Штраф за 152 фз

Содержание страницы:

Штраф за 152 фз

Источники: КоАП, УК, ТК

Свидетельство о регистрации средства массовой информации Эл № ФС 77-31428 от «07» марта 2008 г.
Выдано Федеральной службой по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия

152 ФЗ — штрафы за нарушение закона О персональных данных

Штрафы за нарушение закона 152 ФЗ «О персональных данных» года существенно увеличены. С 1 июля вступила в законную силу новая редакция Закона. Самый высокий штраф – до 75 тыс. руб. установлен для юридических лиц. В новой редакции статьи 13.11 четко установлены случаи, за которые может быть наложен штраф.

Ваша компания попадает под действие Закона 152 ФЗ и сайт считается оператором по обработке персональных данных если на нем есть:

Обратная связь

  • форма обратной связи
  • заказ обратного звонка
  • форма любой заявки

Продажи

Пользователи

  • Регистрация
  • Авторизация
  • Социальные сети

Email маркетинг

  • Подписка на новости
  • Авторизация
  • Социальные сети

Ответственность за нарушение закона «О персональных данных»

Уголовная ответственность

Уголовный кодекс предостерегает от незаконного сбора или распространения сведений о частной жизни, составляющих личную или семейную тайну человека, без его согласия. Наказанием может стать штраф до 300 000 руб. и выше, принудительные работы, а также лишение свободы на срок до 4 лет.

Административная ответственность

Кодекс об административных правонарушениях даёт возможность оштрафовать физическое или должностное лицо, индивидуального предпринимателя или компанию за невыполнение 152-ФЗ на 10 000 руб. Штраф может быть наложен не только на компанию, но и на работника: руководителя или ответственного за организацию обработки персональных данных.

Также компания может быть оштрафована на сумму до 20 000 руб., если не выполнит в срок предписание Роскомнадзора или не ответит на его запрос.

Нарушения трудового законодательства, в том числе главы 14 Трудового кодекса, наказываются штрафом до 50 000 руб. Для компании может стать неприятной новостью, что не только Роскомнадзор, но и Трудовая инспекция интересуется тем, как она осуществляет обработку персональных данных.

Гражданско-правовая ответственность

Закон «О персональных данных» даёт физическим лицам право на возмещение морального и имущественного вреда, а также понесённых убытков. Размер возмещения будет определяться судом, и заранее он ничем не ограничен.

Подготовим Соглашение о защите персональных данных

Для наших клиентов мы предлагаем услугу подготовки текста Соглашения о конфиденциальности и Положения по обработке персональных данных. Эти документы проходят проверку юристом и соответствуют всем требованиям Закона 152 ФЗ. Вы можете обратиться в веб студию АВАНЗЕТ за подготовкой этих документов.

После этого необходима настройка всех форм обратной связи таким образом, чтобы пользователь, который отправляет письмо с любой формы на вашем сайте сначала познакомился с этими документами и поставил галочку в чек боксе, что он с ними знаком и только после этого он получит возможность отправить вам сообщение.

Мы уверены, что большинство наших клиентов — законопослушные люди, и поэтому мы хотим существенно облегчить соблюдение этого закона, чтобы помочь избежать штрафов. Напишите нам письмо и мы подготовим все необходимые документы и произведем нужные настройки на вашем сайте

Не ждите когда вас оштрафуют!

Закажите Соглашение о защите персональных данных прямо сейчас!

Размер штрафов за нарушение закона «О персональных данных»

Согласно новой редакции ст.13.11 КоАП РФ, нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:

  • Частное лицо может получить предупреждение или штраф в размере от 1 тыс. до 3 тыс. руб.
  • Должностное лицо заплатит от 5 тыс. до 10 тыс. руб.,
  • Юридическое лицо — от 30 тыс. до 50 тыс. руб.

Обработка персональных данных без согласия гражданина приведет к наложению штрафа:

  • в размере от 3 тыс. до 5 тыс. руб. для граждан,
  • от 10 тыс. до 20 тыс. руб. — для должностных лиц
  • от 15 тыс. до 75 тыс. руб. для юридических лиц.

В случае если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф.

  • Для граждан он составит от 700 до 1500 руб.,
  • для должностных лиц — от 3 тыс. до 6 тыс. руб.,
  • для индивидуальных предпринимателей (ИП) — от 5 тыс. до 10 тыс. руб.,
  • для юридических лиц — от 15 тыс. до 30 тыс. руб.

Самый лучший способ оградить себя и свою компанию от наложения штрафа и других видов ответственности — выполнить требования Закона 152 ФЗ «О персональных данных»! Заходите на сайт нашего партнера, регистрируйтесь и для вас будет подготовлен пакет документов, который необходим для выполнения всех требований Закона 152 ФЗ

Ответственность за нарушение ФЗ-152 «О персональных данных»

Правовая защита информации и персональных данных регулируется Федеральным законом 152 ФЗ. Предписывается обработка такой информации, а также ее хранение и ликвидация. Учитываются аспекты предоставления сведений по запросу органов власти, а также регламентируется использование информационных систем для обеспечения надлежащего доступа. В отдельном порядке регулируется назначение штрафов и иных взысканий за распространение личных сведений.

Что такое персональные данные?

Федеральный закон «О персональных данных» принят 8 июля 2006 года, вступил в силу через полгода после официального опубликования. Редакция документа дорабатывалась и актуализировалась, поправки вносились с целью устранения неточных формулировок и приведения правового акта во взаимодействие с иными законами. Последние изменения были внесены 29 июля 2017 года.

Структурно Закон «О персональных данных» подразделяется на следующие главы:

  • общие положения, включающие в себя цель принятия подобного акта и сферу его регулирования, а также основные понятия и место правовых норм в законодательстве РФ;
  • принципы и условия обработки соответствующей информации;
  • права субъекта персональных данных – гражданина, личные сведения которого регулируются действием закона 152 ФЗ;
  • должностные обязанности оператора – физического или юридического лица, осуществляющего сбор и хранение информации;
  • государственный надзор за хранением и обработкой полученных сведений, ответственность и назначение штрафов.

Согласно положениям ФЗ 152 под персональными данными понимается любая информация, которая прямо или косвенно относится к определенному лицу – субъекту. Во избежание штрафов обработку таких сведений осуществляют по следующим принципам:

  • законность и справедливость;
  • четкое определение целевого назначения, в рамках которого допускается обработка персональной информации;
  • не допускается объединять базы данных, цели и назначение которых отличаются друг от друга;
  • объем персональной информации определяется целью ее сбора, не допускается избыточность получаемых сведений, в противном случае налагается взыскание в виде штрафа;
  • учитываются такие аспекты как точность, достаточность и актуальность информации;
  • срок хранения не должен выходить за рамки достижения поставленной цели, после такового сведения подлежат уничтожению или обезличиванию.

Законом предписывается сохранение конфиденциальности персональных данных. Не допускается их разглашение операторами третьим лицам, а также их распространение и использование без согласия субъекта. В отдельных случаях обработка может осуществляться только с письменного разрешения гражданина. В случае нарушения на оператора накладывается взыскание — штраф или иная ответственность.

Скачать Федеральный закон «О персональных данных» можно по ссылке. Документ представлен со всеми изменениями, актуальными на 2017 год.

Нарушение предписаний законодательства влечет за собой ответственность. Чаще всего она выражается в виде штрафа, однако в отдельных ситуациях может повлечь за собой и более серьезное наказание.

Наказание за нарушение Закона «О персональных данных»

Штрафы по ФЗ 152 определяются статьей 24 об ответственности за нарушение Федерального закона «О персональных данных». Указанное положение ссылается на взыскания, предусмотренные законодательством. В штрафы включается и моральный вред, а также расходы, понесенные субъектом в связи с разглашением его данных.

Чтобы определить нормы законодательства по штрафам следует рассмотреть дополнительные правовые документы. Кодекс об административных правонарушениях определяет сумму штрафа в 10 тыс. рублей. Взысканию может быть подвергнуто физическое или должностное лицо, а также компания, за нарушение предписаний ФЗ 152.

Однако последние изменения в его положения предписывают штраф до 75 тыс. рублей. Также упростилась процедура взыскания.

Штраф в 20 и 50 тыс. ждет компанию в том случае, если не будет выполнено предписание Роскомнадзора или Трудовой инспекции соответственно. Последняя проводит проверку в соответствии с главой 14 ТК РФ, которая также защищает персональные данные работников от разглашения и предписывает ответственность за нарушения.

Статья 90 ТК РФ указывает на дисциплинарную, материальную, гражданско-правовую, административную или уголовную ответственность. Согласно данному положению взыскание к нарушителю может применяться не только в виде штрафа или увольнения, но и в виде лишения свободы.

Последний пункт определяется статьей 137 УК РФ. Она предписывает ответственность за нарушения неприкосновенности личной жизни. Такое наказание определяется в связи с использованием должностного положения и разглашением персональной информации. Если действия оператора попадут под действия данной статьи, то ему грозит штраф до 300 тыс. рублей, принудительные работы или лишение свободы до четырех лет.

Нарушением, способным повлечь за собой уголовное наказание, может трактоваться и сбор избыточной информации. Под таковой понимается получение персональных сведений, не требуемых для достижения поставленных целей. В этой ситуации изначально следует предписание исключить их сбор и только потом штраф или уголовная ответственность.

Закон 152-ФЗ о персональных данных: как обезопасить бизнес от новых штрафов с 1 июля 2017

Штрафы за несоблюдение требований Федерального закона «О персональных данных» были повышены в соответствии с Федеральным законом от 07.02.2017 № 13-ФЗ. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей. При этом, если раньше в КоАП существовал только один, общий для всех случаев состав правонарушения в области персданных (ст.13.11 КоАП РФ), то теперь в данной статье появилось целых семь составов.

Читайте так же:  Приставы сайт волжский

Чтобы избежать штрафов по 152-ФЗ, компаниям и ИП с 1 июля 2017 года следует внимательнее подходить к соблюдению требований закона о персональных данных.

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

1. С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона «О персональных данных».

2. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей.

3. Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. Закон не содержит конкретного перечня таких организаций.

4. Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре.

5. Обезопасить себя от штрафов можно, соблюдая 6 правил:

  • исключить случаи нецелевого сбора и обработки данных;
  • получать письменное согласие граждан на обработку их данных;
  • знакомить граждан с политикой обработки персональных данных;
  • отвечать на вопросы граждан о том, каким образом используются их персональные данные;
  • выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении;
  • обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д.

6. С 01.07.2017 начинает действовать упрощенный порядок привлечения к административной ответственности. Дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры.

Кого коснутся новые штрафы

Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. По закону они отнесены к операторам персональных данных и обязаны соблюдать законодательные ограничения.

Закон не содержит конкретного перечня таких организаций. Однако к ним можно отнести банки, страховые компании, операторов мобильной связи и интернета, медицинские организации, транспортные компании, учебные заведения и все те компании, при обращении в которые граждан просят указать личные данные или заполнить анкету.

Но и это еще не все. Закон распространяется на работодателей, получающих сведения от сотрудников как по трудовым договорам, так и по договорам гражданско-правового характера. Работодатели тоже являются операторами персональных данных с небольшой оговоркой. Если работодатель состоит с гражданином в трудовых или гражданско-правовых отношениях, ему не требуется уведомлять Роскомнадзор об обработке личной информации (ч. 2 ст. 22 Федерального закона № 152-ФЗ).

Также к операторам персональных данных относятся компании, имеющие собственные сайты с обратной формой связи и регистрацией пользователей, у которых запрашиваются личные сведения.

Подробнее о том, кто может не подавать уведомление в Роскомнадзор, читайте в статье «Кому не нужно уведомлять Роскомнадзор об обработке персональных данных».

Как обезопасить себя от штрафов: 6 правил

1. Исключить случаи нецелевого сбора и обработки данных.

Под данное нарушение попадают и случаи сбора излишней информации о гражданах. Например, когда сайт для новостной рассылки по e-mail требует от посетителей предоставить, скажем, паспортные данные. Это считается обработкой данных не по назначению, поэтому исключите подобные случаи из практики работы своей компании и сайта.

Данные действия образуют состав правонарушения по ч. 1 ст. 13.11 КоАП РФ. Штраф для предпринимателей – от 5 до 10 тысяч рублей, а для организаций – от 30 до 50 тысяч рублей.

2. Получать письменное согласие граждан на обработку их данных.

Согласие граждан на обработку персональных данных, когда это требуется по закону, операторы получают в соответствии с ч. 4 ст. 9 Федерального закона № 152-ФЗ. Исключений из этого правила не так много. Например, не требуется письменного согласия при получении персональных данных в личных, семейных целях (ч. 2 ст. 1 Федерального закона № 152-ФЗ).

В большинстве же случаев дополнительно к основному договору стороны должны подписывать соглашение об обработке персональных данных. Это соглашение может включаться в текст основного договора, или выступать в качестве отдельного документа. Согласие должно поступить лично от гражданина. Без его ведома передавать данные нельзя.

Самый банальный пример злоупотреблений в этой части – когда, например, оператор мобильной связи передает контакты абонентов без их ведома сторонним компаниям, и на телефонные номера граждан начинает поступать всевозможный спам.

Если письменного соглашения на обработку данных у компании нет, на граждан (ИП) наложат штраф в размере от 3 до 5 тысяч рублей, на должностных лиц от 10 до 20 тысяч рублей, а на юрлиц – от 15 до 75 тысяч рублей (ч.2 ст.13.11 КоАП РФ). Судя по судебной практике, ИП первый раз штрафуют как физлиц, а если нарушение повторяется, то уже как должностных лиц — руководителей ИП, так как во втором случае штраф выше.

Последствия неполучения письменного согласия контролерам будут неважны, а важен будет сам факт наличия или отсутствия такого согласия в письменной форме.

3. Знакомить граждан с политикой обработки персональных данных.

Эта информация должна находиться в свободном доступе и с ней должен иметь возможность ознакомиться каждый. Например, сайты вывешивают информацию о порядке работы с персданными на отдельных своих страницах.

В противном случае наступит ответственность по ч. 3 ст. 13.11 КоАП РФ. ИП заплатят штраф в размере от 5 до 10 тысяч рублей, а организации в размере от 15 до 30 тысяч рублей.

4. Отвечать на вопросы граждан о том, каким образом используются их персональные данные.

На практике бывают случаи, когда данные «утекают» третьим лицам, и клиентам компании начинает поступать всевозможная реклама от магазинов, медицинских центров и кредитных организаций. В этом случае клиент может потребовать от оператора персональных данных предоставить информацию о том, как используются и хранятся его личные сведения.

За игнорирование обращений граждан операторы персданных несут ответственность по ч. 4 ст. 13.11 КоАП РФ. Штраф для ИП – от 10 до 15 тысяч рублей, а для юрлиц – от 20 до 40 тысяч рублей.

5. Выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении.

Это нужно делать в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Неисполнение этой обязанности грозит штрафом по ч. 5 ст. 13.11 КоАП РФ. Для ИП штраф составит от 10 до 20 тысяч рублей, для организаций – от 25 до 45 тысяч рублей.

6. Обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д.

Ответственность за необеспечение сохранности личных сведений установлена ч. 6 ст. 13.11 КоАП РФ. Для предпринимателей – от 10 до 20 тысяч рублей, для компаний – от 25 до 50 тысяч рублей.

Ответственность для государственных и муниципальных органов власти

Штрафная ответственность предусмотрена и для государственных и муниципальных органов власти (ч. 7 ст. 13.11 КоАП РФ).

В своих документах (протоколах, сводках, решениях и т.д.) они должны обезличивать персональные данные граждан, не допуская указания их места жительства и полных ФИО.

В противном случае придется заплатить штраф в размере от 3 до 6 тысяч рублей.

Регистрация операторов персональных данных в Роскомнадзоре

Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре. Для этого необходимо подать уведомление об обработке (о намерении осуществлять обработку) персональных данных (ч. 3 ст. 22 Федерального закона № 152-ФЗ).

Для подачи уведомления об обработке персональных данных необходимо заполнить электронную форму на Портале персональных данных Роскомнадзора. Электронная форма уведомления об обработке персональных данных и порядок его заполнения также размещены на Едином портале государственных и муниципальных услуг (функций).

После заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных ее следует отправить в информационную систему Уполномоченного органа по защите прав субъектов персональных данных. Затем заполненную форму нужно распечатать и заверить надлежащим образом, скрепив подписью и печатью организации, после чего направить в соответствующий территориальный орган Роскомнадзора по месту регистрации компании-оператора персональных данных.

Что делать сайтам

Что касается сайтов (а сейчас они есть практически у любой компании), то основная масса нарушений здесь связана именно с нецелевым сбором и использованием персональных данных (ч. 1 ст. 13.11 КоАП РФ).

Например, нередко в форме регистрации на сайте используются такие поля, как «дата рождения» и «телефон», а в форме профиля пользователя — «отчество», «дата рождения», «место жительства» (страна, область/край, город).

Следует понимать, что для регистрации пользователя на большинстве сетевых ресурсов не требуется знать такие данные, как телефон и место жительства/регистрации пользователя. Из формы регистрации эти сведения следует убрать.

А из формы личного профиля лучше убрать такие сведения, как «профессия», «www-страница», Skype (или другой мессенджер) и «дата рождения».

Посторонним лицам (а ваша компания и является таким лицом) знать эту информацию ни к чему. Форма подписки на новости сайта должна собирать информацию только об e-mail пользователей. Форма регистрации может собирать имя, фамилию, e-mail и пол пользователя.

Сбор лишней информации при проверке могут посчитать нарушением.

Выполнение вышеописанных правил и знание закона позволят избежать ответственности за его нарушение. При этом следует учитывать одно немаловажное обстоятельство. Если раньше закон о персональных данных обходил вашу компанию стороной и никакой ответственности за его нарушение вы не несли, то с 1 июля все может измениться кардинальным образом.

Дело в том, что с этой даты начинает действовать упрощенный порядок привлечения к административной ответственности. Раньше дела в этой сфере возбуждала прокуратура (ст. 28.1 КоАП РФ). По новым же правилам (п. 58 ч. 2 ст. 28.3 КоАП РФ) дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры. На практике это означает, что количество штрафов и доведенных до суда дел может значительно увеличиться, и уйти от ответственности станет значительно сложнее.

Новый штраф за персональные данные — 75 000 рублей и блокировка

Минкомсвязь России опубликовало на едином портале для размещения проектов нормативно-правовых актов законопроект с поправками в статью 13.11 КоАП РФ , которой установлены семь составов правонарушений в области персональных данных. Чиновники хотят дополнить их восьмым составом и установить административную ответственность

Читайте так же:  Возврат страховых выплат при полной выплате кредита

за невыполнение оператором или иным лицом, получившими доступ к персональным данным, обязанности по соблюдению требований конфиденциальности персональных данных, нераскрытию третьим лицам и нераспространению персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Кроме того, чиновники намерены усилить административную ответственность за нарушение нормы, установленной частью 5 статьи 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а именно невыполнение обязанности оператора при сборе персональных данных обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан с использованием баз данных, находящихся на территории Российской Федерации.

Персональные данные должны быть конфиденциальными

Хотя сейчас статьей 13.11 КоАП РФ предусмотрены значительные штрафы за нарушение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», некоторые его требования пока не охвачены административной ответственностью. Чиновники решили исправить этот пробел. В пояснительной записке к законопроекту, в частности, сказано:

Законопроектом также предусмотрено введение нового состава административного правонарушения за невыполнение оператором или иным лицом, получившими доступ к персональным данным, обязанности по соблюдению требований конфиденциальности персональных данных, нераскрытию третьим лицам и нераспространению персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Указанная обязанность оператора установлена статьей 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Однако в действующей редакции статьи 13.11 КоАП РФ состав административного правонарушения за несоблюдение оператором и иным лицом, получившим доступ к персональным данным, требований конфиденциальности персональных данных не установлен.

В Минкомсвязи уверены, что введение нового состава даст возможность Роскомнадзору оперативно приостанавливать противоправную деятельность, связанную с незаконной обработкой персональных данных, а также повысить эффективность государственного контроля (надзора) в этой сфере. Авторы инициативы уверены, что необходимо вовремя предотвращать правонарушения, которые могут причинить значительный ущерб субъектам персональных данных.

За новый состав административных правонарушений чиновники предлагают установить ответственность в виде административных штрафов в размере:

  • для граждан — от 3000 до 5000 рублей;
  • для должностных лиц — от 10 000 до 20 000 рублей;
  • для юридических лиц от — 15 000 до 75 000 рублей.

Кроме того, Роскомнадзор получит возможность блокировать ресурсы в сети интернет, которые нарушают требования законодательства.

Публичное обсуждение законопроекта продлится до 17 мая 2018 года, после чего инициатива будет передана на рассмотрение в Правительство РФ.

О том, кто является оператором персональных данных, а кто — нет, подробно рассказано в Справке.

Владельцам сайтов, на которых есть личные кабинеты и информационные рассылки, нужно (если этого до сих пор не сделано):

  • разместить Политику обработки персональных данных (или Пользовательское соглашение);
  • продумать техническое решение, благодаря которому пользователь явно выражает согласие на обработку его персданных;
  • зарегистрироваться в качестве оператора персональных данных в реестре Роскомнадзора (не всем; кому нужно и как это сделать — читайте в статье).

Всем (в том числе работодателям, которые хранят у себя личные данные сотрудников) нужно подготовить пакет локальных нормативных актов, касающихся обработки персональных данных, как минимум:

Закон 152-ФЗ о персональных данных — как их правильно собирать и хранить, чтобы не быть оштрафованным

Здравствуйте, уважаемые читатели блога KtoNaNovenkogo.ru. Последнее время часто задают этот вопрос (в том числе и в комментариях ко многим статьям). Поэтому решил отразить свои ИМХО по этому вопросу. Если коротко, то я не знаю что на уме у Роскомнадзор и какие именно персональные данные к таковым будут отнесены.

Однако, в силу того, что штрафы за нарушение анонсированы нешуточные (под сотню тысяч рублей), имеет смысл «подстелить соломку» и выполнить данные нам сверху предписания (хотя бы частично, ибо штрафы начисляют отдельно по каждому пункту нарушений).

Лучше это сделать и потом узнать, что ваш сайт не подпадает таки под этот закон (что это?), чем не сделать и получить штрафные квитанции за нарушения описанные в законе 152-ФЗ. Во всяком случае, я так для себя решил.

Что считать персональными данными и почему это так важно?

С начала июля этого года, в связи с дополнениями в законе 152-ФЗ, существенно повышается вероятность получить по носу (в виде штрафа приличного размера) от Роскомнадзора за нарушение правил работы с персональными данными пользователей. Вообще, это тема злободневная для нашей текущей политики, и на этой почве как раз и произошло неприятное для нас (вебмастеров) событие — одновременное усиление ответственности и упрощение процедуры наложения штрафов.

Теперь Роскомнадзор может выписать штраф без привлечения прокуратуры и размеры этих штрафов получаются какие-то запредельные особливо для тех, кто оформился как юр. лицо или ИП (ладно там гиганты интернет-индустрии, но большинству это мало не покажется). Например, за сбор Емайлов без согласия оппонента можно получить штраф до 75 тыс. рублей для юр.лиц, хотя физ. лицо отделается несколькими тысячами.

Получается, что физ. лицо несет меньше ответственности и это логично (владельца сайта «хомячка» с формой обратной связи на бОльшую сумму штрафовать рука не поднимется). Но ко многим «серьезным» вебмастерам может возникнуть вопрос о незаконной предпринимательской деятельности, если сайт монетизируется (а это несложно понять). Неплохой способ для Роскомнадзора совместить приятное (штрафы) с полезным (выявление незаконных предпринимателей).

Ключевой вопрос состоит в том, что считать персональными данными, подпадающими под этот закон? ФИО, адрес, паспортные данные, номер телефона или же просто Емайл, имя, cookie (Ip адреса, поисковые запросы и т.п.) или того хуже, ник. Этот вопрос вообще ключевой по отношению к 99% процентам вебмастеров рунета, которые из этого списка обычно собирают только Емайлы, куки и имена (в форме добавления комментария, в форме подписки или обратной связи).

Однозначной трактовки нет и это пугает, ибо есть свобода маневра в том случае, если Роскомнадзор захочет оштрафовать как можно больше владельцев сайтов. С другой стороны, в сети есть призывы не паниковать, ссылаясь на слова главы Роскомнадзора, сказанными в одном из интервью:

Повторю ответ на вопрос заданный в заголовке этой публикации — я не знаю истины, но в силу масштабности возможных штрафов предпочитаю «подстелить соломки» и нивелировать риски нарушения самых «убойных» пунктов, за которые взимаются самые большие суммы (десятки тысяч рублей за одно нарушение).

Как снизить риск штрафа за нарушение закона 152-ФЗ?

Понятно, что закон писался все же для «серьезных» сайтов с огромной аудиторией и большими объемами собираемых персональных данных. Во-вторую очередь шерстить, наверное, будут интернет-магазины и прочую коммерцию, ибо там штрафы однозначно будут большие (юр.лица, ИП). Но вполне возможно, что дойдет дело и до обычных владельцев небольших ресурсов. Поэтому определенные действия все же предпринять стоит.

Тут ключевым является именно «снизить риск», ибо дать гарантию, что к вам после этого уже не докопаются, будет сложно. Во-первых, нужно быть юристом, чтобы понять все возможные заковыки. Во-вторых, формулировки и трактовки расплывчаты. В-третьих, ключевую роль могут сыграть варианты реализации описанного ниже. В-четвертых, «старый тупой дядька» может ошибаться. В общем, снизить риск, но не снять проблему полностью.

Итак, что желательно сделать, чтобы у Роскомнадзора не возникло желание с вами поближе познакомиться:

  1. Хранить собираемые персональные данные на территории Российской федерации. Тут все определяется, как я понимаю, географическим расположение сервера, на котором работает сайт. Т.е. хостинг желательно выбирать на территории России. Собственно, из-за этих проблем (хранения личных данных россиян за пределами страны) и был заблокирован Линкедин (соцсеть для работников и работодателей).
  2. Пользователей необходимо поставить в известность о тех мерах безопасности, которые вы предпринимаете для хранения сообщаемых ими персональных данных (и ответственности, которую несут стороны). Для этого обычно размещают на сайте так называемую «Политику конфиденциальности», где нужно будет все четко и по пунктам расписать. Где ее взять? Ну, списать у кого-нибудь или, например, можно использовать сервисы для ее автоматического составления:
    1. Политика конфиденциальности для коммерческого и обычного сайта (я его использовал, но потом чутка дооформил полученный документ). Нашел ссылку на этот сервис у Сергея Сосновского.
    2. То же самое, но есть ограничения при бесплатном использовании
  3. Нужно, чтобы ссылка на страницу с политикой конфиденциальности была доступна с любой страницы вашего сайта, поэтому ее нужно сделать сквозной, разместив, например, в футере или в низу сайдбара.
  4. Нужно, чтобы перед отправкой вам своих персональных данных через любую форму на сайте пользователь предварительно соглашался с описанной выше политикой конфиденциальности.
    1. В идеале — это должен быть чекбокс, не поставив галочку в котором пользователь данные отправить не сможет. И естественно, что ссылка на эти самые правила обработки данных должна быть рядом (пользователя может заинтересовать с чем он соглашается). Именно такую реализацию я сейчас вижу на сайтах некоторых банков.
    2. Но сам я сделал упрощенно — просто написал, что наживая кнопку вы, дескать, соглашаетесь со всем и вся (см. внизу этой статьи под формой подписки на рассылку).
  5. Желательно не собирать лишней информации о пользователях в различных формах и заявках. Во-первых, это ухудшает воронку конверсий (чем больше полей, тем меньше желание их заполнять), во-вторых, возможно, собираемая вами информация и не подпадет таки под шаблон Роскомнадзора.
  6. Даже если вы данные не собираете и не храните, например, используя сторонние системы комментирования (типа дискуса) или социальные сети для входа на сайт, то я бы все равно в политике конфиденциальности об этом упомянул и описанное выше предупреждение разместил. Например, Гугл Адсенс требует упоминать в политике конфиденциальности, что на сайте ведется сбор информации из куков, пусть это осуществляет и сторонняя сайту система контекстной рекламы.
  7. Данные нужно надежно хранить. Как это будут проверять не знаю. К тому же, по первому требованию вы данные пользователя должны будете удалить из своей базы. Вот это уже проверить намного проще.
  8. Ну и, естественно, следуя пунктам закона 152-ФЗ вы должны (просто обязаны) настучать на себя в Роскомнадзор. Конкретных штрафов за невыполнение этого требования не приводится, но они, скорее всего, есть. Хотя я этот пункт проигнорировал (ну, типа, сделал главное и забыл сообщить, просто погрузившись в рутину накопившихся за это время дел).

Думаю, что ссылку на мою версию политики хранения персональных данных пользователей вы найдете без труда (с некоторых страниц на нее аж по три ссылки ведет). Варианты оформления своих форм подписки, обратной связи, комментирования, заказов и т.п. вы тоже выберите сами исходя из своих соображений. Мне же остается только откланяться и сказать спасибо тем, кто дочитал до этого предложения.

Читайте так же:  Договор подряда стандартные вычеты

Персональные данные – 2018: как избежать штрафов

Письмо-предупреждение Роскомнадзора о нарушении положений Федерального закона от 27.07.2006 № 152-ФЗ к вам не придет, если вы берете согласие на обработку персональных данных, правильно составили Политику обработки персональных данных и предусмотрели другие важные детали.

Что изменилось с 1 июля 2017 года

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данныелюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данныхлюбое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан.

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально. На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft. Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн.

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн . Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

Штраф за 152 фз