Штраф обработка персональных данных

Ответственность за нарушение закона о персональных данных

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Таблица 1. «Виды ответственности за нарушение закона о персональных данных»

Вид ответственности

Нарушение

Санкция

Норма

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации

Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.

Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных

Предупреждение или административный штраф:

• на граждан – от 1 тыс. до 3 тыс. руб.;
• на должностных лиц – от 5 тыс. до 10 тыс. руб.;
• на юридических лиц – от 30 тыс. до 50 тыс. руб.

Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие

• на граждан – от 3 тыс. до 5 тыс. руб.;
• на должностных лиц – от 10 тыс. до 20 тыс. руб.;
• на юридических лиц – от 15 тыс. до 75 тыс. руб.

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных

Предупреждение или административный штраф:

• на граждан – от 700 до 1 тыс. руб.;
• на должностных лиц – от 3 тыс. до 6 тыс. руб.;
• на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.;
• на юридических лиц – от 15 тыс. до 30 тыс. руб.

Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

Предупреждение или административный штраф:

• на граждан – от 1 тыс. до 2 тыс. руб.;
• на должностных лиц – от 4 тыс. до 6 тыс. руб.;
• на индивидуальных предпринимателей – от 10 тыс. до 15 тыс. руб.;
• на юридических лиц – от 20 тыс. до 40 тыс. руб.

Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)

Предупреждение или административный штраф:

• на граждан – от 1 тыс. до 2 тыс. руб.;
• на должностных лиц – от 4 тыс. до 10 тыс. руб.;
• на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
• на юридических лиц – от 25 тыс. до 45 тыс. руб.

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них

• на граждан – от 700 до 2 тыс. руб.;
• на должностных лиц – от 4 тыс. до 10 тыс. руб.;
• на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
• на юридических лиц – от 25 тыс. до 50 тыс. руб.

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов

Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.

Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде

• на граждан – от 100 до 300 руб.;
• на должностных лиц – от 300 до 500 руб.;
• на юридических лиц – от 3 тыс. до 5 тыс. руб.

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ

Ш траф до 200 тыс. руб., либо обязательные работы на срок до 360 ч асов , либо исправительны е работы на срок до одного года, либо принудительные работы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет или без такового ) , либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет )

То же деяние, совершенное с использованием служебного положения

Ш траф от 100 тыс. до 300 тыс. руб. , либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет или без такового ) , либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет )

Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий

Ш траф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительны е работ ы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет или без такового ), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет )

Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан

Ш траф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование

Ш траф до 200 тыс. руб. , либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительны е работ ы на срок до двух лет, либо лишение свободы на тот же срок

Причинение лицу убытков в результате нарушения правил обработки его персональных данных.

Под убытками при этом понимаются:

• расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права;
• утрата или повреждение его имущества;
• неполученные доходы, которые лицо получило бы, не будь его право нарушено.

Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных

Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)

Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей

Иные нарушения в области персональных данных при их обработке

Штраф за нарушение закона о персональных данных

С 1 июля 2017 года вступили в силу поправки в статью 13.11 КоАП. Они связаны с нарушением Закона о персональных данных и касаются абсолютно всех.

Что нужно знать про работу с личной информацией россиян

Персональные данные — это любая информация о человеке, по которой его можно идентифицировать, в том числе: Ф.И.О., год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, доходы и другая информация.

• Любая компания, которая собирает, систематизирует, анализирует информацию о своих клиентах, подпадает под действие поправок к статье 13.11 КоАП. Сбор данных о сотрудниках, который происходит на этапе заключения трудового договора, также относится к сбору персональных данных.
• Если в вашей фирме хотя бы один работник или один клиент — физическое лицо, то законодательство о персональных данных налагает на вас серьезные обязательства.

Штраф за нарушение закона о персональных данных

• вы не разместили на сайте компании политику конфиденциальности.
  Штраф для ИП — 10 000 рублей, для компании — 30 000 рублей;
• вы обрабатываете персональные данные, не получив согласие от клиента.
  Штраф для компании — 75 000 рублей, для директора или ИП — 20 000 рублей.

Законом также предусмотрено уведомление Роскомнадзора. Но санкции за нарушение этого требования пока не введены. О том, кто должен регистрироваться, расскажем в этой статье чуть дальше.

Какие еще есть требования

К основаниям для наложение штрафа на оператора персональных данных относятся:

• невыполнение требований по уничтожению персональных данных,
• невыполнение требований по их обезличиванию,
• игнорирование запросов субъекта и отсутствие политики конфиденциальности при работе с персональными данными.

Сбор персональных данных внутри компании

Заключая трудовой договор с новым сотрудником, вы получаете от него множество персональной информации: данные паспорта, место прописки, номера телефонов, СНИЛС, информацию о семейном положении и т.д. Все вместе — это персональные данные.
В соответствии с Законом вы должны получить согласие на обработку персональных данных. Такое согласие пишется в произвольной форме. Вам нужно всего лишь вложить в личное дело каждого сотрудника такую бумагу. Второй вариант — включить пункт о персональных данных в трудовой договор.

Сбор персональных данных на рынке

Закон о защите персональных данных требует обеспечить конфиденциальность при обработке персональных данных. Получать данные, хранить, систематизировать, создавать базы адресов для рассылки и базы телефонов для обзвона разрешено только с письменного согласия человека, чьи данные обрабатываются.

Правда, важно помнить, что мы говорим о клиентах — физических лицах. Если вы продаете свои товары и услуги юридическим лицам, этот Закон мало повлияет на вашу деятельность.

В Законе есть семь исключений, но только одно из них можно применить к предпринимательской деятельности: когда обработка персональных данных осуществляется с целью исполнения конкретного договора, одной из сторон которого является обладатель персональных данных.

Если к вам придут с проверкой, по умолчанию будет считаться, что согласие владельца персональных данных отсутствует, если вы не докажете, что оно было получено.

Безопасность обработки персональных данных

В любой компании должны быть приняты «необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий» в соответствии с пунктом 1 статьи 19 Федерального закона о персональных данных.

Довольно непростое требование для многих компаний с организационной и финансовой точек зрения. Ранее Правительством РФ были приняты Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных и Положение о методах и способах защиты информации в информационных системах персональных данных.

Вы имеете право самостоятельно выбрать методы и способы защиты информации в своей компании. Сделать это нужно на основе выявленных вами угроз безопасности персональных данных и в зависимости от класса информационной системы.

Как не нарушить Закон

В компании собираются и хранятся персональные данные сотрудников. Чтобы обезопасить себя от штрафов и претензий со стороны проверяющих, нужно:

1. разработать положение о защите персональных данных. В него включить информацию о мерах как технического, так и организационного плана по защите данных. В том числе установить запрет на копирование, редактирование, пересылку и любое несанкционированное использование данных;
2. приказом утвердить список лиц, имеющих доступ к персональным данным;
3. внести пункт об использовании персональных данных во внутренние правила трудового распорядка, если такой документ есть в вашей компании;
4. получить от каждого сотрудника письменное согласие на обработку данных.

Чтобы безопасно работать с персональными данными клиентов, заказчиков, подрядчиков, если они физические лица, нужно выполнить ряд требований законодательства, провести ревизию договоров, сайтов, дополнить документы необходимыми пунктами и обеспечить контроль.

Новые штрафы в области персональных данных с 1 июля

Как многим известно, с 1 июля КоАП РФ пополнился новыми штрафами за «неправильную» обработку персональных данных («ПДн»).

В основном, внимание привлекает размер новых штрафов в статье 13.11 КоАП РФ. Если раньше с юр.лица могли потребовать до 10 тыс. руб. за нарушение, то теперь эта сумма увеличилась до 75 тыс. руб. Опасность создает и то, что штраф взыскивается за каждый случай нарушения, а, значит, компания может понести немалые потери при большом объеме работы с персональными данными, которая ведется юридически некорректно.

Неудивительно, что многие компании заинтересовались тем, касаются ли их нововведения и нужно ли им что-то предпринимать. Давайте разбираться.

Что такое персональные данные?

Формально ответ содержится в п. 1 ст. 3 ФЗ «О ПДн». Это:

«любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

Можно заметить, что буквальное толкование этого определения позволяет относить к ПДн практически любые сведения о человеке. Неудивительно, что на практике это вызывает споры о том, являются ли персональными данными сам по себе адрес электронной почты или, например, ФИО.

Справедливости ради, нужно отметить, что текущая судебная практика в большей степени склоняется к ограничительному толкованию рассматриваемого понятия и стоят на той позиции, что ПДн – это лишь те данные, которые позволяют идентифицировать конкретного гражданина.

Однако это не значит, что случайно попавший к вам адрес электронной почты imya.otchestvo.familiya@mestoraboty.ru не будет признаваться персональными данными.

Следовательно, даже собирая email ’ы через форму обратной связи на сайте, ваша компания может обрабатывать персональные данные.

Что такое обработка персональных данных и кто такой оператор?

Законодательство часто использует термин «обработка персональных данных».

Может сложиться впечатление, что речь идет о некой специфической деятельности. Однако это не так. Обработкой считается любое действие или операция с персональными данными, в том числе их хранение (п. 3 ст. 3 ФЗ «О ПДн»).

Оператор персональных данных – это тот, кто осуществляет их обработку. В ряде случаев оператор обязан уведомлять Роскомнадзор о начале обработки персональных данных, однако компания будет признаваться оператором даже без такого уведомления.

За какие ошибки можно поплатиться?

Итак, мы определились с понятиями. Теперь попробуем выяснить, за что и кого у нас будут штрафовать:

Ошибка № 1. Вы обрабатываете персональные данные без законных оснований (ч. 1 ст. 13.11 КоАП РФ)

Штраф: 50 000 ₽ (речь идет о максимальном штрафе для юридического лица).

Использовать чужие персональные данные нельзя просто так. Для этого нужно одно из оснований, перечисленных в ст. 6 ФЗ «О ПДн».

Самое банальное: получение согласия гражданина – субъекта персональных данных.

Но встречаются и другие основания. Например, обработка осуществляется в целях исполнения договора с субъектом персональных данных.

Проще говоря, либо нужно получить согласие на обработку персональных данных, либо убедиться, что закон разрешает вам такую обработку и без согласия гражданина.

Кстати, оператор должен заранее определять цели обработки ПДн и соблюдать их. Если вы выходите за пределы заявленных целей, то вас тоже ждет штраф до 50 тыс. рублей.

Кейс. Суды признали законным предписание Роскомнадзора, выданное в связи с тем, что коммунальная компания без согласия должников передавала сведения о них иной организации – расчетному центру (Постановление ФАС Уральского округа от 26.02.2014 № Ф09-73/14 по делу № А71-6910/2013).

Ошибка № 2. Вы не получили письменное согласие на обработку персональных данных (ч. 2 ст. 13.11 КоАП РФ)

Штраф: 75 000 ₽

В определенных случаях нужно получать письменное согласие на обработку персональных данных гражданина, которое составляется по определенной форме. Если письменное согласие не содержит всю информацию согласно перечню из ч. 4 ст. 9 ФЗ «О ПДн», то можно считать, что у вас его нет, и вы все равно будете нести ответственность.

Письменное согласие по специальной форме требуется, например:

• при обработке особых категорий «персональных данных» (речь идет о sensitivedata: сведениях о состоянии здоровья, интимной жизни, национальной принадлежности и т.д.);
• при обработке биометрических данных для установления личности гражданина (в том числе если речь идет об идентификации по фото);
• при передаче ПДн в страну, которая, по мнению Роскомнадзора, не обеспечивает их «адекватную защиту»* (например, в США, Гонконг или Швейцарию).

*В последнем пункте речь идет о странах, не являющихся участницами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не перечисленных в Приказе Роскомнадзора от 15.03.2013 № 274.

Кейс. Компания «Скартел» (бренд Yota ) осуществляла трансграничную передачу персональных данных в США без получения письменных согласий. Это послужило одним из оснований выдачи Роскомнадзором предписания об устранении нарушений законодательства, которое было признано судами законным (Постановление Девятого арбитражного апелляционного суда от 16.08.2016 по делу № А40-17595/16).

Ошибка № 3. Вы не опубликовали политику конфиденциальности (ч. 3 ст. 13.11 КоАП РФ)

Штраф: 30 000 ₽

Сведения о том, как вы защищаете чужие персональные данные и вообще какой политики придерживаетесь при их обработке, должны содержаться в специальном документе – политике конфиденциальности.

Этот документ предназначается и должен быть доступен для неограниченного круга лиц. Если Вы собираете данные через Интернет (в том числе через формы регистрации / опроса / подписки на новости), то политика конфиденциальности должна быть опубликована на вашем сайте.

Кейс. Юридическая компания опубликовала на сайте форму обратной связи, предусматривающую поля лишь для имени пользователя, темы сообщения и самого сообщения. Суд счел, что собираемые таким образом сведения могут относиться к ПДн, а, следовательно, на сайте должна быть опубликована политика конфиденциальности. Поскольку этого не было сделано, суд признал законным привлечение юридической фирмы к ответственности. Помимо прочего, суд отклонил довод о том, что отсутствие компании в реестре операторов персональных данных имеет значение для спора (Постановление Тамбовского областного суда от 04.10.2016 по делу № 4А-288/2016).

Ошибка № 4. Вы проигнорировали запрос гражданина о том, как обрабатываются его персональные данные (ч. 4 ст. 13.11 КоАП РФ)

Штраф: 40 000 ₽

Граждане вправе запрашивать информацию, касающиеся обработки их персональных данных. Например:

• на каком основании и для чего данные обрабатываются?
• кто имеет доступ к данным, кроме самого оператора и его работников?
• будут ли персональные данные передаваться за рубеж?

Если запрос содержит все необходимые реквизиты, подписан субъектом ПДн или его представителем («живой» или электронной подписью), то ответ на него, как правило, обязателен. Оператор вправе отказать в ответе, если в течение последних 30 дней уже дал достаточную информацию по такому же запросу.

Кейс. Заемщица обратилась в суд с требованием к микрофинансовой организации «Фреш кэш» предоставить информацию, касающуюся обработки ее персональных данных, предоставленных при заключении договора займа. Ответчик не смог представить суду доказательства о направлении ответа на данное требование, поэтому суд не только обязал МФО предоставить запрошенную информацию, но и взыскал символические 2000 ₽ морального вреда (Апелляционное определение Санкт-Петербургского городского суда от 18.04.2016 № 33-6906/2016 по делу № 2-8320/2015).

Ошибка № 5. Вы игнорируете требование об уточнении, блокировании или уничтожении персональных данных (ч. 5 ст. 13.11 КоАП РФ)

Штраф: 45 000 ₽

Ст. 21 ФЗ «О ПДн» устанавливает для операторов специальную процедуру того, что делать, если, по мнению субъекта персональных данных или Роскомнадзора, обработка ведется незаконно.

1. На период проверки обоснованности запроса персональные данные должны быть заблокированы.
2. Если ПДн будут окажутся неточными, то их нужно скорректировать в течение 7 рабочих дней после получения уточнений.
3. В течение 3 рабочих дней после получения соответствующего запроса неправомерная обработка ПДн должна быть прекращена оператором. Если обеспечить законные основания для обработки не удается в течение 10 рабочих дней, то данные должны быть уничтожены.

К слову, если цели обработки ПДн достигнуты оператором, то использование персональных данных нужно прекратить в течение 30 дней, уничтожив персональные данные. То же самое касается и случаев, когда согласие субъекта персональных данных было им отозвано. Обратите внимание, что последние два положения являются диспозитивными и могут изменяться условиями договора, заключенного с субъектом персональных данных.

Кейс. Компания «Скартел» (бренд Yota ) не уничтожала персональные данные, содержавшиеся в резюме кандидатов, в течение 30 дней после принятия решения о приеме на работу. Это послужило одним из поводов для выдачи предписания Роскомнадзором, которое было признано судами законным (Постановление Девятого арбитражного апелляционного суда от 16.08.2016 по делу № А40-17595/16).

Ошибка № 6. Вы не обеспечили сохранность / конфиденциальность при хранении материальных носителей персональных данных (ч. 6 ст. 13.11 КоАП РФ)

Штраф: 50 000 ₽

Речь идет о тех случаях, когда ПДн обрабатываются без использования вычислительной техники, что не исключает нарушения оператором условий в части безопасности материальных носителей персональных данных.

Под безопасностью, в данном случае, подразумеваются условия, при которых носители ПДн, во-первых, остаются в сохранности, а, во-вторых, исключают несанкционированный доступ со стороны третьих лиц.

В связи с этим следует обратить внимание на Постановление Правительства РФ от 15.09.2008 № 687, утверждающее «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Этим документом на операторов возлагаются такие обязанности, как:

• определения мест хранения ПДн и перечня лиц, имеющих к ним доступ;
• раздельное хранение ПДн, обрабатываемых в различных целях;
• самостоятельное определение мер по обеспечению безопасности и сохранности материальных носителей.

Административное наказание применяется в случаях наступления негативных последствий – таких, как неправомерный доступ третьих лиц к ПДн, уничтожение или распространение данных.

Кейс. Арбитражные суды Московского округа признали законным предписание Роскомнадзора, вынесенное «Почте России». Предписание было выдано в связи с нарушениями, допущенными отделениями в нескольких субъектах РФ, которые заключались в отсутствии мест хранения ПДн и отсутствии перечня лиц, обрабатывающих ПДн / имеющих к ним доступ (Постановление ФАС Московского округа от 11.10.2011 по делу № А40-129853/10-147-806).

Остается пожелать всем удачи и терпения в вопросе соблюдения законодательства о персональных данных!

Закон 152-ФЗ о персональных данных: как обезопасить бизнес от новых штрафов с 1 июля 2017

Штрафы за несоблюдение требований Федерального закона «О персональных данных» были повышены в соответствии с Федеральным законом от 07.02.2017 № 13-ФЗ. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей. При этом, если раньше в КоАП существовал только один, общий для всех случаев состав правонарушения в области персданных (ст.13.11 КоАП РФ), то теперь в данной статье появилось целых семь составов.

Чтобы избежать штрафов по 152-ФЗ, компаниям и ИП с 1 июля 2017 года следует внимательнее подходить к соблюдению требований закона о персональных данных.

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

1. С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона «О персональных данных».

2. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей.

3. Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. Закон не содержит конкретного перечня таких организаций.

4. Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре.

5. Обезопасить себя от штрафов можно, соблюдая 6 правил:

• исключить случаи нецелевого сбора и обработки данных;
• получать письменное согласие граждан на обработку их данных;
• знакомить граждан с политикой обработки персональных данных;
• отвечать на вопросы граждан о том, каким образом используются их персональные данные;
• выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении;
• обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д.

6. С 01.07.2017 начинает действовать упрощенный порядок привлечения к административной ответственности. Дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры.

Кого коснутся новые штрафы

Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. По закону они отнесены к операторам персональных данных и обязаны соблюдать законодательные ограничения.

Закон не содержит конкретного перечня таких организаций. Однако к ним можно отнести банки, страховые компании, операторов мобильной связи и интернета, медицинские организации, транспортные компании, учебные заведения и все те компании, при обращении в которые граждан просят указать личные данные или заполнить анкету.

Но и это еще не все. Закон распространяется на работодателей, получающих сведения от сотрудников как по трудовым договорам, так и по договорам гражданско-правового характера. Работодатели тоже являются операторами персональных данных с небольшой оговоркой. Если работодатель состоит с гражданином в трудовых или гражданско-правовых отношениях, ему не требуется уведомлять Роскомнадзор об обработке личной информации (ч. 2 ст. 22 Федерального закона № 152-ФЗ).

Также к операторам персональных данных относятся компании, имеющие собственные сайты с обратной формой связи и регистрацией пользователей, у которых запрашиваются личные сведения.

Подробнее о том, кто может не подавать уведомление в Роскомнадзор, читайте в статье «Кому не нужно уведомлять Роскомнадзор об обработке персональных данных».

Как обезопасить себя от штрафов: 6 правил

1. Исключить случаи нецелевого сбора и обработки данных.

Под данное нарушение попадают и случаи сбора излишней информации о гражданах. Например, когда сайт для новостной рассылки по e-mail требует от посетителей предоставить, скажем, паспортные данные. Это считается обработкой данных не по назначению, поэтому исключите подобные случаи из практики работы своей компании и сайта.

Данные действия образуют состав правонарушения по ч. 1 ст. 13.11 КоАП РФ. Штраф для предпринимателей – от 5 до 10 тысяч рублей, а для организаций – от 30 до 50 тысяч рублей.

2. Получать письменное согласие граждан на обработку их данных.

Согласие граждан на обработку персональных данных, когда это требуется по закону, операторы получают в соответствии с ч. 4 ст. 9 Федерального закона № 152-ФЗ. Исключений из этого правила не так много. Например, не требуется письменного согласия при получении персональных данных в личных, семейных целях (ч. 2 ст. 1 Федерального закона № 152-ФЗ).

В большинстве же случаев дополнительно к основному договору стороны должны подписывать соглашение об обработке персональных данных. Это соглашение может включаться в текст основного договора, или выступать в качестве отдельного документа. Согласие должно поступить лично от гражданина. Без его ведома передавать данные нельзя.

Самый банальный пример злоупотреблений в этой части – когда, например, оператор мобильной связи передает контакты абонентов без их ведома сторонним компаниям, и на телефонные номера граждан начинает поступать всевозможный спам.

Если письменного соглашения на обработку данных у компании нет, на граждан (ИП) наложат штраф в размере от 3 до 5 тысяч рублей, на должностных лиц от 10 до 20 тысяч рублей, а на юрлиц – от 15 до 75 тысяч рублей (ч.2 ст.13.11 КоАП РФ). Судя по судебной практике, ИП первый раз штрафуют как физлиц, а если нарушение повторяется, то уже как должностных лиц — руководителей ИП, так как во втором случае штраф выше.

Последствия неполучения письменного согласия контролерам будут неважны, а важен будет сам факт наличия или отсутствия такого согласия в письменной форме.

3. Знакомить граждан с политикой обработки персональных данных.

Эта информация должна находиться в свободном доступе и с ней должен иметь возможность ознакомиться каждый. Например, сайты вывешивают информацию о порядке работы с персданными на отдельных своих страницах.

В противном случае наступит ответственность по ч. 3 ст. 13.11 КоАП РФ. ИП заплатят штраф в размере от 5 до 10 тысяч рублей, а организации в размере от 15 до 30 тысяч рублей.

4. Отвечать на вопросы граждан о том, каким образом используются их персональные данные.

На практике бывают случаи, когда данные «утекают» третьим лицам, и клиентам компании начинает поступать всевозможная реклама от магазинов, медицинских центров и кредитных организаций. В этом случае клиент может потребовать от оператора персональных данных предоставить информацию о том, как используются и хранятся его личные сведения.

За игнорирование обращений граждан операторы персданных несут ответственность по ч. 4 ст. 13.11 КоАП РФ. Штраф для ИП – от 10 до 15 тысяч рублей, а для юрлиц – от 20 до 40 тысяч рублей.

5. Выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении.

Это нужно делать в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Неисполнение этой обязанности грозит штрафом по ч. 5 ст. 13.11 КоАП РФ. Для ИП штраф составит от 10 до 20 тысяч рублей, для организаций – от 25 до 45 тысяч рублей.

6. Обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д.

Ответственность за необеспечение сохранности личных сведений установлена ч. 6 ст. 13.11 КоАП РФ. Для предпринимателей – от 10 до 20 тысяч рублей, для компаний – от 25 до 50 тысяч рублей.

Ответственность для государственных и муниципальных органов власти

Штрафная ответственность предусмотрена и для государственных и муниципальных органов власти (ч. 7 ст. 13.11 КоАП РФ).

В своих документах (протоколах, сводках, решениях и т.д.) они должны обезличивать персональные данные граждан, не допуская указания их места жительства и полных ФИО.

В противном случае придется заплатить штраф в размере от 3 до 6 тысяч рублей.

Регистрация операторов персональных данных в Роскомнадзоре

Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре. Для этого необходимо подать уведомление об обработке (о намерении осуществлять обработку) персональных данных (ч. 3 ст. 22 Федерального закона № 152-ФЗ).

Для подачи уведомления об обработке персональных данных необходимо заполнить электронную форму на Портале персональных данных Роскомнадзора. Электронная форма уведомления об обработке персональных данных и порядок его заполнения также размещены на Едином портале государственных и муниципальных услуг (функций).

После заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных ее следует отправить в информационную систему Уполномоченного органа по защите прав субъектов персональных данных. Затем заполненную форму нужно распечатать и заверить надлежащим образом, скрепив подписью и печатью организации, после чего направить в соответствующий территориальный орган Роскомнадзора по месту регистрации компании-оператора персональных данных.

Что делать сайтам

Что касается сайтов (а сейчас они есть практически у любой компании), то основная масса нарушений здесь связана именно с нецелевым сбором и использованием персональных данных (ч. 1 ст. 13.11 КоАП РФ).

Например, нередко в форме регистрации на сайте используются такие поля, как «дата рождения» и «телефон», а в форме профиля пользователя — «отчество», «дата рождения», «место жительства» (страна, область/край, город).

Следует понимать, что для регистрации пользователя на большинстве сетевых ресурсов не требуется знать такие данные, как телефон и место жительства/регистрации пользователя. Из формы регистрации эти сведения следует убрать.

А из формы личного профиля лучше убрать такие сведения, как «профессия», «www-страница», Skype (или другой мессенджер) и «дата рождения».

Посторонним лицам (а ваша компания и является таким лицом) знать эту информацию ни к чему. Форма подписки на новости сайта должна собирать информацию только об e-mail пользователей. Форма регистрации может собирать имя, фамилию, e-mail и пол пользователя.

Сбор лишней информации при проверке могут посчитать нарушением.

Выполнение вышеописанных правил и знание закона позволят избежать ответственности за его нарушение. При этом следует учитывать одно немаловажное обстоятельство. Если раньше закон о персональных данных обходил вашу компанию стороной и никакой ответственности за его нарушение вы не несли, то с 1 июля все может измениться кардинальным образом.

Дело в том, что с этой даты начинает действовать упрощенный порядок привлечения к административной ответственности. Раньше дела в этой сфере возбуждала прокуратура (ст. 28.1 КоАП РФ). По новым же правилам (п. 58 ч. 2 ст. 28.3 КоАП РФ) дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры. На практике это означает, что количество штрафов и доведенных до суда дел может значительно увеличиться, и уйти от ответственности станет значительно сложнее.