casino siteleri güvenilir deneme bonusu deneme bonusu veren siteler casino siteleri deneme bonusu deneme bonusu veren siteler 2024 güncel deneme bonusu veren siteler güvenilir slot siteleri bonus veren siteler deneme bonusu veren siteler en iyi bahis siteleri deneme bonusu 2024 güvenilir deneme bonusu deneme bonusu veren siteler güvenilir bahis siteleri en iyi bahis siteleri yeni deneme bonusu veren siteler deneme bonusu veren siteler güvenilir slot siteleri tipobet matadorbet tipobet 1xbet giriş deneme bonusu sahabet
Главная Штрафы за нарушения при обработке персональных данных
Штрафы за нарушения при обработке персональных данных Печать E-mail

С 1 июля 2017 года вступают в силу поправки в КоАП РФ, которые увеличивают штрафы для компаний за нарушения при обработке персональных данных и вводят семь новых составов правонарушений.

(Федеральный закон от 07.02.17 № 13-ФЗ, далее - закон № 13-ФЗ).

Штрафы будут платить не только компании, но и работники, которые нарушили закон, включая юристов. Для того чтобы не нарушать закон, необходимо знать азы обработки персональных данных, которые касаются каждой компании.

1

Что и кому грозит за нарушения в сфере персональных данных.

За нарушения при обработке персональных данных компанию могут привлечь к гражданско-правовой и административной ответственности по статье 13.11 КоАП РФ. До 1 июля 2017 года максимальным наказанием для должностного лица был штраф в 1 тыс. рублей, а для компании до 10 тыс. рублей.

С 1 июля 2017 года вступает в силу закон № 13-ФЗ, который усиливает ответственность. Поправки вводят дополнительные составы правонарушений в статью 13.11 КоАП РФ и увеличивают штрафы. В частности, закон вводит ответственность юридических лиц за следующие нарушения:

- обработку персональных данных в случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП РФ), — штраф от 30 до 50 тыс. рублей;

- обработку персональных данных без согласия в письменной форме, когда закон требует получить такое согласие (ч. 2 ст. 13.11 КоАП РФ), — штраф от 15 до 70 тыс. рублей;

- неопубликование оператором политики в отношении обработки персональных данных, когда такая обязанность предусмотрена законом (ч. 3 ст. 13.11 КоАП РФ), — штраф от 15 до 30 тыс. рублей.

Работника могут привлечь к административной ответственности за те же нарушения. Дополнительно он несет материальную (п. 7 ст. 243 ТК РФ), дисциплинарную (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ) и даже уголовную ответственность (ч. 2 ст. 137 УК РФ).

К ответственности привлекут как работника-нарушителя (например, скопировавшего базу клиентов на свою флешку и передавшего ее конкуренту), так и работника, который несет ответственность за обработку персональных данных в компании на основании локальных нормативных актов.

2

Какая информация относится к персональным данным.

Более конкретно перечень такой информации определен в Указе Президента РФ от 06.03.97 № 188: это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, которые позволяют идентифицировать его личность, за исключением сведений, подлежащих распространению в СМИ в случаях, установленных законом.

Обрабатываемые персональные данные обычно включают в себя следующие сведения о лице:

- фамилия, имя, отчество, год, месяц, дата и место рождения;

- адрес, семейное, социальное, имущественное положение;

- образование, профессия, должность, доходы;

- биометрические персональные данные.

А также, судами признаны как персональные данные:

- сведения о смерти гражданина (постановление АС Поволжского округа от 25.09.14 по делу № А49-2005/2014);

- номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.13 по делу № 33–9241/2015);

- фотографии гражданина (апелляционное определение Свердловского областного суда от 09.04.15 по делу № 33–5232/2015).

3

Что входит в обработку.

Обработка персональных данных — это любое действие с персональными данными. Она включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 закона № 152-ФЗ). Фактически персональные данные обрабатывает любая компания.

Дополнительные условия для обработки персональных данных соискателей и работников установлены гл.14 ТК РФ и разъяснениями Роскомнадзора от 14.12.12 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».

4

Когда нужно уведомлять Роскомнадзор.

Если компания обрабатывает персональные данные, она является оператором (п. 2 ст. 3 закона № 152-ФЗ). Оператор до начала обработки обязан направить уведомление в Роскомнадзор (п. 1 ст. 22 закона № 152-ФЗ).

Направлять его не требуется, если компания обрабатывает персональные данные, в частности:

- только своих работников;

- для целей заключения и исполнения договоров (например, персональные данные контрагентов);

- без использования средств автоматизации (см. постановление Правительства РФ от 15.09.08 № 687).

Если компания не подпадает под исключения, которые указаны в законе № 152-ФЗ, составьте уведомление по официальной форме (Приложение № 2 к адм. регламенту, утв. приказом Минкомсвязи России от 21.12.11 № 346), то направьте его в территориальный орган Роскомнадзора по месту регистрации компании.

Отправить уведомление можно как на бумажном носителе, так и в форме электронного документа через портал «Госуслуги» (gosuslugi.ru) или официальный сайт Роскомнадзора (pd.rkn.gov.ru). Роскомнадзор внесет сведения о компании в реестр операторов в течение 30 дней с даты поступления уведомления. Проверить, включена ли компания в реестр, можно на официальном сайте ведомства.

5

Как правильно собирать персональные данные.

Чтобы собирать персональные данные, нужно получить согласие их владельца — субъекта персональных данных (подп. 1 п. 1 ст. 6 закона № 152-ФЗ).

Согласие должно быть конкретным, информированным и сознательным. Это значит, что перечень оснований для обработки должен быть указан в согласии как можно более конкретно, содержать срок обработки и порядок отзыва согласия.

Письменное согласие субъекта нужно для обработки специальных категорий персональных данных. Его можно получить на бумажном носителе или в электронной форме с усиленной квалифицированной электронной подписью.

Закон не устанавливает форму согласия на обработку персональных данных, за исключением особых сведений. Субъект может дать согласие в любой форме, которая позволит подтвердить факт его получения. Например, заполнить анкету на сайте.

Получать согласие на обработку в типовой форме договора рискованно. Суд может признать такой способ ненадлежащим, если потребитель не может изменить это условие — например, сделать отметку о согласии на обработку или отказе (постановления АС Северо-Западного округа от 18.07.16 по делу № А44-9647/2015, АС Уральского округа от 22.12.16 по делу № А76-5164/2016).

В случае спора именно оператор обязан доказать, что получил согласие на обработку. Поэтому заранее определите, какой тип персональных данных обрабатывает Ваша компания. В зависимости от этого разработайте форму получения согласия на обработку. Важный момент — субъект всегда вправе отозвать согласие (п. 2 ст. 9 закона № 152-ФЗ). В этом случае компания обязана прекратить обработку.

6

Как получить согласие у работников.

Работников надо ознакомить под роспись с документами компании, которые устанавливают порядок обработки персональных данных (п. 8 ст. 86 ТК РФ). Порядок можно прописать в трудовом договоре, правилах внутреннего трудового распорядка или других локальных актах. Ознакомление работников с этими документами нужно отдельно фиксировать — например, в специальном журнале.

Согласие работника на обработку персональных данных не нужно в следующих случаях:

- обработки персональных данных близких родственников работника в объеме, предусмотренном личной карточкой по форме Т-2;

- получения запросов от прокуратуры, правоохранительных органов, ГИТ;

- если обработка нужна для исполнения заключенного с работником договора или возложенных на работодателя обязанностей;

- если обработка связана с выполнением работником его трудовых обязанностей, в том числе при отправлении его в командировки.

7

Как обезопасить персональные данные.

Меры безопасности зависят от способа обработки данных. Если компания ведет автоматизированную обработку, на нее распространяются Требования, утвержденные постановлением Правительства РФ от 01.11.12 № 1119, и приказ ФСТЭК России от 18.02.13 № 21. Чтобы выполнить эти требования, нужно привлекать IT-специалистов.

Согласие на обработку персональных данных не нужно, если субъект сам сделал их общедоступными. Например, при регистрации на форуме или в социальной сети. Если субъект потом отзовет согласие на обработку, его можно не учитывать (подп. 10 п. 1 ст. 6, подп. 2 п. 2 ст. 10 закона № 152-ФЗ).

Для защиты персональных данных без автоматизации предусмотрены рекомендательные меры (ст. 19 закона № 152-ФЗ и п. 13–15 Положения, утв. постановлением Правительства РФ от 15.09.08 № 687).

- определить во внутренних документах перечень лиц, которые обрабатывают данные или имеют к ним доступ.

- раздельно хранить носители данных, которые обрабатываются в разных целях (например, персональные данные работников и клиентов).

Источник: Торгово-промышленная палата РФ

Правовые основы бизнеса


busy
 

Язык сайта:

English Danish Finnish Norwegian Russian Swedish

Популярное на сайте

Ваш IP адрес:

44.192.94.177

Последние комментарии

При использовании материалов - активная ссылка на сайт https://helion-ltd.ru/ обязательна
All Rights Reserved 2008 - 2024 https://helion-ltd.ru/

�������@Mail.ru ������.�������