În 2017, de la 1 iulie, amenzile pentru încălcarea legii cu privire la datele cu caracter personal au fost majorate. De exemplu, amenda pentru prelucrarea datelor cu caracter personal fără acordul proprietarului este de 75 de mii de ruble. Care este riscul unei companii care încalcă legea și cât va trebui să plătească.
Citiți în articolul nostru:
Conform normelor actuale, persoana care încalcă regulile pentru colectarea, stocarea, utilizarea sau difuzarea datelor cu caracter personal este răspunzătoare. Suma maximă a unei amenzi pentru încălcarea cerințelor legii privind datele cu caracter personal este acum de 75 de mii de ruble. (Codul infracțiunilor administrative al Federației Ruse).
Noile amenzi pentru divulgarea datelor cu caracter personal și alte încălcări sunt valabile începând cu 1 iulie 2017
La 1 iulie 2017, a existat o creștere a amenzilor pe care Roskomnadzor le va percepe pentru încălcarea cerințelor pentru lucrul cu date cu caracter personal; în 2018, se aplică aceleași reguli. Compania va fi trasă la răspundere administrativă dacă prelucrează date cu caracter personal:
- în cazurile neindicate. De exemplu, scanarea documentelor de identitate este necesară de la cumpărătorul unui magazin online;
- în scopuri diferite de cele menționate. De exemplu, trimite mesaje publicitare la adresa de e-mail pe care cumpărătorul a indicat-o la plasarea unei comenzi în magazinul online (partea 1 a articolului 13.11 din Codul administrativ al Federației Ruse).
Ca pedeapsă, ei pot emite un avertisment sau o amendă. Amenda pentru încălcarea prelucrării datelor cu caracter personal este:
- 1 - 3 mii de ruble. pentru cetățeni;
- 5 - 10 mii de ruble. pentru oficiali și antreprenori;
- 30 - 50 de mii de ruble. pentru companii.
Există excepții. Unele cazuri pot intra sub incidența părții 2 a art. 13.11 din Codul administrativ al Federației Ruse. De asemenea, se prevede o pedeapsă diferită pentru acțiunile în care există o infracțiune.
Pentru a vă proteja de o amendă pentru datele cu caracter personal, trebuie să le prelucrați numai în scopurile menționate și în conformitate cu partea 1 a art. 3 legi privind datele cu caracter personal.
Amenda pentru datele cu caracter personal ajunge la 75 de mii
În unele cazuri, cetățenii trebuie să fie de acord cu prelucrarea datelor lor. Este considerată o încălcare dacă compania folosește datele personale ale cetățenilor fără acordul lor scris. De asemenea, compania va fi pedepsită pentru nerespectarea cerințelor legale pentru compunerea datelor, care trebuie enumerate în documentul privind consimțământul prelucrării. De exemplu, dacă compania nu a indicat ce părți terțe datele vor fi disponibile după ce cetățeanul este de acord cu prelucrarea lor.
Conform regulilor din partea 2 a art. 13.11 din Codul administrativ al Federației Ruse, amenda pentru utilizarea și prelucrarea datelor cu caracter personal fără acordul proprietarului acestora este:
- 3 - 5 mii de ruble. pentru cetățeni;
- 10 - 20 de mii de ruble. pentru antreprenori și oficiali;
- 15 - 75 de mii de ruble. pentru companii.
Dacă încălcarea are semne ale unei infracțiuni, făptuitorul este răspunzător în temeiul art. 137 sau art. 272 din Codul penal al Federației Ruse.
Pentru a evita necesitatea plății unei amenzi pentru prelucrarea datelor cu caracter personal, trebuie să obțineți consimțământul de la cetățeni pentru a prelucra datele cu caracter personal și pentru a respecta cerințele pentru lista de informații din documentul de consimțământ.
În cazul în care compania nu publică documentul privind politica de date, se va aplica o amendă
Compania nu a publicat pe resursa de internet sau a oferit în alt mod acces nerestricționat la un document din care cetățenii pot afla despre politica companiei cu privire la prelucrarea datelor cu caracter personal sau la informații despre modul în care compania implementează cerințele de protecție a datelor.
În conformitate cu partea 3 a art. 13.11 din Codul administrativ al Federației Ruse pentru o astfel de încălcare poate fi emis un avertisment sau o amendă. Pedeapsa pentru o astfel de încălcare este:
- 700 - 1,5 mii de ruble. pentru cetățeni;
- 3 - 6 mii de ruble. pentru oficiali;
- 5 - 10 mii de ruble. pentru antreprenori;
- 15 - 30 de mii de ruble. pentru companii.
Pentru a preveni încălcarea, o companie trebuie să posteze pe site-ul său web link-uri publice către politica de prelucrare a datelor și alte cerințe de protecție a datelor.
O amendă va fi primită de o persoană care nu a răspuns unei cereri din partea cetățenilor
În cazul în care compania nu a furnizat cetățeanului informații despre prelucrarea datelor sale, o astfel de încălcare se pedepsește cu un avertisment sau cu o amendă. Astfel de reguli au fost consacrate în partea 4 a art. 13.11 din Codul administrativ al Federației Ruse. În acest caz, amenda pentru încălcarea prelucrării datelor cu caracter personal este:
- 1 - 2 mii de ruble. pentru cetățeni;
- 4 - 6 mii de ruble. pentru oficiali;
- 10-15 mii de ruble. pentru antreprenori;
- 20 - 40 de mii de ruble. pentru organizații.
Pentru a evita încălcarea, furnizați cetățenilor informații la cerere în termen de 30 de zile (partea 1 a articolului 20 din Legea cu privire la datele cu caracter personal).
Dacă informațiile nu sunt distruse în timp util, aceasta implică o amendă
Cetățeanul sau plenipotențiarul său a cerut clarificarea, blocarea sau distrugerea datelor cu caracter personal. Compania este obligată să facă acest lucru dacă datele nu mai sunt actualizate, se dovedesc a fi incomplete sau inexacte, precum și în cazul achiziției ilegale sau dacă au fost colectate în alt scop decât cel menționat.
Partea 5 a art. 13.11 din Codul administrativ al Federației Ruse prevede că încălcarea se pedepsește cu avertisment sau cu amendă. Roskomnadzor va percepe o amendă pentru datele cu caracter personal pentru o astfel de încălcare în valoare de:
- 1 - 2 mii de ruble. pentru cetățeni;
- 4 - 10 mii de ruble. pentru oficiali;
- 10 - 20 de mii de ruble. pentru antreprenori;
- 25 - 45 de mii de ruble. pentru companii.
Dacă compania nu dorește să fie amendată, trebuie respectate cerințele solicitantului.
Compania va primi o amendă dacă nu a asigurat siguranța operatorilor de date
Compania nu a asigurat siguranța mass-media pe care au fost înregistrate datele cu caracter personal și nu a creat condiții pentru a exclude accesul neautorizat. Aceasta reprezintă o încălcare a părții 6 a art. 13.11 din Codul administrativ al Federației Ruse. Norma se aplică cazurilor în care:
- datele cu caracter personal sunt prelucrate fără instrumente de automatizare;
- nu există corpus delicti;
- datele s-au dovedit a fi accesibile unui străin de pe stradă, care le-a distrus, diseminat sau folosit ilegal în orice alt mod.
În acest caz, în sumă se percepe o amendă pentru datele cu caracter personal.
La 1 iulie 2017, au intrat în vigoare sancțiuni mai stricte în domeniul încălcărilor legislației privind datele cu caracter personal (articolul 13.11. Din Codul administrativ al Federației Ruse). Pentru entitati legale amenzile vor crește de la 10.000 la 75.000 de ruble.
Cui i se aplică acest lucru?
Acest articol se aplică unei companii dacă are:
- Există un formular de cerere sau un cont personal pe site.
- Specialiștii în marketing sau managerii folosesc instrumente precum buletine informative prin e-mail, sms-mailing, apelând baza de clienți.
- O bază de clienți cu date personale este stocată într-o anumită formă.
Acestea. această regulă se aplică aproape tuturor afacerilor care operează. În plus, legea se aplică și angajatorilor care primesc informații de la angajați în baza contractelor de muncă și a contractelor de natură civilă.
Ce trebuie sa facem?
Înregistrați-vă la ROSKOMNADZOR
Dacă prelucrați date cu caracter personal (în continuare PD) în scopul:
- Îndeplinirea obligațiilor în temeiul acordului și, în același timp, nu distribuie sau transferă PD către terți fără acordul subiectului PD.
- Organizarea unei admiteri unice a PD sub rezerva teritoriului în care se află operatorul.
- Respectarea legislației muncii.
- Și, de asemenea, dacă prelucrați date disponibile publicului.
acest punct nu este pentru tine, poți trece la următorul.
Dacă utilizați instrumente de e-mail sau sms-mailing, sunați în mod regulat clienți etc. - atunci trebuie să vă înregistrați în registrul operatorilor care prelucrează date cu caracter personal pe site-ul web Roskomnadzor. Această procedură este gratuită. Adevărat, nimeni nu garantează că baza de date colectată a operatorilor nu va fi utilizată de Roskomnadzor pentru verificarea sistematică a celor mai recente cerințe ale legii.
Respectați cerințele pentru procesarea PD, și anume:
- Procesați PD numai în scopuri compatibile de colectare a acestor date, adică prelucrarea datelor ar trebui să fie doar pentru scopul urmărit (de exemplu, atunci când vă înregistrați în contul dvs. personal, merită să colectați datele pașaportului numai dacă legislația din industrie o impune).
- Obțineți consimțământul pentru utilizarea datelor cu caracter personal.
- Publică în domeniul public politica de procesare a PD și informații despre cerințele implementate pentru protecția PD.
- Informați clienții (la cererea lor) despre modul în care PD este utilizat (procesat).
- Îndepliniți cerințele clienților pentru a clarifica PD, a le bloca sau a le distruge. Acest lucru este necesar atunci când PIT este incomplet, depășit, inexact, obținut ilegal sau nu este necesar pentru scopul declarat al prelucrării.
- Asigurați siguranța transportatorilor de materiale cu date personale, excluzând accesul neautorizat, distrugerea, modificarea, blocarea, copierea etc.
- Depozitați PD pe teritoriul Federației Ruse.
Asigurați securitatea transmiterii și stocării datelor
Una dintre cerințele principale ale noii legi este asigurarea securității transferului, stocării și utilizării datelor cu caracter personal. Dar în textul articolului, legiuitorii s-au limitat la formularea generală, plasând un link către recomandările FSB
Să încercăm să ne dăm seama mai detaliat. Întregul proces de transmitere și stocare a datelor poate fi împărțit condiționat în 4 zone.
Zona 1
Când un utilizator vă vizitează site-ul și completează un formular de cerere pe acesta, înregistrează sau introduce un cont personal, datele sale personale sunt trimise la serverul site-ului dvs. Dacă acest lucru se întâmplă prin protocolul http neprotejat, în special în rețelele wi-fi deschise, datele sunt relativ ușor de interceptat de către atacatori.
Problema este rezolvată prin configurarea protocolului https securizat pe domeniul dvs. După această procedură, datele sunt transmise în formă criptată și sunt deja slab interceptate.
Zona 2
Toate datele personale ale utilizatorului sunt transferate pe serverul (găzduirea) site-ului dvs.
Cum să păstrați această zonă în siguranță:
- Semnați un acord de nedivulgare cu angajatul responsabil de administrarea și finalizarea site-ului.
- Obligați să stocați parolele de la CMS și găzduire în formă criptată.
- Oferiți protecție împotriva accesului la găzduire și CMS prin piratarea forței brute (atacuri cu forță brută).
Zona 3
De pe serverul site-ului dvs. web, datele sunt de obicei transferate către un sistem CRM (sistem de informații cu caracter personal, ISPDN). Această zonă nu este de obicei atacată, dar trebuie protejată și prin criptarea traficului folosind instrumente de protecție a informațiilor criptografice certificate.
Zona 4
Protejarea directă a serverului dvs. în care este implementat sistemul CRM. Protejarea acestei zone va permite:
- Folosiți procedura pentru evaluarea conformității mijloacelor de protecție a informațiilor care au trecut în modul prescris.
- Stabiliți cercul angajaților care lucrează cu sistemul CRM.
- Determinați nivelurile de acces la sistem.
- Semnați un acord de nedivulgare cu aceștia.
- Obligați să stocați parolele în formă criptată.
Obținerea consimțământului pentru utilizarea datelor cu caracter personal
Consimțământul utilizatorului poate fi obținut în două moduri - în scris pe hârtie și în format electronic. Luați în considerare a doua metodă ca fiind mai simplă și mai frecvent utilizată.
Obținerea consimțământului poate fi împărțită în două niveluri
- Consimțirea prelucrării numai în măsura necesară pentru furnizarea de servicii (îndeplinirea condițiilor contractuale),
- Consimțământul pentru utilizarea comercială suplimentară a datelor (corespondență, etc.).
De obicei, în primul caz, ca expresie a consimțământului, utilizatorul folosește o bifă în „caseta de selectare”, sub care există un link către pagină (sau text) politica de confidențialitate a companiei.
Descrie în detaliu că datele sunt colectate numai în scopul îndeplinirii contractului, iar bifarea este cerută de lege. Trecerea în continuare a formularului de înregistrare (cerere) este imposibilă fără bifare, ceea ce, cel mai probabil, va fi o dovadă a consimțământului.
În al doilea caz (utilizarea comercială a datelor), este recomandabil să confirmați consimțământul prin intermediul sistemului dopțională opțiune,în care utilizatorul nu numai că este de acord cu prelucrarea datelor cu caracter personal, indicându-și e-mailul și manifestând astfel interes pentru acesta, dar trimite și o confirmare de la adresa specificată.
Combinați primul și al doilea caz extrem de nedorit... Apoi, va trebui să prescrieți în politica de confidențialitate că datele vor fi utilizate de dvs., inclusiv în scopuri de marketing. Și acest lucru contrazice norma legii cu privire la necesitatea colectării numai a acelor date care sunt necesare pentru executarea unui contract sau furnizarea unui serviciu.
Pe baza celor de mai sus, următorul algoritm ar fi o practică normală:
- La completarea formularului de cerere / înregistrare de pe site, utilizatorul pune prima bifă - consimte la prelucrarea datelor cu caracter personal numai în cadrul necesar îndeplinirii contractului - și face clic pe butonul „Trimiteți” sau „Înregistrați-vă”.
- După aceea, i se arată un ecran în care promisiunea de tot felul de beneficii atrage consimțământul pentru utilizarea comercială a datelor sale.
Obținerea consimțământului de la o bază de clienți existentă
Dacă nu v-ați deranjat să obțineți consimțământul în trecut, trebuie. Buletinele informative prin e-mail folosesc de obicei „scrisori de bun venit”. O astfel de scrisoare este trimisă la baza de date existentă și conține:
- Textul recursului către client. Ceva de genul „Încercam să nu vă spamăm, ci să trimitem doar informațiile de care aveți nevoie. Vom încerca să continuăm, dar legea ne obligă să obținem consimțământul dvs. pentru buletinul informativ "
- Butonul „Mulțumesc, trimiteți”
- Butonul Dezabonare
Excepții pentru sursele de colectare a datelor cu caracter personal
Dacă ați colectat baza de date din surse deschise, iar acestea includ social. rețele, agende, site-uri corporative etc., atunci nu ar trebui să vă faceți griji - cerințele legii nu se aplică acestora.
Modul în care un utilizator își poate elimina datele din baza de date
Dacă sunteți torturați de apeluri zilnice sau sms-uri de la companii pe care nici măcar nu le cunoașteți sau de e-mailuri orare care vă aglomerau e-mailurile, nu va fi ușor să refuzați.
Legiuitorii au oferit două opțiuni pentru a forța compania să vă elimine datele din baza de date:
- Trimiteți solicitarea dvs. la adresa legală a companiei pe suport de hârtie prin poștă.
- Sau trimiteți o cerere în formă electronică, dar pentru aceasta trebuie să obțineți o semnătură digitală electronică calificată. Și acest lucru nu este rapid și nu gratuit.
Informații despre subiect
- Serviciu de pregătire a documentelor pentru cerințele legii privind protecția datelor cu caracter personal (Legea federală 152)
- Serviciu pentru implementarea unui sistem de prelucrare a datelor cu caracter personal în conformitate cu cerințele Regulamentului (UE) N 2016/679 (GDPR)
În special, el a extins lista motivelor pentru aducerea la răspundere administrativă pentru prelucrarea ilegală a datelor cu caracter personal (PD) și a majorat amenzile.
Date personale: amenzi
| Baza | Cantitate fină | |||
| Persoane fizice | Oficiali | Entitate legală | SP | |
| Prelucrarea PD în cazurile care nu sunt prevăzute de legislația Federației Ruse; Prelucrarea PD incompatibilă cu scopurile colectării PD | avertisment sau amendă - de la 1000 la 3000 de ruble. | avertisment sau amendă - de la 5000 la RUB 10.000 |
avertisment sau amendă - de la 30.000 la 50.000 de ruble. | |
| Prelucrarea PD fără acordul scris al subiectului lor | de la 3000 la 5000 de ruble | de la 10.000 la 20.000 de ruble. | de la 15.000 la 75.000 de ruble. | |
| Nerespectarea obligației de publicare sau furnizare a accesului la un document care definește o politică de prelucrare a PD sau informații cu privire la protecția PD | de la 700 la 1500 de ruble | de la 3000 la 6000 de ruble | de la 15.000 la 30.000 de ruble. | de la 5.000 la 10.000 de ruble. |
| Imposibilitatea de a furniza subiectului PD informații despre prelucrarea acestora | avertisment sau amendă - de la 1000 la 2000 de ruble. | avertisment sau amendă - de la 4000 la 6000 de ruble. | avertisment sau amendă - de la 20.000 la 40.000 de ruble. | avertisment sau amendă - de la 10.000 la 15.000 de ruble. |
| Nerespectarea de către operator a cerinței subiectului PD sau a reprezentantului său de a clarifica, bloca, distruge (dacă PD este incomplet, depășit, inexact, obținut ilegal și nu este necesar în scopul declarat al prelucrării) | avertisment sau o amendă în valoare de 1.000 până la 2.000 de ruble. | avertisment sau amendă - de la 4000 la RUB 10.000 |
avertisment sau amendă - de la 25.000 la 45.000 de ruble. | avertisment sau amendă - de la 10.000 la 20.000 de ruble. |
| Eșecul de către operator, la procesarea PD fără instrumente de automatizare, a obligației de conservare a PD, care a dus la accesul ilegal sau accidental la PD și a devenit motivul distrugerii, modificării, blocării, copierii acestora | de la 700 la 2000 de ruble | de la 4000 la RUB 10.000 |
de la 25.000 la 50.000 ruble. | de la 10.000 la 20.000 de ruble. |
| Nerespectarea de către operator (stat sau autoritate municipală) a anonimizării PD; nerespectarea cerințelor pentru anonimizarea datelor cu caracter personal | avertisment sau impunerea unei amenzi administrative - de la 3000 la 6000 de ruble. | |||
Vă rugăm să rețineți: tocmai o astfel de bază ca prelucrarea datelor cu caracter personal fără a obține consimțământul subiectului lor este cea care prevede cele mai mari amenzi pentru toate categoriile de contravenienți - până la 75.000 de ruble.
În acest sens, apar multe întrebări, cele mai frecvente:
- Sunt controlor de date?
- Legea mea privind datele personale se aplică mie?
- Cum să anunțați Roskomnadzor despre prelucrarea datelor cu caracter personal?
- Ce ar trebui să facă proprietarul unui site web pentru a evita amenzile?
Să ne ocupăm de toate întrebările în ordine.
De la 1 iulie 2017, responsabilitatea administrativă pentru încălcarea legislației în domeniul datelor cu caracter personal și prelucrarea acestora a crescut.
ATENŢIE!
În prezent, acțiunile de verificare pe internet de către agențiile guvernamentale sunt foarte active, amenzile sunt semnificative și sunt calculate în total pentru fiecare încălcare.
Vă rugăm să citiți cu atenție acest articol sau să utilizați serviciile noastre pentru a desfășura toate activitățile necesare.
Legea federală din 07.02.2017 N 13-FZ "Cu privire la modificările aduse Codului Federației Ruse privind infracțiunile administrative"
În acest scop, noua versiune a articolului 13.11 din Codul administrativ al Federației Ruse a extins lista infracțiunilor și, de asemenea, a mărit mărimea amenzilor.
Deci, în special, responsabilitatea administrativă este stabilită pentru:
Prelucrarea datelor cu caracter personal în cazurile care nu sunt prevăzute de legislație în domeniul datelor cu caracter personal sau prelucrarea datelor cu caracter personal incompatibile cu scopurile colectării datelor cu caracter personal, dacă aceste acțiuni nu conțin o infracțiune (va atrage atenționarea sau impunerea unei amenzi cetățenilor în valoare de 1000 de ruble la 3000 de ruble, pentru funcționari - de la 5.000 ruble la 10.000 ruble, pentru persoanele juridice - de la 30.000 ruble la 50.000 ruble);
Prelucrarea datelor cu caracter personal fără consimțământul în scris al subiectului datelor cu caracter personal pentru prelucrarea datelor sale personale în cazurile în care un astfel de consimțământ trebuie obținut în conformitate cu legislația, dacă aceste acțiuni nu conțin o infracțiune sau prelucrarea a datelor cu caracter personal cu încălcarea celor stabilite de legislație în domeniul personal aceste cerințe pentru compunerea informațiilor incluse în consimțământul scris al subiectului datelor cu caracter personal la prelucrarea datelor sale personale;
Nerespectarea de către operator a obligației stipulate de legislația în domeniul datelor cu caracter personal de a publica sau de a furniza în alt mod accesul nerestricționat la documentul care definește politica operatorului cu privire la prelucrarea datelor cu caracter personal sau informații cu privire la cerințele pentru protecția datelor cu caracter personal implementarea datelor;
Nerespectarea de către operator a obligației stipulate de legislația în domeniul datelor cu caracter personal de a furniza subiectului datelor cu caracter personal informații cu privire la prelucrarea datelor sale personale.
Elaborarea protocoalelor privind cazurile administrative din această categorie este atribuită competenței funcționarilor din Roskomnadzor (cazurile anterioare ale acestei categorii au fost inițiate de procuror).
În versiunea anterioară a articolului 13.11 din Codul contravențional administrativ al Federației Ruse, răspunderea a fost stabilită numai pentru încălcarea procedurii de colectare, stocare, utilizare sau distribuire a informațiilor despre cetățeni (date cu caracter personal), care prevedea un avertisment sau o amendă pentru cetățeni în valoare de 300 de ruble până la 500 de ruble, pentru oficiali - de la 500 de ruble la 1000 de ruble, pentru persoanele juridice - de la 5000 de ruble la 10000 de ruble.
Cum să respectați legea privind datele cu caracter personal din 2017
În atenția proprietarilor de site-uri! De la 1 iulie, amenzile pentru încălcarea legii cu privire la datele cu caracter personal vor crește la 75 de mii de ruble (pentru o încălcare detectată).
Aveți un formular de contact pe site-ul dvs.?
Deci, cel mai probabil acest lucru este valabil și pentru dvs. Procurorii amendează deja companiile, iar instanțele le sprijină. În plus față de amenzile în favoarea statului, pentru încălcarea regulilor de prelucrare a datelor cu caracter personal, pot fi percepute și despăgubiri pentru daune morale și alte răspunderi.
Reguli de securitate atunci când lucrați cu date cu caracter personal
În februarie 2017, au fost aduse modificări articolului 13.11 din Codul administrativ cu privire la încălcările legii cu privire la datele cu caracter personal, care vor intra în vigoare la 1 iulie. Inovațiile vor afecta toți cei care primesc, colectează, procesează sau stochează date cu caracter personal.
Amenzile au fost mărite de zece ori și împărțite în funcție de tipul de încălcare. Deci, dacă o politică de confidențialitate nu este postată pe site, atunci amenda pentru un antreprenor individual va fi de 10 mii ruble, iar pentru o companie - 30 mii. Până la 75 de mii de ruble vor fi o amendă pentru o persoană juridică dacă datele personale ale unui client al unui magazin online sau ale unui abonat la o resursă de informații sunt prelucrate prin intermediul site-ului fără consimțământul acestuia (directorul companiei sau antreprenorul individual va avea să plătească până la 20 de mii).
Etc. Dacă sunt înregistrate mai multe încălcări, vor exista și câteva amenzi.
Ce sa fac? Puneți urgent site-urile în ordine! Verificările au început deja
Acum, doar parchetul are dreptul să emită protocoale cu privire la încălcări, iar cuantumul amenzii, indiferent de tipul încălcării, este de 10 mii ruble pentru o persoană juridică, iar pentru un antreprenor sau director individual - 1000 ruble. De la 1 iulie, în conformitate cu rate mai mari și, aparent mai zelos, Roskomnadzor va scrie protocoalele.
De unde știi dacă ești același operator de date cu caracter personal?
Datele cu caracter personal conform Legii federale „Despre datele cu caracter personal” sunt orice date despre o persoană prin care poate fi identificată. În același timp, legea nu conține o listă de tipuri de astfel de date, prin urmare, trebuie să se procedeze din logica generală a legii și a practicii și să „sufle pe apă”. De exemplu, prin nume de utilizator sau autentificare este imposibil să înțelegem ce fel de persoană este, apoi după nume și număr de telefon sau nume complet și e-mail este deja posibil să se identifice o persoană într-un fel, ceea ce înseamnă că obținerea unui astfel de combinația poate fi deja definită ca colectarea și stocarea datelor cu caracter personal.
Deci, cel mai probabil, sunteți deja operatorul datelor cu caracter personal, dacă primiți cumva de la oameni, de exemplu, următoarele informații (în orice combinație): nume, prenume, patronimic, orice adresă fizică, e-mail, numărul de telefon, data sau locul nașterii, fotografia, linkul către site-ul personal sau rețelele sociale, profesia, educația, nivelul veniturilor, starea civilă etc.
În practică, acest lucru înseamnă că toți proprietarii de site-uri care conțin conturi personale, formulare de feedback, formulare de abonament sau înregistrare, chestionare etc., într-un cuvânt, formulare completabile în care vizitatorul trebuie să își lase datele sunt operatori de date cu caracter personal. Chiar dacă site-ul are doar butoanele populare în prezent pentru a comanda un apel înapoi (utilizatorul lasă un nume și un număr de telefon) sau pentru a trimite un mesaj (nume și adresă de e-mail), acesta poate fi calificat și ca prelucrare a datelor cu caracter personal.
Intrările din agenda mea telefonică sunt considerate, de asemenea, colectarea și stocarea datelor cu caracter personal?
Nu. Datele pe care le stocați pentru nevoile personale și familiale nu sunt acoperite de această lege. Dar dacă transferați aceste date unei persoane sau unei organizații, care conform acestei legi este operatorul datelor cu caracter personal sau publicați informații, aceasta va fi considerată o încălcare.
Cum să lucrați cu date personale fără a încălca legea?
Cel puțin, trebuie respectate și respectate următoarele 10 reguli:
- publicați în domeniul public toate informațiile despre principiile dvs. de interacțiune și lucrați cu datele personale ale clienților și vizitatorilor întreprinderii sau resursei dvs.;
- solicitați numai datele necesare pentru fiecare scop specific. De exemplu, nu puteți solicita detaliile pașaportului sau adresa de domiciliu pentru trimiterea prin e-mail;
- înainte de a primi date cu caracter personal care se presupune a fi publicate în surse accesibile publicului, obțineți consimțământul scris de la fiecare vizitator, client sau abonat pentru prelucrarea, stocarea și distribuirea acestora. Dacă datele nu sunt publicate, ci sunt utilizate exclusiv pentru prelucrarea în cadrul companiei, este necesar să se limiteze în mod explicit posibilitatea de a vă transfera date cu caracter personal fără consimțământul prelucrării acestora;
- utilizați datele numai în scopurile despre care ați avertizat persoana respectivă și care sunt indicate în documentele pe care le-ați publicat cu privire la lucrarea cu date cu caracter personal;
- informați, la cererea unei persoane, ce date aveți despre aceasta, cum și de ce sunt prelucrate și către cine le-ați transferat;
- ștergeți datele la prima solicitare a persoanei ale cărei date personale sunt stocate în baza dvs. de date;
- stocați bazele de date într-un loc sigur, protejați-le de hacking și scurgeri (cerințele sunt stabilite de lege!);
- numiți o persoană responsabilă pentru asigurarea securității datelor cu caracter personal și respectarea regulilor de lucru cu datele cu caracter personal specificate de Legea federală N152;
- instruiți angajații să lucreze cu date cu caracter personal;
- înregistrați-vă la Roskomnadzor.
Conform legii, obligația de a furniza dovezi ale consimțământului datelor cu caracter personal supuse prelucrării datelor sale personale sau dovada existenței motivelor specificate în lege revine operatorului.
De ce trebuie să se înregistreze un proprietar de site?
Conform legii, operatorii de date cu caracter personal trebuie să anunțe Roskomnadzor. Mai mult, acest lucru trebuie făcut înainte de începerea procesării datelor sau la scurt timp după începerea acestei activități. Roskomnadzor va introduce informații despre operator în Registrul operatorilor de date cu caracter personal.
Notificarea nu poate fi trimisă dacă:
- sunt prelucrate doar datele despre angajați;
- datele cu caracter personal au fost obținute numai pentru executarea unui anumit contract cu o anumită persoană și nu vor fi difuzate și utilizate în alt mod;
- stocați doar numele complet al clientului;
- datele sunt publicate în domeniul public de către persoana însuși sau de către cineva în numele său.
Ce se întâmplă dacă site-ul dvs. conține formulare și vă permite să primiți informații personale?
Dacă site-ul dvs. face posibilă primirea datelor cu caracter personal și nu ați îndeplinit încă condițiile enumerate mai sus, atunci o încălcare poate fi deja înregistrată și este posibil să fiți amendat chiar acum. Chiar dacă site-ul dvs. este deservit de o altă companie sau de un specialist în externalizare, amenda va fi emisă companiei sau antreprenorului individual care este listat pe site ca proprietar și, prin urmare, destinatarului datelor cu caracter personal.
Cum să evitați posibilele probleme (programul minim necesar):
1) Pregătiți documentele publice și plasați-le pe site astfel încât să fie accesibile de pe orice pagină a site-ului dvs. Aceasta poate fi o notificare, un acord de utilizare, o politică de vânzări sau o politică de confidențialitate.
Oricare ar fi numele acestui document, acesta trebuie să conțină regulile și condițiile pentru prelucrarea datelor cu caracter personal.
2) Nu utilizați documente de la alte companii fără prelucrare. Acestea pot fi utilizate ca șablon, dar trebuie specificate lista de date și scopul utilizării datelor cu caracter personal. Ceea ce are nevoie o tipografie pentru a plasa o comandă sau un magazin online pentru a livra bunuri nu va fi necesar pentru buletinele informative prin e-mail. O cerere de date inutile poate fi privită ca o încălcare a legii și poate duce la o amendă.
3) Implementați o soluție software care garantează determinarea fără echivoc că o persoană a fost de acord cu prelucrarea datelor cu caracter personal. Aceasta poate fi o casetă de selectare din formularul de înregistrare, în care trebuie să puneți o bifă sau un buton pentru a accepta condițiile de utilizare, fără a activa care persoană nu poate trimite un mesaj sau plasa o comandă.
Din motive de siguranță, puteți nota capturile de ecran tipărite ale paginilor web cu formulare, comentând-le cu text însoțitor (de exemplu, „la momentul certificării, butoanele indicate pe această imprimare au funcționat în funcție de funcționalitatea descrisă în preambul și fără activarea lor, trimiterea datelor a fost imposibilă din punct de vedere tehnic ").
4) Pregătiți documente interne care reglementează regulile de stocare și prelucrare a datelor cu caracter personal, precum și responsabilitățile angajaților care au acces la acestea.
5) Trimiteți, dacă site-ul îndeplinește cerințele legii, o notificare către Roskomnadzor. Dacă sunteți 100% sigur că nu este necesară trimiterea unei notificări, aranjați toată documentația astfel încât să fie înțeleasă și posibilă pentru recenzori. De exemplu, puteți specifica în politica de lucru cu datele cu caracter personal că acestea sunt utilizate numai pentru executarea unor contracte specifice sau puteți înregistra în documentație că datele sunt disponibile publicului la cererea utilizatorului (dar nu uitați că dovedind acest fapt este responsabilitatea operatorului).
De la 1 iulie, amenzile au crescut pentru încălcarea prelucrării datelor cu caracter personal ale angajaților, deci merită să puneți ordine în documente și să instruiți personalul. Citiți mai multe despre lucrul cu date personale de la 1 iulie 2017 în acest articol.
Informatii personale este orice informație referitoare la un anumit angajat. De exemplu, numele complet, data și locul nașterii, locul de reședință etc. Angajatorul - organizație sau antreprenor individual - acționează în acest caz operator de date care i se cunoaște despre angajat și este obligat să stocheze aceste informații în conformitate cu procedura stabilită.
Numai angajații înșiși furnizează date personale angajatorului. Ulterior, aceste informații sunt de obicei rezumate în carduri sau fișiere personale. Dacă informațiile personale pot fi obținute de la terți, atunci angajatul ar trebui să fie notificat cu privire la acest lucru și ar trebui să se obțină consimțământul scris de la acesta (clauza 3, partea 1 a articolului 86 din Codul muncii al Federației Ruse).
Angajatorii nu au dreptul să primească și să proceseze date cu caracter personal care nu au legătură cu locul de muncă, de exemplu, informații despre date personale sau viață de familie... Și este posibil să distribuiți și să divulgați date cu caracter personal către terți numai cu acordul angajatului (articolul 7 din Legea federală din 27 iulie 2006 nr. 152-FZ).
De la 1 iulie 2017, au fost introduse noi amenzi pentru încălcarea cerințelor de prelucrare și protecție a datelor cu caracter personal. Prin urmare, este necesar să puneți lucrurile în ordine în documente și să instruiți subordonații, astfel încât compania și contabilul-șef să evite personal amenzile.
Prelucrarea datelor cu caracter personal de la 1 iulie 2017
Sarcina principală a angajatorului este protejarea datelor cu caracter personal ale angajaților. Procedura de primire, prelucrare, transfer și stocare a datelor cu caracter personal ar trebui să fie fixată într-un act local al organizației, de exemplu, în Regulamentul privind prelucrarea datelor cu caracter personal ale angajaților (articolele 8, 87 din Codul muncii al Federației Ruse , clauza 2 a părții 1 a articolului 18.1 din Legea nr. 152-FZ) ...
Organizația trebuie să numească oficial un angajat responsabil pentru lucrul cu datele personale (partea 5 a articolului 88 din Codul muncii al Federației Ruse). Acesta ar putea fi, de exemplu, un angajat în resurse umane.
Organizația trebuie să ia măsurile necesare pentru a proteja datele cu caracter personal de accesul neautorizat sau accidental la acestea, distrugerea, modificarea, blocarea, copierea, furnizarea, distribuirea. Măsurile de securitate pentru prelucrarea datelor cu caracter personal sunt prezentate în detaliu la articolul 19 din Legea nr. 152-FZ. Să le amintim.
Pentru a asigura securitatea personalului, este necesar să se identifice în timp util amenințările la adresa securității în timpul procesării, să se aplice mijloace fiabile de protecție și să se evalueze eficacitatea protecției, să se ia măsuri de prevenire a accesului ilegal la date, să se stabilească reguli pentru accesarea datelor, să se înregistreze și să țină evidența toate acțiunile atunci când lucrați cu date.
De la 1 iulie 2017 s-a extins lista motivelor pentru care angajatorul va fi adus la răspundere administrativă dacă se dovedește că ordinea de lucru cu date este încălcată. Modificările au fost introduse prin Legea federală nr. 13-FZ din 07.02.2017. Să vă spunem mai multe despre ele.
În loc de un tip de responsabilitate administrativă, care a fost înainte. acum articolul 13.11 din Codul de infracțiuni administrative al Federației Ruse prevede șapte puncte. Șase dintre ele privesc organizații și antreprenori individuali. Adică, pentru diverse încălcări ale angajatorilor atunci când lucrează cu date cu caracter personal, va fi posibil să se aplice amenzi diferite.
Exemple de erori în prelucrarea datelor cu caracter personal de la 1 iulie 2017
Au lăsat documente cu date personale pe masă ... Amenda pentru această încălcare este de 50 de mii de ruble pentru companie, 10 mii de ruble pentru contabilul șef (partea 6 a articolului 13.11 din Codul administrativ al Federației Ruse). Este imposibil să lăsați documentele angajaților pe afișaj public. Informațiile despre angajat pot fi folosite de persoane din afară.
Este necesar să se dezvolte o procedură pentru lucrul cu informații personale. De exemplu, este interzis să lăsați pe masă hârtii cu date cu caracter personal și să le scoateți din birou. Și păstrați documentele într-un seif sau dulap, unde accesul la acestea va fi limitat.
Nu i-a dat angajatului documente cu datele sale ... Ascunderea datelor personale de la o persoană reprezintă, de asemenea, o încălcare. Amenda este de 50 de mii de ruble pentru companie, de 5 mii de ruble pentru contabilul șef (articolul 5.27 din Codul administrativ al Federației Ruse).
Oferiți angajaților bilete de plată. Pentru a face acest lucru, acum nici nu mai trebuie să cheltuiți bani pe hârtie. Puteți trimite pliantele prin e-mail sau printr-un mesaj pe site-ul web al organizației dvs. Furnizați informații despre durata serviciului în termen de 5 zile calendaristice de la momentul în care angajatul solicită pentru acestea, precum și în ziua concedierii.
Nu am actualizat datele vechi ... Amenda va fi de 45 de mii de ruble pentru companie, de 10 mii de ruble pentru contabilul șef (partea 5 a articolului 13.11 din Codul administrativ al Federației Ruse). Datele despre angajați se pot modifica, deci trebuie să fie actualizate la cererea angajatului. De exemplu, un angajat s-a căsătorit și și-a schimbat numele de familie, adresa sau detaliile contului. Dacă compania nu actualizează informațiile, va încălca regulile de lucru cu datele.
Introduceți imediat informații noi în baza de date dacă angajatul a adus documente. Acest lucru vă va facilita completarea rapoartelor.
Informații plasate pe stand ... Amenda este de 75 de mii de ruble pentru companie, de 20 de mii de ruble pentru contabilul șef (partea 2 a articolului 13.11 din Codul administrativ al Federației Ruse). Datele cu caracter personal pot fi, de asemenea, divulgate accidental. De exemplu, contabilul șef a postat pe stand o copie a cererii angajatului de deducere a bunurilor ca eșantion. Documentul conține detalii personale, deci aceasta reprezintă o încălcare. Angajatul nu a consimțit să pună la dispoziția publicului informații despre el. Nici nu puteți posta informații pe tabloul de rușine. Pentru a face acest lucru, trebuie să solicitați consimțământul angajatului.
Nu dezvăluiți informațiile despre angajați fără consimțământ. Dacă trebuie să postați un eșantion, utilizați informații fictive.
A furnizat numele, adresa sau numărul de telefon al angajatului ... Costul încălcării este de 50 de mii de ruble pentru companie, 10 mii de ruble pentru contabilul șef (partea 1 a articolului 13.11 din Codul administrativ al Federației Ruse). Informațiile despre angajați nu trebuie transmise unor terți fără consimțământ, cum ar fi băncile sau agențiile de colectare. Pentru a transfera informații, solicitați consimțământul angajaților.
Este posibil să transferați informații despre un angajat la cererea altei organizații sau „fizicieni” numai dacă angajatul le-a dat procura de a primi informații. Consimțământul angajatului pentru prelucrarea datelor nu este necesar numai în cazurile prevăzute de lege. De exemplu, dacă un angajat cumpără ceva de la o companie și dorește să primească un cec electronic prin poștă sau telefon (scrisoare de la Ministerul telecomunicațiilor și comunicațiilor de masă din Rusia din 07.07.2017 nr. P11-15054-OG).
