Пока гром не грянет, мужик не перекрестится

Почти 11 лет на закон о персональных данных никто не обращал внимания. В основном потому, что штрафы были мизерные — 10 тысяч р. С 1 июля 2017 года штрафы вырастут в десять раз, что автоматически делает закон популярнее ждуна и видеоблогеров в Думе. Появилась куча статей, которые противоречат друг другу и дают советы разной степени абсурдности. Нужно ли заверять скриншоты у нотариуса? Электронная почта — это персональные данные или нет? Правда ли, что документы нужно хранить в сейфе? Мы тоже разволновались и решили все узнать у адвоката Алексея Головина, члена адвокатской конторы «Пелевин и партнеры».

1. Что случится 1 июля?

Вступят в силу изменения в КоАП. Сам закон о персональных данных (ПД) не меняется — ужесточается ответственность за нарушения. Штрафы вырастут в среднем в 10 раз. Самые злостные нарушители могут собрать комбо до 300 тысяч р.

2. Меня это касается?

Да. Любая фирма, которая собирает и ведет клиентскую базу, попадает под действие закона. Неважно, как именно вы собираете базу: через сайт, по телефону, письменную анкету или пр. А еще вы являетесь оператором персональных данных. И должны написать об этом в Роскомназдор. Исключение — журналисты, кадровики с данными сотрудников и те, кто с каждым клиентом заключает письменное соглашение.

3. Когда мою компанию проверит Роскомназдор?

Роскомназдор может прийти к вам по 2 поводам: плановая и внеплановая проверка. В конце года Роскомназдор публикует на своем сайте плани список юрлиц, которых будет проверять в будущем году. Дополнительно за 3 дня до проверки Роскомназдор отправит уведомление. Если вас в списке нет, это еще не значит, что можно расслабиться на год. Если кто-то из вашей клиентской базы пожалуется Роскомназдору на то, что беспричинно получает от вас рекламу, письма или смски, вас ожидает внеплановая проверка — без предупреждения.

4. Что относится к персональным данным (ПД)?

Всё, что позволяет персонализировать человека. ФИО, дата и место рождения, адрес, социальное и имущественное положение, образование, профессия, должность, доходы, биометрические данные. Это по закону. Судебная практика добавляет к ПД сведения о смерти, номер мобильного телефона, фотографии. Электронная почта типа kotik34@mail.ru не является ПД. Но вкупе с любыми другими ПД — это ПД.

5. Что нужно сделать на сайте?

На сайте нужно опубликовать пользовательское соглашение — документ, в котором прописана цель сбора данных, процессы сбора, обработки, хранения и передачи ПД. В соглашении должно быть написано, как клиент может изменить или удалить данные о себе из вашей базы. Ссылка на соглашение должна быть под каждой формой, которая собирает ПД. Есть 2 тонких момента.

Тонкий момент №1. После того, как клиент вошел в личный кабинет на сайте, ссылку под формами можно уже не показывать: достаточно 1 раз получить согласие клиента. 
Тонкий момент №2. Под формой может быть 
а) просто надпись "Нажимая на кнопку, вы соглашаетесь с нашей политикой обработки персональных данных", 
б) может быть фраза с чек-боксом и заранее поставленной в него галочкой, 
в) может быть фраза с пустым чек-боксом, куда клиент должен сам поставить галочку. 

Все 3 варианта приемлемы. Но если вы думаете, как адвокат, и всегда стремитесь к минимальному риску, вариант в) — лучший. Если будет суд, в первых двух вариантах придется доказывать, что клиент видел и понимал надпись, в третьем случае доказывать не нужно, потому что клиент совершил осознанное действие — поставил галочку.

6. Что нужно сделать внутри компании?

Придется написать ряд локальных нормативных актов: положение об обработке ПД, приказ о назначении ответственного лица. Все, кто собирает и обрабатывает ПД, должны быть ознакомлены с положением под роспись. Все документы нужно хранить в отдельном кабинете с ограниченным доступом, в сейфе. Это не шутка: уже были штрафы просто за то, что документы лежали на столе.

7. А можно скопировать пользовательское соглашение у других?

Можно. Но если будет проверка или суд, вас накажут. В соглашении должны быть правильно описаны процессы именно в вашей компании, и не факт, что в украденном тексте все будет совпадать. Даже если вы скопировали текст, проверьте его и дополните описаниями своих бизнес-процессов.

8. А если у меня иностранные партнеры или клиенты?

С партнерами (например, с иностранными сервисами рассылок) нужно обменяться договорами. Электронные копии годятся. Если вы работаете с иностранными клиентами, т.е. собираете персональные данные белорусов и перуанцев, все документы (пользовательское соглашение, локальные акты) должны соответствовать закону о ПД в Беларуси и Перу. В этом случае за ориентир берется самое строгое законодательство, и все документы пишутся под него. В противном случае перуанец может пожаловать в Перукомнадзор, тот пожалуется в Роскомназдор, и у вас будет внеплановая проверка

9. Куки и ремаркетинг относятся к закону?

Нет. Куки и ремаркетинг относятся к американскому законодательству. Предупреждение о том, что сайт использует куки, нужно, если вы работаете с американской аудиторией.

10. Нужно ли делать нотариально заверенные скриншоты?

Нет. Скриншоты могут пригодиться только в суде. Скриншот подтверждает, что в день, когда он был сделан, например, 12 марта 2015 года, на сайте была голубая галочка. Такой скриншот пригодится только в том случае, если дело касается именно 12 марта 2015 и голубой галочки. Поэтому нотариально заверенные скриншоты вряд ли вам нужны.

Когда точно нужен юрист?

Если вы хороший руководитель, отлично знаете процессы внутри компании, закон и подзаконные акты, вы можете самостоятельно составить все документы. Есть 2 случая, когда вам точно понадобится юрист. Во-первых, иностранные клиенты. Документы должны соответствовать закону той страны, где живет ваш клиент. В 90% это Россия. А если Казахстан? Боливия? Катманду? Юрист изучит законодательство этих стран, выберет самые жесткие требования и разработает документы под них. Во-вторых, оценка рисков. Если о законе вы слышите впервые, а компания работает не первый год на рынке, вы точно нарушитель. Предположим, компания работает с 2009 года, закон — с 2006. Компания не делала соглашений, не уведомляла Роскомназдор. Это значит, что 8 лет она обрабатывает персональные данные с полным пакетом нарушений. В этом случае юрист оценит риски, возможные штрафы и посоветует, как лучше выйти из ситуации.

Что может сделать копальщик?

Программист, верстальщик, контент-менеджер, агентство, которое делало сайт, не несут никакой ответственности за то, что ваша компания не соответствует закону о ПД. Что они точно могут сделать: опубликовать пользовательское соглашение, под формами поставить на него ссылку, расписаться во внутренних документах о том, что с положением о ПД они ознакомлены. Конечно же, по вашему требованию копальщик может скопировать чужое соглашение и выложить на ваш сайт. Но если проверка обнаружит подлог, отвечать будете вы, а не копальщик.

Для тех, кто начнет с нуля

Максимальный чек-лист

  1. Написать локальные нормативные акты, назначить ответственного за ПД, Сотрудников, которые работают с ПД, ознакомить с положением под роспись.
  2. Обменяться договорами с подрядчиками (сервисами почтовых рассылок, смс-рассылок и пр.) Можно обменяться электронными копиями.
  3. Положить все документы в сейф.
  4. Подготовить и опубликовать на сайте пользовательское соглашение.
  5. Под каждой формой сбора данных опубликовать ссылку на пользовательское соглашение.
  6. Отправить почтой или по интернету уведомление в Роскомназдор о том, что ваша компания является оператором персональных данных.

Для тех, кто хочет видеть весь текст закона

Ниже мы собрали все ответы на вопросы, но не русским языком, а языком закона — с номерами, ссылками и точными формулировками.

Что за закон? Краткое содержание

Федеральный закон от 27.07.06 № 152ФЗ «О персональных данных», далее — закон № 152ФЗ

Федеральный закон от 07.02.2017 № 13ФЗ О внесении изменений в Кодекс Российской Федерации об административных правонарушениях

Кого касается закон? Только интернет-магазинов? А СМИ? А журналистов? А обычных людей?

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Статья 2. Цель настоящего Федерального закона

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Уполномоченный орган - федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи. В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 г. N 228 "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций" данная функция возложена на Роскомнадзор.

В соответствии с п. 2 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

Зачем этот закон вообще нужен? Он вредный или полезный? Чем закон полезен хозяину сайта? Чем закон полезен хозяину персональных данных?

Статья 5. Принципы обработки персональных данных

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Поговорим про “обработку персональных данных”? Что относится к персональным данным? Что значит “обработка”? Кто такой “оператор персональных данных”?

Персональные данные — это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (п. 1 ст. 3 закона № 152ФЗ). Более конкретно перечень такой информации определен в Указе Президента РФ от 06.03.97 № 188: это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, которые позволяют идентифицировать его личность.

В работе юридических и кадровых служб компаний обрабатываемые персональные данные обычно включает в себя следующие сведения о лице:

— фамилия, имя, отчество, год, месяц, дата и место рождения;

— адрес, семейное, социальное, имущественное положение;

— образование, профессия, должность, доходы;

— биометрические персональные данные.

Судебная практика расширяет перечень персональных данных. Например, суды признавали персональными данными:

— сведения о смерти гражданина (постановление АС Поволжского округа от 25.09.14 по делу № А492005/2014);

— номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.13 по делу № 33–9241/2015);

— фотографии гражданина (апелляционное определение Свердловского областного суда от 09.04.15 по делу № 33–5232/2015).

Обработка персональных данных — это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 закона № 152ФЗ). Например, компания обрабатывает персональные данные, если собирает анкеты клиентов, ведет и хранит клиентскую базу, передает контакты клиентов в коллцентр, фиксирует паспортные данные посетителей офиса и т. д. Фактически персональные данные обрабатывает любая компания.

Как правильно собирать персональные данные

По общему правилу, чтобы собирать персональные данные, нужно получить согласие их владельца — субъекта персональных данных (подп. 1 п. 1 ст. 6 закона № 152ФЗ). Согласие должно быть конкретным, информированным и сознательным (п. 1 ст. 9 закона № 152ФЗ). Это значит, что перечень оснований для обработки должен быть указан в согласии как можно более конкретно, содержать срок обработки и порядок отзыва согласия (постановления АС Уральского округа от 29.09.14 по делу № А6031459/ 2013, Пятого ААС от 13.08.14 по делу № А5948/2014).

Письменное согласие субъекта нужно для обработки специальных категорий персональных данных — например, о национальной принадлежности и состоянии здоровья лица (ст. 10 закона № 152ФЗ). Согласие можно получить на бумажном носителе или в электронной форме с усиленной квалифицированной электронной подписью.

Закон не устанавливает форму согласия на обработку персональных данных, за исключением особых сведений. Субъект может дать согласие в любой форме, которая позволит подтвердить факт его получения (п. 1 ст. 9 закона № 152ФЗ). Например, заполнить анкету на сайте (постановление ФАС СевероЗападного округа от 13.12.10 по делу № А5673636/2009).

Получать согласие на обработку в типовой форме договора рискованно. Суд может признать такой способ ненадлежащим, если потребитель не может изменить это условие — например, сделать отметку о согласии на обработку или отказе (постановления АС СевероЗападного округа от 18.07.16 по делу № А449647/2015, АС Уральского округа от 22.12.16 по делу № А765164/2016).

В случае спора именно оператор обязан доказать, что получил согласие на обработку (п. 3 ст. 9 закона № 152ФЗ). Поэтому заранее определите, какой тип персональных данных обрабатывает ваша компания. В зависимости от этого разработайте форму получения согласия на обработку. Важный момент — субъект всегда вправе отозвать согласие (п. 2 ст. 9 закона № 152ФЗ). В этом случае компания обязана прекратить обработку.

Обработка персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных.

В соответствии с ч. 1 ст. 22 закона N 152-ФЗ "О персональных данных" оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.

Исключение составляют случаи, предусмотренные ч. 2 комментируемой статьи, при обработке персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Образец формы уведомления об обработке персональных данных и методические рекомендации по его заполнению размещены на официальном сайте Роскомнадзора www.rsoc.ru в информационно-телекоммуникационной сети "Интернет".

Кроме того, на портале Персональные данные реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме.

Кому нужно регистрироваться в Роскомнадзоре? Как?

Если компания обрабатывает персональные данные, она является оператором (п. 2 ст. 3 закона № 152ФЗ). Оператор до начала обработки обязан направить уведомление в Роскомнадзор (п. 1 ст. 22 закона № 152ФЗ).

Направлять его не требуется, если компания обрабатывает персональные данные, в частности:

— только своих работников;

— для целей заключения и исполнения договоров (например, персональные данные контрагентов);

— без использования средств автоматизации (см. постановление Правительства РФ от 15.09.08 № 687).

Проверьте, подпадает ли компания под исключения, которые указаны в законе № 152ФЗ.

Если нет, составьте уведомление по официальной форме (Приложение № 2 к адм. регламенту, утв. приказом Минкомсвязи России от 21.12.11 № 346). Направьте его в территориальный орган Роскомнадзора по месту регистрации компании.

Отправить уведомление можно как на бумажном носителе, так и в форме электронного документа через портал «Госуслуги» (gosuslugi.ru) или официальный сайт Роскомнадзора (pd.rkn.gov.ru). Роскомнадзор внесет сведения о компании в реестр операторов в течение 30 дней с даты поступления уведомления. Проверить, включена ли компания в реестр, можно на официальном сайте ведомства.

Какой план действий для того, кто осознал себя оператором персональных данных? Какие документы нужно подготовить? Что нужно изменить на сайте?

Роскомнадзор

В соответствии со статьями 22, 25 Закона №152-ФЗ «О персональных данных» организациям, осуществляющим обработку персональных данных, надлежит направить в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по СЗФО уведомление об обработке (о намерении осуществлять обработку) персональных данных.

Пункт 1 ст. 22 ФЗ «О персональных данных» обязывает оператора до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных

На сайте: Пользовательское соглашение: объем, порядок предоставления, хранения, обработки

Что делать с сервисами, которые хранят перс. данные не в России? Например, мы используем сервис электронных рассылок Mailchimp, который  находится в Америке.

Статья 12. Трансграничная передача персональных данных

1. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

2. Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных. Государство, не являющееся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности персональных данных.

3. Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных.

4. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

1) наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;

2) предусмотренных международными договорами Российской Федерации;

3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;

4) исполнения договора, стороной которого является субъект персональных данных;

5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Как Роскомназдор будет проверять сайты? По алфавитному признаку? Что будет если ничего не делать? Какое наказание за неисполнение закона?

Согласно Федеральному закону №294-ФЗ плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года.

Виды проверок Роскомнадзора

Проверки Роскомнадзора бывают плановыми и внеплановыми, документарными и выездными.

- Плановая проверка

О плановых проверках Роскомнадзор предупреждает заранее. За 3 дня по почте приходит  уведомление, в котором указано, какого числа будет проверка. Но каждая компания может заранее узнать, включена ли она в список тех, кого будут проверять в текущем году. План проверок опубликован на сайте Роскомнадзора.   

- Внеплановая проверка

Часто проводится по жалобам физических лиц. Например, люди могут жаловаться на нежелательную рекламную рассылку, SMS-спам, назойливые телефонные звонки. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.

- Документарная проверка

В этом случае Роскомнадзор запрашивает список документов, копии которых необходимо отослать в территориальный орган Роскомнадзора.

- Выездная проверка

При выездной проверке в компанию приезжают инспекторы. Обычно несколько человек. Инспекторы на месте проверяют, как компания выполняет требования Федерального закона №152-ФЗ.

В случае и с плановой, и с внеплановой проверкой у компании слишком мало времени на то, чтобы подготовиться и исправить все нарушения. Поэтому делать все нужно заранее.

Проверка Роскомнадзора: на что обращают внимание инспекторы? 

Прежде всего, инспекторы захотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.

Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании. Если информация не соответствует действительности, например, после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, ее могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.

Роскомнадзор просматривает сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.

Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Например, это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее. Инспекторам также может быть интересна форма согласия на обработку персональных данных.

Если компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта), то следует  обратить внимание на то, как составлен договор с этими компаниями. Согласно ч.3 ст.6 №152-ФЗ в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных. В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Роскомнадзор обязательно попросит копию договора.

В помещения, в которых обрабатываются персональные данные, должен быть контролируемый доступ. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.

Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами. Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.

В целом проверка Роскомнадзора не так страшна, как многим кажется. Если в компании документы поддерживаются в актуальном состоянии, подано уведомление и информация в нем соответствует реальности, в компании приняты все организационно-правовые меры, то контролирующему органу придраться будет не к чему.

Что и кому грозит за нарушения в сфере персональных данных

Ответственность за нарушение закона о персональных данных

Статьей 24 Закона «О персональных данных» установлено, что лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.

Административная ответственность за невыполнение требований законодательства в области обработки персональных данных установлена статьями:

- ст. 13.11 Кодекса Российской Федерации об административных правонарушениях устанавливает ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), (влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей).

С 1 июля 2017 года вступает в силу закон № 13ФЗ, который усиливает ответственность.

Поправки вводят дополнительные составы правонарушений в статью 13.11 КоАП РФ и увеличивают штрафы. В частности, закон вводит ответственность юридических лиц за следующие нарушения:

— обработку персональных данных в случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП РФ), — штраф от 30 до 50 тыс. рублей;

— обработку персональных данных без согласия в письменной форме, когда закон требует получить такое согласие (ч. 2 ст. 13.11 КоАП РФ), — штраф от 15 до 70 тыс. рублей;

— неопубликование оператором политики в отношении обработки персональных данных, когда такая обязанность предусмотрена законом (ч. 3 ст. 13.11 КоАП РФ), — штраф от 15 до 30 тыс. рублей.

- ст. 19.7 Кодекса Российской Федерации об административных правонарушениях устанавливает ответственность за непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление таких сведений в неполном объеме или искаженном виде (влечет наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц - от трехсот до пятисот рублей; на юридических лиц - от трех тысяч до пяти тысяч рублей).

Дела об административных правонарушениях, предусмотренных статьёй 13.11 КоАП РФ, возбуждаются прокурором и рассматриваются судом.

Дела об административных правонарушениях предусмотренных статьей 19.7 КоАП РФ, возбуждаются уполномоченным органом и  рассматриваются судом.

Уголовная ответственность за невыполнение требований законодательства в области обработки персональных данных установлена статьёй 137 УК РФ «Нарушение неприкосновенности частной жизни».

В случае выявления признаков нарушения неприкосновенности частной жизни (ст. 137 УК РФ) субъектов персональных данных материалы направляются в МВД.

Работника могут привлечь к административной ответственности за те же нарушения.

Дополнительно он несет материальную (п. 7 ст. 243 ТК РФ), дисциплинарную (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ) и даже уголовную ответственность (ч. 2 ст. 137 УК РФ).

Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных

1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, - влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей.

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его ерсональных данных, - влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от пятнадцати тысяч до семидесяти пяти тысяч рублей.

3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных - влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц - от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от пятнадцати тысяч до тридцати тысяч рублей.

4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, - влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц - от двадцати тысяч до сорока тысяч рублей.

5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, - влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до сорока пяти тысяч рублей.

6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния - влечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до пятидесяти тысяч рублей.

7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных - влечет предупреждение или наложение административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.

УК РФ, Статья 137. Нарушение неприкосновенности частной жизни

1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации - наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

2. Те же деяния, совершенные лицом с использованием своего служебного положения, - наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?

Согласно ч. 2 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" согласия субъекта персональных данных не требуется в следующих случаях:

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

Оцените статью: 
5
Средняя: 5 (2 оценки)