Главная-Обувь-Персональные данные изменения

Персональные данные изменения

С 1 июля 2017 года изменят штрафы за персональные данные. Какие изменения ждут обработчиков персональных данных.

По действующим правилам, ответственность несет лицо, которое нарушает правила сбора, хранения, использования или распространения персональных данных. Штраф за персональные данные составляет сейчас 10 тыс. руб. максимум ( КоАП РФ). Но с 1 июля 2017 года ситуация изменится. В ст. 13.11 КоАП РФ внесут множество дополнений (). Законодатель утвердил семь составов правонарушения. Максимальный штраф за обработку персональных данных не по правилам составит 75 тыс. руб.

С 1 июля 2017 года вводят новые штрафы за персональные данные

Компанию привлекут к административной ответственности, если она обрабатывает персональные данные:

  • в случаях, которые не указал . Например, от покупателя интернет-магазина требуют сканы документов, подтверждающих личность;
  • в целях, которые отличаются от заявленных. Например, отправляет рекламные сообщения на адрес электронной почты, которую покупатель указал при оформлении заказа в интернет-магазине (ч. 1 ст. 13.11 КоАП РФ в ред. с 01.07.2017).

В качестве наказания могут вынести предупреждение или оштрафовать. Штраф за нарушение правил о персональных данных составит:

  • 1 - 3 тыс. руб. для граждан;
  • 5 - 10 тыс. руб. для должностных лиц и предпринимателей;
  • 30 - 50 тыс. руб. для компаний.

Есть исключения. Некоторые случаи могут подпадать под действие ч. 2 ст. 13.11 КоАП РФ в ред. с 01.07.2017. Также иное наказание предусмотрено за действия, в которых присутствует состав уголовного преступления.

Чтобы обезопасить себя от штрафа за персональные данные, нужно обрабатывать их только в заявленных целях и согласно ч. 1 ст. 3 Закона о персональных данных.

Штраф за персональные данные с июля 2017 года будет достигать 75 тысяч

В ряде случаев граждане должны согласиться на обработку своих данных. Нарушением считается, если компания использует персональные данные граждан без их письменного согласия. Также компанию накажут за несоблюдение требования закона к составу данных, которые необходимо перечислить в документе о согласии на обработку . Например, если компания не указала, каким третьим лицам будут доступны данные после того, как гражданин согласится на их обработку.

По правилам ч. 2 ст. 13.11 КоАП РФ в ред. с 01.07.2017 штраф за персональные данные будет составлять:

  • 3 - 5 тыс. руб. для граждан;
  • 10 - 20 тыс. руб. для предпринимателей и должностных лиц;
  • 15 - 75 тыс. руб. для компаний.

Если у нарушения будут признаки уголовно наказуемого деяния, совершивший несет ответственность по ст. 137 или ст. 272 УК РФ.

Чтобы не возникло необходимости платить за обработку персональных данных штраф, нужно получать у граждан согласие на обработку персональных данных и соблюдать требования к списку сведений в документе о согласии.

Если компания не опубликует документ о политике, ее ждет штраф за персональные данные

Компания не опубликовала на интернет-ресурсе или иным образом не предоставила неограниченный доступ к документу, из которого граждане могут узнать о политике компании в отношении обработки персональных данных, либо к информации о том, как компания реализует требования к защите данных.

Согласно ч. 3 ст. 13.11 КоАП РФ за такое нарушение могут вынести предупреждение или назначить штраф. По составу ч. 3 составит:

  • 700 - 1,5 тыс. руб. для граждан;
  • 3 - 6 тыс. руб. для должностных лиц;
  • 5 - 10 тыс. руб. для предпринимателей;
  • 15 - 30 тыс. руб. для компаний.

Чтобы предотвратить нарушение, компании нужно опубликовать у себя на сайте в общем доступе ссылки на документ о политике компании в отношении обработки данных и другие сведения о требованиях к защите данных.

Штраф за нарушение правил о персональных данных получит лицо, которое не ответило на запрос граждан

Если компания не предоставила гражданину сведений о том, что касается обработки его данных, такое нарушение наказывают предупреждением или штрафом. Такие правила с 1 июля 2017 года появятся в ч. 4 ст. 13.11 КоАП РФ. В данном случае штраф за нарушение правил о персональных данных составит:

  • 1 - 2 тыс. руб. для граждан;
  • 4 - 6 тыс. руб. для должностных лиц;
  • 10 - 15 тыс. руб. для предпринимателей;
  • 20 - 40 тыс. руб. для организаций.

Во избежание нарушения предоставляйте гражданам информацию по запросу в течение 30 дней (ч. 1 ст. 20 Закона о персональных данных).

Если информацию своевременно не уничтожить, это влечет штраф за персональные данные

Гражданин или его полномочный представитель потребовали уточнить персональные данные, блокировать их или уничтожить. Компания обязана сделать это, если данные утратили актуальность, оказались неполными или неточными, а также в случае незаконного получения или были собраны с целью, отличающейся от заявленной.

В ч. 5 ст. 13.11 КоАП РФ в новой редакции указано, что нарушение наказывается предупреждением или штрафом. Штраф за персональные данные по такому нарушению:

  • 1 - 2 тыс. руб. для граждан;
  • 25 - 45 тыс. руб. для компаний.

Если компания не хочет, чтобы ее оштрафовали, следует выполнить требования заявителя.

Компания получит штраф за обработку персональных данных, если не обеспечила сохранность носителей

Компания не обеспечила сохранность носителей, на которые записаны персональные данные, и не создала условий, исключающих несанкционированный доступ. Это является нарушением по ч. 6 ст. 13.11 КоАП РФ в новой редакции. Норма касается случаев, когда:

  • персональные данные обрабатывают без средств автоматизации;
  • нет состава уголовного преступления;
  • данные оказались доступны постороннем улицу, которое их уничтожило, распространило или использовало иным образом незаконно использовало.

В этом случае штраф за персональные данные с июля 2017 года будет в размере:

  • 700 - 2 тыс. руб. для граждан;
  • 4 - 10 тыс. руб. для должностных лиц;
  • 10 - 20 тыс. руб. для предпринимателей;
  • 25 - 50 тыс. руб. для компаний.

Чтобы персональные данные не попали в третьи руки, а компания не платила штраф, предпримите меры безопасности при хранении данных.

Штраф за персональные данные грозит не только коммерческим структурам, но и муниципальным

Для госорганов и муниципальных структур законодатель вводит ответственность по ч. 7 6 ст. 13.11 КоАП РФ. Такие структуры должны выполнять:

  • обязанность по обезличиванию персональных данных;
  • требования по обезличиванию персональных данных.

За нарушение накажут предупреждением или штрафом. Штраф за обработку персональных данных в данном случае будет в пределах от 3 тыс. до 6 тыс. руб. для должностных лиц. Чтобы избежать неприятностей, нужно выполнять , которые утвердил Роскомнадзор

Персональные данные — думаю уже каждый знает или как минимум слышал что с июля 2017 года произошли изменения, связанные с их обработкой. Что именно поменялось и что нужно делать — буду разбираться в этой статье.

Как оказалось — ничего не поменялось, все требования по персональным данным остались неизменны. Но! Поменялась ответственность за нарушения в этой сфере и если раньше можно было попросту игнорировать требования закона, а словосочетание «персональные данные» вызывали смутное представление что это вообще такое, то теперь — хочешь не хочешь, а исполнять придется.

Штрафы действительно большие, кроме того, расширены основания, по которым можно привлечь к ответственности. И то и другое можно самостоятельно изучить в статье КоАП.

Что такое персональные данные?

Точного перечня закон не содержит, увы. Определение дано общее — любая прямая или косвенная информация, относящаяся к определенному или определяемому человеку. Как видно, информация может напрямую указывать на человека или позволить определить человека.

Это, в первую очередь, конечно фамилия — имя — семейное положение — национальность — состояние здоровья — сведения о гражданстве — паспортные данные — отпечатки пальцев — телефон и прочее подобное.

Что значит обработка персональных данных?

Это абсолютно любые действия, касающиеся ПД — накопление, хранение, систематизация, использование, уточнение, передача, извлечение и даже блокирование, уничтожение. Все эти манипуляции (а точный их список указан в ФЗ 152) требуют получения согласия от человека на обработку, наличия большого количества документов у ИП или юридического лица и уведомление Роскомнадзора.

Можно ли не уведомлять РКН?

Да, если ваш случай указан в пункте 2 статьи 22 ФЗ 152 — для многих подходят такие основания, как:

  • обработка ПД осуществляется по — словом, это прием\увольнение работника;
  • обработка ПД связана с исполнением договора — это может абсолютно любой договор, стороной которого является физическое лицо ( , услуг, в том числе услуги в ООО и т.п.), главное — персональные данные не должны передаваться третьему лицу. К примеру, если вас наняли сделать ремонт в квартире, а вы привлекаете субподрядчика — ему передавать ПД уже нельзя;
  • Физ лицо само раскрыло свои данные широкому кругу лиц — к примеру, у вас есть сайт, на котором указаны ваши контактные данные, номер телефона и прочие, то есть данные общедоступны;
  • Персональные данные включают в себя только ФИО — больше ничего;
  • ПД обрабатываются без использования средств

Как видно, уведомлять Роскомнадзор не нужно во многих случаях, но это не умаляет обязанности получить от стороны согласие на обработку его данных, а также иметь всю документацию по обработке данных. Для тех кто хочет «перестраховаться» — заполнить форму уведомления в РКН не составляет сложности, даже ходить никуда не нужно.

Что делать владельцам сайтов?

Как я указывала выше, закон делает исключения в части уведомления РКН для сторон договора. Любого договора, будь то договор уборки квартиры, оферта в или пользовательское соглашение на Сам документ может называться по разному — договор, соглашение, публичная оферта, соглашение о конфиденциальности, политика, пользовательское соглашение, главное условие — документ должен быть двухсторонним — с одной стороны физическое лицо, чьи персональные данные охраняются как зеница ока, с другой — любое другое, кому эти данные вверяются.

Таким образом, что нужно сделать, если у вас сайт? Правильно, разработать и разместить соглашение или политику по обработке ПД (назовем его «документ»), который должен быть доступен неограниченному кругу лиц. Кстати, данная обязанность прямо указана в п. 2 ст. 18.1 152 ФЗ.

Что указывать в документе?

Все что угодно, но обязательно должны быть:

  • контактные данные (ФИО, адрес) оператора ПД;
  • цель обработки ПД;
  • предполагаемые пользователи;
  • права носителя ПД, в том числе право на отзыв данных;
  • источник получения.

Документ можно составить самостоятельно, скопировать у других или разработать под себя посредством услуг юристов. Размещать лучше на видном месте. Делать или нет специальное окошко, в котором пользователь будет ставить галочку о согласии — решает каждый сам для себя. Акцепт может быть разный и это не обязательно окошко с галочкой. Форму акцепта необходимо прописать в соглашении — документе. Про это же говорил Роскомнадзор в своих об акцепте при заказе в Согласие посредством смс — акцептом не является.

Являются ли куки, ip адрес и прочие технические характеристики пользователя персональными данными?

Анализируя практику за последние 2 года можно сказать, что да — являются. Но каждое судебное решение имеет свои особенности, а штраф всегда накладывался при совокупности нарушений — не просто за сбор файлов cookie, IP-адресов, а, к примеру, платежных данных или данных третьих лиц, имеющихся в контактах пользователя. К примеру, по делу LinkedIn основанием для привлечение к ответственности была совокупность нарушений вместе с которыми были также сбор куки файлов и айпи адресов (решение было обжаловано, но оставлено

Трудно заранее предугадать будет ли суд накладывать штраф только за сбор IP адреса или нет — по сути он обезличен, не указывает напрямую на пользователя, к тому же может быть динамическим.

Но есть и ряд других судебных дел, не имеющих, на первый взгляд, отношения к ПД. Одно из них дошло даже до суда. Суд рассматривал отказ оператора связи выдать персональные данные по запросу полиции, ссылаясь на тайну связи. Суд указал, что сведения об IP адресе не имеют отношения к защищаемой законом тайне связи, а всего лишь относится к пользователю услуг. Как это самое «всего лишь» в последствии скажется на судебных решениях по ПД — практика покажет.

Что касается иных технических характеристик пользователя — в Апелляционной инстанции, указано, что к ПД абонента относятся

время инициации запроса пользователем, адрес web-страницы, посещенной активным пользователем, HTTP referer (ссылка), User agent, coockie, src ip, src port, dst ip, dst port, геоидентификатор.

Таким образом, лучше заранее позаботиться о наличии на своем сайте оферты\соглашения. И не важно где расположен сайт — хоть в Африке, если услуги оказываются на территории РФ, он русскоязычный, имеет иные признаки, относящиеся к РФ — на него также распространяются требования 152 ФЗ.

Кстати, еще в 2006 году Роскомнадзор публиковал

С 01.07.2017 г. действуют изменения в ст. 13.11 КоАП РФ об административной ответственности за нарушение законодательства о персональных данных физлиц. Поскольку поправки касаются всех, кто использует персональные данные, рассмотрим эти новшества в нашей статье.

Обработка персональных данных – 2017

Персональные данные – это любая информация, прямо или косвенно относящаяся к конкретному физлицу (имя, адрес проживания, дата рождения, паспортные данные, номер телефона, фото, адрес электронной почты, и т.д.). Организация, госорган или физлицо, собирающее и обрабатывающее персональные данные, именуется оператором (Закон о персональных данных от 27.07.2006 № 152-ФЗ). К таковым относятся работодатели, а также все, кто получает личные данные от граждан – медучреждения, учебные заведения, интернет-магазины и т.д.

Для работодателя такие данные необходимы в связи с трудовыми отношениями. Получить их можно только лично от самого работника, а от третьих лиц - с его письменного согласия. Физлицо дает письменное согласие на обработку персональных данных. Бланк законодательством не утвержден, составить его можно самостоятельно, с учетом требований п. 4 ст. 9 закона № 152-ФЗ(п. 3 ч. 1 ст. 86 ТК РФ, п. 1 ст. 9 закона 152-ФЗ).

Согласие на обработку персональных данных (образец)

Недопустимо собирать и обрабатывать персональные данные работника, не относящиеся к его трудовой деятельности, например, об участии в общественных объединениях, вероисповедании, личной жизни и т.п. Это же касается и прочих операторов, которые запрашивают данные, не имеющие отношения к цели их обработки (например, указание паспортных данных в анкете об оценке работы сайта). Полученные данные не должны раскрываться третьим лицам или распространяться без согласия физлица (ст. 7 закона № 152-ФЗ).

Оператор обязан обеспечить данным надлежащую защиту, для чего закрепляет порядок их получения, обработки и хранения в Положении о персональных данных или ином внутреннем нормативном акте. В документе определяются необходимые меры, а также назначается ответственный за обработку. Доступ к таким данным должен разрешаться только уполномоченным на то лицам, причем они вправе получать только сведения, необходимые для осуществления конкретных функций (ст. 88 ТК РФ, ст. 18.1 закона № 152-ФЗ).

Положение о персональных данных либо иной документ о политике их обработки, находятся в открытом доступе и предъявляются по запросам уполномоченных органов - это касается и работодателей, и прочих операторов (ч. 2 и 4 ст. 18.1 закона № 152-ФЗ).

Персональные данные – 2017: новое в административной ответственности

Законом от 07.02.2017 № 13-ФЗ была принята новая редакция статьи 13.11 КоАП РФ. Если ранее статья содержала один единственный состав – нарушение ФЗ о персональных данных, теперь это целый перечень из семи оснований административной ответственности и, соответственно, разные штрафы. Вероятно, что при обнаружении нескольких нарушений у одного оператора, ему грозит несколько штрафов, а не один.

Также претерпели изменения статьи 28.3 и 28.4 КоАП РФ, упростив процесс привлечения операторов к ответственности: с 01.07.2017 г. протоколы о нарушениях закона 152-ФЗ о персональных данных составляют сотрудники Роскомнадзора, а не прокурор, как раньше. Срок для привлечения к ответственности остался прежним – 3 месяца.

За что теперь штрафуют

Итак, вот по каким основаниям теперь могут привлекаться к административной ответственности предприниматели и организации, обрабатывающие персональные данные:

  • Данные обрабатываются в случаях, не предусмотренных ФЗ о персональных данных либо их обработка несовместима с целями сбора (ч. 1 ст. 13.11 КоАП РФ) . Незаконное использование личных данных, если оно не влечет уголовной ответственности, грозит предупреждением, или штрафом: физлицам в 1000-3000 руб., должностным лицам – 5000-10 000 руб., организациям – 30 000-50 000 руб.
  • Обработка данных без письменного согласия, необходимого по закону (п. 2 ст. 13.11 КоАП РФ). Согласие на обработку должно содержать информацию, указанную в ч. 4 ст. 9 закона 152-ФЗ о персональных данных. Изменения 2017 г. предусматривают с 1 июля штраф за его отсутствие в следующем размере: для нарушителей физлиц – 3000-5000 руб., для должностных лиц – 10 000-20 000 руб., для организаций – 15 000-75 000 руб.
  • Отсутствие неограниченного доступа к политике оператора в области обработки персональных данных (п. 3 ст. 13.11 КоАП РФ). Обязанность обеспечения доступа установлена п. 2 ст. 18.1 закона 152-ФЗ о персональных данных. Невозможность ознакомиться с таким документом на бумаге либо на сайте, если данные собираются через интернет, обойдется операторам: в 700-1500 руб. - физлицам, 3000-6000 руб. – должностным лицам, 5000-10 000 руб. – ИП, 15 000-30 000 руб. – организациям, а в лучшем случае все обойдется предупреждением.
  • Непредоставление лицу информации, касающейся обработки его персональных данных (п. 4 ст. 13.11 КоАП РФ). Порядок запроса такой информации прописан в статье 14 закона 152-ФЗ. Изменения с 01.07.2017 следующие: за нарушение полагается предупреждение, либо штраф 1000-2000 руб. – физлицам, 4000-6000 руб. - должностным лицам, 10 000-15 000 руб. – ИП, 20000-40000 руб. – организациям.
  • Невыполнение в установленные сроки требования о блокировании, изменении или уничтожении персональных данных (п. 5 ст. 13.11 КоАП РФ) . Физлицо или его представитель могут заявить такие требования, если данные неполные, неточные, получены с нарушением закона, либо устарели, это установлено статьей 21 закона о персональных данных № 152-ФЗ. Нарушителей ждет предупреждение, или штраф: 1000-2000 руб. физлицам, 4000-10 000 руб. должностным лицам, 10 000-20 000 руб. – ИП, 25 000-45 000 руб. организациям.
  • Несоблюдение условий, обеспечивающих сохранность персональных данных при неавтоматизированной обработке (п. 6 ст. 13.11 КоАП РФ). Это касается «бумажных» данных, несанкционированный доступ к которым стал причиной их уничтожения, повреждения, незаконного распространения и т.п. Не обеспеченная защита персональных данных в 2017 г. влечет штраф 700-2000 руб. для граждан, 4000-10 000 руб. для должностных лиц, 10 000-20 000 руб. для ИП и 25 000-50 000 руб. для организаций.

Таковы изменения в защите персональных данных 2017 г., заработавшие с 1 июля. Как видим, составы правонарушений стали более конкретными, а штрафы для операторов заметно ужесточились.



Похожие публикации: