Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Штрафы за персональные данные 2021 статья на хабр». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Доброго времени суток, Хабр! Мы компания «Информационный центр». Наше основное направление – информационная безопасность (она же – ИБ). В ИБ мы занимаемся практически всем: аудитом, проектированием систем защиты, аттестацией, комплаенсом, пентестами, есть свой SOC, даже с гостайной работаем. Поскольку мы базируемся во Владивостоке, изначально мы работали больше в Приморском крае и в дальневосточных регионах страны, но в последнее время география наших проектов все дальше раздвигает немыслимые нами в момент основания границы.
В первой своей статье мы хотели бы рассмотреть такую сторону ИБ, как комплаенс (англ. complience – соблюдение, соответствие). И поговорим мы о том, что нужно сделать, чтобы полностью соответствовать российскому законодательству о персональных данных.
Персональные данные в 2021 году: как работать, чтобы не нарушить закон
Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:
- уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
- уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
- персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).
Стоит заметить, что и здесь есть подводные камни. Например, сейчас многие организации, особенно государственные, реализуют зарплатные проекты по перечислению кровнозаработанных рублей сотрудникам прямиком на банковские карты. Это очень удобно и для работодателей и для сотрудников, и банку тоже выгодно. Но при осуществлении такого проекта, как ни крути, приходится передавать данные своих сотрудников в банк. И такая передача персональных данных третьим лицам уже не регламентируется трудовым законодательством, а значит, первое исключение из списка выше не работает, следовательно, нужно подавать уведомление об обработке персональных данных в Роскомнадзор.
Итак, первым делом перед специалистом, которому поручили подготовиться к грядущей проверке встает вопрос – а какие вообще документы нужны. Специалист обращается к законодательству и… Не находит практически ничего полезного. Ну не то чтобы прям совсем ничего. Да, наверное, специалист наткнется на постановление Правительства РФ от 21.02.2012 №211 и скажет: «Вот, вы были не правы, вот, есть же список документов!». Да, есть. Только специалиста здесь ждет своего рода ловушка. Если обзавестись только документами из этого списка, организация получит предписание по итогам проверки, потому что список не перекрывает и малой части требований законодательства. Плюс в списке встречаются такие несуразности как, например, необходимость отдельно утверждать перечень ИСПДн. Зачем для этого делать отдельный документ, когда можно перечислить ИСПДн в «Положении об обработке и защите ИСПДн» или в «Политике информационной безопасности» — непонятно. Ну и наконец, постановление №211 относится только к государственным и муниципальным органам, поэтому к большинству операторов ПДн – не применимо. И, кстати, в нашем наборе документов по постановлению 211 нет, так как большинство вопросов итак учтены в других документах.
Хорошо, давайте посмотрим, что там у нас есть еще в законодательстве.
В федеральном законе «О персональных данных» напрямую говорится только о необходимости разработки «Модели угроз безопасности» (хотя «напрямую» тоже не совсем верно сказано, в законе написано, что нужно определять угрозы безопасности ПДн) и о публикации «Политики в отношении обработки персональных данных».
О процессе разработки Модели угроз мы, возможно, также подробнее напишем в одной из последующих статей.
Все остальное описано неоднозначно, примерно в таком духе:
Оператор обязан принимать меры… К таким мерам могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
…
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
Штрафы в области персональных данных в 2021 году
Уведомлять Роскомнадзор не нужно, если персональные данные:
- относятся к субъектам, которых связывают с оператором трудовые отношения;
- получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
- являются общедоступными;
- включают только ФИО субъектов персональных данных;
- нужны для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- включены в федеральные автоматизированные информационные системы персональных данных, государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.
Все вышеперечисленные меры имеют отношение как к физическим, так и к юридическим лицам. Однако юридическим лицам следует предпринять ряд дополнительных мероприятий.
- Уголовная — в зависимости от тяжести нарушения суд может назначить разные наказания: от крупных штрафов до лишения свободы, причем, чтобы ответить по статье, достаточно рассказать чужую личную информацию всего одному человеку.
- Административная — суд предпишет заплатить штраф или ограничится предупреждением.
- Гражданско-правовая — необходимо будет возместить материальный или моральный ущерб
- Дисциплинарная — предполагает замечание или выговор, иногда дело может дойти до увольнения.
Нарушение |
Что грозит |
Норма закона |
Сотрудник придал огласке личную информацию другого сотрудника, которые он выяснил в ходе работы. Менеджер банка, проверяя платежеспособность заявителя на кредит, позвонил к нему на работу. Руководитель не должен давать информацию о размере зарплаты подчиненного без его письменного согласия и официального письма из банка. |
Увольнение |
Статья 81, пункт 6, подпункт «в» Трудового кодекса |
Работник допустил какие-либо другие нарушения при работе с личной информацией. Рекрутер передала резюме неподошедшего соискателя коллеге из другой компании. У нее было согласие человека на обработку его личных сведений, но не на передачу кому-то еще. Поэтому рекрутеру сделали выговор. |
Замечание или выговор |
Статья 90 и статья 192 ТК РФ |
Если вы работодатель, и ваш подчиненный нарушил правила конфиденциальности, учитывайте, что и вы должны играть значительную роль в недопущении подобных ситуаций. В частности, важно:
- защитить личные сведения сотрудников и клиентов от стороннего доступа (в том числе внутри организации);
- прописать в трудовом договоре ответственность сотрудника за нарушение принципов конфиденциальности;
- донести до всех сотрудников правила и принципы работы с ПД, которые установлены законом и применяются в организации.
Всё равно остались вопросы? Или хочется больше разборов реальных ситуаций из практики? Делимся практическим опытом и даем новейшую информацию в авторском курсе о персональных данных. Вам не придется самостоятельно изучать законы и разбирать нагромождения юридических формулировок. Мы уже сделали это за вас и упаковали в простые и понятные принципы. |
Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.
Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.
С 27 марта вырастут штрафы за нарушения в области персональных данных: ТАБЛИЦА
-
В 2023 нас ждет автоматический сбор налогов. ЦБ РФ отказал ФНС в «сливе» информации. За что ФНС штрафует бизнес
1,4 тыс. 0
-
Очереди в детсадах исчезнут. Почта России будет торговать винишком. ЛДПР предложила увеличить МРОТ
215 0
-
ФНС начнет шерстить рынки. Про цифровые паспорта и смарт-карты. Лимит по годовому обороту хотят увеличить
314 1
-
Про подконтрольные объекты, рейдовые визиты и валежник
147 1
Актуально на Появляется новое основание, за несоблюдение которого могут оштрафовать (раньше за это не наказывали рублем). Невыполнение обязанности по соблюдению конфиденциальности ПДн влечет наложение штрафа:
- на граждан — в размере от 10 до 20 тысяч рублей;
- на должностных лиц — от 40 до 100 тысяч рублей;
- на индивидуальных предпринимателей — от 100 до 300 тысяч рублей;
- на юридических лиц — от 300 до 500 тысяч рублей.
Организация, физическое или юрлицо, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия владельца ПДн, если это не предусмотрено федеральным законом.
Любая передача ПДн (распространение, предоставление, доступ) является незаконной без согласия владельца ПДн и является нарушением конфиденциальности его ПДн.
Если ПДн сотрудников были переданы без их письменного согласия, то во-первых, это противозаконно, а во-вторых, за подобные действия будут штрафовать.
Вот типовые ситуации, которые будут подпадать под данную статью:
1. Передача ПДн работников третьим лицам:
- в банк для целей выплаты заработной платы и иных материальных выплат, а также перечисления подотчетных средств;
- в охранное предприятие в целях взаимодействия и реагирования;
- в медицинские организации в целях проведения медицинских осмотров;
- в страховые компании по договорам добровольного медицинского страхования;
- в образовательные организации в объеме превышающем требования закона об образовании;
- в целях организации командировок и участия в выставках;
- в других целях, напрямую не связанных с должностными обязанностями сотрудника.
2. Передача ПДн клиентов, представителей клиентов, поставщиков, партнеров третьим лицам в целях:
- организации мероприятий, маркетинговых акций, рекламы;
- размещения отзывов, рекламных акций на сайте компании и других общедоступных источниках;
- сбор персональных данных через онлайн-каналы (мессенджеры, социальные сети, формы обратной связи на сайте, онлайн-консультанты) без применения средств защиты, обеспечивающих их конфиденциальность при передаче через интернет.
3. Получение ПДн без подтверждения наличия согласия от человека или иных законных оснований у передающей стороны.
4. Предоставление доступа к ПДН внутри организации сотрудникам без должного документального оформления (должностные обязанности и/или локальные нормативные акты).
Ответственность за не обезличивание персональных данных теперь несут не только государственные и муниципальные органы власти, но и все операторы.
По второму изменению в новом КоАП дело касается обезличивания ПДн. Проще говоря, если персональным данным (паспортным, медицинским, контактным данным и т.п) будет присвоен идентификационный номер, то это обезличивает персональные данные, т.к. по одному номеру нельзя определить человека.
В новом КоАП предполагается распространить ответственность за не обезличивание персональных данных с государственных и муниципальных органов власти на всех операторов. Все операторы будут обязаны обезличивать ПДн, которые обрабатывают.
Невыполнение подобных требований влечет предупреждение или наложение административного штрафа для всех операторов ПДн в размере от 3 до 6 тысяч рублей. Штрафы небольшие, но можно предположить, что это только начало.
Новый КоАП еще не принят, но вектор внимания уже определен. Для того чтобы нововведения не стали для вас сюрпризом, необходимо в 2021 году провести оценку соответствия процессов обработки и защиты персональных данных требованиям законодательства.
Проводить ее необходимо не реже, чем раз в три года. Это установлено законом.
Как ужесточились требования к работе с персональными данными в 2021 году
- Изучить все источники поступления ПДн в организацию, цели поступления и состав данных. К примеру, нужно понимать, что источники ПДн клиентов и сотрудников разные, и состав ПДн тоже разный.
- Проанализировать, где и как организация получает ПДн — наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность получения персональных данных, их состав и цели обработки. Получение всех ПДн, которые попадают в организацию, без исключения должны подтверждаться подобными документами: корректно составленное соглашение по обработке ПДн на сайте, с которого компания получает ПДн клиентов, Соглашение по обработке ПДн с сотрудниками.
- Изучить, какие и чьи ПДн в организации обрабатываются (в разрезе категорий физических лиц). Ориентируясь на ПДн клиентов и сотрудников, видно, что процесс их обработки и хранения разный. Доступ к ПДн сотрудников имеют отдел кадров, бухгалтерия, а к клиентским данным — та же бухгалтерия и коммерческий отдел.
- Проверить наличие утвержденных локальных нормативных актов, определяющих порядок доступа сотрудников к персональным данным. Документы, в которых прописано, кто и за что отвечает.
- Проанализировать соответствие процесса обработки локальным нормативным актам. Зачастую на практике бывает несоответствие.
- Изучить ваших получателей персональных данных: кому, для каких целей и в каком составе передаются персональные данные. Опять же, практика показывает, что в некоторых организациях к ПДн допускаются сотрудники, не имеющие к ним отношения.
- Проанализировать, на каких условиях передаются ПДн третьим лицам — обязательно наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность передачи персональных данных. Если зачисление зарплаты сотрудникам компании происходит через зарплатный проект банка, то компания обязана с каждым сотрудником, участвующем в зарплатном проекте, подписать соглашение о передаче его ПДн в этот банк.
- Определить, какие персональные данные стоит обезличивать. К примеру, это данные, чей срок хранения официально вышел, но при этом характеристики клиента имеют ценность без необходимости идентификации физического лица.
- Определить, какие согласия уже не имеют силы и которые надо скорректировать. Отсутствие отлаженной системы работы с ПДн в прошлом означает, что, возможно, часть документов уже не актуальна.
- Изучить, как защищаются персональные данные в компании и от кого они реально защищены — только от внешних злоумышленников или от внутренних тоже? Очень часто данные клиентов утекают вместе с увольняющимися сотрудниками коммерческих отделов.
- Составить годовой план и реализовать его. Необходимо разработать поэтапный план по реализации этих пунктов с учетом объема работы и времени на их выполнения.
Утечка ПДн может обернуться для компании не только финансовыми убытками, но и потерей репутации на рынке и разрывом отношений с партнерами. Поэтому важно изучить законодательство и вовремя принять меры. И здесь есть два пути:
- делать все самостоятельно (силами организации);
- доверить выполнение требований закона компаниям, которые могут провести независимый аудит по обработке ПДн и решить выявленные проблемы.
Да, если соблюдено одно из указанных условий.
- На вашем сайте в открытом доступе размещаются ПД.
- Вы собираете и структурируете ПД, размещенные в открытом доступе.
- Вы публикуете ПД в печатной или иной форме, при которой ПД находятся в открытом доступе.
Пример: социальные сети, сайты объявлений, форумы, печатные издания с объявлениями и т.д.
Нет, если соблюдено одно из указанных условий.
- На вашем сайте размещаются ПД, доступ к которым есть только у зарегистрированных пользователей, т.е. оператор может ограничить и определить круг лиц, имеющих доступ к ПД.
Эта позиция была устно донесена Роскомнадзором в ходе ответов на вопросы на дне открытых дверей 28 января 2021 г. В отсутствие письменных разъяснений остается довериться данной позиции и надеяться на то, что Роскомнадзор не изменит ее.
Пример: закрытая корпоративная социальная сеть или сайт-интегратор объявлений, на котором доступ к ПД продавцов можно получить только после регистрации на сайте.
- Ваша компания распространяет или предоставляет ПД в определенных законом государственных, общественных или публичных интересах независимо от того, что распространение или предоставление ПД запрещено самим лицом2.
Под государственными, общественными и публичными интересами в основном понимаются вопросы безопасности государства, граждан и т.д. Поэтому сложно придумать реальный случай, когда коммерческая организация могла бы прикрыться данным пунктом закона.
- Вы являетесь государственным органом власти или органом местного самоуправления, распространяющим ПД в силу выполнения возложенных на вас полномочий3.
Оператор может быть привлечен к административной ответственности. До 27 марта 2021 г. размер штрафа составит:
- от 5 до 10 тыс. руб. – для индивидуального предпринимателя;
- от 30 до 50 тыс. руб. – для компании24.
С 27 марта 2021 г. размер штрафов увеличивается:
- от 10 до 20 тыс. руб. – для индивидуального предпринимателя;
- от 60 до 100 тыс. руб. – для компании.
Новый законопроект о персональных данных: как изменилась работа рекрутеров
Написать комментарий
Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц. Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего в персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей). Законодатель с 1 июля вносит изменения в статью 13.11 КоАП (Федеральный закон от 7 февраля 2021 г. № 13-ФЗ).
До 1 июля 2021 года размеры штрафов за нарушение закона о персональных данных составляют:- для юридических лиц – от 5 тыс. до 10 тыс. руб.;
- для должностных лиц – от 500 до 1 тыс. руб.
Ниже в таблице приведу перечень нарушений и размеры новых штрафов за них с 1 июля 2021.
Вид нарушения Размер штрафа для юридических лиц для должностных лиц Обработка персональных данных в случаях, не предусмотренных законодательством, либо их обработка, несовместимая с целями сбора персональных данных*. От 30 тыс. до 50 тыс. руб. От 5 тыс. до 10 тыс. руб. Обработка персональных данных без письменного согласия субъекта персональных данных на их обработку* От 15 тыс. до 75 тыс. руб. От 10 тыс. до 20 тыс. руб. Обработка персональных данных с нарушением требований к составу сведений, отражаемых в письменном согласии субъекта персональных данных на их обработку От 15 тыс. до 75 тыс. руб. От 10 тыс. до 20 тыс. руб. Нарушение оператором требований законодательства в области обработки, хранения и предоставления персональных данных От 15 тыс. до 50 тыс. руб. От 3 тыс. до 10 тыс. руб. * Если не предусмотрена уголовная ответственность
Полномочия по возбуждению дел об административных правонарушениях в области персональных данных переданы от прокуроров к Роскомнадзору. Срок давности для административной ответственности – три месяца со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Протокол об административном нарушении составляют сотрудники Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ).Трудовая инспекция также вправе наказать за нарушения правил работы с персональными данными, которые установлены в трудовом законодательстве (например, если бухгалтер использует сведения сотрудника в незаконных целях или их утерял). Наказание – штраф от 1000 до 5000 руб., за повторное нарушение – штраф от 10 000 до 20 000 руб. или дисквалификация от одного года до трех лет (ч. 1, 2 ст. 5.27 КоАП РФ).
Срок давности для ответственности за персональные данные по трудовому законодательству – один год со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Кроме административной ответственности за нарушения в области обработки персональных данных могут привлечь к дисциплинарной, материальной и даже к уголовной ответственности.
Пример 1. Должностное лицо без согласия человека разгласил зарплату, премию, вознаграждение по договору, передал данные должников в юридическую фирму, чтобы составить исковые заявления или разместил копию заявления человека в качестве образца на стенде с образцами других заявлений. С 1 июля 2021 г. инспекторы Роскомнадзора квалифицируют такое нарушение как разглашение персональных данных без письменного согласия от человека или по письменному согласию, которое оформлено с нарушениями и выдадут постановление об административном правонарушении и назначат штраф: на учреждение – от 15 000 до 75 000 руб., на должностное лицо – от 10 000 до 20 000 руб. (ч. 2 ст. 13.11 КоАП РФ).
Пример 2. Бухгалтер не предоставил сотруднику расчетный листок, справку, сведения о страховом стаже и другие документы, в которых есть персонифицированные сведения о человеке. С 1 июля 2021 г. инспекторы Роскомнадзора квалифицируют такое нарушение как сокрытие от человека его персональных данных и назначат штраф: на учреждение – от 20 000 до 40 000 руб., на бухгалтера – от 4000 до 6000 руб. (ч. 4 ст. 13.11 КоАП РФ).Пример 3. Должностное лицо отказался принять к обработке новые паспортные данные человека, банковские реквизиты или другую изменяющую информацию – за такое нарушение инспекторы могут назначить штраф на учреждение – от 25 000 до 45 000 руб, а на должностное лицо – от 4000 до 10 000 руб.
Пример 4. Должностное лицо небрежно работает с документами, персональные сведения о сотруднике стали известны другим лицам из-за того, что он оставил на столе без присмотра или вынес с рабочего места справки, расчетные листки, другие документы с персональными данными или потерял эти документы. С 1 июля 2021 г. инспекторы Роскомнадзора квалифицируют такое нарушение как невыполнение требования человека уточнить, блокировать или уничтожить его персональные данные и назначат штраф: на учреждение – от 25 000 до 50 000 руб., а на бухгалтера – от 4000 до 10 000 руб. (ч. 6 ст. 13.11 КоАП РФ).
Пример 5. Должностное лицо передает имена, адреса, телефоны и другие данные сотрудников организациям, действующим в рекламных целях коллекторским агентствам или другим третьим лицам. С 1 июля 2021 г. инспекторы Роскомнадзора квалифицируют такое нарушение как обработку персональных данных, когда это не предусмотрено законами и не соответствуют целям сбора персональных данных и назначат штраф на учреждение – от 30 000 до 50 000 руб., а на бухгалтера – от 5000 до 10 000 руб. (ч. 1 ст. 13.11 КоАП РФ).
Действительно, в ФЗ «О персональных данных» есть норма о публикации Политики конфиденциальности:
«Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети» (ч.2 ст.18.1).
Однако не забывайте о возможных исключениях из данного правила.
Во-первых, не все сведения о физическом лице относятся к персональным данным (см. миф 1).
К дисциплинарной ответственности руководитель учреждения может привлечь работника за нарушения, которые обязаны соблюдать правила работы с личными данными, но нарушили их (ст. 192 ТК РФ). За дисциплинарный проступок руководитель может наказать работника, сделать замечание, объявить выговор и даже уволить (ч.1 ст. 192 ТК РФ).
Материальная ответственность работника может наступить, если его нарушение привело к ущербу для учреждения (ст. 238 ТК РФ). К примеру, ответственный работник за обработку персональных данных распространил персональные данные сотрудников в сети Интернет, а те в свою очередь подали на работодателя в суд, который постановил: «выплатить пострадавшим работникам денежную компенсацию – 50 000 рублей каждому». В таком случае руководитель может привлечь как к ограниченной так и к полной материальной ответственности.Самый страшный вид ответственности – это уголовная. Она может наступить за незаконные действия:
- сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
- распространение сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.
Ответственность за разглашение персональных данных в 2021 году
Для защиты и ограничения доступа к персональным данным работодатель должен обеспечить качественную и современную систему их защиты. Как именно это сделать?
Этот вопрос решает каждый работодатель самостоятельно. Чиновниками утверждены меры по обеспечению безопасности персональных данных при их обработке (статья 19 Закона от 27 июля 2006 г. № 152-ФЗ и требованиях, установленных постановлением Правительства РФ от 1 ноября 2012 г. № 1119). Злоумышленники могут уничтожить, изменить, заблокировать, скопировать информацию, предоставить ее третьим лицам. Иногда несанкционированный доступ случайно получают люди, у которых нет дурных намерений. Но угрозу безопасности персональных данных это не исключает.Примите меры, чтобы предотвратить несанкционированный доступ к персональным сведениям в базе данных.
1. Ограничьте доступ сотрудников к компьютерам.
2. Введите систему индивидуальных паролей. Их нужно периодически менять.
3. Храните диски и другие носители информации в запирающихся шкафах.
4. Закрепите процедуру защиты информации в положении.
Работодатель может получить все персональные данные сотрудника только от него самого. Учреждение не имеет права собирать информацию, которая не относится напрямую к работе персонала. Поэтому руководитель не должен заставлять сотрудников раскрывать сведения об их вероисповедании, политических пристрастиях, жилищных условиях и т. п. Все это относится к личной или семейной тайне гражданина (п. 4 ч. 1 ст. 86 ТК РФ, ст. 10 от 27 июля 2006 г. Закона № 152-ФЗ).
Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия сотрудника (ст. 7 от 27 июля 2006 г. закона № 152-ФЗ). Чтобы не допустить утечки информации, создайте систему защиты. Порядок получения, обработки, передачи и хранения сведений установите в локальном акте, например в положении о работе с персональными данными сотрудников.Положение утверждает руководитель учреждения. Ознакомьте сотрудников с положением под подпись (п. 8 ч. 1 ст. 86 ТК РФ). Руководитель определяет, кто будет отвечать за работу с персональными данными (ч. 5 ст. 88 ТК РФ). На практике такую работу поручают работникам отдела кадров, а в бухгалтерии – бухгалтеру по начислению зарплаты, так как они чаще всего имеют дело с персональными данными сотрудников.
На первый взгляд так и есть.
«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (ч.1 ст.3 ФЗ «О персональных данных»).
Однако если переложить данную норму на обычный язык, персональными данными являются только те сведения, на основе которых можно установить личность человека или которые относятся к человеку, личность которого бесспорно известна.
Проверим тезис на информации о номере телефона или адресе электронной почты. У вас нет легального доступа к абонентской базе или базе пользователей почтового сервиса. Следовательно, сами по себе данные сведения не позволяют установить личность человека, который ими пользуется.
\r\n\r\n\r\n\r\n
Согласно комментируемому закону, с 27 марта 2021 года штраф за обработку персональных данных в случае, если это не предусмотрено законодательством, увеличится в два раза и составит:
\r\n\r\n
- \r\n\t
- для граждан — от 2 000 до 6 000 руб.;
- для должностных лиц — от 10 000 до 20 000 руб.;
- для юрлиц — от 60 000 до 100 000 руб.
\r\n\t
\r\n\t
\r\n
\r\n\r\n
Кроме этого, поправками предусмотрено, что повторное совершение данного правонарушения повлечет еще более внушительный штраф. А именно:
\r\n\r\n
- \r\n\t
- для граждан — от 4 000 до 12 000 руб.;
- для должностных лиц — от 20 000 до 50 000 руб.;
- для ИП — от 50 000 до 100 000 руб.;
- для юрлиц — от 100 000 до 300 000 руб.
\r\n\t
\r\n\t
\r\n\t
\r\n
\r\n\r\n
Согласно комментируемому закону, с 27 марта 2021 года штраф за обработку персональных данных в случае, если это не предусмотрено законодательством, увеличится в два раза и составит:
- для граждан — от 2 000 до 6 000 руб.;
- для должностных лиц — от 10 000 до 20 000 руб.;
- для юрлиц — от 60 000 до 100 000 руб.
Кроме этого, поправками предусмотрено, что повторное совершение данного правонарушения повлечет еще более внушительный штраф. А именно:
- для граждан — от 4 000 до 12 000 руб.;
- для должностных лиц — от 20 000 до 50 000 руб.;
- для ИП — от 50 000 до 100 000 руб.;
- для юрлиц — от 100 000 до 300 000 руб.
Очень дорогие персональные данные: 18 млн рублей за ошибку
Также в два раза вырастут штрафы за обработку персональных данных без письменного согласия субъекта таких данных. В этом случае штраф составит:
- для граждан — от 6 000 до 10 000 руб.;
- для должностных лиц — от 20 000 до 40 000 руб.;
- для юрлиц — от 30 000 до 150 000 руб.
А при повторном нарушении штраф будет еще выше:
- для граждан — от 10 000 до 20 000 руб.;
- для должностных лиц — от 40 000 до 100 000 руб.;
- для ИП — от 100 000 до 300 000 руб.;
- для юрлиц — от 300 000 до 500 000 руб.
Для минимизации рисков привлечения к ответственности за нарушения в области ПДн рекомендуем компаниям заранее провести проверку соблюдения требований законодательства о ПДн и устранить выявленные нарушения. Это позволит в том числе заблаговременно подготовиться к возможным контрольным мероприятиям Роскомнадзора с целью управления рисками (их исключения, минимизации) привлечения к ответственности и применения иных мер принуждения по результатам такого контроля.
Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:
- Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.
- Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
- В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.
Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.
Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:
- ФИО;
- контактные данные;
- перечень персональных данных, обработку которых нужно прекратить.
Указанные ПД могут обрабатываться только оператором, которому оно направлено.
Новая ответственность за нарушение персональных данных с 27 марта 2021
Уведомлять Роскомнадзор не нужно, если ПД:
- относятся к субъектам, которых связывают с оператором трудовые отношения;
- получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
- являются общедоступными;
- включают только ФИО субъектов ПД;
- нужны для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;
- включены в федеральные автоматизированные информационные системы ПД, государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.
Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.
В соответствии с ч. 2 ст. 22 Федерального закона № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:
- в случае обезличивания ПД;
- в отношении общедоступных ПД;
- если данные включают только ФИО субъектов ПД;
- для однократного пропуска субъекта ПД на территорию, на которой находится оператор (или в иных аналогичных целях);
- если данные получены в связи с заключением договора, стороной которого является субъект ПД, если данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД;
- если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.
Согласно п. 2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях, когда обработка ПД:
- осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПД и круг субъектов, данные которых подлежат обработке, а также определяющего полномочия оператора;
- осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД;
- осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПД;
- необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия невозможно;
- необходима для доставки почтовых отправлений, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги, а также для рассмотрения претензий пользователей услугами связи;
- осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
- осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, ПД кандидатов на выборные государственные или муниципальные должности.
Минцифры предложило еще больше усовершенствовать законодательство в сфере персональных данных и регламентировать политику обработки обезличенных данных. Необходимость таких мер связана с тем, что уже сейчас стали доступны технологии, позволяющие деобезличивать данные и определять по ним конкретного человека.
Министерство предлагает запретить операторам:
- использовать какую-либо дополнительную информацию, с помощью которой можно определить принадлежность персональных данных конкретному субъекту;
- помимо обезличенных данных передавать третьим лицам информацию, позволяющую идентифицировать человека;
- деобезличивать данные, за исключением случаев, когда необходимо защитить жизнь или здоровье человека.
Как уточнили в Минцифре, есть только одна причина, по которой обезличенные персональные данные можно использовать без согласия — в исследовательских и статистических целях.
Согласие на распространение ПД надо получать отдельно от общего согласия на обработку ПД.
При получении согласия офлайн в письменной форме человеку надо предложить заполнить два бланка: первый ─ общее согласие на обработку ПД, второй ─ согласие на распространение.
В интернете для получения согласия обычно используют чекбокс со ссылкой на текст соответствующего документа. С 1 марта надо будет размещать два чекбокса: один ─ на общее согласие, второй ─ на распространение.
Кроме этого, в законе сказано, что человек еще должен выбрать, какие именно данные о себе он разрешает распространять. Пока непонятно, как технически настроить такой выбор на сайте. Возможно, придется рядом с каждым видом ПД предусматривать отдельные чекбоксы.
Такой формат может, конечно, повлиять на конверсию. И если вам не хочется заморачиваться с настройками под закон о ПД, подумайте, возможно, стоит отказаться от распространения данных.
Персональные данные в 2021: как компаниям с ними работать и не получать штрафы
Согласие может быть отозвано в любой момент без указания причин.
Это неудобно для отдельных проектов. Например, психолог предлагает бесплатные консультации при условии размещения записи беседы на своем сайте или соцсетях. Перед консультацией получены согласия на обработку и распространение ПД. А после размещения ролика клиент передумывает. Психолог вынужден удалить видео.
Даже если вы получили согласие, нет гарантии, что человек не отзовет его. И сделать с этим ничего не получится ─ удалять данные придется.
Иногда посетители сайта или соцсетей сами оставляют информацию о себе ─ пишут в комментариях имена, почты и даже телефоны. В таких случаях владельцу сайта надо доказать, что все, кто разместил личные данные на сайте, дали согласие на распространение.
Если у вас нет согласия, лучше удалите или отредактируйте подобные комментарии.
Это относится к случаям после 1 марта 2021 года ─ даты вступления в силу поправок в закон № 152-ФЗ, так как обратной силы закон не имеет.
С 1 марта 2021 года перед размещением данных о людях в публичном пространстве, нужно получить у них отдельное согласие. На интернет-ресурсах, кроме «Согласия на обработку ПД», придется размещать еще и «Согласие на распространение ПД». Также надо решить, каким образом люди будут давать разрешение, например, с помощью отдельного чекбокса.
Новая редакция ст.13.11 КоАП со штрафами за нарушение закона о ПД уже действует, поэтому будьте аккуратнее.
Российская правовая газета, издается с 1998 года. Освещает новости законодательства, практику применения законов и нормативных актов, судебную практику по различным отраслям права, предлагает аналитику наиболее актуальных вопросов правоприменения, отвечает на вопросы читателей.
Периодичность выхода: еженедельно, 50 номеров в год. Объем: 16 полос.
-любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных).
К ним относятся: фамилия, имя, отчество; пол, возраст; изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором; образование, квалификация, профессиональная подготовка и сведения о повышении квалификации; место жительства; семейное положение, наличие детей, родственные связи; факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.); финансовое положение; деловые и иные личные качества, которые носят оценочный характер; прочие сведения, которые могут идентифицировать человека.
Оператор персональных данных — юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных.
ВАЖНО! Лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений и т.п., а в силу самого факта осуществления им деятельности по обработке персональных данных.
С 27 марта выросли штрафы за нарушения при работе с персональными данными
-это любое действие или совокупность действий, совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
- О том, что на 9,3% выросло количество штрафов и компенсационных выплат за утечки персональных данных и платежной информации в мире
- О том, что общая сумма штрафов и компенсаций за утечки в 2020 году составила 385 млн долларов США
- О том, что максимальная сумма выплаты составила 117,5 млн долларов США, максимальная сумма штрафа – 80 млн долларов США
- О том, что более 1/3 всех штрафов за 2020 год назначено в странах Евросоюза
- О том, что размер среднего штрафа в странах Евросоюза снизился почти в 15 раз и составил 93 тыс. долларов США
- О том, что 4 штрафа за утечки назначены в России в 2020 году, суммы штрафов составили от 300,0 до 10,5 тыс. рублей
- О том, что 50% штрафов в мире пришлись на хайтек-компании, здравоохранение и ритейл
Напомню, что в текущей версии закона, в общедоступные источники персональных данных могут включаться сведения о субъекте с его письменного согласия.
Из новой статьи закона мы видим, что согласие на распространение персональных данных может быть предоставлено субъектом:
- непосредственно;
- с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
Формулировки не подразумевают сбора письменных согласий операторами, что значительно упрощает сам процесс. Т.е. достаточно того, что субъект персональных данных соглашается с согласием размещенным на сайте. Но к оформлению таких согласий нужно подойти со всей серьезностью, т.к. как я уже описал выше, к самим согласиям будут предъявляться более жесткие требования.
Что касается специальной информационной системы РКН, предназначенной для сбора согласий на распространение персональных данных, то ее нет. Т.е. регулятор закладывает такую возможность, но когда реализует непонятно. Поэтому имеет смысл ориентироваться на согласия данные непосредственно субъектом оператору. Тем более, что молчание или бездействие субъекта ПДн ни при каких обстоятельствах не могут считаться согласием на распространение персональных данных.
Как и любое правило, требования нововведенной статьи имеют исключения. Установленные субъектом запреты на распространение его персональных данных могут быть проигнорированы оператором, если случаи обработки ПД касаются государственных, общественных или иных публичных интересов, определенных законодательством РФ.
Также требования новой статьи не применяются, если:
- Обработка персональных данных производится в целях выполнения норм законодательства РФ.
- Обработка производится федеральными или региональными органами исполнительной власти или же органами местного самоуправления для исполнения своих функций, полномочий и обязанностей.
Передача персональных данных, разрешенных субъектом для распространения, должна быть прекращена по требованию субъекта. В данном случае, ничего нового требования статьи не содержат, т.к. оператор и так должен прекратить обработку ПДн субъекта, если тот пишет соответствующий отзыв ранее данного согласия. Данное требование должно включать в себя ФИО субъекта, контактную информацию, а также перечень персональных данных, распространение которых подлежит прекращению. Соответственно, действие ранее данного согласия прекращается в течение трех дней с момента поступления оператору подобного требования или в срок, указанных во вступившем в законную силу решения суда, если субъект обратился в суд.
Помимо новой статьи закона, вводятся изменения в уже существующие и связанные с общедоступными источниками информации. В частности претерпела изменение статья 18. Если раньше Оператор освобождался от обязанности предоставлять субъекту персональных данных сведения, полученные из общедоступных источников информации, то теперь закон ссылается на все вышеописанные требования новой статьи.
Ровно тоже произошло и со статьей 22 152-го Федерального закона. В которой говорится об уведомлении Роскомнадзора. В старой версии закона говорится о том, что Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку ПД, полученных из общедоступных источников информации. В новой же версии Оператор должен учитывать все условия и запреты отраженные в вводимой статье.
На самом деле последние два описанных изменения, на мой взгляд, не накладывают каких –то дополнительных условий на оператора. Т.к. в большинстве случаев оператор и так должен был предоставить обрабатываемые данные субъекта по его запросу и уведомить РКН о своей деятельности как оператора.
Закон уже подписан, но требования вступают в силу с 1 марта 2021г. Поэтому рекомендую заранее подготовиться и разработать шаблон согласия на распространение, которое Вы будете использовать.
Похожие записи: