Главная Проводка в деревянном доме

Изменения по персональным данным в году. Какой штраф ждет компанию за нарушение закона о персональных данных

24.11.2020

С 1 июля 2017 года вступили в силу поправки в статью 13.11 КоАП РФ, в соответствии с которыми были значительно повышены штрафы за нарушение законодательства в области персональных данных (ПД).

Делая покупки в интернет-магазинах, покупатели оставляют некоторые сведения о себе - ФИО, адрес доставки и другие контактные данные. Поэтому владельцам интернет-магазинов следует внимательно изучить данный вопрос и обеспечить исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при осуществлении торговли в сети интернет.

Подскажем, какая касса из нашего каталога подойдет под ваш бизнес.

Что относится к персональным данным физического лица, который является посетителем интернет-магазина

Персональные данные - это любая информация, которая прямо или косвенно относится к конкретному физическому лицу либо позволяет идентифицировать его (п. 1 ст. 3 Закона «О персональных данных» № 152-ФЗ).

В контексте организации работы интернет-магазина к персональным данным, в принципе, могут быть отнесены даже файлы Cookie – применяемые, в частности, для персонификации товарных предложений конкретным пользователям. Есть судебные прецеденты, подтверждающие отнесение таких файлов к персональным данным - например, Решение Арбитражного суда г. Москвы от 11.03.2016 года по делу № А40-14902/2016-84-126 11.

Персональные данные могут быть:

  • обработаны;
  • распространены;
  • изменены;
  • предоставлены тем или иным лицам (раскрыты);
  • удалены.

Указанные действия совершает оператор персональных данных. Им может быть любое физлицо, организация либо государственный или муниципальный орган власти. В том числе, безусловно, и интернет-магазин - учрежденный физлицом (ИП) либо принадлежащий юридическому лицу.

Поэтому, становясь оператором персональных данных, интернет-магазин обязан соблюдать нормы Закона № 152-ФЗ. Но в каких случаях он приобретает такой статус?

Чтобы приобрести статус оператора персональных данных, хозяйствующему субъекту достаточно совершить любую процедуру, которая характеризует их обработку, в частности:

  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • уточнение;
  • применение;
  • распространение.

То есть, осуществив хотя бы первую процедуру - сбор данных (на практике - получение от клиента через онлайн-форму) интернет-магазин становится оператором, и у него возникают обязательства по исполнению норм Закона № 152-ФЗ.

Отдельный сегмент правоотношений, в которых требуется соблюдение законодательства о персональных данных - взаимодействие интернет-магазина как работодателя и его наемных сотрудников (работающих как удаленно, так и в офлайновых подразделениях интернет-магазина). Однако, такие правоотношения, в целом, осуществляются в юрисдикции тех правовых норм, которые актуальны для взаимодействия работодателей и работников (удаленного или офлайнового) вне зависимости от вида осуществляемой ими деятельности.

В свою очередь, обмен данными именно между интернет-магазином и его клиентами образует отдельный и, фактически, уникальный - в части применения норм Закона № 152-ФЗ, сегмент правоотношений, в котором у хозяйствующего субъекта образуется широкий спектр прав и обязанностей в соответствии с законодательством.

Рассмотрим подробнее, какие именно обязательства должен выполнять интернет-магазин в связи с необходимостью исполнения норм Закона № 152-ФЗ.

Подпишись на наш канал в Яндекс Дзен - Онлайн-касса !
Получай первым горячие новости и лайфхаки!

Что нужно сделать интернет-магазину для соблюдения требований Федерального закона № 152-ФЗ

Главная обязанность любого оператора персональных данных (и интернет-магазин - не исключение) заключается в соблюдении порядка их обработки. Главное условие данного порядка - получение от субъекта персональных данных (то есть, покупателя) согласия на такую обработку.

Такое согласие может быть получено в любом достоверном виде (п. 1 ст. 9 Закона № 152-ФЗ). Но в предусмотренных законом случаях требуется такое согласие в письменном виде - то есть, на бумаге или с применением электронного документа, который заверен электронной подписью (п. 4 ст. 9 Закона № 152-ФЗ).

Покупка товаров в интернет-магазине прямо не отнесена законом к тем операциям, которые требуют письменного согласия субъекта персональных данных . Поэтому, получение такого согласия возможно, в принципе, в любом виде - который, однако, должен позволять однозначно удостоверить факт одобрения физлицом передачи персональных данных оператору.

Следующая обязанность оператора персональных данных - выполнение действий, направленных на реализацию законных прав субъектов персональных данных. В частности, речь идет о праве:

  • на подтверждение факта получения ПД интернет-магазином и начала их обработки;
  • на получение сведений о целях и способах обработки ПД;
  • на ознакомление с лицами (исключая лиц, которые работают в штате оператора), которые участвуют в обработке ПД).

К числу иных важнейших обязанностей операторов персональных данных правомерно отнести соблюдение конфиденциальности данных. Если клиент интернет-магазина не дал согласия на распространение своих данных другим лицам, то хозяйствующий субъект не вправе этого делать - как и иным образом раскрывать персональные данные (ст. 7 Закона № 152-ФЗ). При этом, даже если согласие получено, то за действия третьих лиц, которые получили персональные данные клиента интернет-магазина, ответственность несет сам интернет-магазин (п. 5 ст. 6 Закона № 152-ФЗ).

Важный нюанс, характеризующий обработку персональных данных - обязанность оператора размещать данные на серверах, расположенных в России - если законом не определено иного (п. 5 ст. 18 Закона № 152-ФЗ). Российские интернет-магазины не попадают под исключения, и потому должны выполнять указанную норму закона.

Отдельный вопрос - необходимость оператора персональных данных подавать уведомление о том, что осуществляется их обработка, в Роскомнадзор - в соответствии с предписанием п. 1 ст. 22 Закона № 152-ФЗ. В общем случае такое уведомление подавать требуется. Но положениями п. 2 ст. 22 Закона № 152-ФЗ предусмотрен широкий спектр исключений из указанного правила.

В частности, подп. 2 п. 2 ст. 22 Закона № 152-ФЗ предусматривает, что уведомление вправе не подавать операторы при исполнении договора, заключенного с субъектом персональных данных и при условии неосуществления передачи персональных данных третьим лицам без согласия субъекта. Под такие критерии вполне попадает договор купли-продажи, заключаемым между магазином и покупателем. Поэтому, интернет-магазину в общем случае не нужно - при взаимодействии с заказчиками, подавать уведомления, о которых идет речь (но возможны и исключения из этого правила - далее в статье мы рассмотрим их).

Итак, основные обязанности оператора персональных данных сводятся:

  • к получению согласия на их обработку;
  • к обеспечению конфиденциальности ПД;
  • к выполнению прочих требований законодательства (о размещении ПД на территории России, о выполнении запросов субъектов ПД, касающихся того, каким образом они используются).

Изучим подробнее, каким образом указанные обязанности могут быть технически выполнены интернет-магазином.

Онлайн-кассы для всех видов бизнеса! Доставка по всей России.

Оставьте заявку и получите консультацию в течение 5 минут.

Как получить согласие на обработку персональных данных через интернет

Итак, поскольку в отношении деятельности интернет-магазинов законом не установлено требований по письменному получению согласия на обработку персональных данных, такое согласие может быть получено любым достоверным способом. Но каким именно?

Варианты здесь возможны следующие:

  1. Когда интернет-магазин запрашивает персональные данные через форму заказа.

В этом случае согласие на обработку данных может быть получено посредством задания условия, при котором отправка данных по заказу через форму возможна только при условии проставления галочки (или иного элемента формы, выполняющего аналогичную функцию) напротив строки, в которой написана формулировка наподобие «Даю согласие на обработку персональных данных, передаваемых оператору посредством настоящей формы».

В Согласии, как правило, отражаются:

  • цель предоставления документа оператору (в случае с интернет магазином - для доставки товара и иных целей, определенных процедурой купли-продажи);
  • перечень передаваемых оператору ПД;
  • сроки и порядок хранения ПД;
  • порядок передачи ПД тем или иным сторонним лицам (например, службе доставки товаров).

При этом, рядом с галочкой и ссылкой на Согласие следует прикрепить ссылку на особый документ, подробно разъясняющий порядок обработки интернет-магазином персональных данных в соответствии с Законом № 152-ФЗ - Политику конфиденциальности. Ее можно оформить как приложение к форме заказа. В описании ссылки должна присутствовать формулировка, которая может звучать как «С приложением к настоящей форме, в котором отражен порядок обработки персональных данных в соответствии с законодательством, ознакомлен».

Политика конфиденциальности - документ, который должен быть обязательно опубликован в общем доступе. Кроме того, она может рассматриваться как часть локальной нормативной базы организации, которая учреждает интернет-магазин. Сотрудники хозяйствующего субъекта, таким образом, должны быть обязаны следовать утвержденной Политике.

В состав Политики обычно входят:

  • общие положения;
  • формулировки, отражающие цели сбора хозяйствующим субъектом ПД;
  • положения о юридических основаниях для сбора ПД;
  • классификация используемых ПД, порядок и условия работы с ними;
  • порядок обеспечения реализации субъектами ПД прав, установленных законом.

В Политике можно отразить:

  • то, каким образом интернет-магазин обеспечивает права пользователей по запросу сведений об обработке ПД;
  • то, каким образом организуется хранение данных (в данном случае могут быть приведены сведения, позволяющие установить факт размещения серверов с ПД покупателей в России).
  1. Когда интернет-магазин запрашивает персональные данные через форму рекламной рассылки (подписки на тематические материалы с сайта - например, буклеты со скидками, промокодами).

Сбор персональных данных здесь возможно осуществить по аналогичной схеме - с применением галочки напротив пункта «Согласен», файлом Согласия и ссылкой на Политику конфиденциальности с формулировкой, отражающей факт прочтения Политики покупателем интернет-магазина.

В среде IT-специалистов и экспертов в области законодательства о персональных данных распространена точка зрения, по которой получение согласия человека на обработку персональных данных следует осуществлять в режиме, предполагающем установление «повышенной достоверности» его волеизъявления. Общераспространенная схема с применением галочки с Согласием и ссылки на Политику конфиденциальности рассматривается такими экспертами с критических позиций - и, надо сказать, небезосновательно, поскольку, по мнению экспертов:

  • галочка может быть проставлена случайно;
  • онлайн-форма может загрузиться с ошибкой - как вариант, без ссылки на Политику конфиденциальности, с отсутствием галочки или сопровождающих ее формулировок;
  • случайно или намеренно пользователь может вписать в форму чужие персональные данные.

С учетом данных нюансов предлагается дополнить рассматриваемую систему - с сохранением ее основных элементов в виде галочки, Согласия и ссылки на Политику конфиденциальности, механизмом вторичного получения согласия. Вариантами организации такого механизма в случае с интернет-магазином могут быть:

  1. Обязательная регистрация пользователя перед оформлением покупки.

Такая регистрация предполагает заполнение, фактически, той же формы с галочкой, Согласием и ссылкой на Политику конфиденциальности, при последующей отправке интернет-магазином на указанный пользователем e-mail письма с подтверждением регистрации (и одновременно для удостоверения факта предоставления согласия на обработку персональных данных и ознакомления с Политикой конфиденциальности).

В форме при этом предполагается указание логина и пароля, которые пользователь будет задействовать для последующего входа в свой аккаунт на сайте интернет-магазина.

Если пользователь не подтвердит регистрацию письмом, то согласие на обработку персональных данных не будет считаться полученным (но, вместе с тем, будет считаться, что пользователю предложено ознакомиться с Политикой конфиденциальности).

Рассматриваемый способ получения согласия на обработку данных с «повышенной достоверностью» может быть задействован магазином и в маркетинговых целях. Через персональный аккаунт покупателя его можно информировать о различных скидках и акциях, обмениваться с ним сообщениями и решать иные задачи, характерные для взаимодействия продавца и покупателя.

  1. Подтверждение совершения отдельного заказа по e-mail (без обязательной регистрации аккаунта на сайте интернет-магазина).

Алгоритм такого подтверждения, в принципе, будет схож с тем, что характеризует процедуру регистрации аккаунта покупателя, за исключением применения логина и пароля пользователя. В данном случае подтверждение будет производиться, фактически, с единственной целью - получения согласия на обработку персональных данных и удостоверения факта ознакомления человека с предложением о прочтении Политики конфиденциальности.

Следующая масштабная задача интернет-магазина - обеспечение конфиденциальности персональных данных на практике.

1. Задай вопрос нашему специалисту в конце статьи.
2. Получи подробную консультацию и полное описание нюансов!
3. Или найди уже готовый ответ в комментариях наших читателей.

Как интернет-магазину обеспечить конфиденциальность ПД

В соответствии с п. 1 ст. 18.1 Закона № 152-ФЗ оператор персональных данных должен принимать меры, достаточные для исполнения обязанностей, предусмотренных законом. При этом, оператор определяет перечень соответствующих мер самостоятельно - если законом не предусмотрено иного.

Очевидно, что речь идет, прежде всего, о мерах, которые призваны обеспечивать конфиденциальность персональных данных - то есть:

  • недопущение доступа к ним лиц, не имеющих разрешения к прочтению соответствующих ПД;
  • недопущение несанкционированного использования, видоизменения, распространения ПД;
  • обеспечение необходимой защиты ПД от различных кибер-угроз, видоизменения, распространения и совершения иных несанкционированных операций с ПД в силу технических сбоев.

Законом предлагаются следующие меры, направленные на решение указанных задач:

  1. Назначение оператором, имеющим статус юридического лица, ответственного работника - который организует обработку ПД на предприятии.
  1. Разработка оператором локальных нормативных актов, регулирующих порядок обработки ПД в соответствии с требованиями законодательства.
  1. Применение технических средств для обеспечения защиты ПД.
  1. Проведение внутреннего контроля процедур в рамках обработки ПД.
  1. Проведение оценки вреда, который может быть нанесен субъектам ПД вследствие нарушений законодательства об обработке персональных данных и устранение последствий таких нарушений.
  1. Проведение необходимой работы с сотрудниками на предмет повышения уровня их знаний в области защиты ПД.

По принципу правовой аналогии все указанные нормы применимы и в отношении индивидуальных предпринимателей, ведущих продажу онлайн. В том числе - если ИП работает самостоятельно, без привлечения работников. В потенциале у него, так или иначе, может появиться штат сотрудников, и к тому моменту у него должны быть действующие локальные нормативы, регулирующие порядок организации обработки персональных данных.

Следует знать, что в соответствии с п. 4 ст. 18.1 Закона № 152-ФЗ те документы, которые интернет-магазин должен издать в рамках исполнения указанных выше предписаний и рекомендаций, могут быть запрошены Роскомнадзором при проведении проверки хозяйствующего субъекта.

Так или иначе, меры, направленные на обеспечение оператором персональных данных исполнения требований закона (прежде всего, в части обеспечения конфиденциальности персональных данных) можно разделить на 2 группы:

  • организационные (по сути, и в основе своей правовые);
  • технические.

Организационные (правовые) меры касаются, главным образом, документальной регламентации применения указанных механизмов взаимодействия интернет-магазина (в лице владельца или его работников) с покупателем.

Отметим, что при реализации организационных и правовых мер предполагается разработка

договора купли-продажи (оферты) между магазином и покупателем, на основании которого согласие на обработку персональных данных оформляется в виде, отличном от письменного - с применением галочки в форме заказа и ссылки на Политику конфиденциальности.

Технические меры могут быть представлены в самом широком спектре - рассмотрим их подробнее.

Техническое сопровождение оборудования. Решим любые проблемы!

Оставьте заявку и получите консультацию в течение 5 минут.

В чем заключается техническая сторона обеспечения конфиденциальности ПД

Основной источник правовых норм, которым нужно следовать при решении технических задач по обеспечению конфиденциальности персональных данных - положения ст. 19 Закона № 152-ФЗ.

В ней сказано, в частности, что обеспечение безопасности персональных данных может быть осуществлено за счет:

  1. Установления угроз безопасности данных в рамках их обработки с использованием информационных систем .

На практике, реализация такой меры подразумевает применение различных антивирусных и дополняющих их решений - которые предполагается внедрить в систему управления сайтом. Такие решения призваны вовремя обнаруживать попытки автоматического или осуществляемого хакерами вручную несанкционированного доступа к персональным данным, собираемым с помощью форм заказов на сайте или хранящимся на серверах, которые администрируются интернет-магазином.

  1. Применением технических средств для повышения уровня защищенности персональных данных .

Речь идет, прежде всего, о различных инструментах шифрования данных - так, чтобы при получении доступа к ним они были представлены в виде, при котором их прочтение без последующей дешифровки невозможно при условии, что сама дешифровка должна санкционироваться интернет-магазином.

  1. Применением технических средств для восстановления удаленных, поврежденных или несанкционированным образом видоизмененных персональных данных .

Здесь речь может идти о решениях, которые применяются в целях:

  • дублирования персональных данных на случай их удаления с исходного носителя (повреждения либо видоизменения);
  • собственно, восстановления удаленных (поврежденных либо видоизмененных) данных с имеющихся носителей.
  1. Применением технических средств, позволяющих разграничить доступ (определить уровни доступа) к персональным данным в зависимости от статуса лица, которое имеет полномочия на обработку персональных данных .

Так, например, менеджер интернет-магазина может иметь доступ лишь к контактным данным покупателя (для того, чтобы связаться с ним в случае возникновения тех или иных вопросов), а менеджер по доставке - еще и к адресу. Либо - у первого могут быть полномочия лишь на прочтение контактов, а у второго - и на их изменение.

  1. Применением систем контроля над лицами, производящими обработку персональных данных .

Действительно, одних лишь локальных регламентов для обеспечения конфиденциальности персональных данных мало - нужен механизм контроля их исполнения. Решения здесь могут задействоваться самые разные - от выборочного мониторинга действий конкретных работников интернет-магазина до внедрения инструментов сплошного анализа трафика на предмет несанкционированной передачи персональных данных.

То, насколько защищенной должна быть информационная система для обработки персональных данных, определяется исходя из потенциального вреда, который может быть нанесен системе в силу влияния типичных для нее угроз. Перечни таких угроз и требования к защищенности системы, соответствующие степени угроз, определены в Постановлении Правительства России от 01.11.2012 № 1119.

Рассмотрим их подробнее.

Насколько защищенным должен быть интернет-магазин для безопасной обработки ПД

Владельцу интернет-магазина для того, чтобы определить, какие конкретно меры нужны для обеспечения необходимого уровня защиты персональных данных, следует воспользоваться таблицей по Приложению к Составу и содержанию организационных и технических мер, который утвержден приказом № 21.

Отметим, что данный перечень касается, прежде всего, все тех же кадровых нюансов организации работы интернет-магазина. Но даже если его владелец - ИП, работающий без штата работников, то ему, в частности, для обеспечения защиты персональных данных покупателей хотя бы на 1 уровне, придется:

  • применять средства идентификации и аутентификации пользователей;
  • управлять учетными записями пользователей;
  • контролировать доступ к серверу, на котором располагаются ПД;
  • использовать антивирус;
  • выявлять инциденты, связанные с несанкционированным доступом к ПД.

Безусловно, значительную часть такой работы ИП (и юрлицу, конечно, тоже) имеет смысл делегировать стороннему партнеру - например, владельцу хостинга, на котором размещен сайт интернет-магазина. Но передача таких полномочий должна быть правильно закреплена юридически - с применением детально проработанных соглашений, которые грамотно разграничивают ответственность интернет-магазина и его партнера, обеспечивающего защиту персональных данных покупателей в соответствии с законодательством.

На практике многие из современных CMS-систем управления сайтами имеют необходимый функционал для обеспечения соответствия работы интернет-магазина указанным выше требованиям, касающимся установления уровней безопасности обработки персональных данных.

Но, безусловно, во многих случаях требуется их доработка и дополнение. Как правило, крупнейшие поставщики решений для управления сайтами и хостинговых услуг стараются предлагать своим клиентам продукты, максимально соответствующие по характеристикам тем требованиям, что установлены законом № 152 и ведомственными стандартами. Тем не менее, при выборе определенной CMS-системы всегда полезно запрашивать дополнительные консультации специалистов по поводу ее соответствия нормам законодательства о защите персональных данных.

Таковы основные нюансы, характеризующие выполнение интернет-магазином предписаний Закона № 152-ФЗ и сопутствующих ему правовых актов в части взаимодействия с покупателями товаров. Однако, такое взаимодействие может осуществлять и в иных правовых контекстах. В частности - отражающих расчеты между магазином и покупателем с применением инновационного типа ККТ

Как мы уже отметили в начале статьи, по Закону № 152-ФЗ к персональным данным относятся любые сведения, которые могут прямо или косвенно относиться к определенному человеку (или идентифицировать человека). Очевидно, что e-mail или телефон могут быть, как минимум, косвенными идентификаторами.

Что касается e-mail, то он может принимать вид наподобие [email protected], и при утечке такого электронного адреса из баз данных интернет-магазина сторонние лица могут без труда понять, что покупки в магазине совершал Степан Петров, родившийся в 1976 году в Москве и обучающийся в Массачусетском университете.

С телефоном сложнее - но и его при желании можно посчитать за косвенный идентификатор. Например, лицо, несанкционированно получившее номер от интернет-магазина, может позвонить по нему и, представившись человеком из курьерской службы, попросить абонента уточнить ФИО и адрес доставки - но на самом деле для оформления навязчивой рекламной рассылки.

Таким образом, несмотря на то, что по Закону № 54-ФЗ, регулирующему применение онлайн-касс , покупатели интернет-магазинов оставляют свои контакты для получения чеков добровольно, речь идет о передаче продавцу персональных данных.

Означает ли это, что в отношении операций с такими данными будут действовать те же требования, что характеризуют обработку прочих персональных данных?

Отметим, что часть таких требований сохраняет актуальность. Например, интернет-магазин, проводящий оплату через онлайн-кассу , обязан:

  • гарантировать покупателям права на получение сведений об обработке ПД;
  • обеспечить конфиденциальность данных;
  • соблюсти прочие требования Закона № 152-ФЗ (в частности, о размещении ПД на российских серверах).

Самое примечательное - в число таких требований не будет входить получение согласия на обработку персональных данных.

Дело в том, что в п. 1 ст. 6 Закона № 152-ФЗ перечислен ряд исключений из правила о необходимости получения согласия. К таким исключениям относится обработка данных в рамках исполнения оператором функций и обязанностей, которые возложены на него законодательством. К таким функциям и обязанностям интернет-магазина правомерно отнести предписания Закона № 54-ФЗ - о формировании кассовых чеков при расчетах с покупателями.

Таким образом, согласие на получение e-mail и телефона - как разновидностей персональных данных, интернет-магазин запрашивать у покупателя не обязан.

Конечно, нет никаких правовых препятствий, чтобы запрашивать у покупателей согласие на обработку персональных данных, представленных e-mail и телефоном, одновременно с запросом согласия на обработку прочих персональных данных. То есть, в Согласии - которое скачивается при подтверждении формы заказа, и в сопутствующей ему Политике персональных данных, можно отразить, что часть данных - e-mail и телефон покупателя, будет использоваться интернет-магазином в целях исполнения положений Закона № 54-ФЗ. То есть - для отправки электронных кассовых чеков покупателю.

Но эта процедура, строго говоря, необязательна с точки зрения законодательства - хотя и несложна совершенно.

При этом, продавцу следует иметь в виду, что получение персональных данных в целях выполнения норм Закона № 54-ФЗ не попадает под исключения, прописанные в п. 2 ст. 22 Закона № 152-ФЗ - те, что относятся к обязательству по информированию Роскомнадзора о получении персональных данных. То есть - при приеме оплаты онлайн такое уведомление потребуется подать . Ведомство, получив от интернет-магазина уведомление, вносит его в реестр операторов персональных данных.

В уведомлении должны быть указаны:

  1. Наименование документа - «Уведомление об обработке персональных данных».
  1. Наименование оператора, его юридический адрес.
  1. Правовые обоснования, цели обработки данных.
  1. Типы обрабатываемых данных.
  1. Категории лиц, которые становятся субъектами персональных данных.
  1. Способы обработки данных.
  1. Меры обеспечения безопасности обработки данных.
  1. Сведения о расположении серверов, на которых хранятся персональные данные.
  1. Сроки начала обработки данных.
  1. Условия прекращения обработки данных.

Указывается ФИО и должность составителя уведомления. Он проставляет дату составления документа, подписывает его.

Таким образом, закон накладывает на владельцев интернет-магазинов внушительный объем обязательств. И санкции за их невыполнение - достаточно серьезные. Изучим их.

Ответственность и новые штрафы

За нарушение требований законодательства по данному вопросу предусмотрены следующие санкции:

  1. Административные штрафы .

Основной их перечень определен в ст. 13.11 КоАП РФ. Но некоторые прописаны в корреспондирующих статьях Кодекса.

К числу типичных штрафов можно отнести:

  • за обработку ПД без согласия их владельца - до 20 тыс. рублей на должностных лиц и ИП, до 75 тыс. рублей - на юридических лиц (ст. 13.11 КоАП РФ);
  • за отказ в предоставлении физлицу информации, с которой он вправе ознакомиться по закону - до 10 тыс. рублей на должностных лиц и ИП (ст. 5.39 КоАП РФ);
  • за неправомерную (не предусмотренную обозначенными целями) обработку ПД - до 10 тыс. рублей на должностных лиц и ИП, до 50 тыс. рублей на юридических лиц (ст. 13.11 КоАП РФ);
  • за отсутствие опубликованной Политики конфиденциальности - до 6 тыс. рублей на должностных лиц, на ИП - до 10 тыс. рублей, на юрлиц - до 30 тыс. рублей (ст. 13.11 КоАП РФ);
  • за отказ в ознакомлении физлица со сведениями об обработке его ПД - до 6 тыс. рублей на должностных лиц, до 15 тыс. рублей - на ИП, до 40 тыс. рублей - на юрлиц (ст. 13.11 КоАП РФ).
  1. Уголовная ответственность .

В соответствии со ст. 137 УК РФ незаконный сбор персональных данных, составляющих личную тайну гражданина, может привести к штрафу до 200 тыс. рублей либо назначению исправительных работ, дисквалификации, лишению свободы на срок до 2 лет.

  1. Определяемая в порядке гражданского судопроизводства .

Здесь речь может идти о самых разных санкциях, но к числу типичных можно отнести:

  • обязательство по возмещению убытков, причиненных субъекту ПД вследствие нарушения оператором положений Закона № 152-ФЗ;
  • обязательство по компенсацию морального ущерба субъекта ПД.

Так или иначе, с наибольшей вероятностью при нарушении интернет-магазином норм Закона № 152-ФЗ в отношении него будут применены административные санкции. При этом, следует иметь в виду, что самые строгие из них - в частности, штраф за неосуществление получения согласия на обработку данных (до 75 тыс. рублей) применяются при нарушении требований о письменном получении согласия на обработку персональных данных. Если допустимо получение согласия в любом достоверном виде, то при неосуществлении получения такого согласия применяется санкция в виде штрафа за неправомерную обработку данных (до 50 тыс. рублей).

Есть вероятность применения ряда дополнительных административных санкций к оператору. Например:

  • в виде штрафа за несоблюдение требований по защите данных - до 2 тыс. рублей на должностных лиц и ИП, до 15 тыс. рублей - на юрлиц (ст. 13.12 КоАП РФ);
  • в виде штрафа за непредоставление уведомления в Роскомнадзор - до 500 рублей на должностных лиц и ИП, до 5 000 рублей - на юрлиц (ст. 19.7 КоАП РФ).

Теоретически возможна блокировка сайта интернет-магазина - по решению суда. Например - если он допустит неправомерное публикование персональных данных покупателей без их согласия в отзывах о покупках.

В зависимости от конкретного нарушения и сферы правоотношений, в котором нарушение допущено, в отношении оператора персональных данных могут быть, таким образом, инициированы разные санкции.

С 1 июля 2017 года вступает в силу Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее – Федеральный закон № 13-ФЗ), которым детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. В связи с этим мы решили напомнить основные положения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ) и гл. 14 ТК РФ, которые регламентируют правила обработки персональных данных работников и гарантии их защиты.

Закон о персональных данных в 2017 г.

Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному либо определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона № 152-ФЗ).

Согласно п. «a» ст. 2 Конвенции о защите физических лиц при автоматизированной обработке персональных данных (заключена в г. Страсбурге 28.01.1981) персональные данные означают любую информацию об определенном или поддающемся определению физическом лице (субъекте данных).

В силу п. 3 ст. 3 Федерального закона № 152-ФЗ любые действия или операции с персональными данными считаются их обработкой. К таким действиям относятся сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача персональных данных (их распространение, предоставление, доступ к ним), обезличивание, блокирование, удаление, уничтожение данных. Все эти действия могут совершаться с помощью средств автоматизации или без использования таковых.

Организация работы с персональными данными.

Согласно ч. 1 ст. 57 ТК РФ в трудовом договоре обязательно указываются фамилия, имя, отчество работника, сведения о документах, удостоверяющих его личность, ИНН. Это значит, что каждый работодатель, заключая трудовой договор, получает информацию, относящуюся к персональным данным. Такая информация содержится в документах, предъявляемых работником при приеме на работу:

  • в паспорте;
  • в военном билете (у военнообязанных);
  • в свидетельстве о присвоении ИНН;
  • в страховом пенсионном свидетельстве;
  • в документах об образовании;
  • в водительском удостоверении и документах на машину, если это требуется в связи с исполнением трудовой функции;
  • в медицинской справке о прохождении медицинского осмотра (медицинской книжке), если это необходимо в связи с исполнением работником трудовой функции.

В статье 86 ТК РФ установлены общие требования, которые должны соблюдать работодатель и его представители при обработке персональных денных в целях обеспечения прав и свобод человека и гражданина:

  • обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
  • при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами;
  • все персональные данные работника следует получать у него самого. Если персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
  • работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством РФ в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных ТК РФ и другими федеральными законами;
  • работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, кроме случаев, установленных ТК РФ или иными федеральными законами;
  • при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
  • защита персональных данных работника от их неправомерного использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами;
  • работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
  • работники не должны отказываться от своих прав на сохранение и защиту тайны;
  • работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

В соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ каждая организация обязана издать документ, определяющий ее политику в отношении обработки персональных данных, локальный акт по вопросам обработки персональных данных, а также локальный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

Отсутствие в организации локального нормативного акта, устанавливающего порядок обработки персональных данных работников, является нарушением трудового законодательства и влечет административную ответственность по ст. 5.27 КоАП РФ (постановления Московского городского суда от 29.08.2011 № 4а-1743/11, 4а-1742/11, ФАС МО от 27.11.2006 № КА-А40/11424-06 по делу № А40-17389/06-146-165, от 01.11.2006, 08.11.2006 № КА-А40/10787-06 по делу № А40-32068/06-96-156).

Работодатель обязан обеспечить такой порядок хранения персональных данных, который бы ограничивал несанкционированный доступ к ним. Право доступа к персональным данным работника, в частности, имеют:

  • руководитель организации (работодатель – индивидуальный предприниматель);
  • непосредственный руководитель работника;
  • начальник отдела кадров;
  • сотрудники отдела кадров;
  • сотрудники бухгалтерии.

Так как доступ к персональным данным может иметь не только руководитель организации, ответственность за разглашение персональных данных предусмотрена и для работников организации. Например, согласно п. «в» ч. 6 ст. 81 ТК РФ трудовой договор с работником может быть расторгнут по инициативе работодателя в случае разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе при разглашении персональных данных другого работника.

Закон о персональных данных в 2017 г. К сведению:

Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации утверждено Постановлением Правительства РФ от 15.09.2008 № 687 (далее – Положение).

Согласно п. 6 Положения лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы:

  • о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации;
  • о категориях обрабатываемых персональных данных;
  • об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии).

Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации

Обработка персональных данных без использования средств автоматизации должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором

К сведению:

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Оформление согласия работника на передачу его персональных данных.

В соответствии со ст. 88 ТК РФ передача персональных данных работника третьей стороне без письменного согласия указанного работника не разрешается, за исключением предусмотренных законом случаев. Сразу перечислим ситуации, когда не требуется согласие работника на передачу его персональных данных.

Не требуется согласие работника на передачу его персональных данных

Нормы законодательства

Третьим лицам в целях предупреждения угрозы жизни и здоровью работника

Абзац 2 ст. 88 ТК РФ, абз. 1 п. 4 Разъяснений Роскомнадзора

В ФСС, ПФР в объеме, предусмотренном законом

Абзац 15 ч. 2 ст. 22 ТК РФ, п. 2 ст. 12 Федерального закона от 16.07.1999 № 165-ФЗ, п. 1, 2 ст. 9, п. 1, 2, 2.1, 3 ст. 11, абз. 2 ч. 2 ст. 15 Федерального закона от 01.04.1996 № 27-ФЗ, п. 2 ст. 14 Федерального закона от 15.12.2001 № 167-ФЗ, абз. 3 п. 4 Разъяснений Роскомнадзора

В налоговые органы

Подпункты 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора

В военные комиссариаты

Абзац 4 п. 1 ст. 4 Федерального закона от 28.03.1998 № 53-ФЗ, пп. «г» п. 30, пп. «а» – «в», «д», «е» п. 32 Положения о воинском учете, утвержденного Постановлением Правительства РФ от 27.11.2006 № 719, абз. 5 п. 4 Разъяснений Роскомнадзора

По запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем

Абзац 5 ч. 6 ст. 370 ТК РФ, п. 1 ст. 17, п. 1 ст. 19 Федерального закона от 12.01.1996 № 10-ФЗ, абз. 5 п. 4 Разъяснений Роскомнадзора

По мотивированному запросу органов прокуратуры

Пункт 1 ст. 22 Федерального закона от 17.01.1992 № 2202-1, абз. 7 п. 4 Разъяснений Роскомнадзора

По мотивированному требованию правоохранительных органов и органов безопасности

Статья 6 Федерального закона от 29.07.2004 № 98-ФЗ, п. 4 ч. 1 ст. 13 Федерального закона от 07.02.2011 № 3-ФЗ, п. «м» ч. 1 ст. 13 Федерального закона от 03.04.1995 № 40-ФЗ, абз. 7 п. 4 Разъяснений Роскомнадзора

По запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности

Абзац 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений Роскомнадзора

В органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом

Абзац 5 ст. 228 ТК РФ. Перечень оповещаемых органов и сроки направления извещений о несчастном случае установлены ст. 228.1 ТК РФ

В случаях, связанных с исполнением работником должностных обязанностей, в том числе при направлении в командировку

Части 5 – 5.2 ст. 11 Федерального закона от 09.02.2007 № 16-ФЗ, п. 19 Правил предоставления гостиничных услуг в Российской Федерации, утвержденных Постановлением Правительства РФ от 09.10.2015 № 1085, абз. 2 п. 2 Постановления Правительства РФ № 1085, абз. 4 п. 4 Разъяснений Роскомнадзора

Для предоставления сведений в банк, обслуживающий банковские карты работников, при условии что в договоре о выпуске карт (коллективном договоре, локальном нормативном акте организации) содержится пункт о праве работодателя передавать персональные данные работников либо работодатель действует на основании доверенности на представление интересов работников

Абзац 10 п. 4 Разъяснений Роскомнадзора

Во всех остальных случаях передача персональных данных производится с письменного согласия работника, из которого должно быть ясно, кому будут передаваться его персональные данные и с какой целью.

Кроме того, работодатель обязан предупредить лиц, получающих персональные данные, о том, что данные сведения могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что данное правило соблюдено.

Контроль и надзор за обработкой персональных данных.

Контроль и надзор за обработкой персональных данных работников осуществляются в соответствии с гл. 5 Федерального закона № 152-ФЗ.

К сведению:

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. В настоящее время это Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (Постановление Правительства РФ от 16.03.2009 № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»).

С учетом поправок, внесенных Федеральным законом № 16-ФЗ , с 01.03.2017 деятельность Роскомнадзора в сфере обработки персональных данных отнесена к государственному контролю и надзору. Теперь Роскомнадзор защищает права субъектов персональных данных – физических лиц и будет проводить проверки организаций и предпринимателей (операторов персональных данных), а также контролировать обработку персональных данных иными операторами. Порядок проведения проверок и других контрольных мероприятий определяет Правительство РФ (ч. 1, 1.1 ст. 23 Федерального закона № 152-ФЗ).

Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания его персональных данных и способов их обработки целям обработки таких данных и принимает соответствующее решение.

Работодателю следует ознакомиться с положениями Приказа Минкомсвязи РФ от 14.11.2011 № 312, которым утвержден Административный регламент по исполнению данной службой функций по осуществлению государственного контроля (надзора) за правильностью обработки персональных данных. Предметом контроля являются:

  • документы, характер информации в которых предполагает или допускает включение в них персональных данных;
  • информационные системы персональных данных;
  • деятельность по их обработке.

Привлечение к административной ответственности за персональные данные.

Согласно ст. 90 ТК РФ лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также к гражданско-правовой, административной и уголовной ответственности в порядке, предусмотренном федеральными законами.

Пунктом 2 ст. 23 Федерального закона № 152-ФЗ установлено, что уполномоченный орган по защите прав субъектов персональных данных имеет право привлекать к административной ответственности лиц, виновных в нарушении положений этого закона. Размер административной ответственности за нарушение закона о персональных данных предусмотрен ст. 13.11 КоАП РФ.

Федеральным законом № 13-ФЗ ст. 13.11 КоАП РФ изложена в новой редакции. В частности, детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Новая редакция этой статьи начнет применяться 1 июля 2017 года.

Ответственность за персональные данные. К сведению:

До начала действия поправок ст. 13.11 КоАП РФ предусмотрено, что нарушение требований гл. 14 ТК РФ, Федерального закона № 152-ФЗ, Федерального закона № 27-ФЗ и других законов, определяющих порядок сбора, хранения, использования или распространения информации о гражданах (их персональных данных), влечет предупреждение или наложение административного штрафа:

  • на должностных лиц – в размере от 500 до 1 000 руб.;
  • на юридических лиц – в размере от 5 000 до 10 000 руб.

Начиная с 01.07.2017 предусмотрена следующая административная ответственность за нарушения закона о персональных данных.

Вид нарушения

Размер штрафа, руб.

Для юридических лиц

Для должностных лиц

Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо их обработка, несовместимая с целями сбора персональных данных, за исключением случаев, указанных ниже, если эти действия не содержат уголовно наказуемого деяния

От 30 000 до 50 000

От 5 000 до 10 000

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на их обработку в случае, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния

От 15 000 до 75 000

От 10 000 до 20 000

Обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, отражаемых в согласии субъекта персональных данных на их обработку в письменной форме

От 15 000 до 75 000

От 10 000 до 20 000

Невыполнение предусмотренной законодательством РФ в области персональных данных обязанности по опубликованию документа, определяющего политику оператора в отношении обработки персональных данных, или сведений о реализуемых требованиях к защите персональных данных либо обеспечению иным образом неограниченного доступа к ним

От 15 000 до 30 000

От 3 000 до 6 000

Невыполнение предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

От 20 000 до 40 000

От 4 000 до 6 000

Невыполнение оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки

От 25 000 до 45 000

От 4 000 до 6 000

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный доступ к ним, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния

От 25 000 до 50 000

От 4 000 до 10 000

Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по их обезличиванию

От 3 000 до 6 000

Уголовная ответственность.

Уголовная ответственность за нарушение неприкосновенности частной жизни установлена в ст. 137 УК РФ.

Частью 2 данной статьи предусмотрено, что незаконные сбор или распространение сведений о частной жизни лица, совершенные лицом с использованием своего служебного положения, наказываются:

  • либо штрафом в размере от 100 000 до 300 000 руб. или в размере заработной платы (иного дохода осужденного) за период от одного года до двух лет;
  • либо лишением права занимать определенные должности или осуществлять определенную деятельность на срок от двух до пяти лет;
  • либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или осуществлять определенную деятельность на срок до пяти лет или без такового;
  • либо арестом на срок до шести месяцев, лишением свободы на срок до четырех лет с лишением права занимать определенные должности или осуществлять определенную деятельность на срок до пяти лет.

Возмещение морального вреда.

Согласно ст. 24 Федерального закона № 152-ФЗ лица, виновные в нарушении требований этого нормативного правового документа, несут предусмотренную законодательством РФ ответственность.

Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных данным законом, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

* * *

В заключение перечислим основные обязанности работодателя, которые он должен исполнять при работе с персональными данными:

  • разработать и принять локальные нормативные акты, регламентирующие порядок хранения и использования персональных данных работников;
  • назначить лицо, ответственное за организацию обработки персональных данных;
  • установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
  • установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия;
  • ознакомить работников под подпись с положением об организации работы с персональными данными;
  • брать письменное согласие работников на обработку персональных данных, которое должно быть конкретным и информированным и содержать в себе именно те сведения, на которые работники дают согласие для обработки, а также согласие для передачи своих персональных данных третьим лицам с указанием этих лиц;
  • направлять в Роскомнадзор уведомление об обработке персональных данных работников в случаях, предусмотренных законодательством РФ.

За неисполнение названных требований законодательства работодатель может быть привлечен к административной ответственности, а в отдельных случаях – и к уголовной.


Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», опубликованы на сайте http://www.rsoc.ru 24.12.2012.

Федеральный закон от 22.02.2017 № 16-ФЗ «О внесении изменений в главу 5 Федерального закона «О персональных данных» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, действует в редакции от 24.11.2014.

С. Е. Нестеров,

Персональные данные работников есть у всех компаний. С 1 июля 2017 года применяются новые штрафы. Они больше прежних. Подскажем, как работать без нарушений.

С 1 июля 2017 года повышается ответственность за нарушения в работе с персональными данными. Изменения затронут всех без исключения работодателей, у которых в распоряжении есть личные сведения сотрудников и других физлиц.

Что относится к персональным данным в 2017 году

Под персональными данными понимается любая информация о физлице (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ). К таким сведениям, относятся фамилия, имя, отчество, пол, возраст, образование, место жительства физического лица и т.д.

А значит, все документы с персональными данными физлиц работодатель должен обрабатывать, хранить и уничтожать в соответствии с требованиями законодательства.

К таким документам относятся:

  • трудовая книжка;
  • паспорт или иной документ, удостоверяющий личность;
  • страховое свидетельство обязательного пенсионного страхования;
  • документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
  • документы об образовании и (или) о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
  • документы (справки) содержащие сведения о состоянии здоровья работника;
  • документы (справки) содержащие сведения о возрасте или семейном положении работника.

июля

2017 года увеличатся штрафы за нарушения правил работы с персональными данными

Как обеспечить защиту персональных данных

Рассмотрим, что нужно предпринять в хозяйстве в связи с защитой персональных данных сотрудников и других физлиц. Всего пять шагов.

Шаг 1. Закрепите порядок получения, обработки, передачи и хранения персональных данных в локальном акте организации. Например в положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 № 152-ФЗ).

Шаг 2. Назначьте работника, ответственного за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Это может быть сотрудник отдела кадров, который взаимодействует с личными делами сотрудников. Он будет получать согласие работников на обработку персональных данных, вести карточки сотрудников и т.д.

Шаг 3. Подготовьте шаблон согласия на обработку персональных данных. Без него запрашивать личные сведения физлиц нельзя. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ):

  • ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате и месте выдачи документа;
  • наименование или ФИО и адрес работодателя, который получает согласие сотрудника;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
  • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись работника.

Образец согласия на обработку персональных данных

Фамилия, имя, отчество (последнее - при наличии) субъекта персональных данных

Адрес места жительства _________________________________________________________

______________________________________________________________________________

Документ, удостоверяющий личность субъекта персональных данных, дата его выдачи и выдавший орган ________________________________________________________________

______________________________________________________________________________

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Настоящим выражаю согласие на обработку моих персональных данных, предусмотренную частью 3 статьи 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ, в целях предоставления Федеральной службой по интеллектуальной собственности (Роспатент) в соответствии с Федеральным законом от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» государственной услуги по государственной регистрации изобретения и выдаче патента на изобретение, его дубликата.

______________________________________________________________________________

(указывается название изобретения)

№ заявки ______________________________________________________________________

(указывается при наличии регистрационного номера заявки)

Заявитель _____________________________________________________________________

______________________________________________________________________________

(указываются фамилия, имя, отчество (последнее - при наличии) и место жительства)

Мне известно, что предоставленные мною персональные данные, которые не являются необходимыми для предоставления указанной государственной услуги, будут подвергнуты обработке, предусмотренной Федеральным законом от 27 июля 2006 г. № 152-ФЗ, при этом публикация моих персональных данных будет произведена Роспатентом в соответствии с действующим законодательством.

Мне известно, что настоящее согласие действует бессрочно. В случае отзыва согласия на обработку персональных данных Федеральная служба по интеллектуальной собственности вправе продолжить обработку персональных данных без моего согласия в соответствии с частью 2 статьи 9, пунктом 4 части 1 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ.

Подпись _______________________________________________

фамилия, имя, отчество (последнее - при наличии)

Дата _____________

Шаг 4. Предоставить по запросу физлица информацию, которая касается обработки его персональных данных (ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ). Среди таких сведений, например:

  • подтверждение факта обработки персональных данных;
  • цели обработки персональных данных;
  • способы обработки персональных данных;
  • наименование и адрес работодателя, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные по закону и т. д.

Как работать с персональными данными на сайте

Опубликуйте или иначе обеспечьте неограниченный доступ к документу, который определяет политику обработки персональных данных. Если хозяйство собирает персональные данные в интернете, этот шаг тоже нужно сделать (п. 2 ст. 18.1 Закона от 27 июля 2006 г. № 152-ФЗ).

Например, на некоторых сайтах пользователь указывает свои ФИО и e-mail при регистрации или отклике на вакансию. Тогда на сайте нужно разместить ссылки на документы:

  • «Политика обработки персональных данных»;
  • «Положение об обработке персональных данных» и т.п.

Сколько хранить персональные данные

Персональные данные нужно уничтожить через 30 дней с той даты получения согласия на обработку его персональных данных. Другой срок можно установить в договоре или соглашении с физлицом.

Если у хозяйства нет возможности уничтожить персональные данные в срок, сведения нужно заблокировать. После этого уничтожить личные сведения нужно не позднее, чем через шесть месяцев (ч. 6 ст. 21 Закона № 152-ФЗ).

Уничтожает персональные данные комиссия на основании приказа руководителя. Результат нужно оформить в виде акта о прекращении обработки персональных данных. Еще вариант - можно сделать запись об уничтожении в специальном журнале.

Кому грозят новые штрафы за нарушение работы с персональными данными

С 1 июля 2017 года расширится перечень оснований для привлечения работодателя к административной ответственности в области защиты персональных данных. Кроме того, увеличатся размеры штрафов (Федеральный закон от 7 февраля 2017 г. №13-ФЗ).

Раньше штраф был только один: от 500 руб. до 1000 руб. для директора и от 5000 руб. до 10 000 руб. для юрлица (ст. 13.11 КоАП РФ). Теперь будет шесть видов ответственности. За разные нарушения работодателей в сфере персональных данных проверяющие смогут применять несколько штрафов. Подробнее о видах нарушения и штрафах - в таблице.→00

Штрафы за нарушение правил работы с персональными данными

Нарушение

Незаконно обработали персональные данные либо обработали не по заявленной цели. Например, компания передала ФИО, телефоны, адреса юрлицу для рекламных рассылок.

Предупреждение или штраф:

для физических лиц от 1000 до 3000 руб.;

для руководителя или главбуха - от 5000 до 10 000 руб.;

для юридических лиц - от 30 000 до 50 000 руб.

Обработали персональные данные без согласия физлица

для физических лиц - от 3000 до 5000 руб.;

для руководителя или главбуха - от 10 000 до 20 000 руб.;

для юридических лиц - от 15 000 до 75 000 руб.

Не разместили в свободном доступе документы о политике по обработке персональных данных

для физических лиц - от 700 до 1500 руб.;

для директора или главбуха - от 3000 до 6000 руб.;

для индивидуальных предпринимателей - от 5000 до 10 000 руб.;

для юридических лиц - от 15 000 до 30 000 руб.

Не предоставили физлицу информацию, которая касается обработки его персональных данных

для физических лиц - от 1000 до 2000 руб.;

для директора, кадровика или бухгалтера - от 4000 до 6000 руб.;

для индивидуальных предпринимателей - 10 000 до 15 000 руб.;

для юридических лиц - от 20 000 до 40 000 руб.

Не уничтожили или не заблокировали персональные данные

для граждан - от 1000 до 2000 руб.;

для директора или главбуха - от 4000 до 10 000 руб.;

для юридических лиц - 25 000 до 45 000 руб.

Собрали персональные данные работников только на бумаге и не вели никакой автоматизированной обработки, нет специальных программ для обработки

для физических лиц - от 700 до 2000 руб.;

для руководителя или главбуха - от 4000 до 10 000 руб.;

для индивидуальных предпринимателей - от 10 000 до 20 000 руб.;

для юридических лиц - от 25 000 до 50 000 руб.

Одно из важнейших изменений в законодательстве, которое ждет кадровиков летом 2018 года, следующее – с 1 июля увеличатся штрафы за персональные данные. Если ранее максимальный штраф составлял 10 000 рублей, то теперь он может достигать 75 000 рублей. Кроме того, с 1 июля штрафовать работодателей сможет непосредственно Роскомнадзор, а раньше дела такой категории возбуждала прокуратура. Разберемся подробнее, как с 1 июля увеличатся штрафы за персональные данные.

Из статьи вы узнаете:

Персональные данные работников

Прежде чем рассматривать штрафы за персональные данные в 2018 году, выясним, что относится к таким данным. Персональные данные работников – это сведения, которая как прямо, так и косвенно относятся к физическому лицу. Это информация о фактах, событиях и перепитиях частной жизни, которые дают возможность идентифицировать личность человека, за исключением сведений, которые подлежат распространению в СМИ (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ, далее – Закон № 152-ФЗ, Указ Президента РФ от 6 марта 1997 г. № 188).

Скачайте документы по теме:

Выделяют три вида персональных данных работников: общие, специальные и биометрические. К общим относят:

Ф. И.О., место жительства;

паспортные данные;

сведения об образовании;

семейное положение;

Общие персональные данные работников содержатся в паспорте, дипломе, военном билете, личной карточке, трудовой книжке и других документах.

С 1 июля увеличатся штрафы за персональные данные за обработку в нарушение запрета специальных данных. К ним относится информация о (ч. 1 ст. 10 Закона № 152-ФЗ):

расовой, принадлежности, национальности;

политических взглядах;

религиозных или философских убеждениях;

состоянии здоровья и тому подобное.

Специальные персональные данные работников могут быть в анкете, которую сотрудник заполняет при приеме на работу, медицинском заключении и т. д.

Серьезные штрафы за нарушение закона о персональных данных грозят при нарушении порядка работы с биометрическими данными. Это сведения о физиологических и биологических особенностях человека, по которым можно установить его личность. К примеру, такие особенности, как:

  • дактилоскопические данные;
  • радужная оболочка глаз;
  • анализы ДНК;
  • рост, вес и прочее.

Обратите внимание! Фотография или видеозапись также относятся к биометрическим персональным данным, если по ним можно идентифицировать человека. Исключение составляют фото- и видеозаписи, которые сделали на массовых и публичных мероприятиях (п. 1 ст. 152.1 ГК РФ).

Новые штрафы: персональные данные

В 2017 году с 1 июля увеличатся штрафы за персональные данные. Поправки в КоАП РФ внес Федеральный закон от 07.02.2017 № 13-ФЗ. Изменения размеров новых штрафов за персональные данные существенные. Поэтому операторам персональных данных, к которым относятся все работодатели, нужно тщательно подготовиться к изменениям.

Действующая в текущий момент редакция статьи 13.11 КоАП РФ содержит только одно общее основание, чтобы привлечь организацию к административной ответственности – за нарушение определенного законом порядка сбора, хранения, использования или распространения персональных данных. С 1 июля увеличатся штрафы за персональные данные и видов нарушений, за которые можно наказать, будет семь.

Важно: сейчас максимальный размер штрафных санкций составляет 1 000 руб. (для должностных лиц) и 10 000 руб. (для юридических лиц). С 1 июля максимум возрастет до 20 000 и 75 000 руб. соответственно.

С 1 июля увеличатся штрафы за персональные данные и одновременно изменится порядок, в котором заводят дела об административных правонарушениях в области персданных. Сейчас такие дела возбуждают прокуроры (п. 1 ст. 28.4 КоАП РФ). С 1 июля 2017 года указанные полномочия передаются должностным лицам Роскомнадзора (подп. 58 п. 2 ст. 28.3 КоАП РФ в новой редакции). Они смогут сами налагать новые штрафы за персональные данные:

  • штраф за разглашение персональных данных;
  • штрафы за неправильную обработку персональных данных;
  • штраф за распространение персональных данных;
  • штрафы за нарушение работы с персональными данными и так далее.

Передача функций по возбуждению административных дел Роскомнадзору ускорит процесс привлечения работодателей к ответственности. В настоящее время такие органы лишь собирают информацию о нарушениях и передают ее в прокуратуру для решения вопроса о применении административного наказания.

Закон о персональных данных: штрафы

С 1 июля увеличатся штрафы за персональные данные. Рассмотрим семь составов, которые вводятся с 1 июля (таблица ниже). За нарушение закона о персональных данных штрафы для организаций составят от 15 000 до 75 000 рублей.

Штрафы за нарушение закона о персональных данных с 1 июля 2017 года

Вид правонарушения

Санкция для должностных лиц

Санкция для организаций

Правовое основание

Обработка работодателем персональных данных:

– в случаях, не установленных законом; – несовместимая с целями сбора персональных данных

Предупреждение или штраф от 5 000 до 10 000 рублей

Предупреждение или штраф от 30 000 до 50 000 рублей

Ч. 1 ст. 13.11 КоАП РФ

Обработка персональных данных без письменного согласия работника, когда оно должно быть получено в обязательном порядке либо отсутствие в согласии необходимых сведений

Штраф от 10 000 до 20 000 тысяч рублей

Штраф от 15 000 до 75 000 тысяч рублей

Ч. 2 ст. 13.11 КоАП РФ

Предупреждение или штраф от 3000 до 6000 рублей;

Предупреждение или штраф от 15 000 до 30 000 рублей.

ч. 3 ст. 13.11 КоАП РФ

Непредоставление работнику информации, которая затрагивает обработку его персональных данных

Предупреждение или штраф от 4000 до 6000 рублей;

Предупреждение или штраф от 20 000 до 40 000 рублей.

Ч. 4 ст. 13.11 КоАП РФ

Невыполнение требования работника либо управления Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении в случае, когда данные являются неполными, устаревшими, неточными, незаконно полученными или не требующимися для заявленной цели обработки

Предупреждение или штраф от 4000 до 10 000 рублей

Предупреждение или штраф от 20 000 до 45 000 тысяч рублей

Ч. 5 ст. 13.11 КоАП РФ

Необеспечение сохранности персональных данных при хранении материальных носителей персональных данных, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо другие неправомерные действия

от 4000 до 10 000 рублей

от 20 000 до 50 000 тысяч рублей

Ч. 6 ст. 13.11 КоАП РФ

Невыполнение обязанности по обезличиванию персональных данных или несоблюдение установленных требований или методов по обезличиванию таких данных (для государственных и муниципальных органов)

Предупреждение или штраф от 3000 до 6000 рублей.

Ч. 7 ст. 13.11 КоАП РФ

Чтобы избежать повышенных новых штрафов за персональные данные в 2018 году, работодателям необходимо проанализировать, правильно ли они организовали систему работы с персональными данными, выявить и ликвидировать недочеты. В частности, важно проверить, получал ли работодатель письменное согласие сотрудников на обработку данных в тех случаях, когда оно требуется.

Согласие на обработку персональных данных в письменной форме надлежит получить, когда (подп. 1 п. 2 ст. 10, п. 1 ст. 11, подп. 1 п. 4 ст. 12 Закона № 152-ФЗ):

  • речь идет о их передаче в государство, не обеспечивающее необходимую защиту персональных данных;
  • обрабатываются биометрические данные, чтобы установить личность;
  • обрабатываются специальные категорий и сведений, которые касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.