Всем, у кого есть сайт! С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей. Штрафы за персональные данные


штрафы, наказание за нарушение закона — новости в Т—Ж

В феврале внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Они вступят в силу 1 июля 2017 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные.

Штрафы разделили по видам нарушений и увеличили в десятки раз. Например, если не разместить на сайте политику конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а компанию — на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юрлица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч. Если нарушений несколько, то и штрафов будет несколько.

Нужно срочно привести в порядок свои сайты. Проверки уже идут 💻

Сейчас протоколы о нарушениях может выписывать только прокуратура. Штраф не зависит от вида нарушения и составляет для ИП или директора максимум 1000 рублей, а для юрлица — 10 тысяч рублей. Процедура занимает много времени, штрафы маленькие, поэтому проверяют редко и не всех.

С 1 июля выписывать протоколы будет Роскомнадзор — дело пойдет быстрее.

Как узнать, являюсь ли я оператором персональных данных?

Персональные данные — это любые данные о человеке, по которым его можно идентифицировать. В законе нет перечня таких данных, поэтому приходится догадываться самим. Например, по имени или логину нельзя понять, что это за человек, а по имени и телефону или имени и электронной почте — можно.

Основные понятия в законе о персональных данных

Скорее всего, вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:

  • фамилию,
  • имя,
  • отчество,
  • какой-то физический адрес,
  • электронную почту,
  • телефон,
  • дату или место рождения,
  • фотографию,
  • ссылку на персональный сайт или соцсети,
  • профессию,
  • образование,
  • уровень доходов,
  • семейное положение.

Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, — это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения — это тоже обработка персональных данных.

А если я записываю телефон друга или электронную почту девушки на сайте знакомств, мне нужно соблюдать этот закон?

Нет, не нужно. На данные для личных и семейных нужд закон не распространяется. Но если передать телефон друга коллекторам или опубликовать объявление с почтой девушки на форуме женоненавистников — это уже нарушение.

Что регулирует закон и когда он не действует

Как правильно работать с персональными данными, чтобы не нарушить закон?

Как минимум нужно:

  • получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
  • публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
  • запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
  • использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
  • сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
  • удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
  • хранить базы данных в надежном месте, защищать их от взлома и утечки;
  • научить сотрудников работать с персональными данными;
  • зарегистрироваться в Роскомнадзоре.

Условия обработки персональных данных

Что? Я должен еще где-то зарегистрироваться?

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более — распространяться;
  • человек сам опубликовал эти данные в общем доступе;
  • у вас есть только ФИО клиента и больше ничего.

Уведомление на сайте Роскомнадзора

У меня есть сайт, и я получаю персональные данные. Что мне делать?

Если вы до сих пор ничего не сделали, то вы уже нарушаете закон и вас уже сейчас могут оштрафовать. Даже если ваш сайт обслуживает веб-студия или удаленный айтишник, штраф всё равно выпишут на ту компанию или ИП, которые указаны на сайте.

Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны на всех страницах. Это может быть пользовательское соглашение, как у «Ламоды», правила продажи, как у «Читай-города», официальное уведомление, как у «М-видео», политика конфиденциальности, как у «Рестора», «Адидаса» или «Озона». Можно прописать условия обработки персональных данных в обычном договоре или оферте, как это делает Сбербанк.

Не используйте чужие документы. Их можно взять для ориентира, но список данных и цели использования нужно прописывать свои. То, что нужно банку для оформления кредита или интернет-магазину для доставки товара, не понадобится для электронной рассылки или доски объявлений. Запрашивать ненужные данные — нарушение закона и повод для штрафа.

Официальные рекомендации Роскомнадзора про политику обработки персданных

Реализуйте решение, которое позволит четко установить, что человек согласился на обработку персональных данных. Это может быть галочка в форме регистрации или предупреждение при оформлении заказа. Для надежности заверьте веб-страницы у нотариуса.

Подготовьте внутренние документы о хранении персональных данных и ответственности сотрудников, которые с ними работают. Приказы, регламенты и должностные инструкции не нужно выкладывать в общий доступ.

Если нужно, отправьте уведомление в Роскомнадзор. Если уверены, что уведомление отправлять не нужно, оформите документы так, чтобы это было понятно при проверке. Например, пропишите в политике, что используете персональные данные только для исполнения конкретного договора. Или укажите, что создаете ресурс, на котором данные размещаются в общем доступе по желанию пользователя.

Это правда, что хранить персональные данные можно только на российских серверах? Если у меня хостинг в Европе, я нарушаю закон?

В законе много непонятного по этому поводу. С одной стороны, собирать, обрабатывать и хранить базы данных нужно на российских серверах. Но при этом есть отдельная статья про трансграничную передачу данных. На сайте Минкомсвязи опубликованы разъяснения по этому поводу, но в них тоже много противоречий.

Сами делайте выводы, где хранить данные. Если не знаете, что делать, отправьте запрос в Роскомнадзор или Минкомсвязи. Еще можно обратиться к своему хостеру: чаще всего у таких компаний есть готовые решения.

Спросить у Минкомсвязи

Спросить в Роскомнадзоре

Да успокойтесь вы все! Никого не будут штрафовать из-за каких-то форм на сайте и ненужных бумаг.

В Тамбовской области прокуратура оштрафовала юридическую компанию за заполнение формы обратной связи без согласия пользователя на обработку персональных данных. Суды поддержали.

Директора управляющей компании оштрафовали за то, что он передал юристам данные должников, чтобы составить исковые заявления. Согласие на обработку персональных данных у жильцов он не получил. Конституционный суд ему не помог.

В Астрахани прокуроры штрафуют владельцев сайтов за формы обратной связи по алфавиту.

Постановление Тамбовского областного суда № 4А−288/2016

Определение КС № 100-О от 28.01.16 по делу директора УК

О штрафах в Астрахани в газете «Волга»

Кроме штрафов в пользу государства за нарушение правил обработки персональных данных могут взыскать компенсацию морального вреда и даже посадить в тюрьму.

В законе про персональные данные много непонятного. Мы разобрались и ответили на сложные вопросы.

journal.tinkoff.ru

Новые штрафы с 1 июля 2017 года за персональные данные

На портале правовой информации размещен подписанный Президентом РФ  Федеральный закон «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», устанавливающий новые размеры штрафов за нарушение законодательства Российской Федерации в области персональных данных, которые вступят в силу с 1 июля 2017 года.

Положения Федерального закона уточняют основания для применения мер административной ответственности за нарушение законодательства Российской Федерации в области персональных данных с учётом изменений, внесённых в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Изменения вносятся в основном в статью 13.11, а также в статьи 28.3 и 28.4 КоАП РФ.

Итак, что же изменится в области персональных данных с 1 июля 2017 года. Новая редакция статьи 13.11 содержит теперь семь конкретных составов правонарушений и предусматривает соответствующие им штрафы с самым высоким из них  – 75 тысяч рублей (для юридических лиц). В отличие от прошлой редакции ст.13.11, новая редакция статьи четко устанавливает случаи, за которые оператор ПДн может понести наказание. Например, раньше по ст.13.11 можно было наказать за нарушение ФЗ №242, с новой редакцией сделать это будет невозможно, так же как и сложно будет наказать за отсутствие уведомления Роскомнадзора.

Тексты статьи 13.11 коротко представлены на рисунке ниже. Более развернутое описание — можно скачать в виде таблицы. А постатейный разбор приведен в следующей статье.

Новые штрафы за персональные данные с 1 июля 2017 года

Напомним, что изменения в ст.13.11 готовились еще с декабря 2014 года, но работа над ними была надолго заморожена законодателями. Самым существенным моментом ранней версии этого законопроекта был относительно большой (до 300 000 рублей) штраф за неправомерную обработку персональных данных специальных категорий, но в принятой версии этот текст был убран:

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости в случаях, не предусмотренных законодательством Российской Федерации о персональных данных,— влечет наложение административного штрафа на граждан от трех тысяч до пяти тысяч рублей; на должностных лиц — от десяти тысяч до двадцати пяти тысяч рублей; на индивидуальных предпринимателей — от пятидесяти тысяч до ста тысяч рублей; на юридических лиц — от ста пятидесяти тысяч до трехсот тысяч рублей. 

Какие основные последствия принятия поправок? Их несколько:

  1. В связи с тем, что формулировка ст.13.11 стала более конкретна, многие эксперты выражают обеспокоенность (цинк, цинк), что схема назначения взыскания может измениться принципиально. Если по текущей редакции наказание могло быть одно за «нарушение установленного законом порядка…», по совокупности, сколько бы нарушений найдено не было, то новая формулировка ст.13.11 поменялась и она просто перечисляет семь составов правонарушений, за которые возможно составление отдельного протокола и назначение отдельного штрафа. Видимо, стоит ожидать увеличения общей суммы штрафа при проверке.
  2. Протоколы об административных правонарушениях, квалифицируемых по новой редакции статьи 13.11, будут после 1 июля составлять должностные лица Роскомнадзора и его территориальных управлений, а не прокуроры, как сейчас.  Срок привлечения к ответственности остается как и раньше – 3 месяца, но процедура привлечения к ответственности существенно упростилась: цепочка «территориальное управление Роскомнадзора» — «Прокуратура» — «Суд» сократилась, материалы будут двигаться быстрее и штрафов, скорее всего, станет больше.
  3. Не за все ранее квалифицируемые по ст.13.11 нарушения могут быть привлечены операторы  в соответствии с новой редакцией: данная статья не предусматривает, например, ответственности за невыполнение ФЗ № 242 о локализации баз персональных данных.

Теперь осталось дождаться 1 июля и посмотреть на практику правоприменения ст.13.11 в новой редакции…

 

Понравилось это:

Нравится Загрузка...

Похожее

iteranet.ru

Что будет, если нарушить закон «О персональных данных»

Об ответственности за нарушения 152-ФЗ говорится в самых разных законах. В первую очередь это КоАП, Трудовой кодекс, Гражданский кодекс и Уголовный кодекс. Обычно компания-нарушитель и её работники платят штрафы, однако только штрафами наказание не ограничивается.

Дисциплинарная ответственность

Глава 14 Трудового кодекса касается защиты персональных данных работников. Они могут обжаловать действия работодателя при обработке их персональных данных в судебном порядке, а виновные в нарушениях работники могут получить замечание, выговор или быть уволены. Увольнение по инициативе работодателя возможно за разглашение любой охраняемой законом тайны, в том числе персональных данных другого работника. Будьте осторожны, рассказывая кому-либо о своих коллегах.

Уголовная ответственность

Уголовный кодекс предостерегает от незаконного сбора или распространения сведений о частной жизни, составляющих личную или семейную тайну человека, без его согласия. Наказанием может стать штраф до 300 000 руб. и выше, принудительные работы, а также лишение свободы на срок до 4 лет. Не правда ли, суровое наказание за вторжение в частную жизнь?

Административная ответственность

Кодекс об административных правонарушениях даёт возможность оштрафовать физическое или должностное лицо, индивидуального предпринимателя или компанию за невыполнение 152-ФЗ на 10 000 руб. Штраф может быть наложен не только на компанию, но и на работника: руководителя или ответственного за организацию обработки персональных данных.

Также компания может быть оштрафована на сумму до 20 000 руб., если не выполнит в срок предписание Роскомнадзора или не ответит на его запрос. Нарушения трудового законодательства, в том числе главы 14 Трудового кодекса, наказываются штрафом до 50 000 руб. Для компании может стать неприятной новостью, что не только Роскомнадзор, но и Трудовая инспекция интересуется тем, как она осуществляет обработку персональных данных.

Гражданско-правовая ответственность

Закон «О персональных данных» даёт физическим лицам право на возмещение морального и имущественного вреда, а также понесённых убытков. Размер возмещения будет определяться судом, и заранее он ничем не ограничен.

Лучший способ обезопасить себя и свою компанию от штрафов и других видов ответственности — аккуратно выполнять требования законодательства о персональных данных. Это очень просто сделать с помощью нашего сервиса.

152.kontur.ru

Чем грозит нарушение Закона "О персональных данных?

Правовая защита персональных данных регулируется Федеральным законом 152 ФЗ. Предписывается обработка такой информации, а также ее хранение и ликвидация. Учитываются аспекты предоставления сведений по запросу органов власти, а также регламентируется использование информационных систем для обеспечения надлежащего доступа. В отдельном порядке регулируется назначение штрафов и иных взысканий за распространение личных сведений.

Что такое персональные данные?

Федеральный закон «О персональных данных» принят 8 июля 2006 года, вступил в силу через полгода после официального опубликования. Редакция документа дорабатывалась и актуализировалась, поправки вносились с целью устранения неточных формулировок и приведения правового акта во взаимодействие с иными законами. Последние изменения были внесены 29 июля 2017 года.

Структурно Закон «О персональных данных» подразделяется на следующие главы:

  • общие положения, включающие в себя цель принятия подобного акта и сферу его регулирования, а также основные понятия и место правовых норм в законодательстве РФ;
  • принципы и условия обработки соответствующей информации;
  • права субъекта персональных данных – гражданина, личные сведения которого регулируются действием закона 152 ФЗ;
  • должностные обязанности оператора – физического или юридического лица, осуществляющего сбор и хранение информации;
  • государственный надзор за хранением и обработкой полученных сведений, ответственность и назначение штрафов.

Согласно положениям ФЗ 152 под персональными данными понимается любая информация, которая прямо или косвенно относится к определенному лицу – субъекту. Во избежание штрафов обработку таких сведений осуществляют по следующим принципам:

  • законность и справедливость;
  • четкое определение целевого назначения, в рамках которого допускается обработка персональной информации;
  • не допускается объединять базы данных, цели и назначение которых отличаются друг от друга;
  • объем персональной информации определяется целью ее сбора, не допускается избыточность получаемых сведений, в противном случае налагается взыскание в виде штрафа;
  • учитываются такие аспекты как точность, достаточность и актуальность информации;
  • срок хранения не должен выходить за рамки достижения поставленной цели, после такового сведения подлежат уничтожению или обезличиванию.

Законом предписывается сохранение конфиденциальности персональных данных. Не допускается их разглашение операторами третьим лицам, а также их распространение и использование без согласия субъекта. В отдельных случаях обработка может осуществляться только с письменного разрешения гражданина. В случае нарушения на оператора накладывается взыскание — штраф или иная ответственность.

Скачать Федеральный закон «О персональных данных» можно по ссылке. Документ представлен со всеми изменениями, актуальными на 2017 год.

Нарушение предписаний законодательства влечет за собой ответственность. Чаще всего она выражается в виде штрафа, однако в отдельных ситуациях может повлечь за собой и более серьезное наказание.

Наказание за нарушение Закона «О персональных данных»

Штрафы по ФЗ 152 определяются статьей 24 об ответственности за нарушение Федерального закона «О персональных данных». Указанное положение ссылается на взыскания, предусмотренные законодательством. В штрафы включается и моральный вред, а также расходы, понесенные субъектом в связи с разглашением его данных.

Чтобы определить нормы законодательства по штрафам следует рассмотреть дополнительные правовые документы. Кодекс об административных правонарушениях определяет сумму штрафа в 10 тыс. рублей. Взысканию может быть подвергнуто физическое или должностное лицо, а также компания, за нарушение предписаний ФЗ 152.

Однако последние изменения в его положения предписывают штраф до 75 тыс. рублей. Также упростилась процедура взыскания.

Штраф в 20 и 50 тыс. ждет компанию в том случае, если не будет выполнено предписание Роскомнадзора или Трудовой инспекции соответственно. Последняя проводит проверку в соответствии с главой 14 ТК РФ, которая также защищает персональные данные работников от разглашения и предписывает ответственность за нарушения.

Статья 90 ТК РФ указывает на дисциплинарную, материальную, гражданско-правовую, административную или уголовную ответственность. Согласно данному положению взыскание к нарушителю может применяться не только в виде штрафа или увольнения, но и в виде лишения свободы.

Последний пункт определяется статьей 137 УК РФ. Она предписывает ответственность за нарушения неприкосновенности личной жизни. Такое наказание определяется в связи с использованием должностного положения и разглашением персональной информации. Если действия оператора попадут под действия данной статьи, то ему грозит штраф до 300 тыс. рублей, принудительные работы или лишение свободы до четырех лет.

Нарушением, способным повлечь за собой уголовное наказание, может трактоваться и сбор избыточной информации. Под таковой понимается получение персональных сведений, не требуемых для достижения поставленных целей. В этой ситуации изначально следует предписание исключить их сбор и только потом штраф или уголовная ответственность.

Если у Вас есть вопросы, проконсультируйтесь у юриста

Задать свой вопрос можно в форму ниже, в окошко онлайн-консультанта справа внизу экрана или позвоните по номерам (круглосуточно и без выходных):
  • +7 (499) 404-01-39 — Москва и обл.;
  • +7 (812) 494-88-69 — Санкт-Петербург и обл.;
  • +7 (499) 404-01-39 — все регионы РФ.

Похожие законы

210fz.ru

Штрафы за нарушение 152-ФЗ: как их избежать

С 1 июля 2017 года введены в действие поправки в Кодекс по административным правонарушениям, которые увеличивают штрафы за нарушения федерального закона №152 «О персональных данных». ИП и особенно юрлица, у которых есть сайты, сильно рискуют.

В Интернете активно цитируют афоризм Салтыкова-Щедрина о том, что строгость российских законов компенсируется необязательностью их исполнения. Как обычно, люди думают, что их это не коснётся.

Буквально только что прочитал в блоге одного SEO-шника рекомендацию: выждать пару месяцев и посмотреть на правоприменительную практику. Парень просто не в курсе: решения судов уже есть, вплоть до Конституционного. Закон действует второй год, а новые поправки только изменяют суммы штрафов.

Персональные данные: что к ним относится

Самое простое определение персональных данных: это данные, на основе которых можно идентифицировать человека. Например, зная номер телефона и ФИО человека, его можно идентифицировать. А зная только электронный адрес — как правило, нельзя.

К персональным данным относится следующее:

  • фамилия, имя, отчество;
  • адрес;
  • E-mail;
  • телефон;
  • дата рождения;
  • место рождения;
  • личное фото;
  • ссылка на личный сайт;
  • ссылка на страничку в социальной сети;
  • профессия;
  • образование;
  • доходы;
  • имущественное положение;
  • семейное положение;
  • раса;
  • философские убеждения;
  • религиозные убеждения;
  • национальность;
  • состояние здоровья;
  • состояние интимной жизни;
  • другое.

Если ваш сайт собирает что-то из перечисленного, то вы должны быть зарегистрированы в Роскомнадзоре как оператор персональных данных.

Предварительно нужно выполнить ряд требований: хранить базу данных сайта, включающую заказы и обращения пользователей, на территории России, подготовить пакет документов предприятия по работе с персональными данными, проинструктировать сотрудников и т.п.

Почему не штрафовали раньше

Штрафовали! Это не получило широкой огласки, потому что суммы были меньше, а занималась этим только прокуратура. Известно о нескольких случаях:

  1. Прокуратура Астрахани зимой решила проверять все фирмы по алфавиту. При наличии на сайте формы обратной связи брали штраф.
  2. В Тамбовской области прокуратура оштрафовала за форму обратной связи юридическую фирму. Областной суд поддержал.
  3. Управляющая компания нарушила закон, передавая юристам данные должников, не получив согласия на обработку персональных данных. Конституционный суд РФ оставил в силе решение судов предыдущих инстанций.
Решение Конституционного суда

Решение Конституционного суда по нарушению 152-ФЗ Управляющей компанией

Закон о персональных данных действует с осени 2015 года, поэтому ждать правоприменительной практики не нужно: она уже есть.

С 1 июля 2017 года вопрос передан Роскомнадзору. А значит, дело пойдёт гораздо веселее.

О нарушениях будут узнавать из двух основных источников: собственные проверки и заявления граждан. Проще сказать, если Роскомнадзор не найдёт нарушений сам, ему поможет конкурент-недоброжелатель.

Суммы штрафов

  • Если на сайте не опубликована политика конфиденциальности при обработке персональных данных, штраф составит до 30 тысяч рублей.
  • За обработку персональных данных без согласия клиента или подписчика сайта — штраф до 75 тысяч рублей.
  • За отсутствие предупреждения о передаче данных за границу (особенно касается пользователей Wix и других «конструкторов») — до 40 тысяч рублей.
  • Самое «популярное» нарушение на сегодня — сбор персональных данных без уведомления Роскомнадзора. Новый штраф — до 50 тысяч рублей.

Указаны максимальные штрафы для ООО. За каждое нарушение придётся заплатить отдельно.

Если данные утекут с сайта и человек в результате пострадает, то наказание предусмотрено ещё серьёзнее, вплоть до тюрьмы и лишения права заниматься определённой деятельностью. Но это регулируется уже не КоАП, а уголовным кодексом (статья 137).

Как избежать штрафов: советы для сайтовладельцев

  1. В любом случае — разработайте политику конфиденциальности. Разместите её на сайте и поставьте ссылку таким образом, чтобы было видно на любой странице. В первую очередь, на страницах заказа или формы обратной связи.
  2. Сократите форму обратной связи: чтобы перезвонить человеку, не обязательно знать его ФИО, равно как и чтобы ответить на электронное письмо. Сокращение формы может положительно сказаться на откликах — ведь заполнять придётся меньше.
  3. Сделайте так, чтобы форму обратной связи нельзя было отправить, не поставив галку о согласии с политикой конфиденциальности.
  4. Если на сайте нельзя отредактировать форму обратной связи, нельзя добавить галочку о согласии с политикой конфиденциальности и с обработкой персональных данных — удалите такую форму.
  5. Существуют «кнопки обратной связи», поставщики которых являются зарегистрированными в России операторами персональных данных. Заключите с ними  договор и разместите такую кнопку на сайте вместо формы обратной связи. Предварительно проверьте наличие данного юрлица в реестре операторов персональных данных.
  6. Если сайт работает на оборудовании за рубежом, то сайт нужно перенести в Россию. При необходимости передачи данных за рубеж (например, в целях исполнения заказа), пользователь должен быть предупреждён об этом заранее. Роскомнадзор — тоже.

Если вы хотите хранить и обрабатывать персональные данные, то подготовить вас к регистрации в этом качестве поможет бесплатный сервис «Персональные данные» от СКБ Контур. Он проведёт вас через все шаги процедуры и автоматически сгенерирует необходимые документы, включая политику конфиденциальности для сайта и внутренние инструкции для сотрудников.

Регистрироваться в качестве оператора персональных данных и уведомлять Роскомнадзор не обязательно, если собираете данные только в целях исполнения договора. 

Текст такого договора нужно разместить на самом сайте и он должен быть доступен каждому перед регистрацией и оплатой.

Выводы

  1. За соблюдением закона следят и будут следить дальше. Хотя вряд ли проверки будут тотальными.
  2. Штрафы за разные нарушения могут суммироваться.
  3. Можно собирать персональные данные без уведомления Роскомнадзора, если они нужны только для исполнения договора.
  4. Это не отменяет наличия на сайте политики конфиденциальности  и «галочки» согласия с обработкой данных.
  5. Если данные нужны вам в каких-то ещё целях, зарегистрируйтесь как оператор персональных данных: подготовьте пакет документов с помощью бесплатного сервиса «Персональные данные» и отправьте заявление в Роскомнадзор.

Если вы по техническим причинам не можете привести свой сайт в соответствие новым законам — обратитесь к нам за технической помощью.

Использованы иллюстрации Freepik

wp-vip.ru

Ответственность за разглашение персональных данных административная и уголовная. Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных»

Федеральный закон "О персональных данных" регулирует отношения, связанные с обработкой личных сведений субъектов, осуществляемой органами госвласти, местными структурами управления и иными органами, физическими и юрлицами, с применением средств автоматизации либо без них, если операции соответствуют характеру действий с их использованием. Цель нормативного акта заключается в обеспечении защиты интересов, свобод и прав человека, неприкосновенности его частной жизни и семейной тайны. Рассмотрим далее, какие виды наказания предусматривает Федеральный закон "О персональных данных". ответственность за разглашение персональных данных

Общие сведения

Статья 24 152-ФЗ прямо устанавливает возможные виды наказаний, применяемые к нарушителям установленных требований. Санкции вменяются при наличии вины субъектов. В нормах установлена гражданская, административная ответственность за разглашение персональных данных, а также наказание по УК и ТК.

КоАП

Ответственность за разглашение персональных данных возможна по нескольким статьям Кодекса. Среди них стоит отметить следующие:

  1. 13.11 – Нарушение порядка сбора, хранения, распространения или использования полученных сведений о гражданах, установленного нормами.
  2. 13.12 – невыполнение правил защиты сведений.
  3. 13.13 – незаконная деятельность в сфере охраны личной информации.
  4. 13.14 – разглашение данных с ограниченным доступом.

Наказание

Нарушение установленного порядка сбора, хранения, распространения либо использования личной информации о гражданах прямо указывает на необходимость соблюдения положений рассматриваемого федерального нормативного акта. В соответствии со ст. 13.11 КоАП, виновным грозит предупреждение или штраф. Его размер составляет:

  • для физлиц – 300-500 руб.;
  • для юрлиц – 5-10 тыс. руб.;
  • для служащих – 500-1000 руб. штраф за разглашение персональных данных

Нарушение правил защиты сведений

В ст. 13.12 КоАП указывается на обязательные признаки, при наличии которых может наступить ответственность за разглашение персональных данных. Эти критерии определяют состав проступков, подпадающих под указанную норму. К таким обязательным признакам относят:

  1. Невыполнение либо грубое нарушение условий, установленных в лицензии на ведение деятельности в сфере обеспечения защиты информации, кроме сведений, являющихся гостайной. Данное условие указывает на обязательность получения разрешения на совершение соответствующих операций. Если этого документа нет, то объективные признаки нарушения отсутствуют. В случае нарушения или невыполнения условий лицензий предусмотрен штраф. Его величина составляет: для физлиц – 300-500 руб., для служащих – 500-1000 руб., для организаций – 5-10 тыс. руб.
  2. Применение несертифицированных баз и банков хранения сведений, информационных систем, средств обеспечения защиты, если соответствующие процедуры предусмотрены законодательством. Устанавливается следующий штраф за разглашение персональных данных: для граждан – 500 - 1000 руб., для служащих – 1-2 тыс. руб., для организаций – 10-20 тыс. руб. Дополнительно у физических и юрлиц могут быть конфискованы несертифицированные средства защиты. иск разглашение персональных данных

ТК

В соответствии с 85 статьей Кодекса, персональными данными сотрудника являются сведения, которые необходимы нанимателю в связи с трудовыми отношениями, и относящиеся непосредственно к конкретному работнику. При зачислении в штат нового служащего руководитель обязан сообщить ему о цели, для которой он запрашивает личную информацию, ее характере. Кроме этого, работник предупреждается о последствиях отказа дать согласие (письменное) на предоставление сведений. При этом нанимателю запрещается получать и обрабатывать информацию о его религиозных, политических и прочих убеждениях, членстве в общественных организациях, профсоюзной деятельности, а также о частной жизни. Ответственность за разглашение персональных данных в первую очередь предусмотрена для руководителя предприятия. Кроме этого, санкции установлены и для ответственных лиц предприятия. Ими, в частности, являются работники, обеспечивающие сохранность информации, в соответствии с трудовым контрактом либо должностной инструкцией. К таким работникам наниматель может применить дисциплинарные взыскания, определенные 192 статьей ТК. В частности, установлены следующие санкции: увольнение, выговор, замечание. Кроме этого, руководитель имеет право расторгнуть в одностороннем порядке трудовой контракт с сотрудником, распространившим сведения, охраняемые 152-ФЗ, ставшие ему известными в силу исполнения им его обязанностей. федеральный закон о персональных данных

ГК

Гражданский кодекс в 946 статье предусматривает ответственность за нарушение субъектом "тайны страхования". В частности, в норме установлено, что представитель страх. организации не имеет права распространять сведения, полученные им при осуществлении профессиональной деятельности. Это касается информации о выгодоприобретателе, застрахованном лице, в том числе о состоянии здоровья указанных субъектов, а также об их имущественном статусе. Ответственность за разглашение персональных данных наступает в зависимости от рода прав, которые были ущемлены, характера нарушения. Наказание наступает в соответствии с нормами в порядке и случаях, предусмотренных в них, а также в тех ситуациях и пределах, в каких реализация способов защиты интересов гражданина вытекает из сути нематериального права, на которое было совершено посягательство, и характера последствий деяния. Следует при этом отметить, что практика применения данной нормы малоизвестна.

УК

Уголовная ответственность за разглашение персональных данных определена в ст. 137. В соответствии с нормой, наказание вменяется за нарушение неприкосновенности личной жизни гражданина, выраженное в собирании либо распространении сведений, составляющих его семейную либо индивидуальную тайну, без его согласия. Ответственность за разглашение персональных данных по 137 статье наступает и в случае обнародования информации в публичном выступлении, при демонстрации произведения, а также в СМИ. Виновному грозит денежное взыскание до 200 тыс. руб., тюремное заключение до 2 лет. Если указанные деяния были совершены с использованием должностного положения, наказание будет ужесточено. Так, тюремное заключение может составлять до 4 лет. уголовная ответственность за разглашение персональных данных

Пояснения

В соответствии с Конституцией, каждый обладает правом на неприкосновенность его частной жизни, семейной и личной тайны, защиту доброго имени и чести. Не допускается сбор, хранение и обнародование персональных сведений без согласия гражданина. Этот запрет гарантирует частную жизнь человека. Под ней понимают ту сферу жизнедеятельности, которая касается исключительно конкретного лица и не подлежит контролю общества и государства, если носит правомерный характер. Преступление, попадающее под 137 статью УК, с объективной стороны характеризуется активными действиями. Оно выражается в собирании сведений, относящихся к семейной, личной тайне человека, без его разрешения, распространении их без согласия, а также обнародование их публично, то есть разглашение персональных данных третьим лицам. административная ответственность за разглашение персональных данных

Специфика деяний

Распространением, по смыслу ст. 137 УК, считается любое неправомерное либо без разрешения гражданина доведение информации до сведения хотя бы одного субъекта. Метод разглашения данных не влияет на квалификацию. Распространение информации в публичном выступлении предполагает доведение сведений до неопределенно большой аудитории. Разглашение информации в демонстрирующемся произведении предполагает включение данных в его содержание. Под СМИ понимают периодическое издание печатного типа, видео-, теле-, радиопрограмму, кинохронику и пр. В тех случаях, когда ответственность устанавливается иными статьями УК, преступление квалифицируется по специальной норме, согласно ст. 17, ч. 3 Кодекса. К примеру, так рассматривается распространение сведений о тайне усыновления. Если информация включена в состав других данных, также защищаемых законом, то обнародование сведений квалифицируется по совокупности норм. Например, распространение информации о предварительном следствии рассматривается по 137 и 310 статьям УК. разглашение персональных данных третьим лицам

Заключение

Персональные данные относятся к информации, охраняемой законодательством. В первую очередь защита гарантируется Конституцией в ст. 23. Это положение конкретизируется в ФЗ № 152. В частности, детализация конституционного положения осуществляется в ст. 24 нормативного акта. В нем определяются виды ответственности, к которым может привлекаться лицо, нарушившее конфиденциальность персональных данных. Самое мягкое наказание устанавливает КоАП и ТК. Виновный, распространивший сведения о гражданине, отделается дисциплинарными взысканиями или штрафом. Между тем, потерпевший имеет право подать гражданский иск. Разглашение персональных данных наказывается также по УК. В этом случае, в зависимости от характера нарушения, виновный даже может лишиться свободы. Не останутся безнаказанными и лица, которые распространили личные сведения, используя служебное положение. Для них наказание будет ужесточено. Что касается защиты в суде, то нормами предусмотрено право гражданина заявить ходатайство о проведении закрытого заседания. Иск может включать в себя требование о взыскании морального вреда, если вследствие распространения сведений гражданин испытывал нравственные/физические страдания. Заявление составляется в соответствии с требованиями ГПК. Истец должен будет предоставить доказательства в обосновании своих требований.

fb.ru

10 правил работы с персональными данными или Как не попасть под штраф из-за контактной формы на сайте

Вниманию сайтовладельцев! С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей (за одно обнаруженное нарушение). У вас на сайте есть контактная форма? Значит, скорее всего это касается и вас. Прокуратуры уже штрафуют компании и суды их поддерживают. Помимо штрафов в пользу государства за нарушение правил обработки персональных данных может быть также взыскана компенсация морального вреда и определена иная ответственность.

Правила безопасности при работе с персональными данными

В феврале 2017 года внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных, которые вступят в силу 1 июля. Нововведения коснутся всех, кто получает, собирает, обрабатывает или хранит персональные данные.

Штрафы увеличены в десятки раз и разделены по видам нарушений. Так, если на сайте не размещена политика конфиденциальности, то штраф для ИП составит 10 тысяч рублей, а для компании — 30 тысяч. До 75 тысяч рублей составит штраф для юрлица, если посредством сайта обрабатываются персональные данные клиента интернет-магазина или подписчика на информационный ресурс без его согласия (директор компании или ИП должен будет заплатить до 20 тысяч). И т.д. Если будет зафиксировано несколько нарушений, штрафов будет тоже несколько.

Что делать? Срочно привести сайты в порядок! Проверки уже начались

Сейчас протоколы о нарушениях имеет право выписывать только прокуратура, и размер штрафа вне зависимости от вида нарушения составляет для юрлица 10 тысяч рублей, а для ИП или директора — 1000 рублей. С 1 июля уже в соответствии с более высокими ставками и, по всей видимости более рьяно, выписывать протоколы будет Роскомнадзор.

Как узнать, являетесь ли вы тем самым оператором персональных данных?

Персональные данные согласно Федеральному закону «О персональных данных» — это любые данные о человеке, по которым его можно идентифицировать. При этом в законе не содержится перечня типов таких данных, поэтому приходится исходить из общей логики закона и практики, и «дуть на воду». К примеру, по имени пользователя или логину нельзя понять, что это за человек, то по имени и телефону или ФИО и электронной почте уже можно некоторым образом идентифицировать человека, а значит получение подобного сочетания уже может определяться как сбор и хранение персональных данных.

Итак, скорее всего, вы уже являетесь оператором персональных данных, если каким-то образом получаете от людей, к примеру, следующую информацию (в любом сочетании): фамилию, имя, отчество, какой-либо физический адрес, электронную почту, номер телефона, дату или место рождения, фото, ссылку на персональный сайт или соцсети, профессию, образование, уровень доходов, семейное положение и т.д..

На практике это означает, что все владельцы сайтов, которые содержат личные кабинеты, формы обратной связи, подписки или регистрации, анкеты и т.д., одним словом заполняемые формы, где посетитель должен оставить свои данные — это операторы персональных данных. Даже если на сайте есть лишь популярные нынче кнопки заказа обратного звонка (пользователь оставляет имя и номер телефона) или отправки сообщения (имя и электронный адрес) — это тоже может быть квалифицировано как обработка персональных данных.

А записи в моей телефонной книжке тоже считаются сбором и хранением персональных данных?

Нет. На данные, которые вы храните для личных и семейных нужд, данный закон не распространяется. Но если вы передадите эти данные лицу или организации, которая согласно данному закону является оператором персональных данных или опубликуете сведения, это будет считаться нарушением.

Как работать с персональными данными, не нарушая закон?

Как минимум необходимо выполнить и соблюдать 10 нижеследующих правил.

10 правил по работе с персональными данными

  • публиковать в открытом доступе всю информацию о ваших принципах взаимодействия и работы с персональными данными клиентов и посетителей вашего предприятия или ресурса;
  • запрашивать только те данные, которые нужны для каждой конкретной цели. Например, нельзя запрашивать паспортные данные или домашний адрес для осуществления рассылки по электронной почте;
  • перед получением персональных данных, которые предполагается публиковать в общедоступных источниках, получать письменное согласие у каждого посетителя, клиента или подписчика на их обработку, хранение и распространение. В случае, если данные не публикуются, а используются исключительно для обработки внутри компании, необходимо явным образом ограничить возможность передачи вам персональных данных без согласия на их обработку*;
  • использовать данные только для тех целей, о которых вы предупредили человека и которые указаны в опубликованных вами документах, касающихся работы с персональными данными;
  • сообщать по запросу человека, какие у вас есть данные о нём, как и для чего они обрабатываются и кому вы их передавали;
  • удалять данные по первому требованию лица, персональные данные которого хранятся в вашей базе;
  • хранить базы данных в надёжном месте, защищать их от взлома и утечки;
  • назначить лицо, ответственное за обеспечение безопасности персональных данных и соблюдения определённых ФЗ N152 правил работы с персональными данными;
  • обучить сотрудников работе с персональными данными;
  • зарегистрироваться в Роскомнадзоре. Форма уведомления на сайте Роскомнадзора — http://pd.rkn.gov.ru/operators-registry/notification/form/

*Согласно Закону обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Законе, возлагается на оператора.

Почему владелец сайта должен регистрироваться?

По закону операторы персональных данных должны уведомить Роскомнадзор. Причем сделать это нужно до начала обработки данных или вскоре после начала осуществления данной деятельности. Роскомнадзор внесёт информацию об операторе в Реестр операторов персональных данных.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и не будут распространяться и использоваться никак иначе;
  • у вас хранятся только ФИО клиента;
  • данные опубликованы в общем доступе самим человеком или кем либо по его поручению.
Что делать, если ваш сайт содержит формы и позволяет получать персональные данные?

Если ваш сайт даёт возможность получать персональные данные и вы до сих пор не выполнили перечисленные выше условия, то уже сейчас может быть зафиксировано нарушение и уже сейчас вас могут оштрафовать. Даже в том случае, если ваш сайт обслуживается другой компанией или специалистом на аутсорсинге, штраф будет выписан на компанию или ИП, которые указаны на сайте в качестве владельца и, следовательно, получателя персональных данных.

Как избежать возможных проблем (необходимая программа-минимум)

1) Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны с любой страницы вашего сайта. Это может быть уведомление, пользовательское соглашение, правила продажи или политика в отношении обработки персональных данных как, например, у «Озона» (http://www.ozon.ru/context/detail/id/137942530/).Как бы не назывался этот документ, он должен содержать правила и условия обработки персональных данных.

2) Не используйте документы других компаний без обработки. Их можно использовать в качестве шаблона, но список данных и цели использования персональных данных необходимо прописать свои. То, что требуется типографии для оформления заказа или интернет-магазину для доставки товара, не понадобится для e-mail рассылки. Запрос излишних данных может быть расценен как нарушение закона и стать поводом для штрафа.

3) Реализуйте программное решение, которое гарантирует однозначное установление того, что человек согласился на обработку персональных данных. Это может быть чек-бокс в форме регистрации, в котором необходимо поставить галочку, или кнопка согласия с условиями использования, без активации которых человек не сможет отправить сообщение или оформить заказ.Для подстраховки можно заверить у нотариуса распечатанные скриншоты веб-страниц с формами, прокомментировав их сопроводительным текстом (к примеру, «на момент заверения указанные на данной распечатке кнопки работали согласно описанному в преамбуле функционалу и без их активации пересылка данных была технически невозможна»).

4) Подготовьте внутренние документы, регламентирующие правила хранения и обработки персональных данных, и ответственности сотрудников, которые имеют к ним доступ.

5) Отправьте, если сайт подпадает под требования Закона, уведомление в Роскомнадзор. Если стопроцентно  уверены, что отправка уведомления не требуется, оформите всю документацию так, чтобы это было явно понятно и возможным проверяющим. Например, можно указать в политике работы с персональными данными, что они используются только для исполнения конкретных договоров, или зафиксировать в документации, что данные открыты для общего доступа по желанию пользователя (но помните, что доказывание этого факта Закон возлагает на оператора).

Для составления необходимой документации и соблюдения всех требований Закона рекомендуется воспользоваться услугами квалифицированного юриста.

Похожее

press.spb.ru


Смотрите также