Штрафы за нарушение закона о персональных данных

Штрафы за обработку персональных данных с 1 июля 2017 года

Статьи по теме

С 1 июля 2017 года изменят штрафы за персональные данные. Какие изменения ждут обработчиков персональных данных.

Читайте в нашей статье:

По действующим правилам, ответственность несет лицо, которое нарушает правила сбора, хранения, использования или распространения персональных данных. Штраф за персональные данные составляет сейчас 10 тыс. руб. максимум (ст. 13.11 КоАП РФ). Но с 1 июля 2017 года ситуация изменится. В ст. 13.11 КоАП РФ внесут множество дополнений (Федеральный закон от 7 февраля 2017 г. № 13-ФЗ). Законодатель утвердил семь составов правонарушения. Максимальный штраф за обработку персональных данных не по правилам составит 75 тыс. руб.

С 1 июля 2017 года вводят новые штрафы за персональные данные

Компанию привлекут к административной ответственности, если она обрабатывает персональные данные:

  • в случаях, которые не указал Закон о персональных данных. Например, от покупателя интернет-магазина требуют сканы документов, подтверждающих личность;
  • в целях, которые отличаются от заявленных. Например, отправляет рекламные сообщения на адрес электронной почты, которую покупатель указал при оформлении заказа в интернет-магазине (ч. 1 ст. 13.11 КоАП РФ в ред. с 01.07.2017).
  • В качестве наказания могут вынести предупреждение или оштрафовать. Штраф за нарушение правил о персональных данных составит:

  • 1 – 3 тыс. руб. для граждан;
  • 5 – 10 тыс. руб. для должностных лиц и предпринимателей;
  • 30 – 50 тыс. руб. для компаний.
  • Есть исключения. Некоторые случаи могут подпадать под действие ч. 2 ст. 13.11 КоАП РФ в ред. с 01.07.2017. Также иное наказание предусмотрено за действия, в которых присутствует состав уголовного преступления.

    Чтобы обезопасить себя от штрафа за персональные данные, нужно обрабатывать их только в заявленных целях и согласно ч. 1 ст. 3 Закона о персональных данных.

    Штраф за персональные данные с июля 2017 года будет достигать 75 тысяч

    В ряде случаев граждане должны согласиться на обработку своих данных. Нарушением считается, если компания использует персональные данные граждан без их письменного согласия. Также компанию накажут за несоблюдение требования закона к составу данных, которые необходимо перечислить в документе о согласии на обработку. Например, если компания не указала, каким третьим лицам будут доступны данные после того, как гражданин согласится на их обработку.

    По правилам ч. 2 ст. 13.11 КоАП РФ в ред. с 01.07.2017 штраф за персональные данные будет составлять:

  • 3 – 5 тыс. руб. для граждан;
  • 10 – 20 тыс. руб. для предпринимателей и должностных лиц;
  • 15 – 75 тыс. руб. для компаний.
  • Если у нарушения будут признаки уголовно наказуемого деяния, совершивший несет ответственность по ст. 137 или ст. 272 УК РФ.

    Чтобы не возникло необходимости платить за обработку персональных данных штраф, нужно получать у граждан согласие на обработку персональных данных и соблюдать требования к списку сведений в документе о согласии.

    Если компания не опубликует документ о политике, ее ждет штраф за персональные данные

    Компания не опубликовала на интернет-ресурсе или иным образом не предоставила неограниченный доступ к документу, из которого граждане могут узнать о политике компании в отношении обработки персональных данных, либо к информации о том, как компания реализует требования к защите данных.

    Согласно ч. 3 ст. 13.11 КоАП РФ за такое нарушение могут вынести предупреждение или назначить штраф. По составу ч. 3 штраф за персональные данные с июля 2017 года составит:

  • 700 – 1,5 тыс. руб. для граждан;
  • 3 – 6 тыс. руб. для должностных лиц;
  • 5 – 10 тыс. руб. для предпринимателей;
  • 15 – 30 тыс. руб. для компаний.
  • Чтобы предотвратить нарушение, компании нужно опубликовать у себя на сайте в общем доступе ссылки на документ о политике компании в отношении обработки данных и другие сведения о требованиях к защите данных.

    Штраф за нарушение правил о персональных данных получит лицо, которое не ответило на запрос граждан

    Если компания не предоставила гражданину сведений о том, что касается обработки его данных, такое нарушение наказывают предупреждением или штрафом. Такие правила с 1 июля 2017 года появятся в ч. 4 ст. 13.11 КоАП РФ. В данном случае штраф за нарушение правил о персональных данных составит:

    • 1 – 2 тыс. руб. для граждан;
    • 4 – 6 тыс. руб. для должностных лиц;
    • 10 – 15 тыс. руб. для предпринимателей;
    • 20 – 40 тыс. руб. для организаций.
    • Во избежание нарушения предоставляйте гражданам информацию по запросу в течение 30 дней (ч. 1 ст. 20 Закона о персональных данных).

      Если информацию своевременно не уничтожить, это влечет штраф за персональные данные

      Гражданин или его полномочный представитель потребовали уточнить персональные данные, блокировать их или уничтожить. Компания обязана сделать это, если данные утратили актуальность, оказались неполными или неточными, а также в случае незаконного получения или были собраны с целью, отличающейся от заявленной.

      В ч. 5 ст. 13.11 КоАП РФ в новой редакции указано, что нарушение наказывается предупреждением или штрафом. Штраф за персональные данные по такому нарушению:

    • 25 – 45 тыс. руб. для компаний.
    • Если компания не хочет, чтобы ее оштрафовали, следует выполнить требования заявителя.

      Компания получит штраф за обработку персональных данных, если не обеспечила сохранность носителей

      Компания не обеспечила сохранность носителей, на которые записаны персональные данные, и не создала условий, исключающих несанкционированный доступ. Это является нарушением по ч. 6 ст. 13.11 КоАП РФ в новой редакции. Норма касается случаев, когда:

    • персональные данные обрабатывают без средств автоматизации;
    • нет состава уголовного преступления;
    • данные оказались доступны постороннем улицу, которое их уничтожило, распространило или использовало иным образом незаконно использовало.
    • В этом случае штраф за персональные данные с июля 2017 года будет в размере:

    • 700 – 2 тыс. руб. для граждан;
    • 4 – 10 тыс. руб. для должностных лиц;
    • 10 – 20 тыс. руб. для предпринимателей;
    • 25 – 50 тыс. руб. для компаний.
    • Чтобы персональные данные не попали в третьи руки, а компания не платила штраф, предпримите меры безопасности при хранении данных.

      Штраф за персональные данные грозит не только коммерческим структурам, но и муниципальным

      Для госорганов и муниципальных структур законодатель вводит ответственность по ч. 7 6 ст. 13.11 КоАП РФ. Такие структуры должны выполнять:

    • обязанность по обезличиванию персональных данных;
    • требования по обезличиванию персональных данных.
    • За нарушение накажут предупреждением или штрафом. Штраф за обработку персональных данных в данном случае будет в пределах от 3 тыс. до 6 тыс. руб. для должностных лиц. Чтобы избежать неприятностей, нужно выполнять Требования и методы по обезличиванию персональных данных, которые утвердил Роскомнадзор приказом от 5 сентября 2013 г. № 996.

      www.law.ru

      Штрафы за нарушение закона о персональных данных

      Многие специалисты, занимающиеся продвижением и разработкой сайтов, уже слышали, что Яндекс ужесточил санкции за кликджекинг – сайты, которые используют технологии, похищающие личные данные посетителей, существенно понижаются в выдаче. С 01.07.2017 сильнее карать за подобные махинации будет и законодательство: штрафы за несоблюдение закона о персональных данных будут увеличены до 75 000 рублей. Изменения коснутся интернет-ресурсов, собирающих, обрабатывающих и хранящих персональные данные любого рода.

      Штрафы теперь не только увеличены во много раз, но и подразделяются по видам нарушений. Если, допустим, на сайте не изложена политика конфиденциальности, то индивидуального предпринимателю могут наложить штраф на 10 000 р., а компании — на 30 000 р. В случае, если подвергаются обработке персональные данные заказчика интернет-магазина или подписчика на информационный ресурс, а своего согласия на это они не давали – сумма штрафа для юридического лица приближается к 75 000 р., для директоров предприятий или предпринимателей – до 20 000. Разумеется, число взысканий будет равняться количеству допущенных нарушений.

      Всем владельцам сайтов необходимо в кратчайшие сроки приводить их в порядок. Проверки уже начались!

      В настоящее время лишь прокуратура имеет право выписывать протоколы о правонарушениях в указанной сфере, никакого различия для видов нарушений не делается, а сама сумма невелика: для ИП или директора она составит 1 000 р. максимум, для юридического лица — 10 000 р. Кроме того, сама процедура связана с большими временными затратами, а значит проверяют далеко не всех и крайне редко. Однако с 1 июля всё изменится: составлять протоколы уполномочен будет Роскомнадзор, а значит, на судебные проволочки рассчитывать больше не приходится.

      Теперь — краткие ответы на самые популярные вопросы, которые могут возникнуть у владельцев сайтов и других интернет-ресурсов.

      А кто вообще является оператором персональных данных?

      Под такими данными понимаются любые сведения о человеке, которые можно использовать для его идентификации. Законодательством круг этих данных четко не очерчен, так что надо догадываться самостоятельно, исходя из логики. Допустим, по одному имени или никнейму невозможно понять, кто конкретно имеется в виду, а вот по имени и телефонному номеру (или имени и e-mail) — вполне возможно.

      Итак, вероятнее всего, вы можете быть признаны оператором персональных данных, если любым способом получаете, подвергаете обработке и храните сведения о людях, сходные с перечисленными ниже (сочетания могут быть любыми):

      Любой физический адрес;

      Сведения о дате и/ или месте рождения;

      Адрес персонального сайта или ссылку на страницу в любой из соцсетей;

      Данные о профессии или роде занятий;

      Сведения об образовании, доходах и т.д.

      Следовательно, все люди, владеющие интернет-ресурсами, где имеются личные кабинеты, любые формы обратной связи, возможность подписаться или зарегистрироваться, совершить покупку, разместить объявление или заполнить какую-либо анкету — это всё операторы персональных данных. Даже в том случае, когда на ресурсе присутствует одна лишь кнопка, нажатием на которую можно заказать обратный звонок или отправить сообщение — это всё равно будет признано обработкой персональных данных.

      В случае если я записал номер приятеля или e-mail девушки на сайте знакомств, я тоже нарушил закон?

      Информацию для собственных нужд можно сохранять сколько угодно. Правонарушением будет, если вы вышлете номер приятеля в коллекторскую фирму, а e-meil девушки вместе с её фото опубликуете на сайте по предложению интимных услуг.

      Я не хочу нарушать закон! Скажите, как грамотно работать с личными данными пользователей ресурса?

      Для этого необходимо:

      Получить согласие в письменном виде у всех ваших посетителей в том случае, если ему необходимо передать вам какую-либо информацию о себе;

      Вы можете запрашивать только данные, необходимые для определенной цели. К примеру, просить физический адрес или номер паспорта для новостийной рассылки — подозрительно;

      Использовать полученные данные строго для целей, перечисленных в документах, и о которых пользователь предупрежден;

      по первому требованию пользователя сообщить, какая информация о нем у вас хранится, с какой целью она используется и кому вы её передали (в том случае если такой факт имел место);

      В случае поступления требования от пользователя — немедленно удалить данные, использующиеся для рассылок о скидках, акциях и т.д.;

      защищать базы данных от взлома, не допускать утечек информации;

      пройти регистрацию в Роскомнадзоре.

      Что? Какая регистрация? Где?

      В соответствии с законодательством операторы персональных данных обязаны поставить в известность Роскомнадзор. Сделать это необходимо до того, как данные начнут обрабатываться, а вообще – чем скорее, тем лучше. Роскомнадзор занесет сведения об операторе в сводный реестр и будет выдавать по запросу.

      Уведомление подавать необязательно в следующих случаях:

      обработке подвергаются только информация о сотрудниках;

      информацию вы получили исключительно для осуществления конкретного договора с указанным лицом и никаким иным образом не будут использованы или переданы;

      пользователь сам опубликовал свои данные в общем доступе;

      в вашей базе хранится только ФИО заказчика.

      Я являюсь владельцем сайта и получаю указанные данные от пользователей.

      Каковы мои действия?

      А вы всё ещё ничего не предприняли? Значит, вы уже нарушаете действующее законодательство, и вам прямо сейчас могут выписать штраф. Даже в том случае, если ваш интернет-ресурс обслуживается сторонней web-студией, занимающейся продвижением сайтов, взыскание так или иначе будет выписано на организацию, название которой прописано на интернет-ресурсе.

      Необходимо подготовить публичные документы, после чего на вашем ресурсе сделать их доступными во всех разделах. Либо изложите условия обработки пользовательских данных в оферте либо обыкновенном договоре.

      На сайте обязательно должно присутствовать решение, ясно дающее понять, что пользователь разрешил обработку его данных: галочка в регистрационной форме, информирование о сборе данных при оформлении заказа и т.д. Будет лучше, если вы заверите веб-страницу в нотариальной конторе.

      Главное правило: если вы сомневаетесь, надо или нет высылать в Роскомнадзор уведомление — лучше вышлите.

      Да ладно, ерунда это! Кому надо штрафовать кого-то из-за отсутствия каких-то там оферт и форм регистрации?

      Вынуждены расстроить: прецедентов уже достаточно. Прокуратура Тамбовской области выписала штраф фирмы, оказывающей юридические услуги, за обработку информации о пользователях без их на то согласия. Суд решение поддержал.

      А астраханская прокуратура налагает штрафы на владельцев интернет-ресурсов за формы обратной связи по алфавиту.

      Ну и стоит добавить, что за подобные нарушения могут не только вдобавок к штрафу взыскать компенсацию морального ущерба, но и дать вполне реальный тюремный срок.

      Вывод для всех владельцев сайтов: пишем в Роскомнадзор и живём спокойно.

      spark.ru

      Ответственность за нарушение закона о персональных данных

      Статьей 24 Закона «О персональных данных» установлено, что лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.

      Административная ответственность за невыполнение требований законодательства в области обработки персональных данных установлена статьями:

      — ст. 13.11 Нарушение законодательства Российской Федерации в области персональных данных (в ред. Федерального закона от 07.02.2017 № 13-ФЗ, вступило в силу с 01.07.2017):

      1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, —

      влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от тридцати тысяч до пятидесяти тысяч рублей.

      2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, —

      влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от пятнадцати тысяч до семидесяти пяти тысяч рублей.

      3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных —

      влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц — от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от пятнадцати тысяч до тридцати тысяч рублей.

      4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, —

      влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц — от двадцати тысяч до сорока тысяч рублей.

      5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, —

      влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до сорока пяти тысяч рублей.

      6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния —

      влечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до пятидесяти тысяч рублей.

      7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных —

      влечет предупреждение или наложение административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.

      — ст. 19.7 Кодекса Российской Федерации об административных правонарушениях устанавливает ответственность за непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление таких сведений в неполном объеме или искаженном виде (влечет наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц — от трехсот до пятисот рублей; на юридических лиц — от трех тысяч до пяти тысяч рублей).

      Дела об административных правонарушениях, предусмотренных статьями 13.11 и ст. 19.7 КоАП РФ, возбуждаются уполномоченным органом и рассматриваются судом.

      Уголовная ответственность за невыполнение требований законодательства в области обработки персональных данных установлена статьёй 137 УК РФ «Нарушение неприкосновенности частной жизни».

      В случае выявления признаков нарушения неприкосновенности частной жизни (ст. 137 УК РФ) субъектов персональных данных материалы направляются в ГУ МВД по Пермскому краю.

      По состоянию на 01.12.2017 в реестре операторов, осуществляющих обработку персональных данных, на территории Пермского края зарегистрировано 10173 операторов.

      Просмотреть сведения, содержащиеся в Реестре, заполнить Уведомление или Информационное письмо о внесении изменений в сведения в Реестре можно на Портале персональных данных по адресу: http://pd.rsoc.ru/.

      Консультацию специалистов отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий можно получить по телефонам: (342) 258-15-37, 258-15-36.

      Время публикации: 08.12.2015 07:40
      Последнее изменение: 04.12.2017 09:51

      59.rkn.gov.ru

      Новые штрафы за нарушения законодательства о персональных данных

      7 февраля Президент РФ подписал закон, который вводит в КоАП РФ новые меры ответственности за нарушения законодательства о персональных данных. Вместо одного нарушения статья 13.11. КоАП РФ с 1 июля будет содержать семь различных составов. В статье разбирается, за что теперь будет «наказывать» Роскомнрадзор: рассматриваются примеры, особенности и практические аспекты применения новых норм.

      Уже десять лет в России действует федеральный закон от 27.07.2006 «О персональных данных» №152-ФЗ (далее — ФЗ «О персональных данных»). За это время он наделал много шума, но так и не вызвал должного отклика у российских компаний. Выполнять его требования по-прежнему довольно сложно и затратно, поэтому многие предпочитают игнорировать его требования полностью или частично. В свою очередь, государство всячески пытается привлечь внимание к проблеме защиты персональных данных, и последние его шаги в этом направлении привели к важным изменениям. В региональном экспертно-аттестационном центре «Эксперт» проанализировали эти изменения.

      7 февраля 2017 года Президент Российской Федерации подписал федеральный закон № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее — ФЗ №13), который вступает в силу 1 июля этого года. Закон закрепляет увеличение штрафов за нарушение законодательства о персональных данных.

      При этом важно, что ФЗ №13 вносит изменения в статью 13.11. КоАП РФ и вместо одного нарушения устанавливает семь. Прежде чем мы перейдем к самим нарушениям, стоит обратить внимание, что изменилось название самой статьи. На данный момент оно звучит так: «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)». Обновленный вариант звучит более практично и всеобъемлюще: «Нарушение законодательства Российской Федерации в области персональных данных». Перейдем к нарушениям.

      Нарушение первое

      Часть 1 статьи 13.11 КоАП РФ гласит: «Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния,влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лицот пяти тысяч до десяти тысяч рублей; на юридических лицот тридцати тысяч до пятидесяти тысяч рублей».

      Условно здесь содержится два разных нарушения:

    • обработка персональных данных в случаях, не предусмотренных законодательством;
    • обработка персональных данных, несовместимая с целями сбора персональных данных.
    • Эти нормы отсылают нас к статьям 5 и 6 ФЗ «О персональных данных».

      Статья 6 содержит исключительный перечень случаев, когда мы вообще можем обрабатывать персональные данные, а статья 5 определяет принципы обработки и содержит требование об обработке персональных данных в соответствии с установленными целями. Соответствие целям обработки всегда вызывало немало трудностей у операторов и большинство актов по результатам плановых проверок содержало в себе нарушение той или иной части статьи 5. Это и проблемы с составом личного дела работников, и сбор излишних данных с соискателей или клиентов, и обработка персональных данных после достижения цели обработки, и еще сотни и сотни других случаев обработки с нарушением требований статьи 5. Такие нарушения всегда пользовались популярностью у контролирующего органа и после вступления в силу поправок в КоАП своей популярности не утратят.

      Что касается статьи 6 ФЗ «О персональных данных», то она устанавливает довольно простые для понимания и весьма сложные для выполнения требования. Она содержит одиннадцать случаев, в которых допускается обработка персональных данных. Самые популярные случаи:

      «1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

      2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

      5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем».

      Возьмем простой пример. Потенциальный заемщик пришел в банк для получения кредита. Прежде всего, сотрудники банка просят его заполнить заявку на кредит. В ней, помимо своих данных, он заполняет данные, например, своей супруги (ФИО, дата и место рождения, контактный телефон, адрес места жительства, место работы, уровень заработной платы и т. д.). Счастливый банковский сотрудник принимает эту заявку, и с этого момента банк начинает процесс обработки персональных данных. Причем не только вероятного заемщика, но и его супруги. Чтобы понять, есть ли здесь нарушение требований законодательства или нет, нужно ответить на ряд вопросов: к какому из перечисленных в статье 6 ФЗ «О персональных данных» случаев относится обработка персональных данных супруги заемщика? У вас есть согласие супруги на обработку ее персональных данных? У вас есть закон, дающий вам право или обязывающий вас обрабатывать эту информацию? У вас есть договор с супругой? Или, может быть, она является поручителем или выгодоприобретателем по какому-то другому договору?

      Конечно, нужно задать еще десяток уточняющих вопросов. И, конечно, все будет зависеть от ответов. Но в целом проблема ясна. При работе с персональными данными необходимо внимательно относиться к принципам и условиям обработки персональных данных. Их несоблюдение с 1 июля 2017 года может повлечь нарушение части 1 статьи 13.11 КоАП РФ.

      Нарушение второе

      Часть 2 статьи 13.11 КоАП РФ (с 01.07.2017) гласит: «Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных,влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лицот десяти тысяч до двадцати тысяч рублей; на юридических лицот пятнадцати тысяч до семидесяти пяти тысяч рублей».

      Здесь также можно выделить два нарушения:

    • обработка персональных данных без согласия в письменной форме в случаях, установленных законом;
    • нарушение состава сведений в письменном согласии.
    • Здесь, прежде всего, необходимо обратить внимание на то, что нарушением будет являться именно обработка без согласия в письменной форме, когда такая форма требуется законодательством . Если такого требования нет, то согласие может быть дано в любой форме. Об этом нам говорит ФЗ «О персональных данных», а именно статья 9 пункт 1: «Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом».

      В свою очередь, статья 9 пункт 4 гласит: «В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных».

      Сам ФЗ «О персональных данных» содержит в себе шесть случаев, когда письменное согласие субъекта обязательно:

    • часть 1 статьи 8;
    • пункт 1 часть 2 статьи 10;
    • пункт 5 части 2 статьи 10;
    • часть 1 статьи 11;
    • часть 4 статьи 12;
    • часть 2 статьи 16.
    • В различных законодательных актах содержатся и другие случаи, когда письменное согласие субъекта является обязательным. Самым ярким примером является статья 88 Трудового кодекса Российской Федерации: «При передаче персональных данных работника работодатель должен соблюдать следующие требования:

    • не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;
    • не сообщать персональные данные работника в коммерческих целях без его письменного согласия .

    Таких случаев передачи персональных данных работника может быть несколько десятков. Важно следить за ними и вовремя брать согласия.

    Что касается второго нарушения по этой норме, то в случаях, установленных законом, согласие должно быть не просто письменным, но и содержать в себе обязательные сведения, установленные законодательством. Перечень этих сведений установлен частью 4 статьи 9 ФЗ «О персональных данных». Часто бывают случаи, когда в согласии забывают указать способы отзыва согласия или, еще чаще, сведения о лице, которому оператор поручает обработку персональных данных.

    Нарушение третье

    Часть 3 статьи 13.11 КоАП РФ устанавливает (с 1 июля 2017): «Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данныхвлечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лицот трех тысяч до шести тысяч рублей; на индивидуальных предпринимателейот пяти тысяч до десяти тысяч рублей; на юридических лицот пятнадцати тысяч до тридцати тысяч рублей».

    ФЗ «О персональных данных» в части 1 статьи 18.1 предписывает операторам издать документы, определяющие политику оператора в отношении обработки персональных данных. В части 2 статьи 18.1 указанный закон устанавливает: «Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных».

    Исходя из практики, в данном случае под опубликованием или обеспечением неограниченного доступа к документу, определяющему политику, можно понимать размещение этого документа как на сайте оператора, так и, например, в офисе оператора по месту его нахождения. Четких требований нет. При этом законодательство устанавливает два случая, когда оператор обязан опубликовать документ, определяющий политику на своем сайте.

    В части 2 статьи 18.1 ФЗ «О персональных данных» сказано: «Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети».

    Также в части 2 Постановления Правительства РФ № 211 от 21.03.2012 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом „О персональных данных“ и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» установлено: «Документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения».

    Соответственно, если оператор осуществляет сбор персональных данных на своем сайте, например, через форму обратной связи (дискуссия на тему того, какой набор данных будет считаться персональными данными, а какой нет — тема для отдельной статьи), то оператор обязан опубликовать на сайте документ, определяющий его политику в отношении обработки персональных данных. Игнорирование данного требования — одно из самых популярных нарушений требований законодательства о персональных данных в последние годы. Но не потому, что операторы выполняют остальные требования закона, а потому что Роскомнадзор освоил такую форму контроля как мероприятия систематического наблюдения, в ходе проведения которых сотрудники управления просматривают сайты операторов, где осуществляется сбор персональных данных, на наличие документа, определяющего политику в отношении обработки персональных данных.

    Необходимо обратить внимание на тот факт, что не важно, как будет называться этот документ. Многие операторы считают, что он должен называться именно политикой. Это не обязательно. ФЗ «О персональных данных» таких требований не устанавливает. Главное, чтобы в этом документе было написано, что он определяет политику оператора в отношении обработки персональных данных.

    Нарушение четвертое

    Обновленная часть 4 статьи 13.11 КоАП РФ звучит так: «Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных,влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лицот четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до пятнадцати тысяч рублей; на юридических лицот двадцати тысяч до сорока тысяч рублей».

    Статья 14 ФЗ «О персональных данных» предусматривает право субъекта обратиться к оператору персональных данных с целью получения информации, касающейся обработки его персональных данных. В свою очередь, статья 20 регламентирует обязанность оператора ответить на такое обращение субъекта в течение тридцати дней с даты получения запроса субъекта или его представителя. Сведения, которые оператор обязан предоставить субъекту, установлены в части 7 статьи 14 ФЗ «О персональных данных».

    Нарушение пятое

    Часть 5 статьи 13.11. КоАП РФ устанавливает: «Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки,влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лицот четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателейот десяти тысяч до двадцати тысяч рублей; на юридических лицот двадцати пяти тысяч до сорока пяти тысяч рублей».

    Статья 21 ФЗ «О персональных данных» устанавливает различные сроки, в которые оператор по требованию субъекта обязан обеспечивать блокирование, удаление или уточнение персональных данных, если они являются неполными, неточными, незаконно полученными и т. д. На наш взгляд, нарушение данной обязанности оператора будет довольно частым, так как уже сейчас существенная часть жалоб субъектов персональных данных в уполномоченный орган приходится на кредитные организации и коллекторов именно по поводу того, что субъекты требуют от операторов прекратить обработку их персональных данных, а операторы, в свою очередь, игнорируют эти запросы.

    Нарушение шестое

    Часть 6 статьи 13.11. КоАП РФ (с 01.07.2017) гласит: «Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяниявлечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лицот четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателейот десяти тысяч до двадцати тысяч рублей; на юридических лицот двадцати пяти тысяч до пятидесяти тысяч рублей».

    Постановление Правительства № 687 от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» в пункте 15 устанавливает обязанность оператора при обработке персональных данных без использования средств автоматизации по соблюдению условий, обеспечивающих сохранность материальных носителей персональных данных и исключающих несанкционированный к ним доступ.

    С 1 июля 2017 года уполномоченный орган будет применять наказание за нарушение этих требований только если это повлекло неправомерный или случайный доступ к персональным данным и т. д. Скорее всего, этот пункт будет хорошо работать в случаях с утратой материальных носителей персональных данных по вине работников. Например, известно немало случаев, когда банки, страховые компании или медицинские организации становились героями новостей о найденных на свалке коробках с персональными данными граждан.

    Нарушение седьмое

    И последнее нарушение, признанное многими экспертами как «нерабочее», содержится в части 7 статьи 13.11. КоАП РФ: «Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данныхвлечет предупреждение или наложение административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей».

    А «нерабочий» этот пункт потому, что действующее законодательство практически не содержит требований для государственных или муниципальных органов по обезличиванию персональных данных.

    Заключение

    Итак, подводя итоги анализа возможных нарушений, можно смело сказать, что в плановых проверках в 90% случаев будут фигурировать первые три. Остальные будут использоваться в частных случаях: части 4 и 5 — в основном по жалобам субъектов, часть 6, как уже упоминалось — при утрате материальных носителей. Проверим данное предположение в конце года, когда Роскомнадзор «наработает» практику.

    Части 2 и 3 статьи 1 ФЗ №13 также вносят изменения в порядок возбуждения административных дел: «2) пункт 58 части 2 статьи 28.3 после слов «частями 1 и 2 статьи 13.5,» дополнить словами «статьей 13.11,»; 3) в части 1 статьи 28.4 цифры «13.11,» исключить».

    Таким образом, с 1 июля 2017 года возбуждать дела об административном производстве за нарушение статьи 13.11. КоАП органы прокуратуры уже не будут. Составлять протоколы об административных правонарушениях будет сам Роскомнадзор.

    Сейчас ведутся серьезные споры по поводу того, будут ли операторов наказывать по всем пунктам сразу или же только по какому-то одному. Ответ на этот вопрос безусловно дает статья 4.4. КоАП РФ: «Назначение административных наказаний за совершение нескольких административных правонарушений

    1. При совершении лицом двух и более административных правонарушений административное наказание назначается за каждое совершенное административное правонарушение».

    Так как с 1 июля 2017 г. статья 13.11. КоАП РФ будет содержать семь различных правонарушений, то и наказывать оператора смогут за каждое. Однако важно отметить, что если, например, у вас пятьдесят согласий и все они неправильной формы, то накажут вас один раз, а не пятьдесят.

    Подводя общий итог, хочется отметить, что анализ ФЗ № 13 лишь подтверждает факт того, что Роскомнадзор на проверках всегда уделял и будет уделять повышенное внимание не пакету документов (и уж тем более не средствам защиты), а принципам и условиям обработки персональных данных.

    www.anti-malware.ru