до клієнта. Щось на кшталт «Ми раніше намагалися вас не спамити, а надсилати тільки потрібну інформацію. Будемо намагатися і надалі, але законодавство зобов'язує нас отримати вашу згоду на розсилку »
  • Кнопка «Спасибі, надсилайте»
  • Кнопка «Відписатися»

Винятки для джерел збору персональних даних

Якщо ви зібрали свою базу з відкритих джерел, а до них відносяться соц. мережі, адресні книги, корпоративні сайти і т.п, то хвилюватися не варто - вимоги закону до них не відносяться.

Як користувач може прибрати свої дані з бази

Якщо вас замучили щоденні дзвінки або smsот компаній, яких ви навіть не знаєте, чи щогодинні листи, захаращують вашу пошту - відмовитися від цього буде не просто.

Законодавці передбачили два варіанти примусити компанію видалити ваші дані зі своєї бази:

  • Надіслати ваша вимога на юридичну адресу компанії в паперовому вигляді поштою.
  • Або відправити вимогу в електронному вигляді, але для цього потрібно отримати кваліфіковану електронний цифровий підпис. А це не швидко і не безкоштовно.

Інформація по темі

  • Послуга по підготовки документів під вимоги закону щодо захисту персональних даних (ФЗ 152)
  • Послуга по впровадженню системи обробки персональних даних у відповідності вимогами Регламенту (ЄС) N 2016/679 (GDPR)

Зокрема, він розширив перелік підстав для притягнення до адміністративної відповідальності за незаконну обробку персональних даних (ПДН) і збільшив штрафи.

Персональні дані: штрафи

підстава Розмір штрафу
фізособи Посадові особи юрособи ІП
Обробка ПДН у випадках, не передбачених законодавством РФ; обробка ПДН, несумісна з цілями збору ПДН попередження або штраф - від 1000 до 3000 руб. попередження або штраф - від 5000 до
10 000 руб.		 попередження або штраф - від 30 000 до 50 000 руб.
Обробка ПДН без письмової згоди на те їх суб'єкта від 3000 до 5000 руб. від 10 000 до 20 000 руб. від 15 000 до 75 000 руб.
Невиконання обов'язку щодо опублікування або забезпечення доступу до документа, який визначає політику по обробці ПДН, або відомостями щодо захисту ПДН від 700 до 1500 руб. від 3000 до 6000 руб. від 15 000 до 30 000 руб. від 5000 до 10 000 руб.
Ненадання суб'єкту ПДН інформації по їх обробці попередження або штраф - від 1000 до 2000 руб. попередження або штраф - від 4000 до 6000 руб. попередження або штраф - від 20 000 до 40 000 руб. попередження або штраф - від 10 000 до 15 000 руб.
Невиконання оператором вимоги суб'єкта ПДН або його представника про уточнення, блокування, знищення (якщо ПДН неповні, застарілі, неточні, незаконно отримані, не є необхідними для заявленої мети обробки) попередження або накладення штрафу в розмірі від 1000 до 2000 руб. попередження або штраф - від 4000 до
10 000 руб.		 попередження або штраф - від 25 000 до 45 000 руб. попередження або штраф - від 10 000 до 20 000 руб.
Незабезпечення оператором при обробці ПДН без засобів автоматизації обов'язки щодо збереження ПДН, що призвело до неправомірного або випадкового доступу до ПДН і стало причиною їх знищення, перекручення, блокування, копіювання від 700 до 2000 руб. від 4000 до
10 000 руб.		 від 25 000 до 50 000 руб. від 10 000 до 20 000 руб.
Невиконання оператором (держ. Або муніципальним органом) обов'язки по знеособлення ПДН; недотримання вимог щодо знеособлення ПДН попередження або накладення адміністративного штрафу - від 3000 до 6000 руб.

Зверніть увагу: саме така підстава, як обробка ПДН без отримання згоди їх суб'єкта, передбачає найбільші штрафи для всіх категорій порушників - до 75 000 руб.

У зв'язку з цим виникає багато питань, що найчастіше ставляться:

  • Чи є я оператором персональних даних?
  • Чи поширюється на мене закон про персональні дані?
  • Як повідомити Роскомнадзор про обробку персональних даних?
  • Що робити власнику сайту, щоб уникнути штрафів?

Давайте розбиратися з усіма питаннями по порядку.

З 1 липня 2017 року посилено адміністративну відповідальність за порушення законодавства в галузі персональних даних та їх обробку.

УВАГА!

В даний час перевірочні дії в Інтернет держструктурами ведуться дуже активно, штрафи значні і обчислюються сумарно за кожним порушенням.

Уважно вивчіть дану статтю або скористайтеся нашими послугами з проведення всіх необхідних заходів.

Федеральний закон від 07.02.2017 N 13-ФЗ "Про внесення змін до Кодексу Російської Федерації про адміністративні правопорушення"

З цією метою новою редакцією статті 13.11 КоАП РФ розширено перелік складів правопорушень, а також збільшені розміри штрафів.

Так, зокрема, встановлено адміністративну відповідальність за:

Обробку персональних даних у випадках, не передбачених законодавством в області персональних даних, або обробку персональних даних, що є несумісною з цілями збору персональних даних, якщо ці дії не містять кримінально караного діяння (спричинить попередження або накладення штрафу на громадян у розмірі від 1000 рублів до 3000 рублів , на посадових осіб - від 5000 рублів до 10000 рублів, на юридичних осіб - від 30000 рублів до 50000 рублів);

Обробку персональних даних без згоди в письмовій формі суб'єкта персональних даних на обробку його персональних даних у випадках, коли така згода має бути отримано відповідно до законодавства, якщо ці дії не містять кримінально караного діяння, або обробку персональних даних з порушенням встановлених законодавством в області персональних даних вимог до складу відомостей, що включаються в згоду в письмовій формі суб'єкта персональних даних на обробку його персональних даних;

Невиконання оператором передбаченої законодавством в області персональних даних обов'язки по опублікуванню або забезпечення іншим чином необмеженого доступу до документа, який визначає політику оператора щодо обробки персональних даних, або відомостями про реалізовані вимоги до захисту персональних даних;

Невиконання оператором передбаченої законодавством в області персональних даних обов'язки з надання суб'єкту персональних даних інформації, що стосується обробки його персональних даних.

Складання протоколів по адміністративних справах даної категорії віднесено до компетенції посадових осіб Роскомнадзора (раніше справи даної категорії порушувалися прокурором).

У колишній редакції статті 13.11 КоАП РФ була встановлена \u200b\u200bвідповідальність лише за порушення порядку збирання, зберігання, використання або поширення інформації про громадян (персональні дані), яка передбачала попередження або накладення штрафу на громадян у розмірі від 300 рублів до 500 рублів, на посадових осіб - від 500 рублів до 1000 рублів, на юридичних осіб - від 5000 рублів до 10000 рублів.

Як дотримуватися закону про персональні дані 2017 року

До уваги сайтовладельцев! З 1 липня штрафи за порушення закону про персональні дані збільшаться до 75 тисяч рублів (за одне виявлене порушення).

У вас на сайті є контактна форма?

Значить, швидше за все це стосується і вас. Прокуратури вже штрафують компанії і суди їх підтримують. Крім штрафів на користь держави за порушення правил обробки персональних даних може бути також стягнута компенсація моральної шкоди і визначена інша відповідальність.

Правила безпеки при роботі з персональними даними

У лютому 2017 року внесено поправки до статті 13.11 КоАП з приводу порушень закону про персональні дані, які вступлять в силу 1 липня. Нововведення торкнуться всіх, хто отримує, збирає, обробляє або зберігає персональні дані.

Штрафи збільшено в десятки разів і розділені по видам порушень. Так, якщо на сайті не розміщено політика конфіденційності, то штраф для ІП складе 10 тисяч рублів, а для компанії - 30 тисяч. До 75 тисяч рублів складе штраф для юрособи, якщо за допомогою сайту обробляються персональні дані клієнта інтернет-магазину або передплатника на інформаційний ресурс без його згоди (директор компанії або ІП повинен буде заплатити до 20 тисяч).

І т.д. Якщо буде зафіксовано кілька порушень, штрафів буде теж кілька.

Що робити? Терміново привести сайти в порядок! Перевірки вже почалися

Зараз протоколи про порушення має право виписувати тільки прокуратура, і розмір штрафу незалежно від виду порушення становить для юрособи 10 тисяч рублів, а для ІП або директора - 1000 рублів. З 1 липня вже відповідно до вищими ставками і, по всій видимості завзятіше, виписувати протоколи буде Роскомнадзор.

Як дізнатися, чи є ви тим самим оператором персональних даних?

Персональні дані згідно з Федеральним законом «Про персональні дані» - це будь-які дані про людину, за якими його можна ідентифікувати. При цьому в законі не міститься переліку типів таких даних, тому доводиться виходити із загальної логіки закону і практики, і «дути на воду». Наприклад, по імені користувача або логіну не можна зрозуміти, що це за людина, то на ім'я та по телефону або ПІБ і електронній пошті вже можна деяким чином ідентифікувати людину, а значить отримання подібного поєднання вже може визначатися як збір і зберігання персональних даних.

Отже, швидше за все, ви вже є оператором персональних даних, якщо якимось чином отримуєте від людей, наприклад, наступну інформацію (в будь-якому поєднанні): прізвище, ім'я, по батькові, будь-який фізичний адресу, електронну пошту, Номер телефону, дату або місце народження, фото, посилання на персональний сайт або соцмережі, професію, освіту, рівень доходів, сімейний стан і т.д.

На практиці це означає, що всі власники сайтів, які містять особисті кабінети, Форми зворотного зв'язку, підписки або реєстрації, анкети і т.д., одним словом заповнюються форми, де відвідувач повинен залишити свої дані - це оператори персональних даних. Навіть якщо на сайті є лише популярні нині кнопки замовлення зворотного дзвінка (користувач залишає ім'я і номер телефону) або відправки повідомлення (ім'я та електронну адресу) - це теж може бути кваліфіковано як обробка персональних даних.

А записи в моїй телефонній книжці теж вважаються збором і зберіганням персональних даних?

Ні. На дані, які ви зберігаєте для особистих і сімейних потреб, цей закон не поширюється. Але якщо ви передасте ці дані особі або організації, яка відповідно до цього закону є оператором персональних даних або опублікуєте відомості, це буде вважатися порушенням.

Як працювати з персональними даними, не порушуючи закон?

Як мінімум необхідно виконати і дотримуватися 10 нижченаведених правил:

  • публікувати у відкритому доступі всю інформацію про ваших принципах взаємодії та роботи з персональними даними клієнтів і відвідувачів вашого підприємства або ресурсу;
  • запитувати тільки ті дані, які потрібні для кожної конкретної мети. Наприклад, не можна запитувати паспортні дані або домашня адреса для здійснення розсилки по електронній пошті;
  • перед отриманням персональних даних, які передбачається публікувати в загальнодоступних джерелах, отримувати письмову згоду у кожного відвідувача, клієнта або передплатника на їх обробку, зберігання і поширення. У разі, якщо дані не публікуються, а використовуються виключно для обробки усередині компанії, необхідно явно обмежити можливість передачі вам персональних даних без згоди на їх обробку;
  • використовувати дані тільки для тих цілей, про які ви попередили людини і які вказані в опублікованих вами документах, що стосуються роботи з персональними даними;
  • повідомляти за запитом людини, які у вас є дані про нього, як і для чого вони обробляються і кому ви їх передавали;
  • видаляти дані на першу вимогу особи, персональні дані якого зберігаються у вашій базі;
  • зберігати бази даних в надійному місці, захищати їх від злому і витоку (Вимоги визначені законодавством!);
  • призначити особу, відповідальну за забезпечення безпеки персональних даних і дотримання певних ФЗ N152 правил роботи з персональними даними;
  • навчити співробітників роботі з персональними даними;
  • зареєструватися в Роскомнадзоре.

Відповідно до Закону обов'язок надати доказ отримання згоди суб'єкта персональних даних на обробку його персональних даних або доказ наявності підстав, зазначених у Законі, покладається на оператора.

Чому власник сайту повинен реєструватися?

Згідно із законом оператори персональних даних повинні повідомити Роскомнадзор. Причому зробити це потрібно до початку обробки даних або незабаром після початку здійснення даної діяльності. Роскомнадзор внесе інформацію про оператора до Реєстру операторів персональних даних.

Повідомлення можна не подавати, якщо:

  • обробляються тільки дані співробітників;
  • персональні дані отримані тільки для виконання конкретного договору з конкретною людиною і не будуть поширюватися і використовуватися ніяк інакше;
  • у вас зберігаються тільки ПІБ клієнта;
  • дані опубліковані в загальному доступі самою людиною або ким або за його дорученням.

Що робити, якщо ваш сайт містить форми і дозволяє отримувати персональні дані?

Якщо ваш сайт дає можливість отримувати персональні дані і ви до сих пір не виконали перераховані вище умови, то вже зараз може бути зафіксовано порушення і вже зараз вас можуть оштрафувати. Навіть в тому випадку, якщо ваш сайт обслуговується іншою компанією або фахівцем на аутсорсингу, штраф буде виписаний на компанію або ІП, які вказані на сайті в якості власника і, отже, одержувача персональних даних.

Як уникнути можливих проблем (необхідна програма-мінімум):
1) Підготуйте публічні документи і розмістіть їх на сайті так, щоб вони були доступні з будь-якої сторінки вашого сайту. Це може бути повідомлення, угоду користувача, правила продажу або політика щодо обробки персональних даних.
Як би не називався цей документ, він повинен містити правила і умови обробки персональних даних.

2) Не використовуйте документи інших підприємств без обробки. Їх можна використовувати як шаблон, але список даних і мети використання персональних даних необхідно прописати свої. Те, що потрібно друкарні для оформлення замовлення або інтернет-магазину для доставки товару, не знадобиться для e-mail розсилки. Запит зайвих даних може бути розцінений як порушення закону і стати приводом для штрафу.

3) Реалізуйте програмне рішення, яке гарантує однозначне встановлення того, що людина погодився на обробку персональних даних. Це може бути чек-бокс в формі реєстрації, в якому необхідно поставити галочку, або кнопка згоди з умовами використання, без активації яких людина не зможе відправити повідомлення або оформити замовлення.
Для підстраховки можна завірити у нотаріуса роздруковані скріншоти веб-сторінок з формами, прокоментувавши їх супровідним текстом (наприклад, «на момент запевнення зазначені на даній роздруківці кнопки працювали відповідно до описаного в преамбулі функціоналу і без їх активації пересилання даних була технічно неможлива»).

4) Підготуйте внутрішні документи, що регламентують правила зберігання і обробки персональних даних, і відповідальності співробітників, які мають до них доступ.

5) Надішліть, якщо сайт підпадає під вимоги Закону, повідомлення в Роскомнадзор. Якщо стовідсотково впевнені, що відправка повідомлення не потрібно, оформите всю документацію так, щоб це було явно зрозуміло і можливим перевіряючим. Наприклад, можна вказати в політиці роботи з персональними даними, що вони використовуються тільки для виконання конкретних договорів, або зафіксувати в документації, що дані відкриті для загального доступу за бажанням користувача (але пам'ятайте, що доведення цього факту Закон покладає на оператора).

З 1 липня зросли штрафи за порушення обробки особистих даних працівників, тому варто навести порядок в документах і проінструктувати персонал. Детальніше про роботу з персональними даними з 1 липня 2017 року - в цій статті.

Персональні дані - це будь-яка інформація, що відноситься до конкретного співробітника. Наприклад, П. І. Б., дата і місце народження, місце проживання та ін. Роботодавець - організація або ІП - в цьому випадку виступає оператором даних , Які йому стають відомі про співробітника, і зобов'язаний зберігати такі відомості відповідно до встановленого порядку.

Особисті дані роботодавцю повідомляють тільки самі працівники. Після такі відомості, як правило, узагальнюються в особових картках або справах. Якщо ж персональні відомості можна отримати від третіх осіб, то про це слід повідомити працівника і отримати від нього письмову згоду (п. 3 ч. 1 ст. 86 ТК РФ).

Роботодавці не мають права отримувати та обробляти персональні дані, які не належать до трудової діяльності, наприклад відомості про особисте або сімейного життя. А поширювати і розкривати персональні дані третім особам можна лише за згодою працівника (ст. 7 Федерального закону від 27.07.2006 № 152-ФЗ).

З 1 липня 2017 року введено нові штрафи за порушення вимог обробки та захисту персональних даних. Тому слід навести порядок в документах і проінструктувати підлеглих, щоб компанія і особисто головбух уникли штрафів.

Обробка персональних даних з 1 липня 2017 року

Основне завдання роботодавця - захист персональних даних співробітників. Порядок отримання, обробки, передачі та зберігання персональних даних повинен бути закріплений в локальному акті організації, наприклад в Положенні про обробку персональних даних працівників (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 закону № 152-ФЗ) .

В організації повинен бути офіційно призначений співробітник, відповідальний за роботу з персональними даними (ч. 5 ст. 88 ТК РФ). Це може бути, наприклад, працівник відділу кадрів.

Організація повинна вживати необхідних заходів для захисту персональних даних від неправомірного або випадкового доступу до них, знищення, перекручення, блокування, копіювання, надання, поширення. Заходи безпеки при обробці персональних даних прописані детально в статті 19 закону № 152-ФЗ. Нагадаємо про них.

Для забезпечення безпеки персональних необхідно своєчасно визначати загрози безпеки при обробці, застосовувати надійні засоби захисту і оцінювати ефективність захисту, вживати заходів для запобігання незаконному доступу до даних, встановити правила доступу до даних, реєструвати і вести облік всіх дій при роботі з даними.

З 1 липня 2017 року розширено перелік підстав, за якими роботодавця притягнуть до адміністративної відповідальності , Якщо з'ясується, що порушений порядок роботи з даними. Зміни вніс Федеральний закон від 07.02.2017 № 13-ФЗ. Розповімо про них докладніше.

Замість одного виду адміністративної відповідальності, який був раніше. тепер стаття 13.11 КоАП РФ передбачає сім пунктів. Шість з них стосуються організацій та ВП. Тобто за різні порушення роботодавців при роботі з персональними даними можна буде застосовувати різні штрафи.

Приклади помилок обробки персональних даних з 1 липня 2017 року

Залишили документи з особистими даними на столі . Штраф за це порушення - 50 тис. Рублів на компанію, 10 тис. Рублів на головбуха (ч. 6 ст. 13.11 КоАП РФ). Залишати документи працівників на загальний огляд не можна. Інформацією про співробітника можуть скористатися без вашого дозволу.

Треба розробити порядок роботи з персональною інформацією. Наприклад, заборонити залишати на столі папери з особистими даними і виносити їх за межі кабінету. А документи зберігати в сейфі або шафі, де доступ до них буде обмежений.

Чи не видали працівникові документи з його даними . Приховування від людини його персональних даних - теж нарушния. Штраф - 50 тис. Рублів на компанію, 5 тис. Рублів на головбуха (ст. 5.27 КоАП РФ).

Видавайте працівникам розрахункові листки. Для цього тепер навіть не треба витрачатися на папір. Можна розіслати листки на електронну пошту або повідомленням на корпоративному сайті вашої організації. Відомості про стаж видавайте протягом 5 календарних днів з моменту, коли за ними звернеться працівник, а також в день звільнення.

Чи не оновили старі дані . Штраф становитиме 45 тис. Рублів на компанію, 10 тис. Рублів - на головбуха (ч. 5 ст. 13.11 КоАП РФ). Дані працівника можуть змінюватися, тому їх треба оновлювати на прохання співробітника. Наприклад, співробітниця вийшла заміж і змінила прізвище, адресу або реквізити рахунку. Якщо компанія не оновить інформацію, то порушить правила роботи з даними.

Відразу вносите нові відомості до бази, якщо співробітник приніс документи. Так вам буде простіше заповнювати звітність.

Розмістили інформацію на стенді . Штраф - 75 тис. Рублів на компанію, 20 тис. Рублів на головбуха (ч. 2 ст. 13.11 КоАП РФ). Особисті дані можна розкрити і випадково. Наприклад, головбух розмістив на стенді копію заяви співробітника на майнове відрахування як зразок. У документі особисті реквізити, тому це порушення. Співробітник не давав згоду, щоб інформація про нього стала загальнодоступною. Розміщувати інформацію можна і на дошці ганьби. Для цього необхідно запросити згоду працівника.

Не розголошуйте відомості про співробітників без згоди. Якщо потрібно вивісити зразок, використовуйте вигадані відомості.

Передали ім'я, адреса або номер телефону співробітника . Ціна порушення - 50 тис. Рублів на компанію, 10 тис. Рублів на головбуха (ч. 1 ст. 13.11 КоАП РФ). Інформацію про співробітників заборонено передавати третій стороні без згоди, наприклад банкам або колекторським агентствам. Щоб передати інформацію, запитайте згоду працівника.

Передавати інформацію про співробітника на прохання іншої організації або «фізика» можна, тільки якщо працівник видав їм довіреність на отримання відомостей. Згода працівника на обробку даних не вимагається лише у випадках, які передбачені законом. Наприклад, якщо працівник купує щось у компанії і хоче отримати на пошту або телефон електронний чек (лист Мінкомзв'язку Росії від 07.07.2017 № П11-15054-ОГ).

СХОЖІ СТАТТІ