26-06-2017

Об ответственности за нарушения закона о персональных данных с 1 июля 2017 года


С 1 июля 2017 года вступают в силу поправки к статье 13.11 КоАП РФ по поводу нарушений федерального закона о персональных данных, штрафы за которые увеличены в десятки раз.


Итак, административно назначаемые штрафы разделили теперь по видам нарушений и увеличили в десятки раз.

Сейчас протоколы о нарушениях федерального закона о персональных данных может выписывать только прокуратура. Штраф не зависит от вида нарушения и составляет для ИП или руководителя организации максимум 1000 рублей, а на саму организацию как юрлицо — 10 тысяч рублей. Процедура занимает много времени, штрафы сравнительно небольшие, поэтому проверки проводятся редко.

Но с 1 июля выписывать административные протоколы будет Роскомнадзор, а это значит, что административные дела пойдут быстрее.

Как сказано в пояснительной записке к поправкам в КоАП РФ, законодательные поправки разработаны по результатам правоприменительной практики Роскомнадзора, в которой, в свою очередь, отмечен рост количества жалоб сознательных граждан на незаконные действия операторов персональных данных, осуществляющих обработку персональных данных с нарушением законодательства в области персональных данных и, соответственно, количества выявленных нарушений. Таково официальное обоснование необходимости штрафования.

При этом введение драконовских штрафов сопровождается отсылкой к примеру Германии, где за соответствующие нарушения предусмотрены административный штраф в размере до 300 000 евро и конфискация незаконно полученной прибыли.

    Составы административных правонарушений в области персональных данных конкретизированы и дополнены. Теперь их стало семь. Так, к нарушениям федерального закона о персональных данных относятся:
  1. невыполнение оператором ПДн обязанности по обеспечению неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных;
  2. невыполнение оператором ПДн обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных;
  3. невыполнение оператором ПДн требования субъекта персональных данных о блокировании или уничтожении персональных данных;
  4. другие нарушения такого рода.

Нарушения в работе с персональными данными возможны лишь, если мы работает с персональными данными физических лиц, не являющихся ИП или, точнее сказать, не выступающих в качестве ИП.

Для коммерческих организаций и ИП это, как правило, работа с покупателями или подрядчиками, если они являются физическими лицами. Если нашими покупателями и/или подрядчиками являются организации или ИП, то требования закона о персональных данных не распространяются, так как сведения о юрлицах, их учредителях и руководителях, а также сведения об ИП являются общедоступными в объеме, содержащимся в ЕГРЮЛ/ЕГРИП.

  • Персональные данные — это любые данные о человеке, по которым его можно идентифицировать. В законе нет, к сожалению, перечня таких данных, поэтому приходится догадываться самим. Например, по имени или логину нельзя понять, что это за человек, а вот по имени и телефону или по имени и электронной почте — можно.
    Скорее всего, мы будем являться операторами персональных данных, если каким-то образом получаем от любых людей и где-то как-то храним следующую информацию в любом ее сочетании:
  • фамилию,
  • имя,
  • отчество,
  • почтовый адрес,
  • адрес телефонной почты,
  • номер телефона,
  • дату или место рождения,
  • фотографию человека,
  • ссылку на персональный сайт или соцсети,
  • профессию,
  • образование,
  • семейное положение,
  • уровень доходов
  • и так далее.

Поскольку контролировать соблюдение требований федерального закона о персональных данных будет теперь не прокуратура, а Роскомнадзор, то на распространенном примере любого сайта интернет-магазина посмотрим, что нам нужно сделать, чтобы избежать серьезных претензий Роскомнадзора и, как следствие, минимизировать возможность быть оштрафованными им.

Все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету — это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения — это тоже обработка персональных данных.

    Для того, чтобы правильно работать с персональными данными физических лиц и стараться не нарушать закон, нужно как минимум:
  1. зарегистрироваться в Роскомнадзоре в качестве оператора ПДн, направив лично или по почте уведомление установленной формы;
  2. получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
  3. опубликовать на сайте обязательно локальный акт - Политику в отношение обработки персональных данных и/или Политику конфиденциальности, официальное уведомление и так далее;
  4. запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
  5. использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
  6. сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
  7. удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
  8. научить своих работников аккуратно работать с персональными данными;
  9. хранить базы данных в надежном месте, защищать их от взлома и утечки.
    Законом допускается возможность не уведомлять о себе Роскомнадзор, если мы только:
  1. получаем и используем только данные своих работников по трудовым договорам в объеме сведений, требуемом для исполнения обязанностей работодателя, налогового агента и страхователя;
  2. персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более — распространяться;
  3. человек сам опубликовал эти данные в общем доступе;
  4. у нас есть только ФИО клиента и больше ничего.

Но даже в этих случаях опытные юристы рекомендуют нам все-таки уведомить Роскомнадзор.

Если же вы уверены, что уведомление в Роскомнадзор отправлять вам не нужно, то оформите все документы так, чтобы это было понятно при проверке. Например, следует прописать в локальном акте, что используются персональные данные только для исполнения конкретного договора. Или укажите, что веб-ресурс создан специально для размещения персональных данных в общем доступе по желанию пользователя.


    ➨ ➨ В зависимости от вида совершенного правонарушения штрафные санкции составят:
  • для граждан — от 700 до 5000 руб.;
  • для индивидуальных предпринимателей — от 5000 до 20 000 руб.;
  • для должностных лиц — от 3000 до 20 000 руб.;
  • для юридических лиц — от 15 000 до 75 000 руб.

.
Новые публикации на сайте
.
ОБ ИНФОРМИРОВАНИИ МИКРОБИЗНЕСА

Публикации на этом сайте посвящены вопросам, связанным с предпринимательской деятельностью ИП и ООО, относящихся к категории микропредприятий.

Публикации составляются на основе обзора открытых (общедоступных) данных органов государственной власти Российской Федерации и Воронежской области, свободно распространяемой информации сетевых изданий делового характера и справочно-правовых систем в телекоммуникационной сети "Интернет" с целью удовлетворения потребностей в получении специализированной информации, знаний и профессиональных компетенций в сфере предпринимательской деятельности.

Публикации на этом сайте не содержат информации, запрещенной в соответствии с действующим законодательством Российской Федерации.

Присоединяйтесь к бухгалтеру-36 в социальных сетях интернета!