Ответственность за нарушение 152-фз
Использование в любой деятельности идентифицирующих гражданина сведений налагает на любое физическое лицо, госслужащего, компанию или индивидуального предпринимателя обязанность обеспечивать безопасность ПДн в течение всего периода обработки.
Это четко прописано в ФЗ-152, как и необходимость несения определенной ответственности за распространение личных данных без согласия владельца.
Наказания могут варьироваться, в том числе нарушителя могут обвинить по статье УК РФ, что влечет за собой серьезные последствия, начиная от внушительного штрафа, заканчивая лишением свободы, арестом, принудительными и обязательными работами в течение определенного периода, а также лишением права заниматься той или иной деятельностью либо занимать некоторые должности.
Чтобы не оказаться участником уголовного разбирательства в качестве обвиняемого, нужно знать, когда действует статья 137 УК о разглашении персональных данных. Не менее важно гражданам знать свои права и порядок действий, если они каким-либо способом обнаружили, что конфиденциальная информация была использована без предварительного согласия.
Разглашение и распространение персональных данных без согласия субъекта
Хранить, использовать, дополнять, копировать, блокировать и совершать другие операции с ПДн необходимо исключительно после того, как получено одобрение от субъекта.
Причем человек должен дать официальное согласие в электронном либо письменном виде, предварительно ознакомившись с целями, методами, объемом и сроками обработки частных сведений.
Если оператор действует самовольно и передает секретные данные иным лицам, то имеет место незаконное распространение персональных данных.
Каким образом производится передача информации другим организациям, гражданам или общественности, не имеет значения, в любом случае за совершенные действия виновника накажут. Поводом для начала уголовного производства может служить как заявление субъекта в правоохранительные органы, так и инициатива надзорного органа, который обнаружил признаки несанкционированных операций в рамках плановой или внеплановой проверки.
Нарушением признается разглашение персональных данных без согласия владельца не только в том случае, если он не подписывал соответствующий документ, но и при отзыве ранее предоставленного разрешения. То есть нельзя продолжать обработку, если получили по всем правилам оформленное заявление об отзыве от гражданина либо его законного представителя.
Какая может быть ответственность за разглашение персональных данных гражданина?
Основание для наложения каких-либо санкций в отношении операторов, передающих ПДн третьим лицам, закреплено конфиденциальным статусом личной информации, что прописано в Статье 7 ФЗ-152.
Еще одним документом, предписывающим сохранять информацию в тайне является Трудовой Кодекс, где присутствует отдельная статья про дисциплинарные проступки.
Нормативно-правовая база РФ предусматривает несение нарушителем трех видов ответственности за распространение персональных данных:
- уголовной;
- административной;
- дисциплинарной.
При обвинении в рамках ТК максимум, что грозит человеку, — это увольнение, хотя часто руководство ограничивается замечанием или взысканием.
Более серьезное наказание предусмотрено статьей 13 КоАП, которую недавно откорректировали, увеличив штрафы примерно в 10 раз. Примечательно, что за повторное нарушение полагается в 2-3 раза больший штраф, чем за первичное невыполнение нормативов ФЗ-152.
Значительные проблемы возникают у тех, чьи действия интерпретируют как нарушение положений Уголовного Кодекса.
Удобная таблица со всеми административными штрафами за нарушения в области обработки и защиты персональных данных
Статья 137 УК РФ: наказание за разглашение персональных данных
Изначально следует отметить, что уголовная ответственность может наступить, если речь идет именно о разглашении личной информации, например, о состоянии здоровья, интимной сфере, образе жизни и т.д.
Вид и серьезность наказания определяются в зависимости от исполнителя правонарушения, способа распространения сведений и последствий, к которым привели незаконные действия нарушителя.
Гораздо проще наказать тех, кто сообщает конфиденциальные сведения в публичных выступлениях либо через средства массовой информации.
Основные меры наказания прописаны в статьях 137 и 138 УК РФ:
- за распространение данных, составляющих личную или семейную тайну — штраф до 200 тысяч рублей (или доход за последние 1,5 года), обязательные или принудительные работы продолжительностью до 360 часов и до 2 лет, соответственно (во втором случае нарушителя лишают права до 3 лет заниматься определенной деятельностью), арест до 4 месяцев, тюремное заключение максимум на 2 года;
- за аналогичные действия в случае использования служебного положения — до 6 месяцев ареста, лишение свободы на 4 года (максимум), принудительные работы максимум в течение 4 лет с лишением возможности заниматься той или иной деятельностью до пяти лет, штраф 100-300 тысяч рублей либо в размере полученного за прошлые 1-2 года официального дохода;
- за разглашение сведений, касающихся субъектов младше 16 лет — 150-300 тысяч штрафа, лишение права заниматься определенной деятельностью до пяти лет, принудительные работы до пяти лет, 6 месяцев ареста, заключение в тюрьму на срок до 5 лет;
- за несоблюдение тайны переписки и переговоров (в любом формате — по телефону, электронной почте, в рамках видеоконференций и т.д.) — штраф до 80 тысяч рублей либо в размере полученного за прошлые полгода дохода/зарплаты, исправительные или принудительные работы в течение 1 года или 360 часов, соответственно.
Действия субъекта в случае незаконного распространения ПДн
Ситуации, связанные с неправомерной передачей частных сведений, бывают разными, и каждый субъект вправе сам решать, как отстаивать собственные интересы:
- обращение в судебные органы с иском, где прописано требование прекратить обработку, заблокировать доступ к ПДн, возместить материальный и моральный ущерб;
- подача жалобы в Роскомнадзор, который инициирует дополнительную проверку, и если будут выявлены нарушения, предпримет адекватные меры;
- обращение в правоохранительные структуры позволит в случае удачного завершения дела добиться несения нарушителем административной либо уголовной ответственности. В полицию имеет смысл обращаться, если отсутствует достаточно убедительная для судебного производства доказательная база, подтверждающая вину оператора.
Разобраться в том, по какой статье идентифицировать нарушение и правильно составить претензию на распространение личной информации без согласия владельца, помогут квалифицированные юристы.
Есть ряд требований к содержанию, оформлению и подаче жалоб, исковых и других заявлений.
Для наиболее эффективной защиты прав есть смысл пойти сразу несколькими путями, продумав обвинения таким образом, чтобы обращения в разные инстанции дополняли друг друга.
Прокурор разъясняет — Прокуратура Приморского края
Ответственность за распространение персональных данных
Согласно Федеральному закону от 27.07.
2006 №152-ФЗ «О персональных данных» под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (являющемуся субъектом персональных данных), то есть любые личные сведения о том или ином гражданине являются персональными данными.
Законом определено, что лица, получившие доступ к персональным данным, не имеют права их разглашать без согласия правообладателя. Таким образом, персональные данные относятся к информации конфиденциального характера.
Повсеместно люди сталкиваются с ситуацией, когда необходимо предоставить личные сведения, например, при устройстве на работу, зачислении ребенка в учебные заведения и др.
Вышеназванным законом установлены правила получения и обработки персональных данных.
Во-первых, использование в любой деятельности идентифицирующих гражданина сведений возможно после получения согласия субъекта на совершение таких действий. Важно знать, что такое согласие может быть отозвано.
Для отзыва согласия на обработку персональных данных достаточно направить лично либо по электронным каналам связи оператору соответствующее заявление, составленное в свободной форме.
После получения заявления о запрете использования личных сведений оператор в срок, не превышающий 30 дней, обязан прекратить работы с данными и, если это возможно, обеспечить их уничтожение.
Однако, в законе установлены ограничения на отзыв разрешения на обработку информации: например, оператор, невзирая на получение отзыва согласия, может обрабатывать и передавать данные, если это необходимо для осуществления правосудия или защиты жизни и здоровья субъекта.
Во-вторых, после достижения целей, для которых были получены персональные данные, оператор обязан незамедлительно прекратить обработку и уничтожить соответствующие персональные данные в срок, не превышающий 3-х рабочих дней с даты достижения цели обработки.
Следует отметить, что изображения гражданина, на основании которых можно установить его личность, также относятся к персональным данным (биометрические персональные данные).
Таким образом, размещение изображения (фотографии) в сети Интернет возможно только с согласия лица. Размещение фотографий несовершеннолетнего возможно с согласия родителей или иных законных представителей.
- За распространение персональных данных без согласия субъекта персональных данных установлена ответственность.
- За умышленные действия, выражающиеся в незаконном сборе и распространении сведений о частной жизни человека, составляющих его личную или семейную тайну, без его согласия, в том числе с использованием служебного положения, влечет уголовную ответственность предусмотренную статьей 137 Уголовного кодекса Российской Федерации.
- Собирание и распространение сведений будет незаконным в том случае, если указанные действия совершаются виновным без согласия лица и в нарушение действующего законодательства.
- Субъектом преступного посягательства является физическое вменяемое лицо, достигшее к моменту совершения преступления 16-летного возраста.
- За данное преступление предусмотрено наказание в виде штрафа в размере от двухсот до трехсот пятидесяти тысяч рублей до лишения свободы на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до шести лет.
В случае нарушения порядка получения и обработки персональных данных, а также их распространение, предусмотрена административная ответственность по ст. 13.11 КоАП РФ.
- Данной статьей предусмотрено наказание в виде наложения административного штрафа на граждан в размере от двух тысяч до ста тысяч рублей; на должностных лиц – от десяти тысяч до восьмисот тысяч рублей; на юридических лиц – от ста тысяч до восемнадцати миллионов рублей.
- Кроме того, в соответствии с Гражданским кодексом Российской Федерации в случае, если изображение гражданина распространено в сети «Интернет» без его согласия, гражданин вправе требовать удаления этого изображения, а также пресечения или запрещения дальнейшего его распространения.
- Гражданским кодексом РФ установлено исключение, при котором обнародование и дальнейшее использование изображения гражданина возможно без его согласия.
- К таким случаям относятся:
1) использование изображения осуществляется в государственных, общественных или иных публичных интересах. К таким интересам, к примеру, относится информация, связанная с исполнением своих функций должностными лицами и общественными деятелями.
- 2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях).
- 3) гражданин позировал за плату.
- Прокуратура Чугуевского района
Прямая ссылка на материал
Поделиться
Согласно Федеральному закону от 27.07.2006 №152-ФЗ «О персональных данных» под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (являющемуся субъектом персональных данных), то есть любые личные сведения о том или ином гражданине являются персональными данными.
Законом определено, что лица, получившие доступ к персональным данным, не имеют права их разглашать без согласия правообладателя. Таким образом, персональные данные относятся к информации конфиденциального характера.
Повсеместно люди сталкиваются с ситуацией, когда необходимо предоставить личные сведения, например, при устройстве на работу, зачислении ребенка в учебные заведения и др.
Вышеназванным законом установлены правила получения и обработки персональных данных.
Во-первых, использование в любой деятельности идентифицирующих гражданина сведений возможно после получения согласия субъекта на совершение таких действий. Важно знать, что такое согласие может быть отозвано.
Для отзыва согласия на обработку персональных данных достаточно направить лично либо по электронным каналам связи оператору соответствующее заявление, составленное в свободной форме.
После получения заявления о запрете использования личных сведений оператор в срок, не превышающий 30 дней, обязан прекратить работы с данными и, если это возможно, обеспечить их уничтожение.
Однако, в законе установлены ограничения на отзыв разрешения на обработку информации: например, оператор, невзирая на получение отзыва согласия, может обрабатывать и передавать данные, если это необходимо для осуществления правосудия или защиты жизни и здоровья субъекта.
Во-вторых, после достижения целей, для которых были получены персональные данные, оператор обязан незамедлительно прекратить обработку и уничтожить соответствующие персональные данные в срок, не превышающий 3-х рабочих дней с даты достижения цели обработки.
Следует отметить, что изображения гражданина, на основании которых можно установить его личность, также относятся к персональным данным (биометрические персональные данные).
Таким образом, размещение изображения (фотографии) в сети Интернет возможно только с согласия лица. Размещение фотографий несовершеннолетнего возможно с согласия родителей или иных законных представителей.
- За распространение персональных данных без согласия субъекта персональных данных установлена ответственность.
- За умышленные действия, выражающиеся в незаконном сборе и распространении сведений о частной жизни человека, составляющих его личную или семейную тайну, без его согласия, в том числе с использованием служебного положения, влечет уголовную ответственность предусмотренную статьей 137 Уголовного кодекса Российской Федерации.
- Собирание и распространение сведений будет незаконным в том случае, если указанные действия совершаются виновным без согласия лица и в нарушение действующего законодательства.
- Субъектом преступного посягательства является физическое вменяемое лицо, достигшее к моменту совершения преступления 16-летного возраста.
- За данное преступление предусмотрено наказание в виде штрафа в размере от двухсот до трехсот пятидесяти тысяч рублей до лишения свободы на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до шести лет.
В случае нарушения порядка получения и обработки персональных данных, а также их распространение, предусмотрена административная ответственность по ст. 13.11 КоАП РФ.
- Данной статьей предусмотрено наказание в виде наложения административного штрафа на граждан в размере от двух тысяч до ста тысяч рублей; на должностных лиц – от десяти тысяч до восьмисот тысяч рублей; на юридических лиц – от ста тысяч до восемнадцати миллионов рублей.
- Кроме того, в соответствии с Гражданским кодексом Российской Федерации в случае, если изображение гражданина распространено в сети «Интернет» без его согласия, гражданин вправе требовать удаления этого изображения, а также пресечения или запрещения дальнейшего его распространения.
- Гражданским кодексом РФ установлено исключение, при котором обнародование и дальнейшее использование изображения гражданина возможно без его согласия.
- К таким случаям относятся:
1) использование изображения осуществляется в государственных, общественных или иных публичных интересах. К таким интересам, к примеру, относится информация, связанная с исполнением своих функций должностными лицами и общественными деятелями.
- 2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях).
- 3) гражданин позировал за плату.
- Прокуратура Чугуевского района
Ответственность за разглашение персональных данных
12 июля 2023 7:11
0
#CNT# data-template-html-inactive=В избранное #CNT#>
За нарушения в сфере персональных данных предусмотрена административная, уголовная, гражданская и дисциплинарная ответственность. В отдельных случаях можно лишиться не только денег, но и свободы. Рассмотрим, в каких случаях работодателя могут привлечь к ответственности за персональные данные.
Административная ответственность
За нарушения Закона о персональных данных №152-ФЗ работодатель может быть привлечен к ответственности по двум статьям КоАП РФ. Одна из них общая — за непредоставление информации; вторая — специальная, именно за невыполнение требований к защите личной информации граждан. Рассмотрим типичные ошибки, за которые компанию могут привлечь к административной ответственности.
Статья 13.11. Нарушение законодательства РФ в области персональных данных
По статье 13.11 КоАП РФ работодателя привлекут к административной ответственности если он избыточно собирает персданные или обрабатывает их без согласия владельца или не в соответствии с целями, не опубликовал политику по персданным и т. д.
Подробнее про типичные ошибки в работе с ПД и штраф за персональные данные смотрите в таблице. Примеры в таблице подготовлены по типичных нарушениям, которые выявляет Роскомнадзор при проверках.
К частым нарушениям по статье 13.11 КоАП РФ у работодателя относятся также следующие:
- не утвержден список лиц, которые имеют доступ к персональным данным;
- не проводится внутренний аудит работы с ПД;
- работники не ознакомлены под личную подпись с Законом №152-ФЗ, Политикой и локальными актами оператора в сфере персональных данных;
- не утвержден перечень мест хранения ПД.
За эти несоответствия оператора привлекут к ответственности за неправомерную обработку персональных данных. При этом штрафы за повторные нарушения в сфере ПД будут гораздо выше.
Статья 19.7. Непредставление сведений
Ответственность за нарушение в сфере персональных данных по этой статье 19.7 КоАП предусмотрена в трех случаях:
1. Оператор не уведомил Роскомнадзор о начале обработки персональных данных. Эта обязанность распространяется на всех, кто работает с личной информацией граждан: ИП, самозанятых, юридических лиц.
2. Оператор не направил информационное письмо в Роскомнадзор при изменении сведений, содержащихся в Реестре операторов ПД. Например, при изменении целей обработки персональных данных.
3. Оператор не представил информацию в течение 10 рабочих дней по запросу Роскомнадзора. Штраф для юридического лица составит от 3 000 до 5 000 рублей.
Такой вид наказания применяется, когда нарушения в сфере обращения с личной информацией гражданина причинили или могли причинить ему значительный вред. Например, очень осторожно следует обращаться с биометрическими данными несовершеннолетних и не публиковать без согласия родителей на сайтах компании или школы видеоролики с их участием.
Нарушение | Возможные наказания | Норма закона |
Стоит понимать, что у понятий «личная тайна» и «семейная тайна» нет конкретных определений. Суды трактуют их довольно широко, а потому есть риск ответить перед законом за раскрытие практически любых личных сведений о другом человеке. В целом, личной тайной считается все, что человек, хотел бы скрыть: болезнь, религиозные убеждения, уровень обеспеченности и т.д. Например, одной компании пришлось отвечать перед судом за раскрытие перемещений автомобиля, а другой — за детализацию мобильных расходов клиента. Понятие семейной тайны немного конкретнее: это информация об отношениях с родственниками, социально-бытовых условиях жизни и т.д. |
|
137 статья УК РФ, ч. 1 С использованием служебного положения — 137 ст, ч 2 |
Незаконное обнародование информации о потерпевшем, которому нет 16 лет, если эта информация:
Городская газета опубликовала статью о девочке-подростке, указав её ФИО и номер школы. При этом ни девочка, ни ее родители согласия на обнародование таких личных данных газете не давали. РКН вынес редактору письменное предупреждение, однако она на него не отреагировала, и в газете появилось еще несколько статей с личной информацией героев, не достигших 16 лет. В результате суд постановил закрыть газету. |
|
137 статья УК РФ, ч. 3 |
Чиновник неправомерно отказался предоставить человеку документы, затрагивающие его права и свободы, либо предоставил ему неполную или заведомо ложную информацию — при условии, что эти действия нанесли вред правам и законным интересам граждан. Чиновник также будет наказан за:
|
|
140 статья УК РФ |
Неправомерный доступ к компьютерной информации, которая охраняется законом, если это вызвало ее уничтожение, блокирование, изменение или копирование. Под неправомерным доступом здесь подразумевают любое взаимодействие с данными (включая просто ознакомление), на которое нет разрешения собственника или другого законного пользователя. |
|
272 статья УК РФ, ч. 1 ущерб от 1 млн. руб — 272 статья, ч 2 |
Описанные в 1 и 2 частях статьи правонарушения, если они были совершены:
|
|
272 статья УК РФ, ч. 3 |
Правонарушения, описанные в 1, 2 и 3 частях статьи, если они вызвали тяжкие последствия или угрозу их наступления (к таким случаям относят, например, смерть, существенный вред здоровью). | лишение свободы до 7 лет | 272 статья УК РФ, ч. 4 |
Гражданско-правовая ответственность
Закон №152-ФЗ прямо устанавливает обязанность оператора возместить моральный вред гражданину при нарушении его прав.
Причем гражданская ответственность за распространение персональных данных или иные неправомерные действия, которые причинили вред субъекту ПД, применяется независимо от возмещения ущерба, а также привлечения к административной или уголовной ответственности.
Размер компенсации морального вреда определяет суд.
Нарушение | Что грозит | Норма закона |
Оператор нарушил правила обработки личной информации, из-за чего человек понес материальные потери. Это могут быть:
|
Полное возмещение убытков, если только меньший объем выплат не установлен законом или договором. Если виновник как-то нажился на чужой личной информации, ее владелец вправе потребовать в дополнение упущенную выгоду в размере не меньшем, чем полученные нарушителем доходы. | Статья 15 Гражданского кодекса |
Оператор нарушил правила обработки личностных сведений, что повлекло для человека моральный вред. Мужчина обратился в суд: банк засыпал его смс и звонками с требованиями погасить задолженность по кредиту. Деньги он действительно брал, но уже давно выплатил. Однако до сотрудников банка это донести не удавалось. Суд запретил банку обрабатывать ПД истца и постановил выплатить ему 15 тыс. руб. моральной компенсации. | Компенсация морального вреда | Статья 24 Закона «О персональных данных» |
Дисциплинарная ответственность
Нарушение | Что грозит | Норма закона |
Сотрудник придал огласке личную информацию другого сотрудника, которые он выяснил в ходе работы. Менеджер банка, проверяя платежеспособность заявителя на кредит, позвонил к нему на работу. Руководитель не должен давать информацию о размере зарплаты подчиненного без его письменного согласия и официального письма из банка. | Увольнение | Статья 81, пункт 6, подпункт «в» Трудового кодекса |
Работник допустил какие-либо другие нарушения при работе с личной информацией. Рекрутер передала резюме неподошедшего соискателя коллеге из другой компании. У нее было согласие человека на обработку его личных сведений, но не на передачу кому-то еще. Поэтому рекрутеру сделали выговор. | Замечание или выговор | Статья 90 и статья 192 ТК РФ |
Если вы работодатель, и ваш подчиненный нарушил правила конфиденциальности, учитывайте, что и вы должны играть значительную роль в недопущении подобных ситуаций. В частности, важно:
- защитить личные сведения сотрудников и клиентов от стороннего доступа (в том числе внутри организации);
- прописать в трудовом договоре ответственность сотрудника за нарушение принципов конфиденциальности;
- донести до всех сотрудников правила и принципы работы с ПД, которые установлены законом и применяются в организации.
Всё равно остались вопросы? Или хочется больше разборов реальных ситуаций из практики? Делимся практическим опытом и даем новейшую информацию в авторском курсе о персональных данных. Вам не придется самостоятельно изучать законы и разбирать нагромождения юридических формулировок. Мы уже сделали это за вас и упаковали в простые и понятные принципы. |
Как работать с персональными данными работников в 2023 году
Казалось бы, есть всего один закон 152-ФЗ о персональных данных. Но в нем все так описано, что тонут даже юристы. Не всегда понятно, может ли работодатель не уведомлять Роскомнадзор, когда нужно согласие работника на обработку персональных данных, а когда можно работать без него. Нужно ли согласие на обработку от соискателя.
Персональные данные — это ФИО работника, ИНН, СНИЛС, телефон, размер зарплаты и даты рождения его детей. Это любая информация, прямо или косвенно относящаяся к сотруднику, как указано в ст. 3 закона о персональных данных 152-ФЗ. Даже просто ФИО «Иванов Иван Иванович» без даты рождения или номера телефона Роскомнадзор считает персональными данными.
Кадровик сталкивается с персональными данными, когда получает резюме соискателя, сообщает охраннику данные кандидата для оформления пропуска, заполняет трудовой договор или отправляет СЗВ-ТД в Пенсионный фонд.
Любые действия кадровика с персданными работника называются обработкой персональных данных. По п. 3 ст. 3 закона о персданных обработка персданных включает в себя сбор, запись, систематизацию, использование, распространение, удаление данных.
Как только работодатель приступил к обработке персданных, он обязан их защищать, хранить и обрабатывать по правилам закона о персональных данных, гл. 14 Трудового кодекса. Иначе Роскомнадзор оштрафует по жалобе работника или при проверке. За грубейшие нарушения возможна уголовная ответственность.
Вот популярные нарушения работодателей в работе с персданными.
Нарушение № 1. Не получают согласие работника на обработку данных, когда это нужно
Компания публикует фотографии работников на сайте компании. Это распространение информации неограниченному кругу лиц. Нужно оформить согласие работника на распространение.
Еще пример. Работодатель перечисляет зарплату работника на счет его супруги. Реквизиты счета прописаны в допсоглашении к трудовому договору с работником. Это обработка данных супруги без ее согласия. Если согласия супруги не предоставить, Роскомнадзор оштрафует при проверке.
Штраф за нарушение — до 150 тыс. рублей компании, до 40 тыс. рублей руководителю по ч. 2 ст. 13.11 КоАП РФ.
Нарушение № 2. Обрабатывают данные в непредусмотренных законом случаях
Магазин собирает и хранит справки работников об отсутствии судимости. Это обработка не предусмотренной законом информации, за которую Роскомнадзор может оштрафовать.
А вот школа имеет право запрашивать у работников такие справки и хранить их, поскольку это ее обязанность по ст. 65 ТК РФ.
Штраф за нарушение до 100 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 1 ст. 13.11 КоАП РФ.
Нарушение № 3. Получают данные для одной цели, а используют для другой
Работодатель взял копию диплома, чтобы оформить прием. А потом опубликовал его на сайте компании, чтобы подтвердить экспертность своих сотрудников. Его оштрафуют, потому что цель обработки достигнута — прием оформлен, а документ не уничтожен.
Штраф за нарушение до 100 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 1 ст. 13.11 КоАП РФ.
Нарушение № 4. Не публикуют политику обработки персональных данных
Политика обработки персданных нужна обязательно, и у работников должен быть к ней свободный доступ. Кто-то вывешивает политику на доске при входе в офис, кто-то публикует ее на сайте. Политика обязательно должна быть на сайте, если там выложены вакансии с возможностью откликнуться на них через сайт.
Штраф за нарушение до 60 тыс. рублей компании, до 12 тыс. рублей руководителю по ч. 3 ст. 13.11 КоАП РФ.
Нарушение № 5. Не вовремя реагируют на запрос гражданина о его персональных данных
Работодатель должен ознакомить работника с обрабатываемыми пересданными в день обращение или в течение 30 дней с даты получения запроса работника. Иначе оштрафуют.
Для защиты компании работодатели прописывают в политике обработки адрес для таких запросов. Это помогает избежать ситуации, когда гражданин пишет запрос на электронку отдела продаж и его запрос долго передают ответственному за обработку персданных.
Штраф за нарушение до 80 тыс. рублей компании, до 12 тыс. рублей руководителю по ч. 4 ст. 13.11 КоАП РФ.
Нарушение № 6. Не уничтожают персональные данные работника по его требованию
Гражданин и Роскомнадзор вправе письменно потребовать уточнить, заблокировать или уничтожить персональные данные, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
Так, одна компания размещала на сайте информацию о своих сотрудниках-специалистах. После увольнения работник потребовал удалить информацию. А компания отказалась и получила максимальный на тот момент штраф 25 тыс. рублей. С 21 марта 2021 штрафы увеличили. См. Постановление 2 КСОЮ от 30.11.2021 № 16-9529/21.
Штраф за нарушение до 90 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 5 ст. 13.11 КоАП РФ.
Нарушение № 7. Хранят данные в базах данных, находящихся не в России
Обработка персональных данных с 1 сентября 2022 года: что поменялось
- Главная →
- Журнал →
- Бизнес →
- Риски
24 августа 2022 82 210 83
В начале осени вступает в силу Федеральный закон от 14.07.2022 № 266-ФЗ. Он должен повысить ответственность операторов персональных данных, сделать более прозрачной их деятельность и защитить личные данные россиян. Разберемся, что нового он несет предпринимателям.
Замглавы Роскомнадзора Милош Вагнер сообщил, что только в 2022 году в России произошло более 40 крупных утечек персональных данных россиян. Было скомпрометировано свыше 300 миллионов записей.
Его слова подтверждаются громкими новостями из открытых источников.
Еще в мае стало известно о слитых в открытый доступ базах данных клиентов СДЭК, ВТБ, Delivery Club, Wildberries, Avito, «Билайна», «Гемотест».
С 1 сентября требования к работе с персональными данными в очередной раз ужесточатся, у бизнеса появятся новые обязанности, а у Роскомнадзора — новые причины для штрафов.
Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки
Отчитаться
В России защита информации о личности граждан обеспечивается Федеральным законом от 27.07.2006 № 152-ФЗ. Он не содержит конкретного перечня, что относится к персональным данным. Это могут быть любые сведения, которые прямо или косвенно относятся к определенному физическому лицу (ст. 3 152-ФЗ), например:
- Ф.И.О.;
- дата рождения;
- адрес регистрации и адрес проживания;
- паспортные данные, СНИЛС, ИНН;
- номер телефона;
- e-mail;
- адрес страницы в соцсетях;
- контакт в мессенджере.
То есть к персональным данным (ПД) относится любая информация, которая позволяет определить конкретного человека — субъекта ПД.
По 152-ФЗ те, кто получают доступ к ПД не для семейных нужд и работают с ними: собирают, систематизируют, используют, передают, хранят и т.п., являются операторами персональных данных (ОПД).
ОПД может быть как крупная корпорация, так и фотомастерская со штатом в два человека. Оператор имеет право, с согласия гражданина, поручить обработку его персональных данных другому лицу — обработчику (п.
3 ст. 6 152-ФЗ).
ОПД несут ответственность перед гражданами за сохранность их личных данных. У операторов ПД есть обязанности (ст. 18–22.1 152-ФЗ).
Например, до начала обработки персональных данных нужно уведомить Роскомнадзор, чтобы попасть в Единый реестр. Исключения из правила указаны в п. 2 ст. 22 Закона № 152-ФЗ.
По общему правилу обработчики напрямую с субъектами ПД не контактируют и несут ответственность не перед ними, а перед оператором.
С 1 сентября 2022 года действие 152-ФЗ распространяется на обработку ПД российских граждан, осуществляемую иностранными юрлицами или физлицами на основании договора или с согласия гражданина (п. 1. ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ).
Автоматизируйте работу с сотрудниками: рассчитывайте зарплату, НДФЛ, взносы, оформляйте кадровые документы прямо в Экстерне
Попробовать
С 1 сентября 2022 года 266-ФЗ вводит дополнительные правила для ОПД и обработчиков или ужесточает имеющиеся. Предпринимателям станет сложнее соблюдать все требования работы с персональными данными.
- В договор с физическим лицом нельзя будет включать положение о том, что его бездействие подразумевает разрешение на заключение договора, в котором он будет выгодоприобретателем или поручителем (п. 3а ст. 1 266-ФЗ).
- Появляются дополнительные требования о «предметности и однозначности» согласия на обработку ПД (п. 4 ст. 1 266-ФЗ). То есть фактически предпринимателям придется чаще получать согласие субъекта ПД.
- Появляются конкретные требования к содержанию поручения оператора, указанного в п. 3 ст. 6 152-ФЗ. Кроме того, вводится ответственность иностранного обработчика персональных данных перед субъектом ПД (п. 3а, 3в ст. 1 266-ФЗ). До 1 сентября 2022 года он отвечал только перед оператором.
- Оператор не сможет отказать в обслуживании физлицу, если то отказывается предоставить биометрические данные или дать согласие на обработку ПД в необязательных по закону случаях. Которых не так много по п. 2 ст. 11 152-ФЗ. Аналогичные изменения будут действовать с 1 сентября 2022 года и в Законе о защите прав потребителей (Федеральный закон от 01.05.2022 № 135-ФЗ).
- Оператор должен будет отреагировать на запрос субъекта ПД о предоставлении сведений по ч. 7 ст. 14 152-ФЗ в течение 10 рабочих дней (п. 8а, п. 12 ст. 1 266-ФЗ). Раньше срок ответа составлял 30 дней.
- Срок в 10 рабочих дней вместо 30 календарных устанавливается и для ответа в Роскомнадзор (п. 12 ст. 1 266-ФЗ). Об утечке персональных данных нужно будет сообщить в ведомство в течение 24 часов с момента инцидента, а в течение 72 часов — проинформировать о результатах внутреннего расследования (п. 13 ст. 1 266-ФЗ).
- ОПД обязан будет подключиться к системе ГосСОПКА, чтобы передавать туда информацию о компьютерных инцидентах, повлекших утечку персональных данных (п. 12 ст. 1 266-ФЗ).
- Оператор должен будет прекратить обработку ПД или обеспечить прекращение обработки при договоре с обработчиком в течение 10 рабочих дней с даты получения соответствующего требования от гражданина (п. 13 ст. 1 266-ФЗ).
Все изменения в законодательном регулировании нужно будет отразить в политике ОПД в отношении обработки персональных данных и локальных нормативных актах ОПД-юрлица, которые разрабатываются по требованиям ст. 18.1 152-ФЗ.
Глобальное изменение с 1 сентября 2022 года — сокращение списка ситуаций, когда не нужно уведомлять Роскомнадзор до начала обработки ПД.
В перечне остается всего три случая, когда оператору не обязательно входить в Единый реестр: работа с ПД без средств автоматизации, включение персональных данных в ГИС, созданных для защиты безопасности государства и общественного порядка и обработка в соответствии с законодательством РФ о транспортной безопасности (п. 14 ст. 1 266-ФЗ).
Кто и когда должен уведомить Роскомнадзор об обработке персональных данныхНапомним, что раньше таких ситуаций по ст. 22 152-ФЗ было девять. Например, можно было не уведомлять Роскомнадзор об обработке ПД штатных сотрудников. С 1 сентября 2022 года любой работодатель должен быть зарегистрирован в Едином реестре ОПД.
Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!
Попробовать
За невыполнение требований законодательства в области обработки ПД предприниматели могут получить штраф от 60 до 100 тыс. рублей (ст. 13.11 КоАП РФ).
С 1 сентября 2022 года устанавливается административная ответственность за отказ потребителю в заключении договора из-за непредоставления персональных данных. Штраф за нарушение для ИП и юрлиц составит от 30 до 50 тыс. рублей (Федеральный закон от 28.05.2022 № 145-ФЗ).
Предприниматель по Закону от 01.05.
2022 № 135-ФЗ имеет право отказать потребителю в заключении договора из-за непредоставления ПД, если персональные данные обязательны по законодательным требованиям или непосредственно нужны для исполнения договора. Например, покупатель выбирает доставку курьером, но не указывает адрес доставки. В этом случае продавец не будет нести ответственности за отказ в заключении договора.
Штраф по 145-ФЗ касается случаев избыточности требований о предоставлении ПД потребителем. Не секрет, что многие компании собирают много личной информации от клиентов, чтобы, как минимум, отправлять им рекламные рассылки.
Весной 2023 года начнут действовать положения о трансграничной передаче персональных данных, то есть передаче их на территорию иностранного государства: зарубежным органам власти, компаниям или физлицам.
Во-первых, Роскомнадзор будет утверждать список стран, обеспечивающих адекватную защиту ПД. В него, прежде всего, будут включать государства — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
Во-вторых, ОПД должны будут уведомлять Роскомнадзор до начала трансграничной передачи ПД. Ведомство, в свою очередь, может запретить или ограничить предоставление персональных данных иностранцам (п. 7 ст. 1 266-ФЗ).
Еще одно нововведение коснется выписок из ЕГРН. Если собственник недвижимости не подаст заявление о согласии на предоставление его персональных данных третьим лицам, то те по общему правилу не смогут их получить. Без согласия субъекта ПД Роскадастр даст выписки с личными сведениями ограниченному кругу лиц, например, нотариусам или кадастровым инженерам (ст. 4 266-ФЗ).
Это означает, что Единый реестр недвижимости становится закрытым. Предполагается, что эта мера защитит собственников имущества от мошенников, но такие данные не смогут также получить журналисты или общественники при расследовании коррупционных правонарушений.