Роскомнадзору могут предоставить право устанавливать требования к обезличиванию персональных данных

Законодательство не стоит на месте, и вот с 1 июля 2017 года введены новые штрафы за несоблюдение требований Федерального закона «О персональных данных» от 27.07.2006 №152-ФЗ (далее – Закон №152). Что нужно сделать уже сегодня, чтобы избежать административную ответственность?  Роскомнадзору могут предоставить право устанавливать требования к обезличиванию персональных данных

Кого могут наказать?

Согласно Закону №152-ФЗ, персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся физлицу, в том числе:

  • ФИО (вместе и даже по отдельности);
  • дата рождения;
  • адрес;
  • телефон;
  • email;
  • фотография;
  • ссылка на персональный сайт;
  • ссылка на профиль в социальных сетях.

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных.

Фактически любой владелец сайта, имеющий форму обратной связи, или любой работодатель является оператором персональных данных, и как следствие, обязан соблюдать требования Закона №152, так как попадает под административную ответственность.

Следует также различать: если физическое лицо записывает контакты своих знакомых в блокнот, чтобы просто не забыть поздравить их с днем рождения – это не сбор персональных данных. Если то же лицо выступает в качестве ИП, оказывая частные услуги на дому, к примеру, делает маникюр, и ведет такую запись – это сбор персональных данных. У клиентов в этом случае надо спрашивать согласие на него и нести ответственность за разглашение, если таковое случится.

За что могут наказать?

Нарушение №1: Обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями сбора персональных данных – самостоятельные виды административного нарушения (ч. 1 ст. 13.11 КоАП РФ). Приведем пример: организация-работодатель собирает персональные данные работников в отношении их религиозных предпочтений. Или организация передает персональные данные сторонним компаниям в рекламных целях (передаются ФИО, телефоны, регионы проживания, уровень дохода). Если в таких действиях работодателя не будет выявлено уголовного состава преступления, то можно будет применить административную ответственность. Штраф в данном случае: для граждан — в размере от 1000 до 3000 руб.; для должностных лиц – от 5 000 до 10 000 руб.; для юридических лиц – от 30 000 до 50 000 руб.

Нарушение №2: Обработка персональных данных работодателем, по общему правилу, возможна только с письменного согласия работников.

Обработка персональных данных без согласия работника в письменной форме, либо если письменное согласие не содержит обязательные сведения – это самостоятельное административное нарушение, предусмотренное в части 2 статьи 13.11 КоАП РФ. За него возможны штрафные санкции:

для граждан – в размере от 3000 до 5000 руб.; для должностных лиц (например, директор, кад- ровик или ИП) – от 10 000 до 20 000 руб.; для организаций – от 15 000 до 75 000 руб.

Нарушение №3: Оператор персональных данных (например, работодатель или интернет-сайт) обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

Оператор, осуществляющий сбор персональных данных в Интернете (например, через сайт), обязан опубликовать в Интернете документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу.

Штраф в данном случае предусмотрен пунктом 2 статьи 18.1 Закона №152-ФЗ (ч.3 статьи 13.11 КоАП РФ):

для граждан – от 700 до 1500 руб.; для должностных лиц (например, директора или главбуха) – от 3000 до 6000 руб.; для индивидуальных предпринимателей – от 5000 до 10 000 руб.; для организаций – от 15 000 до 30 000 руб.

Нарушение №4: Субъект персональных данных, то есть, физическое лицо, кому принадлежат эти данные, имеет права на получение информации, касающейся обработки его персональных данных, в том числе содержащей (ч. 7 ст. 14 Закона №152-ФЗ):

подтверждение факта обработки персональных данных оператором; — правовые основания и цели обработки персональных данных; — цели и применяемые оператором способы обработки персональных данных; — наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона; — обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; — сроки обработки персональных данных, в том числе сроки их хранения; — порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом; — информацию об осуществленной или о предполагаемой трансграничной передаче данных; — наименование или фамилию, имя, отчество и ад-рес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; — иные сведения, предусмотренные Федеральным законом или другими федеральными законами. В этом случае административная ответственность: для граждан – от 1000 до 2000 руб.; для должностных лиц (например, директора, кадровика или бухгалтера) – от 4000 до 6000 руб.; для индивидуальных предпринимателей – от 10 000 до 15 000 руб.; для юридических лиц (организаций) – от 20 000 до 40 000 руб.

Нарушение №5: Статья 21 Закона №152-ФЗ «О персональных данных» предусматривает, что в ряде случаев оператор обязан уточнять, блокировать или уничтожать персональные данные физических лиц.

Невыполнение оператором требования субъекта персональных данных или его представителя об уточнении, блокировке, уничтожении данных (если данные неполные, устаревшие, неточные, незаконно получены или не являются необходимыми для заявленной цели обработки).

Административная ответственность в этом случае: для граждан – от 1000 до 2000 руб.; для должностных лиц (например, директора, кадровика или главбуха) – от 4000 до 10 000 рублей; для ИП – от 10 000 до 20 000 рублей; для юридических лиц – от 25 000 до 45 000 руб.

Нарушение №6: Многие работодатели собирают персональные данные работников только «на бумаге» и не ведут никакой автоматизированной обработки, не имеют специальных программ для обработки баз данных.

Законодатели выделили для таких операторов (в частности, работодателей) новый вид правонарушения за необеспечение оператором при обработке персональных данных без использования средств автоматизации обязанности по сохранности персональных данных при хранении их материальных носителей, если это привело к неправомерному или случайному доступу к персональным данным. А это, в свою очередь, послужило причиной их уничтожения, изменения, блокирования, копирования, предоставления, распространения либо иного неправомерного действия. Если это произошло, то административная ответственность может наступить в виде административного штрафа:

для граждан – от 700 до 2000 руб.; для должностных лиц (например, руководителя) – от 4000 до 10 000 руб; для индивидуальных предпринимателей – от 10 000 до 20 000 руб; для организаций – от 25 000 до 50 000 руб. Указанные штрафы налагаются за каждое допущенное нарушение, поэтому изначально заявленная сумма штрафа от 15 000 до 75 000 руб. в итоге может вырасти до весьма внушительных размеров.

Кто может наказать?

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. В настоящее время это Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (Постановление Правительства РФ от 16.03.2009 №228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»).

Плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года. Таким образом, если в указанный период в вашей компании она проводилась и в дальнейшем вы не допускали каких-либо нарушений, в ближайшее время ожидать проверки не стоит. Если же за последние 3 года инспекторы не были у вас в гостях, то самое время подготовиться к их визиту. Но никогда не стоит забывать о внеплановых проверках, по заявлению или жалобе физических лиц.

О внеплановой проверке Роскомнадзор предупреждает за 24 часа. К сведению. Помимо Роскомнадзора проверить соблюдение работодателем требования законодательства в области персональных данных может Роструд. Положениями гл. 14 ТК РФ (наравне с Законом №152-ФЗ) определены требования к обработке персональных данных работников и гарантии их защиты. Инспекторы по труду наделены полномочиями по составлению протоколов об административных правонарушениях, в том числе предусмотренных ст. 5.27 КоАП РФ, в случаях нарушения трудового законодательства (пп. 16 ч. 2 ст. 28.3 КоАП РФ).

Федеральная служба по техническому и экспортному контролю (ФСТЭК) осуществляет надзор за техническими средствами обработки персональных данных за исключением криптографических средств. Кроме того, полномочиями по контролю за выполнением организационных и технических мер по обес-печению безопасности персональных данных при их обработке в информационных системах наделена ФСБ РФ. Надзорными полномочиями в сфере персональных данных обладает прокуратура в силу статьи 1 Федерального закона «О прокуратуре РФ» от 17 января 1992 г. №2202-1.

Какие персональные данные вправе получить работодатель?

Согласно ч. 1 ст. 57 ТК РФ в трудовом договоре обязательно указываются фамилия, имя, отчество работника, сведения о документах, удостоверяющих его личность, ИНН. Это значит, что каждый работодатель, заключая трудовой договор, получает информацию, относящуюся к персональным данным. Такая информация содержится в документах, предъявляемых работником при приеме на работу: — в паспорте; — в военном билете (у военнообязанных); — в свидетельстве о присвоении ИНН; — в страховом пенсионном свидетельстве; — в документах об образовании; — в водительском удостоверении и документах на машину, если это требуется в связи с исполнением трудовой функции; — в медицинской справке о прохождении медицинского осмотра (медицинской книжке), если это необходимо в связи с исполнением работником трудовой функции. Вся эта информация относится к персональным данным, и ее можно получить только от сотрудника. Если персональные сведения возможно получить только от третьих лиц, то сначала уведомите об этом сотрудника и получите от него письменное согласие.

При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и о последствиях отказа сотрудника дать согласие на их получение. Т

акой порядок предусмотрен в пункте 3 части 1 статьи 86 Трудового кодекса РФ. Работодатель не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника, например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п. Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в пункте 4 час-ти 1 статьи 86 Трудового кодекса РФ и статье 10 Закона №152. Получив персональные данные, работодатель обязуется их не распространять и не раскрывать треть-им лицам без согласия на то сотрудника (ст. 7 Закона №152-ФЗ).

Источник: http://svetich.info/publikacii/agrarnoe-pravo/zakon-152-fz-o-personalnyh-dannyh-kak-ob.html

Предлагается распространить обязанность по обезличиванию персональных данных на всех их операторов

30 августа Минкомсвязи вынесло на публичное обсуждение пакет поправок в законодательство, направленных на уточнение требований при обезличивании персональных данных и установление административной ответственности за их несоблюдение.

Первый законопроект устанавливает обязанность оператора при сборе персональных данных обезличивать их в установленных законом случаях и порядке. Также он вводит обязанность оператора, являющегося юрлицом, включать в политику обработки персональных данных правила работы с обезличенными данными в случае обезличивания персональных данных.

Читайте также:  Приостановка работы сайта как новый вид административного наказания

Из пояснительной записки следует, что проект разработан во исполнение поручения Президента РФ в целях защиты интересов субъектов персональных данных.

В настоящее время требования и методы, утвержденные Роскомнадзором по обезличиванию персональных данных, распространяются только на операторов, являющихся государственными или муниципальными органами.

При этом сейчас, согласно Закону о персональных данных, их обезличивание может осуществляться операторами, не являющимися государственными и муниципальными органами в отдельных случаях.

«Отсутствие утвержденных требований и методов по обработке персональных данных указанными операторами является существенным правовым пробелом, создающим существенную угрозу по защите персональных данных при их обезличивании такими операторами», – указано в пояснительной записке.

Второй законопроект направлен на внесение изменений в ч. 7 ст. 13.11 КоАП РФ.

Для оператора, не обезличивающего персональные данные либо не соблюдающего установленные для такого обезличивания требования или методы, установлена ответственность в виде предупреждения или штрафа.

Штраф в отношении граждан варьируется от 700 до 1,5 тыс. руб., должностных лиц – от 3 до 6 тыс. рублей, ИП – от 5 до 10 тыс. руб. Согласно поправкам, юрлицам за такие нарушения придется заплатить от 15 до 30 тыс. руб.

Проект закона предусматривает расширение субъектного состава правонарушения, предусмотренного указанной статьей. Ответственность планируют распространить не только на операторов персональных данных, являющихся государственными или муниципальными органами, но и на иных операторов таких данных.

Публичное обсуждение проектов продлится до 19 сентября.

Основатель и владелец юридической компании «Катков и партнеры», член Совета ТПП РФ по интеллектуальной собственности Павел Катков считает, что обезличивание персональных данных должно, с одной стороны, обеспечить их защиту, а с другой – предоставить возможность их обработки. «Проще говоря, операторам персональных данных будет дано право их обработки. Смысл этого лежит в экономической, маркетинговой, статистической и иных плоскостях их использования», – пояснил он.

Эксперт подчеркнул, что эти данные и их анализ – основа для выводов по поведению их владельцев, в том числе потребительскому поведению, предпочтениям, действиям в интернете, иным действиям. «При этом данные для такой обработки должны быть именно обезличенными, это важно», – заключил Павел Катков.

Юрист практики по интеллектуальной собственности и информационным технологиям адвокатского бюро «Качкин и Партнеры» Андрей Алексейчук считает, что в целом в данных законопроектах нет необходимости. Исходя из п. 9 ст.

3 Закона о персональных данных обезличенными данными являются данные, по которым невозможно, без использования дополнительной информации, определить их принадлежность конкретному субъекту ПД.

При этом для субъекта не важно, каким способом осуществляется обезличивание, если достигнут результат, установленный законом. «Установление обязанности оператора осуществлять обезличивание только определенными методами никак не увеличивает степень защиты прав субъекта ПД.

Кроме того, частные операторы зачастую и так ориентируются на требования Роскомнадзора при обезличивании данных, но у них должно быть больше свободы выбора в этом вопросе (с учетом того, что их цели и задачи часто меняются)», – отметил эксперт.

В то же время Андрей Алексейчук поддержал поправку об обязательном указании в Политике обработки персональных данных порядка работы с обезличенными данными.

«Поскольку сейчас объемы обработки обезличенных данных в коммерческих и маркетинговых целях достаточно высокие, их субъекты должны быть информированы о том, как обрабатываются, в том числе, и их обезличенные данные.

Кроме того, в текущих реалиях обезличивание уже не является аналогом уничтожения и не способствует надлежащей защите прав субъектов персданных».

Юрист заметил, что операторам, которые осуществляют обезличивание персональных данных не в соответствии с требованиями Роскомнадзора, придется изменить эти процессы.

Также всем операторам, которые работают с обезличенными данными, необходимо будет внести изменения в Политику.

«Кроме того, законопроект дает возможность Роскомнадзору установить более жесткие требования к обезличиванию, которые будут распространяться на всех операторов», – подытожил эксперт.

Источник: https://www.advgazeta.ru/novosti/predlagaetsya-rasprostranit-obyazannost-po-obezlichivaniyu-personalnykh-dannykh-na-vsekh-ikh-operato/

Защита персональных данных

Необходимость обеспечения безопасности персональных данных в наше время объективная реальность. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар.

Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника – в средство мщения, в руках инсайдера – товар для продажи конкуренту… Именно поэтому персональные данные нуждаются в самой серьезной защите.

Необходимость принятия мер по защите персональных данных (далее ПДн) вызвана также возросшими техническими возможностями по копированию и распространению информации.

Уровень информационных технологий достиг того предела, когда самозащита информационных прав уже не является эффективным средством против посягательств на частную жизнь.

Современный человек уже физически не способен скрыться от всего многообразия явно или неявно применяемых в отношении него технических устройств сбора и технологий обработки данных о людях.

С развитием средств электронной коммерции и доступных средств массовых коммуникаций возросли также и возможности злоупотреблений, связанных с использованием собранной и накопленной информации о человеке. Появились и эффективно используются злоумышленниками средства интеграции и быстрой обработки персональных данных, создающие угрозу правам и законным интересам человека.

Защита персональных данных – это требование бизнеса

Сегодня вряд ли можно представить деятельность организации без обработки информации о человеке. В любом случае организация хранит и обрабатывает данные о сотрудниках, клиентах, партнерах, поставщиках и других физических лицах.

Утечка, потеря или несанкционированное изменение персональных данных приводит к невосполнимому ущербу, а порой и к полной остановке деятельности организации.

Представьте себе работу кредитно-финансовой или телекоммуникационной компании, которая потеряла хотя бы часть информации о своих клиентах. Долго ли просуществует такая компания на рынке?..

Защита персональных данных – это требование законодательства

Понимая важность и ценность информации о человеке, а также заботясь о соблюдении прав своих граждан, государство требует от организаций и физических лиц обеспечить надежную защиту персональных данных.

Законодательство Российской Федерации в области ПДн основывается на Конституции РФ и международных договорах Российской Федерации и состоит из Федерального закона РФ от 27 июля 2006 г.N 152-ФЗ «О персональных данных», других федеральных законов, определяющих случаи и особенности обработки персональных данных, отраслевых нормативных актов, инструкций и требований регуляторов.

Источник: http://www.iso27000.ru/chitalnyi-zai/zaschita-personalnyh-dannyh/zaschita-personalnyh-dannyh

Закон «О персональных данных» — что нужно знать агентству

Многие агентства интересуются: что с этим законом делать? На что он влияет? Дело в том, что иностранные заказчики и представители иностранных компаний в России стали чаще спрашивать:

«Обеспечиваете ли вы защиту персональных данных, собираемых во время наших рекламных кампаний и поддержки сайта?».

Закон о локализации баз персональных данных на территории РФ, тесно связанный с законом «О персональных данных» и вступивший в силу 1 сентября 2015 года, сильно их напугал.

Эта статья отвечает на вопросы:

  • Что регулирует закон № 152-ФЗ «О персональных данных»?
  • Кто попадает под действие закона?
  • Какие основные требования закона № 152-ФЗ?
  • Какие существуют основные риски за невыполнение закона для организаций и должностных лиц?
  • Как лучше выполнить требования закона и показать это заказчикам?

Что регулирует закон № 152-ФЗ «О персональных данных»?

Закон регулирует все вопросы, связанные с обработкой (получением, хранением, передачей, удалением и т. д.) персональных данных физических лиц индивидуальными предпринимателями, юридическими лицами и бюджетными организациями. Организации и предприниматели обязаны правильно обрабатывать и защищать эти данные.

Персональные данные — это любая информация, относящаяся к физическому лицу. Даже связка имени и адреса электронной почты уже относится к персональным данным.

В агентствах обрабатываются, как минимум, персональные данные:

  • Сотрудников;
  • Близких родственников сотрудников;
  • Кандидатов на вакантную должность;
  • Клиентов.

Какие бывают персональные данные?

  • Специальные персональные данные: касаются расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
  • Биометрические персональные данные: характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
  • Общедоступные персональные данные: сделанные физическим лицом общедоступными или содержащиеся в специальных справочниках.
  • Иные персональные данные: все, что не попало ни в одну из вышеуказанных категорий.
  • К обработке специальных и биометрических персональных данных предусмотрены особые требования.

Кто попадает под действие закона?

Все предприниматели, физические и юридические лица, бюджетные организации, обрабатывающие персональные данные физических лиц. Их называют операторами персональных данных.

В первую очередь закон касается компаний, работающих в следующих сферах:

  • Реклама и диджитал;
  • Финансы и кредитование;
  • Медицина и фармокология;
  • Телекоммуникации;
  • Образование;
  • Офлайн- и онлайн-ритейл;
  • Гостиничное дело;
  • Бюджетные организации.

Эти компании чаще всего работают с персональными данными. Поэтому главный регулятор в этой сфере — Роскомнадзор — внимательно за ними следит.

Примеры обработки персональных данных в диджитал

В первую очередь, следят за видами обработки персональных данных, которые используются:

  • Для трудоустройства сотрудников и оформления им ДМС;
  • Для выдачи карт лояльности;
  • Для рекламных и новостных рассылок;
  • Для оказания услуг;
  • Для регистрации на сайтах и информационных системах;
  • Для звонков потенциальным клиентам.

Основные требования законодательства в области персональных данных

Разделим все требования для простоты на 4 группы. Работая с персональными данными, вы должны:

Подготовить пакет организационно-распорядительной документации. 2. Привести процессы работы с персональными данными в соответствие с законом. 3. Реализовать техническую защиту персональных данных в информационных системах.

Хранить базы с персональными данными на территории Российской Федерации.

Требования по подготовке внутренних организационно-распорядительных документов

Закон в ст. 18.1 требует от операторов персональных данных иметь локальные акты и политику, регламентирующую обработку и защиту персональных данных. Точного перечня необходимых документов не предлагается.

  1. При этом Роскомнадзор во время проверок компаний запрашивает перечень необходимых документов и сведений, которые на практике ему передают в виде копий внутренних документов.
  2. Поскольку точного перечня документов не существует, каждый оператор персональных данных составляет их по своему усмотрению на основании текста закона и подзаконных актов.
  3. Здесь вы найдете полный перечень необходимых документов, которых достаточно для соответствия требованиям.

Требования по приведению процессов работы с персональными данными в соответствие с законом

  • Персональные данные необходимо правильно собирать, обрабатывать и передавать.
  • Со всеми физическими лицами, у которых вы собираете персональные данные (например, через сайт клиента), должен быть заключен договор или взято согласие на их обработку.
  • С каждым контрагентом, которому вы передаете, предоставляете в доступ (например, другому агентству на субподряд) или от которого получаете персональные данные, необходимо заключить соглашение о поручении на их обработку.
  • Все сотрудники должны под роспись ознакомиться с внутренними документами организации по обработке и защите персональных данных и подписать обязательство о неразглашении.
  • В Роскомнадзор должно быть подано уведомление об обработке персональных данных.

Требования по технической защите персональных данных в информационных системах

Если персональные данные хранятся или как-то иначе обрабатываются в информационных системах (например, в «1С: Бухгалтерии», в базе данных сайта, CRM и других), нужно определить уровень их технической защищенности, составив соответствующий акт.

Затем нужно разработать модель угроз и на основании Постановления Правительства № 1119 и Приказа ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.

После этого разрабатывается и внедряется проект системы защиты. Внедрением может заняться сама компания или подрядчик, имеющий определенную лицензию ФСТЭК России.

Данное требование, по нашим данным, выполнили лишь 1% операторов. Во-первых, антивирус дорого стоит (закон говорит применять не просто антивирус, а сертифицированный ФСТЭК, при этом функционально они не отличаются, а по деньгам в 1.5–3 раза). Во-вторых, данное требование проверяется ФСТЭК и ФСБ России у малого и среднего бизнеса очень, очень, очень редко. Риск проверки крайне мал.

Требования по хранению баз персональных данных на территории Российской Федерации

  1. С 1 сентября 2015 года сбор и хранение персональных данных граждан Российской Федерации может происходить только на территории Российской Федерации.
  2. О месторасположении баз данных необходимо уведомить Роскомнадзор.
  3. Особенно это касается иностранных и российских компаний, чьи информационные системы полностью или частично располагаются за пределами РФ.
  4. Роскомнадзор дал операторам срок до конца февраля 2016 года, чтобы выполнить эти требования.

Кем проверяется выполнение требований закона?

Главный контролирующий орган: Роскомнадзор. Проверяет правильность обработки персональных данных и документы по персональным данным.

ФСТЭК России. Проверяет выполнение требований по технической защите.

ФСБ России. Проверяет выполнение требований по применению криптографии при обработке персональных данных.

Роскомнадзор проводит более 7000 плановых и внеплановых проверок в год, тогда как ФСТЭК и ФСБ — не более сотни проверок госсектора.

Если у Роскомнадзора к вам не будет претензий — можно сказать, что снято 99% рисков, связанных с данным законом.

Проверку локализации баз персональных данных Роскомнадзор проводит просто — запрашивает договор с российским хостинг-провайдером. После февраля проверка будет серьезнее и практичнее.

Кто несёт ответственность в случае, если хостинг-провайдер отечественный, а сервера использует зарубежные (т. е. пользователь может не знать, что его данные хранятся за границей)?

Ответственность лежит на конечном клиенте. Xостинг-провайдер может предоставлять зарубежные сервера, например, не для обработки и хранения данных персональных, а для вычислений.

Основные риски при невыполнении закона

По итогам проверок, мер систематического наблюдения и жалоб физических лиц Роскомнадзор и другие проверяющие органы могут накладывать штрафы, аннулировать лицензии, дисквалифицировать должностных лиц и блокировать сайты.

Основные риски:

  • Наложение на организацию штрафа до 300 000 рублей;
  • Наложение на должностных лиц штрафа до 10 000 рублей;
  • Разрыв трудового договора с должностным лицом;
  • Запрет руководителю занимать руководящие должности на срок до 3-х лет;
  • Блокировка сайта организации по жалобе физического лица;
  • Внесение компании в реестр нарушителей прав субъектов персональных данных.
Читайте также:  Сколько действительна копия трудовой книжки

С начала 2015 года по данным Роскомнадзора с организаций и должностных лиц было взыскано штрафов на 174 000 000 рублей.

С 1 сентября 2015 года Роскомнадзор имеет право без проверки, на основании жалобы физического лица заблокировать сайт организации за несоблюдение требований закона «О персональных данных».

Как лучше всего выполнить требования закона?

  • Собственными силами;
  • Привлечь юриста;
  • Обратиться к системному интегратору;
  • «Ждать, пока грянет гром»;
  • Использовать сервисы автоматизированной подготовки документов по персональным данным.

Рассмотрим каждый по отдельности.

Выполнение закона собственными силами

Чтобы выполнить требования, необходимо не только знать сам закон «О персональных данных» и подзаконные акты, но также разбираться в технических аспектах, чтобы описывать информационные системы персональных данных в организационно-распорядительной документации.

На поиск и разработку шаблонов документов по персональным данным, изучение законодательства и практику у вас или вашего сотрудника уйдет до 2-х месяцев. И это не даст гарантию результата: можно в чем-то ошибиться.

Выполнение закона с помощью юриста

  • Достаточно хороший способ, если у юриста или юридической компании, которой вы доверяете, есть необходимые знания по информационной безопасности.
  • Для подготовки документов по персональным данным, помимо знания самого закона, необходимо знать также подзаконные акты технического содержания и уметь регламентировать технические моменты.
  • При выборе такого варианта уточняйте у юриста — какие именно документы он будет разрабатывать, будет ли отображать в них технические моменты и имеет ли он опыт работы с Роскомнадзором.

Выполнение закона с привлечением системного интегратора

  1. К системным интеграторам, как правило, обращаются большие компании и крупные государственные учреждения.
  2. Плюсы: высокий уровень оказываемых услуг по информационной безопасности, гарантии, работа под ключ (разработка документации по персональным данным и внедрение технической защиты).
  3. Минусы: высокая стоимость (в большинстве случаев — переваливающая за 1 000 000 рублей) и долгий срок реализации проекта, связанный с негибкостью бизнес-процессов.

«Ждать, когда грянет гром»

Единственные плюсы: отсутствие любых затрат в краткосрочной перспективе.

Минусы: рано или поздно закон придется выполнить. И лучше это сделать, пока требования не ужесточились окончательно.

Работа по ужесточению штрафных санкций Роскомнадзором ведется — в первом чтении уже принят законопроект о повышении штрафов до минимальных 30 000 рублей и максимальных 300 000 рублей за одно нарушение.

Выполнение закона с помощью сервисов автоматизированной подготовки документов по персональным данным

  • Плюсы: простота и доступность людям, не являющимся специалистами по информационной безопасности; невысокая стоимость; оперативная подготовка документов и консультации экспертов по безопасности.
  • Некоторые из сервисов также предоставляют финансовые гарантии с возмещением штрафов Роскомнадзора и помощь в прохождениях проверок.
  • Явные минусы: способ не подойдет крупным государственным компаниям и не поможет с полноценным внедрением системы защиты персональных данных, проверяемой в госсекторе ФСТЭК России и ФСБ России.

Почему стоит решить вопрос с выполнением требований закона «О персональных данных» именно сейчас

  1. Это не только обязанность каждой частной или государственной компании, обрабатывающей персональные данные сотрудников и клиентов.
  2. Заказчики (особенно иностранные) стали запрашивать не только учредительные документы, но и документы по персональным данным, чтобы подтвердить выполнение закона.
  3. Закон стали использовать в качестве рычага давления не только органы исполнительной власти, но и конкуренты.
  4. Какой способ вы бы ни выбрали, важно в итоге выполнить требования закона, снизив риски для компании и должностных лиц.
  5. Источник картинки на тизере: Flickr

Источник: https://www.cossa.ru/152/116858/

Закон о персональных данных — с 1 января 2019 с комментариями, последняя редакция, что является, нарушение банком, основные положения

Сотрудничество с организациями немыслимо без заключения письменного соглашения сторон, т.е. без договора. Как часто вы заключали договор, последним пунктом которого вы соглашались на использование и хранение ваших личных данных в базе соответствующей организации?

Если после подписания какого-либо договора или же после короткого сотрудничества, например, с кредитными организациями вам звонили из других фирм и предлагали свои услугу подобного характера, будьте уверены, что ваши персональные данные разглашены и ваши права нарушены.

Краткий обзор

Информация о гражданах РФ относится к персональным данным лиц и защищается одноименным законом. Кроме того, закон о персональных данных защищает все права и свободы человека, его интересы, связанные с личной информацией о нем в  причинно-следственном отношении. Как информацию о вас защитить, чтобы сохранить и не нарушить ваши интересы, права и свободы.

Закон устанавливает и контролирует правила сбора личных данных, их обработки, хранения и возможной передачи. В нем можно найти информацию о случаях, в которых личная информация может передаваться, или когда личная информация не может быть получена, т.е. за лицом сохраняется право ее не разглашать.

ФЗ 152 полноправно действует с 23.01.2007 года. До этой даты персональные данные лиц были фактически не защищены, поскольку отсутствовал соответствующий закон, который бы устанавливал правила и контролировал их исполнение, связанных с получением, хранением и передачей личных данных.

В законе описываются права и обязанности операторов, которые принимают информацию о лицах и при необходимости передают в уполномоченные органы.

Существуют определенные требования к обработке персональных данных, их также можно найти в законе.

Любая информация, которая относится к персональным данным лица, может быть принятой и обработанной оператором только с согласия самого лица. Однако существуют случаи, когда разрешение субъекта не требуется. Данные исключения описываются в законе.

 Ответственность за нарушение

Сохранность личных данных, правильный сбор информации, передача ее третьим лицам, а также уведомление самого лица о том, что сотрудник сохраняет ваши персональные данные, ведет ответственный в организации человек, это может быть сотрудник отдела кадров или же любой другой назначенный человек, в том числе оператор.

Если оператор (бухгалтер, сотрудник отдела кадров, банковский служащий или другое назначенное лицо) допустил утечку информацию, или же информация была случайно разглашена, ответственность за нее несет он, а не субъект данной информации.

Наказание за нарушение закона о персональных данных может быть в виде штрафа, наложенного на самого сотрудника, принимающего персональные данные, и (или) на организацию, в которой случилась утечка данных.

Штраф за разглашение информации возлагается на каждый случай утечки, а не единожды на лицо, допустившее данную оплошность. В среднем штраф составляет от 500 до 1000 руб. с оператора, или же от 5000 до 10 000 руб. с организации.

Одна годовая проверка документации может выявить огромное количество нарушений, каждое из которых будет оштрафовано и обойдется юридическому лицу немалой суммой из бюджета организации.

В соответствии с Кодексом об административных нарушениях, если у юридического лица отсутствует Положение о личных данных персонала или клиентов, то при нарушении трудового кодекса организация может быть привлечена к административной ответственности. В таком случае сумма единовременных штрафов будет намного больше.

Кроме того, работу фирмы могут приостановить до выяснения всех необходимых обстоятельств до 3 календарных месяцев.

Уполномоченным органом, контролирующим выполнение закона о персональных данных, является Роскомнадзор. Если предписания этого госоргана не выполняются, на предприятие может быть наложен штраф в размере 20000 руб. Игнорирование запроса Роскомнадзора о персональных данных обойдется организации в 5 000 руб.

Оператора, который был назначен ответственным за работу над личными данными, могут привлечь к административной ответственности, дисциплинарной, материальной, гражданско-правовой или даже к уголовной.

Основные положения закона о персональных данных с 1 января 2019 года с комментариями ФЗ №152 в его новой редакции обязывает хранить все персональные данные, касающиеся граждан РФ, на серверах, которые находятся на территории России.

Операторы, работающие с личными данными граждан, должны вести соответствующие записи, собирать информацию и дополнять ее при необходимости только информацией, собранной на территории РФ и хранить ее тоже только на территории РФ.

Категорически нельзя использовать ту информацию, которая практически может находиться за пределами России, т.е. берется с источников, находящихся за пределами России. Даже используя сеть интернет, нельзя дополнять личные данные человека информацией с зарубежных сайтов, если эти сайты ведутся не на территории России.

При нарушении закона, Роскомнадзор может заблокировать ваш сайти или добавить его в свой черный список. Каждая ситуация нарушения рассматривается в индивидуальном порядке по решению суда. Удалить свои персональные данные, в случае обращения лицом и получения отказа от оператора, можно также при помощи судебного разбирательства.

В соответствии с данным законом, к персональным данным лица относится или может относиться абсолютно любая информация о лице как-либо с ним связанная. Последняя редакция закона пояснила этот момент гражданам, что к персональным данным относятся не только их полное имя, дата рождения и адрес по регистрации.

Персональные данные граждан относятся к типу информации конфиденциального характера. Любая организация, которая прямо или косвенно использует имена клиентов, реквизиты компаний, с которыми она работает, почтовый индекс кого-либо в своей переписке и т.д., должна позаботиться о полной сохранности этих данных, т.е. обеспечить систему защиты при помощи шифрования или других средств.

При отсутствии таковых компания рискует быть оштрафованной или закрытой до выяснения обстоятельств.

Кроме того, ФЗ №152 обязует операторов при использовании личных данных получить согласие лица на данную процедуру.

Способы обеспечения защиты личных данных компаниями, которых нет в законе 152:

  • построение дата-центров (мелкие организации не могут позволить себе данную процедуру в виду ее высокой стоимости реализации);
  • обезличивание личной информации (отделить данные от субъекта, при необходимости данные возвращаются на территорию РФ и объединяются с их владельцами);
  • скрывать месторасположение иностранного сервера, дублировать информацию о клиентах и отправлять на зарубежные серверы;

Когда применяется

Закон применяется с целью защиты лиц, когда осуществляется процесс обработки его персональных данных. Также закон применяется в тех случаях, когда может пострадать неприкосновенность вашей личной жизни, на которую вы имеете право, тайны личного характера или тайны вашей семьи.

ФЗ 152 не работает в случаях, когда персональные данные лица используются другими лицами исключительно в личных целях, т.е. без получения выгоды или с целью обогащения. Использование личных данных для архивных фондов также не является нарушением. Если информация о вас является составляющей государственной тайны, данный закон вас не защитит.

Что является персональными данными

Вся информация о вас, прямо или косвенно относящаяся к вам или вашей деятельности, в том числе ваше полное имя, дата рождения, место вашего проживания, все кредиты, оформленные вами когда-то, все ваши браки и прочее, относятся к персональным данным лица.

Какие отношения регулирует

Закон устанавливает правила работы между физическими лицами и юридическими, которые используют персональные данные граждан в своей работе. Задача закона предотвратить разглашение персональных данных лица, поскольку это может привести к нарушению прав, свобод и интересов граждан.

Практически, если вы даете свое согласие на обработку и хранение персональных данных какой-либо организации, например, банку, вы позволяете ему использовать эти данные только в работе, касающейся банковского дела конкретного банка, поскольку вы состоите с этой организацией только в отношениях займа или, например, кредита.

Имеет ли право банк передавать ваши персональные данные другим банкам – нет, подобное нарушение банком недопустимо в соответствии с ФЗ 152, и грозит уголовной ответственностью операторам и самому юридическому лицу.

Передача информации третьим лицам может осуществляться только при наличии письменного согласия лица.

В первую очередь, закон регулирует сам процесс обработки полученной информации. Она может быть получена государственными органами власти, муниципальными органами, а также частными предпринимателями, организациями или физическими лицами.

ФЗ 152 строго ограничивает права всех организаций, которые работают с персональными данными клиентов. Закон обязывает их устанавливать и использовать сложнейшие программы защиты их баз данных. Мелкие организации и фирмы не могут себе позволить подобную роскошь в виду ее высокой стоимостью.

Подписывая соглашение об использовании юридическим лицом ваших персональных данных, вы позволяете исключительно ему ваши данные хранить и применять только для своей работы, поскольку вас связывают определенные рабочие отношения. Разглашение личных данных может грозить вам нарушением прав и свобод, а организации немалым штрафом или же привлечением к уголовной ответственности.

Источник: http://zakonmaster.ru/zakon-o-personalnyh-dannyh/

Ответственность за нарушение требований ФЗ «О персональных данных»

Тема защиты персональных данных в последнее время особенно актуальна. Виной тому новые нормы об административной ответственности за нарушение Федерального закона от 27.07.2006 № 152 (далее – ФЗ «О персональных данных»).

С 1 июля 2017 года вступили в силу поправки[1] в статью 13.

11 Кодекса Российской Федерации об административных правонарушениях (далее – КоАП РФ), которые вносят существенные изменения в положения, устанавливающие ответственность за нарушение законодательства в области персональных данных.

Данные поправки значительно увеличивают штрафы для операторов персональных данных. Для юридических лиц максимальный штраф теперь составляет 75 000 рублей, тогда как до принятия поправок в КоАП РФ максимальный штраф составлял всего 10 000 рублей.

  • И хотя размер штрафа все равно остается намного меньше европейского (максимальный штраф по Регламенту ЕС[2] составит до 20 млн евро или 4 % от годового оборота за финансовый год), авторы законопроекта надеются на сокращение правонарушений в области персональных данных.
  • Не стоит, однако, забывать, что ответственность за нарушение ФЗ «О персональных данных» не ограничивается административными штрафами, отдельные нормы Трудового, Гражданского и Уголовного кодексов РФ также предусматривают санкции для операторов-правонарушителей.
  • Административная ответственность: новые составы, новые штрафы
Читайте также:  ФНС разъяснила вопросы оформления дополнительных мероприятий при проведении проверок

Административная ответственность за нарушение ФЗ «О персональных данных» предусмотрена, прежде всего, статьей 13.11 КоАП РФ, а также статьями 5.39 (отказ в предоставлении информации), 13.14 (разглашение информации с ограниченным доступом) и 19.7 КоАП РФ (непредоставление сведений).

Новая редакция статьи 13.11 КоАП РФ вводит семь новых составов административных правонарушений, заменяя существовавшую до этого весьма размытую формулировку. При этом состав административного правонарушения, предусмотренный седьмой частью статьи 13.11 КоАП РФ, относится лишь к государственным и муниципальным органам.

Отметим, что в изначальной версии законопроекта был предусмотрен еще один состав – обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости – со штрафом до 300 000 рублей. Однако в принятую редакцию статьи 13.11 КоАП РФ указанный состав не вошел.

Вводя семь новых составов в статью 13.11 КоАП РФ, законодатель лишь ужесточил ответственность за нарушение ФЗ «О персональных данных». Сами же требования, предъявляемые к обработке персональных данных, не изменились.

По части первой статьи 13.11 КоАП РФ гражданам, должностным и юридическим лицам будет вынесено предупреждение или штраф (для юридических лиц до 50 000 рублей) за обработку персональных данных в случаях, не предусмотренных законодательством, а также за обработку персональных данных, несовместимую с целями сбора персональных данных.

В частности, часть 2 статьи 10 ФЗ «О персональных данных» содержит перечень случаев, когда допустимо обрабатывать специальные категории персональных данных, т.е. данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.

Требования к целям обработки персональных данных указаны в части 2 статьи 5 ФЗ «О персональных данных».

Приведем простой пример. По общему правилу, на основании части 1 статьи 10 ФЗ «О персональных данных» работодатель не вправе собирать данные работника, касающиеся состояния здоровья последнего. В противном случае он может быть привлечен к ответственности по первой части статьи 13.11 КоАП РФ, так как обработка таких персональных данных не предусмотрена законодательством.

Исключение составляют, например, ситуации, когда деятельность работника непосредственно связана с движением транспортных средств (водители автобусов, пилоты самолетов и т.д.). В таком случае сбор данных о здоровье работника не будет нарушать законодательство.

Вторая часть статьи 13.11 КоАП РФ предусматривает ответственность в форме штрафа (для юридических лиц – до 75 000 рублей) за обработку персональных данных без согласия субъекта персональных данных, либо за обработку персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие.

Помимо отдельной статьи 9 ФЗ «О персональных данных», содержащей нормы о получении согласия субъекта на обработку его персональных данных, ряд иных статей ФЗ «О персональных данных», а также Трудового кодекса также определяют перечень случаев, когда требуется согласие субъекта.

В частности, пункт 3 статьи 86 Трудового кодекса обязывает работодателя получить письменное согласие субъекта на предоставление его персональных данных третьей стороной.

В соответствии с третьей частью статьи 13.

11 КоАП РФ оператору[3] будет вынесено предупреждение или штраф (для юридических лиц – до 30 000 рублей) за невыполнение обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике оператора в отношении обработки персональных данных, а также при необеспечении доступа к сведениям о реализуемых требованиях к защите персональных данных. Речь идет о нарушении части 2 статьи 18.1 ФЗ «О персональных данных», содержащей требование к опубликованию оператором политики в отношении обработки персональных данных.

Нарушение оператором обязанности по предоставлению субъекту информации, касающейся обработки его персональных данных, влечет административную ответственность в виде предупреждения или штрафа (максимальный штраф для юридических лиц составляет 40 000 рублей) по части четвертой статьи 13.11 КоАП РФ.

Список сведений, которые оператор обязан предоставить субъекту касательно обработки его персональных данных (например, правовые основания и цели обработки, информация об операторе, источник получения персональных данных), а также перечень случаев, когда субъекту может быть отказано в получении таких сведений, содержатся в статье 14 ФЗ «О персональных данных».

Так, субъекту может быть отказано в получении доступа к его персональным данным, например, если обработка персональных данных осуществляется в целях обороны страны, безопасности государства и охраны правопорядка, в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также если доступ субъекта к персональным данным нарушает права третьих лиц. Отказ в предоставлении информации должен быть мотивирован и составлен в письменной форме согласно статье 20 ФЗ «О персональных данных».

В соответствии с пятой частью статьи 13. 11 КоАП РФ оператор привлекается к административной ответственности в виде предупреждения или штрафа (для юридических лиц – до 45 000 рублей) за невыполнение требования субъекта, его представителя или уполномоченного органа об уточнении, блокировании или удалении персональных данных, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Перечень случаев, когда оператор должен уточнить, блокировать или удалить персональные данные, а также сроки для выполнения указанных действий регулируются статьей 21 ФЗ «О персональных данных». В частности, если персональные данные обрабатываются неправомерно, оператор обязан прекратить неправомерную обработку в течение трех рабочих дней с даты выявления факта такой обработки. А вот в случае, если субъект отозвал свое согласие на обработку персональных данных, у оператора будет целых 30 дней с даты поступления отзыва на прекращение обработки персональных данных или их уничтожение.

Шестая часть статьи 13.11 КоАП РФ связана с нарушениями при обработке персональных данных без использования средств автоматизации, а именно с невыполнением оператором условий, обеспечивающих сохранность персональных данных при хранении материальных носителей.

Речь идет о нарушении пункта 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации[4].

Однако ответственность в виде штрафа (для юридических лиц до 50 000 рублей) предусмотрена только в том случае, если обработка персональных данных повлекла неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных. Таким образом, по данной части статьи 13.11 КоАП РФ к административной ответственности оператор будет привлечен только при условии наступления негативных последствий, что является несомненным плюсом текущей редакции по сравнению с ранее действовавшей.

По седьмой части статьи 13.

11 КоАП РФ к ответственности в виде предупреждения или штрафа могут быть привлечены должностные лица государственных и муниципальных органов за невыполнение обязанности по обезличиванию персональных данных или несоблюдение установленных требований или методов по обезличиванию персональных данных. Требования и методы по обезличиванию персональных данных утверждены Приказом Роскомнадзора от 05.09.2013 № 996.

Таким образом, административная ответственность в соответствии со статьей 13.11 КоАП РФ за нарушение ФЗ «О персональных данных» теперь дифференцирована в зависимости от совершенного правонарушения и его тяжести.

Максимальный штраф для юридических лиц предусмотрен за обработку персональных данных без письменного согласия субъекта таких данных либо за обработку персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие субъекта на обработку его персональных данных.

Уголовная ответственность

  1. Нарушение ФЗ «О персональных данных» может повлечь и уголовную ответственность, прежде всего, по статье 137 (нарушение неприкосновенности частной жизни), а также по статье 140 (отказ в предоставлении гражданину информации) и статье 272 (неправомерный доступ к компьютерной информации) Уголовного кодекса РФ (далее – УК РФ).
  2. Первая часть статьи 137 УК РФ предусматривает ответственность в виде штрафа, обязательных, исправительных или принудительных работ, ареста или лишения свободы за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.
  3. Отметим, что дела по части первой статьи 137 УК РФ возбуждаются исключительно по заявлению потерпевшего или его законного представителя, что затрудняет привлечение к уголовной ответственности виновных лиц.

Гражданско-правовая ответственность

Гражданско-правовая ответственность за нарушение ФЗ «О персональных данных» может возникать в соответствии со статьями 150–152.2 Гражданского кодекса РФ (далее – ГК РФ).

Согласно второй части статьи 24 ФЗ «О персональных данных» субъекту персональных данных возмещается также моральный вред, причиненный вследствие нарушения его прав, нарушения правил обработки персональных данных. Как указано в статье 151 ГК РФ, суд может возложить на нарушителя обязанность денежной компенсации морального вреда.

Кроме того, ГК РФ в части 2 статьи 150 предусматривает защиту нематериальных благ путем признания судом факта нарушения личного неимущественного права субъекта, опубликования решения суда о допущенном нарушении, а также путем пресечения или запрещения противоправных действий.

Часть 3 статьи 152.1 ГК РФ закрепляет право гражданина требовать удаления своего изображения в сети Интернет, а также пресечения или запрещения дальнейшего распространения такого изображения.

Дисциплинарная и материальная ответственность

Статья 90 Трудового кодекса РФ (далее – ТК РФ) позволяет привлекать лиц, виновных в нарушении законодательства в области персональных данных, к дисциплинарной и материальной ответственности.

Разглашение ответственным работником персональных данных других работников может повлечь дисциплинарную ответственность в виде замечания, выговора или увольнения по подпункту «в» пункта 6 части 1 статьи 81 ТК РФ (разглашение охраняемой законом тайны). Порядок применения дисциплинарных взысканий установлен в статье 193 ТК РФ.

Кроме того, работник несет материальную ответственность в полном размере причиненного работодателю ущерба за разглашение сведений, составляющих охраняемую законом тайну в соответствии с пунктом 7 части 1 статьи 243 ТК РФ.

Ущерб работодатель может понести, например, вследствие вынужденного возмещения им морального вреда субъекту персональных данных.

В таком случае работник, виновный в нарушении законодательства о персональных данных, должен компенсировать работодателю сумму возмещения морального вреда в соответствии со второй частью статьи 238 ТК РФ.

Законодательство в области персональных данных не стоит на месте. Очевидно, что возникающие угрозы утечки персональных данных заставляют законодателя ужесточать ответственность за нарушения в области персональных данных. Поможет ли увеличение штрафов в борьбе с нарушениями – покажет время.

Операторам следует уделить особое внимание соблюдению законодательства в области персональных данных, в том числе разработать и принять положение об обработке персональных данных (или проверить на соответствие законодательству уже принятое положение), назначить ответственного за обработку персональных данных, разработать форму согласия субъекта персональных данных на обработку персональных данных и закрепить ее в локальном нормативном акте (или проверить на соответствие законодательству уже разработанную форму), получать такое письменное согласие во всех случаях, предусмотренных действующим законодательством, а также соблюдать иные требования законодательства в области персональных данных. Проведение полного комплекса мероприятий поможет подготовиться к проверке Роскомнадзора и избежать административных штрафов, гражданско-правовой ответственности, а физическим лицам – уголовной, дисциплинарной и материальной ответственности.

Внесены Федеральным законом Российской Федерации от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

Регламент ЕС № 2016/679 «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных», вступает в силу в мае 2018 года.

Напомним, что оператором является любое лицо, обрабатывающее персональные данные. При этом под обработкой понимается любое действие с персональными данными (сбор, хранение, передача и т.д.). Таким образом, операторами являются не только банки и страховые компании, но и, например, работодатели, т.к. они обрабатывают персональные данные своих работников.  Утверждено Постановлением Правительства от 15.09.2008 № 687.

Источник: https://www.vegaslex.ru/analytics/publications/responsibility_for_violation_of_requirements_of_the_federal_law_on_personal_data/

Ссылка на основную публикацию