Штрафы с 1 июля. Кого коснутся новые штрафы. Исключения для источников сбора персональных данных

Одно из важнейших изменений в законодательстве, которое ждет кадровиков летом 2018 года, следующее – с 1 июля увеличатся штрафы за персональные данные. Если ранее максимальный штраф составлял 10 000 рублей, то теперь он может достигать 75 000 рублей. Кроме того, с 1 июля штрафовать работодателей сможет непосредственно Роскомнадзор, а раньше дела такой категории возбуждала прокуратура. Разберемся подробнее, как с 1 июля увеличатся штрафы за персональные данные.

Из статьи вы узнаете:

Персональные данные работников

Прежде чем рассматривать штрафы за персональные данные в 2018 году, выясним, что относится к таким данным. Персональные данные работников – это сведения, которая как прямо, так и косвенно относятся к физическому лицу. Это информация о фактах, событиях и перепитиях частной жизни, которые дают возможность идентифицировать личность человека, за исключением сведений, которые подлежат распространению в СМИ (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ, далее – Закон № 152-ФЗ, Указ Президента РФ от 6 марта 1997 г. № 188).

Скачайте документы по теме:

Выделяют три вида персональных данных работников: общие, специальные и биометрические. К общим относят:

Ф. И.О., место жительства;

паспортные данные;

сведения об образовании;

семейное положение;

Общие персональные данные работников содержатся в паспорте, дипломе, военном билете, личной карточке, трудовой книжке и других документах.

С 1 июля увеличатся штрафы за персональные данные за обработку в нарушение запрета специальных данных. К ним относится информация о (ч. 1 ст. 10 Закона № 152-ФЗ):

расовой, принадлежности, национальности;

политических взглядах;

религиозных или философских убеждениях;

состоянии здоровья и тому подобное.

Специальные персональные данные работников могут быть в анкете, которую сотрудник заполняет при приеме на работу, медицинском заключении и т. д.

Серьезные штрафы за нарушение закона о персональных данных грозят при нарушении порядка работы с биометрическими данными. Это сведения о физиологических и биологических особенностях человека, по которым можно установить его личность. К примеру, такие особенности, как:

• дактилоскопические данные;
• радужная оболочка глаз;
• анализы ДНК;
• рост, вес и прочее.

Обратите внимание! Фотография или видеозапись также относятся к биометрическим персональным данным, если по ним можно идентифицировать человека. Исключение составляют фото- и видеозаписи, которые сделали на массовых и публичных мероприятиях (п. 1 ст. 152.1 ГК РФ).

Новые штрафы: персональные данные

В 2017 году с 1 июля увеличатся штрафы за персональные данные. Поправки в КоАП РФ внес Федеральный закон от 07.02.2017 № 13-ФЗ. Изменения размеров новых штрафов за персональные данные существенные. Поэтому операторам персональных данных, к которым относятся все работодатели, нужно тщательно подготовиться к изменениям.

Действующая в текущий момент редакция статьи 13.11 КоАП РФ содержит только одно общее основание, чтобы привлечь организацию к административной ответственности – за нарушение определенного законом порядка сбора, хранения, использования или распространения персональных данных. С 1 июля увеличатся штрафы за персональные данные и видов нарушений, за которые можно наказать, будет семь.

Важно: сейчас максимальный размер штрафных санкций составляет 1 000 руб. (для должностных лиц) и 10 000 руб. (для юридических лиц). С 1 июля максимум возрастет до 20 000 и 75 000 руб. соответственно.

С 1 июля увеличатся штрафы за персональные данные и одновременно изменится порядок, в котором заводят дела об административных правонарушениях в области персданных. Сейчас такие дела возбуждают прокуроры (п. 1 ст. 28.4 КоАП РФ). С 1 июля 2017 года указанные полномочия передаются должностным лицам Роскомнадзора (подп. 58 п. 2 ст. 28.3 КоАП РФ в новой редакции). Они смогут сами налагать новые штрафы за персональные данные:

• штраф за разглашение персональных данных;
• штрафы за неправильную обработку персональных данных;
• штраф за распространение персональных данных;
• штрафы за нарушение работы с персональными данными и так далее.

Передача функций по возбуждению административных дел Роскомнадзору ускорит процесс привлечения работодателей к ответственности. В настоящее время такие органы лишь собирают информацию о нарушениях и передают ее в прокуратуру для решения вопроса о применении административного наказания.

Закон о персональных данных: штрафы

С 1 июля увеличатся штрафы за персональные данные. Рассмотрим семь составов, которые вводятся с 1 июля (таблица ниже). За нарушение закона о персональных данных штрафы для организаций составят от 15 000 до 75 000 рублей.

Штрафы за нарушение закона о персональных данных с 1 июля 2017 года

Вид правонарушения	Санкция для должностных лиц	Санкция для организаций	Правовое основание
Обработка работодателем персональных данных: – в случаях, не установленных законом; – несовместимая с целями сбора персональных данных	Предупреждение или штраф от 5 000 до 10 000 рублей	Предупреждение или штраф от 30 000 до 50 000 рублей	Ч. 1 ст. 13.11 КоАП РФ
Обработка персональных данных без письменного согласия работника, когда оно должно быть получено в обязательном порядке либо отсутствие в согласии необходимых сведений	Штраф от 10 000 до 20 000 тысяч рублей	Штраф от 15 000 до 75 000 тысяч рублей	Ч. 2 ст. 13.11 КоАП РФ
	Предупреждение или штраф от 3000 до 6000 рублей;	Предупреждение или штраф от 15 000 до 30 000 рублей.	ч. 3 ст. 13.11 КоАП РФ
Непредоставление работнику информации, которая затрагивает обработку его персональных данных	Предупреждение или штраф от 4000 до 6000 рублей;	Предупреждение или штраф от 20 000 до 40 000 рублей.	Ч. 4 ст. 13.11 КоАП РФ
Невыполнение требования работника либо управления Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении в случае, когда данные являются неполными, устаревшими, неточными, незаконно полученными или не требующимися для заявленной цели обработки	Предупреждение или штраф от 4000 до 10 000 рублей	Предупреждение или штраф от 20 000 до 45 000 тысяч рублей	Ч. 5 ст. 13.11 КоАП РФ
Необеспечение сохранности персональных данных при хранении материальных носителей персональных данных, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо другие неправомерные действия	от 4000 до 10 000 рублей	от 20 000 до 50 000 тысяч рублей	Ч. 6 ст. 13.11 КоАП РФ
Невыполнение обязанности по обезличиванию персональных данных или несоблюдение установленных требований или методов по обезличиванию таких данных (для государственных и муниципальных органов)	Предупреждение или штраф от 3000 до 6000 рублей.		Ч. 7 ст. 13.11 КоАП РФ

Чтобы избежать повышенных новых штрафов за персональные данные в 2018 году, работодателям необходимо проанализировать, правильно ли они организовали систему работы с персональными данными, выявить и ликвидировать недочеты. В частности, важно проверить, получал ли работодатель письменное согласие сотрудников на обработку данных в тех случаях, когда оно требуется.

Согласие на обработку персональных данных в письменной форме надлежит получить, когда (подп. 1 п. 2 ст. 10, п. 1 ст. 11, подп. 1 п. 4 ст. 12 Закона № 152-ФЗ):

• речь идет о их передаче в государство, не обеспечивающее необходимую защиту персональных данных;
• обрабатываются биометрические данные, чтобы установить личность;
• обрабатываются специальные категорий и сведений, которые касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Персональные данные работников есть у всех компаний. С 1 июля 2017 года применяются новые штрафы. Они больше прежних. Подскажем, как работать без нарушений.

С 1 июля 2017 года повышается ответственность за нарушения в работе с персональными данными. Изменения затронут всех без исключения работодателей, у которых в распоряжении есть личные сведения сотрудников и других физлиц.

Что относится к персональным данным в 2017 году

Под персональными данными понимается любая информация о физлице (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ). К таким сведениям, относятся фамилия, имя, отчество, пол, возраст, образование, место жительства физического лица и т.д.

А значит, все документы с персональными данными физлиц работодатель должен обрабатывать, хранить и уничтожать в соответствии с требованиями законодательства.

К таким документам относятся:

• трудовая книжка;
• паспорт или иной документ, удостоверяющий личность;
• страховое свидетельство обязательного пенсионного страхования;
• документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
• документы об образовании и (или) о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
• документы (справки) содержащие сведения о состоянии здоровья работника;
• документы (справки) содержащие сведения о возрасте или семейном положении работника.

июля

2017 года увеличатся штрафы за нарушения правил работы с персональными данными

Как обеспечить защиту персональных данных

Рассмотрим, что нужно предпринять в хозяйстве в связи с защитой персональных данных сотрудников и других физлиц. Всего пять шагов.

Шаг 1. Закрепите порядок получения, обработки, передачи и хранения персональных данных в локальном акте организации. Например в положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 № 152-ФЗ).

Шаг 2. Назначьте работника, ответственного за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Это может быть сотрудник отдела кадров, который взаимодействует с личными делами сотрудников. Он будет получать согласие работников на обработку персональных данных, вести карточки сотрудников и т.д.

Шаг 3. Подготовьте шаблон согласия на обработку персональных данных. Без него запрашивать личные сведения физлиц нельзя. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ):

• ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате и месте выдачи документа;
• наименование или ФИО и адрес работодателя, который получает согласие сотрудника;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие;
• наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
• срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
• подпись работника.

Образец согласия на обработку персональных данных

Фамилия, имя, отчество (последнее - при наличии) субъекта персональных данных
Адрес места жительства _________________________________________________________ ______________________________________________________________________________
Документ, удостоверяющий личность субъекта персональных данных, дата его выдачи и выдавший орган ________________________________________________________________ ______________________________________________________________________________
СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Настоящим выражаю согласие на обработку моих персональных данных, предусмотренную частью 3 статьи 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ, в целях предоставления Федеральной службой по интеллектуальной собственности (Роспатент) в соответствии с Федеральным законом от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» государственной услуги по государственной регистрации изобретения и выдаче патента на изобретение, его дубликата.
______________________________________________________________________________ (указывается название изобретения)
№ заявки ______________________________________________________________________ (указывается при наличии регистрационного номера заявки)
Заявитель _____________________________________________________________________
______________________________________________________________________________ (указываются фамилия, имя, отчество (последнее - при наличии) и место жительства)
Мне известно, что предоставленные мною персональные данные, которые не являются необходимыми для предоставления указанной государственной услуги, будут подвергнуты обработке, предусмотренной Федеральным законом от 27 июля 2006 г. № 152-ФЗ, при этом публикация моих персональных данных будет произведена Роспатентом в соответствии с действующим законодательством. Мне известно, что настоящее согласие действует бессрочно. В случае отзыва согласия на обработку персональных данных Федеральная служба по интеллектуальной собственности вправе продолжить обработку персональных данных без моего согласия в соответствии с частью 2 статьи 9, пунктом 4 части 1 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ.
Подпись _______________________________________________ фамилия, имя, отчество (последнее - при наличии)	Дата _____________

Шаг 4. Предоставить по запросу физлица информацию, которая касается обработки его персональных данных (ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ). Среди таких сведений, например:

• подтверждение факта обработки персональных данных;
• цели обработки персональных данных;
• способы обработки персональных данных;
• наименование и адрес работодателя, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные по закону и т. д.

Как работать с персональными данными на сайте

Опубликуйте или иначе обеспечьте неограниченный доступ к документу, который определяет политику обработки персональных данных. Если хозяйство собирает персональные данные в интернете, этот шаг тоже нужно сделать (п. 2 ст. 18.1 Закона от 27 июля 2006 г. № 152-ФЗ).

Например, на некоторых сайтах пользователь указывает свои ФИО и e-mail при регистрации или отклике на вакансию. Тогда на сайте нужно разместить ссылки на документы:

• «Политика обработки персональных данных»;
• «Положение об обработке персональных данных» и т.п.

Сколько хранить персональные данные

Персональные данные нужно уничтожить через 30 дней с той даты получения согласия на обработку его персональных данных. Другой срок можно установить в договоре или соглашении с физлицом.

Если у хозяйства нет возможности уничтожить персональные данные в срок, сведения нужно заблокировать. После этого уничтожить личные сведения нужно не позднее, чем через шесть месяцев (ч. 6 ст. 21 Закона № 152-ФЗ).

Уничтожает персональные данные комиссия на основании приказа руководителя. Результат нужно оформить в виде акта о прекращении обработки персональных данных. Еще вариант - можно сделать запись об уничтожении в специальном журнале.

Кому грозят новые штрафы за нарушение работы с персональными данными

С 1 июля 2017 года расширится перечень оснований для привлечения работодателя к административной ответственности в области защиты персональных данных. Кроме того, увеличатся размеры штрафов (Федеральный закон от 7 февраля 2017 г. №13-ФЗ).

Раньше штраф был только один: от 500 руб. до 1000 руб. для директора и от 5000 руб. до 10 000 руб. для юрлица (ст. 13.11 КоАП РФ). Теперь будет шесть видов ответственности. За разные нарушения работодателей в сфере персональных данных проверяющие смогут применять несколько штрафов. Подробнее о видах нарушения и штрафах - в таблице.→00

Штрафы за нарушение правил работы с персональными данными

Нарушение
Незаконно обработали персональные данные либо обработали не по заявленной цели. Например, компания передала ФИО, телефоны, адреса юрлицу для рекламных рассылок.	Предупреждение или штраф: для физических лиц от 1000 до 3000 руб.; для руководителя или главбуха - от 5000 до 10 000 руб.; для юридических лиц - от 30 000 до 50 000 руб.
Обработали персональные данные без согласия физлица	для физических лиц - от 3000 до 5000 руб.; для руководителя или главбуха - от 10 000 до 20 000 руб.; для юридических лиц - от 15 000 до 75 000 руб.
Не разместили в свободном доступе документы о политике по обработке персональных данных	для физических лиц - от 700 до 1500 руб.; для директора или главбуха - от 3000 до 6000 руб.; для индивидуальных предпринимателей - от 5000 до 10 000 руб.; для юридических лиц - от 15 000 до 30 000 руб.
Не предоставили физлицу информацию, которая касается обработки его персональных данных	для физических лиц - от 1000 до 2000 руб.; для директора, кадровика или бухгалтера - от 4000 до 6000 руб.; для индивидуальных предпринимателей - 10 000 до 15 000 руб.; для юридических лиц - от 20 000 до 40 000 руб.
Не уничтожили или не заблокировали персональные данные	для граждан - от 1000 до 2000 руб.; для директора или главбуха - от 4000 до 10 000 руб.; для юридических лиц - 25 000 до 45 000 руб.
Собрали персональные данные работников только на бумаге и не вели никакой автоматизированной обработки, нет специальных программ для обработки	для физических лиц - от 700 до 2000 руб.; для руководителя или главбуха - от 4000 до 10 000 руб.; для индивидуальных предпринимателей - от 10 000 до 20 000 руб.; для юридических лиц - от 25 000 до 50 000 руб.

По поводу нарушений закона о персональных данных. Они вступят в силу 1 июля 2017 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные.

Штрафы разделили по видам нарушений и увеличили в десятки раз. Например, если не разместить на сайте политику конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а компанию - на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юрлица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч . Если нарушений несколько, то и штрафов будет несколько.

Нужно срочно привести в порядок свои сайты. Проверки уже идут 💻

Сейчас протоколы о нарушениях может выписывать только прокуратура. Штраф не зависит от вида нарушения и составляет для ИП или директора максимум 1000 рублей, а для юрлица - 10 тысяч рублей. Процедура занимает много времени, штрафы маленькие, поэтому проверяют редко и не всех.

Как узнать, являюсь ли я оператором персональных данных?

Персональные данные - это любые данные о человеке, по которым его можно идентифицировать. В законе нет перечня таких данных, поэтому приходится догадываться самим. Например, по имени или логину нельзя понять, что это за человек, а по имени и телефону или имени и электронной почте - можно.

Скорее всего, вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:

• фамилию,
• отчество,
• какой-то физический адрес,
• электронную почту,
• телефон,
• дату или место рождения,
• фотографию,
• ссылку на персональный сайт или соцсети,
• профессию,
• образование,
• уровень доходов,
• семейное положение.

Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, - это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения - это тоже обработка персональных данных.

А если я записываю телефон друга или электронную почту девушки на сайте знакомств, мне нужно соблюдать этот закон?

Нет, не нужно. На данные для личных и семейных нужд закон не распространяется. Но если передать телефон друга коллекторам или опубликовать объявление с почтой девушки на форуме женоненавистников - это уже нарушение.

Как правильно работать с персональными данными, чтобы не нарушить закон?

Как минимум нужно:

• получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
• публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
• запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
• использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
• сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
• удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
• хранить базы данных в надежном месте, защищать их от взлома и утечки;
• научить сотрудников работать с персональными данными;
• зарегистрироваться в Роскомнадзоре.

Что? Я должен еще где-то зарегистрироваться?

Да, по закону операторы персональных данных должны уведомить Роскомнадзор . Причем сделать это нужно до начала обработки данных или как можно скорее. Роскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу.

Уведомление можно не подавать, если:

• обрабатываются только данные сотрудников;
• персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более - распространяться;
• человек сам опубликовал эти данные в общем доступе;
• у вас есть только ФИО клиента и больше ничего.

У меня есть сайт, и я получаю персональные данные. Что мне делать?

Если вы до сих пор ничего не сделали, то вы уже нарушаете закон и вас уже сейчас могут оштрафовать. Даже если ваш сайт обслуживает веб-студия или удаленный айтишник, штраф всё равно выпишут на ту компанию или ИП , которые указаны на сайте.

Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны на всех страницах. Это может быть пользовательское соглашение, как у «Ламоды» , правила продажи, официальное уведомление, как у «М-видео» , политика конфиденциальности, как у «Рестора» , «Адидаса» или «Озона» . Можно прописать условия обработки персональных данных в обычном договоре или оферте, как это делает Сбербанк .

Не используйте чужие документы. Их можно взять для ориентира, но список данных и цели использования нужно прописывать свои. То, что нужно банку для оформления кредита или интернет-магазину для доставки товара, не понадобится для электронной рассылки или доски объявлений. Запрашивать ненужные данные - нарушение закона и повод для штрафа.

Реализуйте решение, которое позволит четко установить, что человек согласился на обработку персональных данных. Это может быть галочка в форме регистрации или предупреждение при оформлении заказа. Для надежности заверьте веб-страницы у нотариуса.

Подготовьте внутренние документы о хранении персональных данных и ответственности сотрудников, которые с ними работают. Приказы, регламенты и должностные инструкции не нужно выкладывать в общий доступ.

Если нужно, отправьте уведомление в Роскомнадзор. Если уверены, что уведомление отправлять не нужно, оформите документы так, чтобы это было понятно при проверке. Например, пропишите в политике, что используете персональные данные только для исполнения конкретного договора. Или укажите, что создаете ресурс, на котором данные размещаются в общем доступе по желанию пользователя.

Это правда, что хранить персональные данные можно только на российских серверах? Если у меня хостинг в Европе, я нарушаю закон?

В законе много непонятного по этому поводу. С одной стороны, собирать, обрабатывать и хранить базы данных нужно на российских серверах. Но при этом есть отдельная статья про трансграничную передачу данных. На сайте Минкомсвязи опубликованы разъяснения по этому поводу, но в них тоже много противоречий.

Сами делайте выводы, где хранить данные. Если не знаете, что делать, отправьте запрос в Роскомнадзор или Минкомсвязи. Еще можно обратиться к своему хостеру: чаще всего у таких компаний есть готовые решения.

Да успокойтесь вы все! Никого не будут штрафовать из-за каких-то форм на сайте и ненужных бумаг.

В Тамбовской области прокуратура оштрафовала юридическую компанию за заполнение формы обратной связи без согласия пользователя на обработку персональных данных. Суды поддержали.

Директора управляющей компании оштрафовали за то, что он передал юристам данные должников, чтобы составить исковые заявления. Согласие на обработку персональных данных у жильцов он не получил. Конституционный суд ему не помог.

В Астрахани прокуроры штрафуют владельцев сайтов за формы обратной связи по алфавиту.

Кроме штрафов в пользу государства за нарушение правил обработки персональных данных могут взыскать компенсацию морального вреда и даже посадить в тюрьму.

В законе про персональные данные много непонятного. Мы разобрались и ответили на

С 1 июля 2017 года применяются новые штрафы за нарушение обработки и хранения персональных данных.

Все это влечет за собой пересмотр политики компаний и ИП в отношении защиты данных сотрудников. Давайте рассмотрим внимательно новые требования, что относится к персональным данным, как их хранить с 1 июля 2017 года.

Что относится к персональным данным с 1 июля 2017 года

Прежде чем начать разговор о новых штрафах за неправильную обработку и хранение персональных данных с 1 июля 2017 года, нужно сначала определить, что относится к этим персональным данным.

Персональные данные – это личная информация о сотруднике, имеющая отношения к его частной или рабочей жизни. К ним относятся:

• паспортные данные;
• адрес, прописка;
• данные о семье;
• справка о состоянии здоровья;
• страховые документы;
• военный билет;
• дипломы об образовании;
• сведения о трудовой биографии.

Важно! Нельзя брать у сотрудника данные, не относящиеся к его работе и не влияющие на его трудовые обязанности, зарплату, выплаты, пособия и т. Д. Имеются в виду: национальность, религиозная принадлежность, политические предпочтения и пр.

Новые штрафы за персональные данные с 1 июля 2017 года

Согласно ст.13.11 Федерального закона №13-ФЗ от 7 февраля 2017 года за нарушение обработки и использования персональных данных с 1 июля 2017 года налагаются новые штрафы, рассмотрим их поближе:

За какое нарушение по использованию, обработке и хранению персональных данных (далее ПД) положен штраф	Размер штрафа для «физиков» (в руб.)	Размер штрафа для ответственных лиц (в руб.)	Размер штрафа для ИП (в руб.)	Размер штрафа для компаний (в руб.)
Противоречащая закону обработка ПД или вы делаете это с целью, идущей в разрез с законодательством (то есть теперь передача данных сторонней компании для распространения рекламы карается очень строго)			30 000 – 50 000
Если вы обрабатываете ПД человека, не взяв предварительно с него согласие на это
Не проинформировали о своей политике по использованию и обработке ПД
Не проинформировали человека о том, как вы собираетесь обрабатывать его ПД или дали ему информации о его ПД
Пропустили срок, оговоренного субъектом, по уточнению, блокировке, либо уничтожению его ПД
Если вы не имеете автоматизированной системы по хранению и защите ПД, и это привело к опубликованию ПД, уничтожению, блокировке, копированию, изменению и пр. незаконным операциям

Внимание! За обработку персональных данных без согласия на то, самого человека, помимо штрафа предусмотрена также уголовная ответственность. Поэтому не забывайте брать с сотрудников заявление, в котором они дают свое разрешение на обработку данных, на предоставление этих данных банку, налоговой и иным заинтересованным организациям, оговаривают срок хранения информации и подтверждают, что ознакомлены с целью сбора данных.

Что изменить в обработке персональных данных с 1 июля 2017 года под новые требования

Для того чтобы вас с 1 июля 2017 года не оштрафовали за то, что вы обрабатываете, распространяете, изменяете и т.д. персональные данные ваших сотрудников, нужно взять с них письменное заявление, что они согласны на эти действия.

Утвержденного образца заявления пока нет, пишется оно в свободной форме. При этом ориентируясь на ч.4 ст.9 ФЗ №152-ФЗ от 27.07.2006, оно должно включать в себя следующие данные:

• ФИО, адрес работника;
• серию, номер паспорта, где и кем выдан;
• перечень персональных данных и причина, по которой дается согласие;
• манипуляции, которые работник разрешает производить со своими данными;
• срок действия соглашения;
• дата, подпись, расшифровка.

Образец заявления-соглашения на использование персональных данных

Хранение и обработка персональных данных, новые изменения с 01.07.2017г.

Федеральный закон от 01.07.2017 года №13-ФЗ ввел новые штрафы за нарушение обработки или уничтожения хранения личных данных сотрудников и клиентов, однако не сделал никаких новых изменений в этой части. Поэтому, чтобы избежать новых больших штрафов при обработке, хранении, изменении и уничтожении персональных данных, руководствуйтесь Законом №152-ФЗ от 27.07.2006 года.

Как хранить персональные данные с 1 июля 2017 года

Итак, что же нужно сделать компании и ИП, чтобы не нарушить закон и не подвергнуться большим штрафам, при пользовании персональными данными.

1. Пусть за хранение, изменение, обработку, уничтожение персональных данных у вас отвечают, специально назначенные для этого, должностные лица. Это может быть кадровик, бухгалтер, руководитель подразделения, даже генеральный директор, если речь идет о маленьких организациях.
2. Обязательно разработайте правила обработки, хранения, уничтожения персональных данных в согласии с Федеральным законом. Создайте специальный локальный акт, в котором пропишите все эти правила. Чаще всего компании используют «Положение о защите персональных данных работников» (ст.18.1 ФЗ от 27.07.2006 №153-ФЗ), но можно использовать свое.
3. Ознакомьте с этим актом всех своих сотрудников, кроме того инструкция должна у вас всегда находится в зоне свободного доступа.
4. Разработайте соглашение о согласии сотрудника на обработку, изменение, хранение, уничтожение его персональных данных (примерный образец такого соглашения можно скачать по ссылке выше). Проследите, чтобы все ваши сотрудники заполнили это соглашение.
5. Проинформируйте сотрудников, если у них возникнут вопросы, как вы обрабатываете и используете их персональные данные (ст.14 ФЗ №153-ФЗ от 27.07.2006).
6. Своевременно вносите изменения в персональные данные сотрудников, например при смене фамилии, имени, места жительства, состоянии здоровья и т.д.
7. Организуйте грамотную систему хранения и защиты персональных данных. Как это сделать, вы должны определить самостоятельно, руководствуясь ст.19 Закона №153-ФЗ. Оградите персональные данные от несанкционированного или даже случайного доступа. Если личная информация о ваших сотрудниках даже случайно попадет в руки посторонних лиц, санкций компании не избежать.
8. Своевременно уничтожайте персональные данные ваших сотрудников. Срок хранения документов определяется соглашением с вашими сотрудниками. Если вы не оговорили срок хранения с работником, то данные уничтожаются через 30 дней с момента их получения. Если нет такой возможности, блокируйте личную информацию.

Будьте внимательны! Организацию, обработку, хранение, изменение, удаление личных данных в компании проверяет Трудовая инспекция и сотрудники Роскомнадзора. Если они отметят нарушения, вас оштрафуют.

С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона "О персональных данных" от 27.07.2006 № 152-ФЗ. О том, как избежать штрафов при проверках Роскомнадзора, БУХ.1С рассказал эксперт по налогообложению Игорь Кармазин .

Штрафы за несоблюдение требований Федерального закона "О персональных данных" были повышены в соответствии с Федеральным законом от 07.02.2017 № 13-ФЗ. Новые штрафы по сравнению с действующими выросли в разы . Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей. При этом, если раньше в КоАП существовал только один, общий для всех случаев состав правонарушения в области персданных (ст.13.11 КоАП РФ), то теперь в данной статье появилось целых семь составов.

Чтобы избежать штрафов по 152-ФЗ , компаниям и ИП с 1 июля 2017 года следует внимательнее подходить к соблюдению требований закона о персональных данных.

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

1. С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона "О персональных данных".

2. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей.

3. Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. Закон не содержит конкретного перечня таких организаций.

4. Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре.

5. Обезопасить себя от штрафов можно, соблюдая 6 правил:

• исключить случаи нецелевого сбора и обработки данных;
• получать письменное согласие граждан на обработку их данных;
• знакомить граждан с политикой обработки персональных данных;
• отвечать на вопросы граждан о том, каким образом используются их персональные данные;
• выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении;
• обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д.

6. С 01.07.2017 начинает действовать упрощенный порядок привлечения к административной ответственности. Дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры.

Кого коснутся новые штрафы

Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. По закону они отнесены к операторам персональных данных и обязаны соблюдать законодательные ограничения.

Закон не содержит конкретного перечня таких организаций. Однако к ним можно отнести банки, страховые компании, операторов мобильной связи и интернета, медицинские организации, транспортные компании, учебные заведения и все те компании, при обращении в которые граждан просят указать личные данные или заполнить анкету.

Но и это еще не все. Закон распространяется на работодателей, получающих сведения от сотрудников как по трудовым договорам, так и по договорам гражданско-правового характера. Работодатели тоже являются операторами персональных данных с небольшой оговоркой. Если работодатель состоит с гражданином в трудовых или гражданско-правовых отношениях, ему не требуется уведомлять Роскомнадзор об обработке личной информации (ч. 2 ст. 22 Федерального закона № 152-ФЗ).

Также к операторам персональных данных относятся компании, имеющие собственные сайты с обратной формой связи и регистрацией пользователей, у которых запрашиваются личные сведения.

Как обезопасить себя от штрафов: 6 правил

1. Исключить случаи нецелевого сбора и обработки данных.

Под данное нарушение попадают и случаи сбора излишней информации о гражданах. Например, когда сайт для новостной рассылки по e-mail требует от посетителей предоставить, скажем, паспортные данные. Это считается обработкой данных не по назначению, поэтому исключите подобные случаи из практики работы своей компании и сайта.

Данные действия образуют состав правонарушения по ч. 1 ст. 13.11 КоАП РФ. Штраф для предпринимателей – от 5 до 10 тысяч рублей, а для организаций – от 30 до 50 тысяч рублей.

2. Получать письменное согласие граждан на обработку их данных.

Согласие граждан на обработку персональных данных, когда это требуется по закону, операторы получают в соответствии с ч. 4 ст. 9 Федерального закона № 152-ФЗ. Исключений из этого правила не так много. Например, не требуется письменного согласия при получении персональных данных в личных, семейных целях (ч. 2 ст. 1 Федерального закона № 152-ФЗ).

В большинстве же случаев дополнительно к основному договору стороны должны подписывать соглашение об обработке персональных данных. Это соглашение может включаться в текст основного договора, или выступать в качестве отдельного документа. Согласие должно поступить лично от гражданина. Без его ведома передавать данные нельзя.

Самый банальный пример злоупотреблений в этой части – когда, например, оператор мобильной связи передает контакты абонентов без их ведома сторонним компаниям, и на телефонные номера граждан начинает поступать всевозможный спам.

Если письменного соглашения на обработку данных у компании нет, на граждан (ИП) наложат штраф в размере от 3 до 5 тысяч рублей, на должностных лиц от 10 до 20 тысяч рублей, а на юрлиц – от 15 до 75 тысяч рублей (ч.2 ст.13.11 КоАП РФ). Судя по судебной практике, ИП первый раз штрафуют как физлиц, а если нарушение повторяется, то уже как должностных лиц - руководителей ИП, так как во втором случае штраф выше.

Последствия неполучения письменного согласия контролерам будут неважны, а важен будет сам факт наличия или отсутствия такого согласия в письменной форме.

3. Знакомить граждан с политикой обработки персональных данных.

Эта информация должна находиться в свободном доступе и с ней должен иметь возможность ознакомиться каждый. Например, сайты вывешивают информацию о порядке работы с персданными на отдельных своих страницах.

В противном случае наступит ответственность по ч. 3 ст. 13.11 КоАП РФ. ИП заплатят штраф в размере от 5 до 10 тысяч рублей, а организации в размере от 15 до 30 тысяч рублей.

4. Отвечать на вопросы граждан о том, каким образом используются их персональные данные .

На практике бывают случаи, когда данные «утекают» третьим лицам, и клиентам компании начинает поступать всевозможная реклама от магазинов, медицинских центров и кредитных организаций. В этом случае клиент может потребовать от оператора персональных данных предоставить информацию о том, как используются и хранятся его личные сведения.

За игнорирование обращений граждан операторы персданных несут ответственность по ч. 4 ст. 13.11 КоАП РФ. Штраф для ИП – от 10 до 15 тысяч рублей, а для юрлиц – от 20 до 40 тысяч рублей.

5. Выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении .

Это нужно делать в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Неисполнение этой обязанности грозит штрафом по ч. 5 ст. 13.11 КоАП РФ. Для ИП штраф составит от 10 до 20 тысяч рублей, для организаций – от 25 до 45 тысяч рублей.

6. Обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д .

Ответственность за необеспечение сохранности личных сведений установлена ч. 6 ст. 13.11 КоАП РФ. Для предпринимателей – от 10 до 20 тысяч рублей, для компаний – от 25 до 50 тысяч рублей.

Ответственность для государственных и муниципальных органов власти

Штрафная ответственность предусмотрена и для государственных и муниципальных органов власти (ч. 7 ст. 13.11 КоАП РФ).

В своих документах (протоколах, сводках, решениях и т.д.) они должны обезличивать персональные данные граждан, не допуская указания их места жительства и полных ФИО.

В противном случае придется заплатить штраф в размере от 3 до 6 тысяч рублей.

Регистрация операторов персональных данных в Роскомнадзоре

Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре. Для этого необходимо подать уведомление об обработке (о намерении осуществлять обработку) персональных данных (ч. 3 ст. 22 Федерального закона № 152-ФЗ).

После заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных ее следует отправить в информационную систему Уполномоченного органа по защите прав субъектов персональных данных. Затем заполненную форму нужно распечатать и заверить надлежащим образом, скрепив подписью и печатью организации, после чего направить в соответствующий территориальный орган Роскомнадзора по месту регистрации компании-оператора персональных данных.

Что делать сайтам

Что касается сайтов (а сейчас они есть практически у любой компании), то основная масса нарушений здесь связана именно с нецелевым сбором и использованием персональных данных (ч. 1 ст. 13.11 КоАП РФ).

Например, нередко в форме регистрации на сайте используются такие поля, как «дата рождения» и «телефон», а в форме профиля пользователя - «отчество», «дата рождения», «место жительства» (страна, область/край, город).

Следует понимать, что для регистрации пользователя на большинстве сетевых ресурсов не требуется знать такие данные, как телефон и место жительства/регистрации пользователя. Из формы регистрации эти сведения следует убрать.

А из формы личного профиля лучше убрать такие сведения, как «профессия», «www-страница», Skype (или другой мессенджер) и «дата рождения».

Посторонним лицам (а ваша компания и является таким лицом) знать эту информацию ни к чему. Форма подписки на новости сайта должна собирать информацию только об e-mail пользователей. Форма регистрации может собирать имя, фамилию, e-mail и пол пользователя.

Сбор лишней информации при проверке могут посчитать нарушением.

Выполнение вышеописанных правил и знание закона позволят избежать ответственности за его нарушение. При этом следует учитывать одно немаловажное обстоятельство. Если раньше закон о персональных данных обходил вашу компанию стороной и никакой ответственности за его нарушение вы не несли, то с 1 июля все может измениться кардинальным образом.

Дело в том, что с этой даты начинает действовать упрощенный порядок привлечения к административной ответственности. Раньше дела в этой сфере возбуждала прокуратура (ст. 28.1 КоАП РФ). По новым же правилам (п. 58 ч. 2 ст. 28.3 КоАП РФ) дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры. На практике это означает, что количество штрафов и доведенных до суда дел может значительно увеличиться, и уйти от ответственности станет значительно сложнее.