С 1 июля 2017 года штрафы за нарушения при обработке персональных данных увеличены.




Постарайтесь не нарушать закон, так как с 1 июля 2017 года вступают в силу поправки в КоАП РФ, которые увеличивают штрафы для компаний за нарушения при обработке персональных данных и вводят семь новых составов правонарушений (Федеральный закон от 07.02.17 № 13-ФЗ, далее — закон № 13-ФЗ). Штрафы будут платить не только компании, но и работники, которые нарушили закон, включая юристов. Для того чтобы не нарушать закон, необходимо знать азы обработки персональных данных, которые касаются каждой компании.

  Что и кому грозит за нарушения в сфере персональных данных.   § За нарушения при обработке персональных данных компанию могут привлечь к гражданско-правовой и административной ответственности по статье 13.11 КоАП РФ. До 1 июля 2017 года максимальным наказанием для должностного лица был штраф в 1 тыс. рублей, а для компании до 10 тыс. рублей. § С 1 июля 2017 года вступает в силу закон № 13-ФЗ, который усиливает ответственность. Поправки вводят дополнительные составы правонарушений в статью 13.11 КоАП РФ и увеличивают штрафы. В частности, закон вводит ответственность юридических лиц за следующие нарушения: ü обработку персональных данных в случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП РФ), — штраф от 30 до 50 тыс. рублей; ü обработку персональных данных без согласия в письменной форме, когда закон требует получить такое согласие (ч. 2 ст. 13.11 КоАП РФ), — штраф от 15 до 70 тыс. рублей; ü неопубликование оператором политики в отношении обработки персональных данных, когда такая обязанность предусмотрена законом (ч. 3 ст. 13.11 КоАП РФ), — штраф от 15 до 30 тыс. рублей. § Работника могут привлечь к административной ответственности за те же нарушения. Дополнительно он несет материальную (п. 7 ст. 243 ТК РФ), дисциплинарную (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ) и даже уголовную ответственность (ч. 2 ст. 137 УК РФ). § К ответственности привлекут как работника-нарушителя ( например, скопировавшего базу клиентов на свою флешку и передавшего ее конкуренту ), так и работника, который несет ответственность за обработку персональных данных в компании на основании локальных нормативных актов.
  Какая информация относится к персональным данным.   Более конкретно перечень такой информации определен в Указе Президента РФ от 06.03.97 № 188: это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, которые позволяют идентифицировать его личность, за исключением сведений, подлежащих распространению в СМИ в случаях, установленных законом. § Обрабатываемые персональные данные обычно включают в себя следующие сведения о лице: ü фамилия, имя, отчество, год, месяц, дата и место рождения; ü адрес, семейное, социальное, имущественное положение; ü образование, профессия, должность, доходы; ü биометрические персональные данные. § А также, судами признаны как персональные данные: ü сведения о смерти гражданина (постановление АС Поволжского округа от 25.09.14 по делу № А49-2005/2014); ü номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.13 по делу № 33–9241/2015); ü фотографии гражданина (апелляционное определение Свердловского областного суда от 09.04.15 по делу № 33–5232/2015).
  Что входит в обработку.   § Обработка персональных данных — это любое действие с персональными данными. Она включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 закона № 152-ФЗ). Фактически персональные данные обрабатывает любая компания. § Дополнительные условия для обработки персональных данных соискателей и работников установлены гл.14 ТК РФ и разъяснениями Роскомнадзора от 14.12.12 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».
  Когда нужно уведомлять Роскомнадзор.   § Если компания обрабатывает персональные данные, она является оператором (п. 2 ст. 3 закона № 152-ФЗ). Оператор до начала обработки обязан направить уведомление в Роскомнадзор ( п. 1 ст. 22 закона № 152-ФЗ). § Направлять его не требуется, если компания обрабатывает персональные данные, в частности: ü только своих работников; ü для целей заключения и исполнения договоров (например, персональные данные контрагентов); ü без использования средств автоматизации (см. постановление Правительства РФ от 15.09.08 № 687). § Если компания не подпадает под исключения, которые указаны в законе № 152-ФЗ, составьте уведомление по официальной форме (Приложение № 2 к адм. регламенту, утв. приказом Минкомсвязи России от 21.12.11 № 346), то направьте его в территориальный орган Роскомнадзора по месту регистрации компании. § Отправить уведомление можно как на бумажном носителе, так и в форме электронного документа через портал «Госуслуги» (gosuslugi.ru) или официальный сайт Роскомнадзора (pd.rkn.gov.ru). Роскомнадзор внесет сведения о компании в реестр операторов в течение 30 дней с даты поступления уведомления. Проверить, включена ли компания в реестр, можно на официальном сайте ведомства.
  Как правильно собирать персональные данные.   § Чтобы собирать персональные данные, нужно получить согласие их владельца — субъекта персональных данных (подп. 1 п. 1 ст. 6 закона № 152-ФЗ). § Согласие должно быть конкретным, информированным и сознательным. Это значит, что перечень оснований для обработки должен быть указан в согласии как можно более конкретно, содержать срок обработки и порядок отзыва согласия. § Письменное согласие субъекта нужно для обработки специальных категорий персональных данных. Его можно получить на бумажном носителе или в электронной форме с усиленной квалифицированной электронной подписью. § Закон не устанавливает форму согласия на обработку персональных данных, за исключением особых сведений. Субъект может дать согласие в любой форме, которая позволит подтвердить факт его получения. Например, заполнить анкету на сайте. § Получать согласие на обработку в типовой форме договора рискованно. Суд может признать такой способ ненадлежащим, если потребитель не может изменить это условие — например, сделать отметку о согласии на обработку или отказе (постановления АС Северо-Западного округа от 18.07.16 по делу № А44-9647/2015, АС Уральского округа от 22.12.16 по делу № А76-5164/2016). § В случае спора именно оператор обязан доказать, что получил согласие на обработку. Поэтому заранее определите, какой тип персональных данных обрабатывает Ваша компания. В зависимости от этого разработайте форму получения согласия на обработку. Важный момент — субъект всегда вправе отозвать согласие (п. 2 ст. 9 закона № 152-ФЗ). В этом случае компания обязана прекратить обработку.
  Как получить согласие у работников.   § Работников надо ознакомить под роспись с документами компании, которые устанавливают порядок обработки персональных данных (п. 8 ст. 86 ТК РФ). Порядок можно прописать в трудовом договоре, правилах внутреннего трудового распорядка или других локальных актах. Ознакомление работников с этими документами нужно отдельно фиксировать — например, в специальном журнале. § Согласие работника на обработку персональных данных не нужно в следующих случаях: ü обработки персональных данных близких родственников работника в объеме, предусмотренном личной карточкой по форме Т-2; ü получения запросов от прокуратуры, правоохранительных органов, ГИТ; ü если обработка нужна для исполнения заключенного с работником договора или возложенных на работодателя обязанностей; ü если обработка связана с выполнением работником его трудовых обязанностей, в том числе при отправлении его в командировки.
  Как обезопасить персональные данные.   § Меры безопасности зависят от способа обработки данных. Если компания ведет автоматизированную обработку, на нее распространяются Требования, утвержденные постановлением Правительства РФ от 01.11.12 № 1119, и приказ ФСТЭК России от 18.02.13 № 21. Чтобы выполнить эти требования, нужно привлекать IT-специалистов. § Согласие на обработку персональных данных не нужно, если субъект сам сделал их общедоступными. Например, при регистрации на форуме или в социальной сети. Если субъект потом отзовет согласие на обработку, его можно не учитывать (подп. 10 п. 1 ст. 6, подп. 2 п. 2 ст. 10 закона № 152-ФЗ). § Для защиты персональных данных без автоматизации предусмотрены рекомендательные меры (ст. 19 закона № 152-ФЗ и п. 13–15 Положения, утв. постановлением Правительства РФ от 15.09.08 № 687). ü определить во внутренних документах перечень лиц, которые обрабатывают данные или имеют к ним доступ. ü раздельно хранить носители данных, которые обрабатываются в разных целях (например, персональные данные работников и клиентов).

 



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2017-07-25 Нарушение авторских прав и Нарушение персональных данных


Поиск по сайту: