Что изменилось с 1 июля 2017 года

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы

Основание	Размер штрафа
	Физлица	Должностные лица	Юрлица	ИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн	предупреждение или штраф — от 1000 до 3000 руб.	предупреждение или штраф — от 5000 до 10 000 руб.	предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта	от 3000 до 5000 руб.	от 10 000 до 20 000 руб.	от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДн	от 700 до 1500 руб.	от 3000 до 6000 руб.	от 15 000 до 30 000 руб.	от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработке	предупреждение или штраф — от 1000 до 2000 руб.	предупреждение или штраф — от 4000 до 6000 руб.	предупреждение или штраф — от 20 000 до 40 000 руб.	предупреждение или штраф — от 10 000 до 15 000 руб.
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)	предупреждение или наложение штрафа в размере от 1000 до 2000 руб.	предупреждение или штраф — от 4000 до 10 000 руб.	предупреждение или штраф — от 25 000 до 45 000 руб.	предупреждение или штраф — от 10 000 до 20 000 руб.
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования	от 700 до 2000 руб.	от 4000 до 10 000 руб.	от 25 000 до 50 000 руб.	от 10 000 до 20 000 руб.
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн		предупреждение или наложение административного штрафа — от 3000 до 6000 руб.

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:

• Являюсь ли я оператором персональных данных?
• Распространяется ли на меня закон о персональных данных?
• Как уведомить Роскомнадзор об обработке персональных данных?
• Что делать владельцу сайта, чтобы избежать штрафов?

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

• ФИО (вместе и даже по отдельности)
• дата рождения
• адрес
• телефон
• email
• фотография
• ссылка на персональный сайт
• ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан.

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально. На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):

• ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
• цель обработки ПДн;
• перечень ПДн, на обработку которых субъект дает согласие;
• наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
• перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
• срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
• подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft. Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн.

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

• относятся к субъектам, которых связывают с оператором трудовые отношения;
• получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
• являются общедоступными ПДн;
• включают только ФИО субъектов ПДн;
• нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
• включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
• обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

Чтобы выполнить все требования закона об обработке персональных данных, следуйте бесплатной инструкции и разрабатывайте необходимые документы без изучения 152-ФЗ.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

• в случае обезличивания персональных данных;
• в отношении общедоступных персональных данных;
• если данные включают только фамилии, имена и отчества субъектов персональных данных;
• для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
• если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
• если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

5 базовых принципов закона о персональных данных, о которых нужно знать

Как подготовиться к плановой проверке ФСБ по персональным данным?

Проверка Роскомнадзора: как подготовиться и избежать штрафов

Минимальное наказание, если нет отягчающих обстоятельств, — штраф до 200 тыс. руб. либо в размере зарплаты или иного дохода за срок до 1,5 лет.Промежуточное наказание — привлечение к обязательным работам на срок до 360 часов, к исправительным работам на срок до 1 года, к принудительным работам на срок до 2 лет либо арест на срок до 4 месяцев.

Максимальное наказание по ст. 137 УК РФ — 2 года лишения свободы.

История

— Кто сказал моей жене размер зарплаты?! — бушевал в коридоре сотрудник. — Да я сейчас в прокуратуру пойду, вы не имели право это делать!

На шум выглянул директор.

— Что мы не имели права делать?

— Сообщать жене мою настоящую зарплату!

— А кто сообщил?

— Не знаю! Не признается добровольно, пускай прокурор выясняет! Сумма-то ей откуда-то стала известна!

Вскоре выяснилось, что информацию разгласила секретарь директора.

— Ну я же не знала, что это жена, — оправдывалась девушка. — Она представилась работницей банка, оттуда же все время звонят, поданные сведения уточняют…

— И ты вот так всем без разбора отвечаешь? — удивилась главбух.

— Ну да…

— Надо либо прекратить отвечать на телефонные звонки банков, предупредив об этом сотрудников, либо менять форму заявления о предоставлении сведений о зарплате. Вставить туда согласие работника на разглашение конкретной информации по телефону любому человеку, представившемуся сотрудником определенного банка. Согласится — берет ответственность за передачу информации на себя, не согласится — отказываемся разговаривать с банками, опять- таки за последствия данного решения будет отвечать работник. Копии будем передавать Валентине. Нет разрешения — нет разговора.

Секретарша кивнула.

— Ну а за мою жену кто ответит?!

— Жена чья? — спросил директор. — Может, ты семейные проблемы без нас решишь?

— Нет, это уже не семейная проблема! Нарушили закон — отвечайте, как руководитель организации!

— И сильно реальная сумма отличается от озвученной жене? — спросила бухгалтер.

— На четверть.

— Дайте мне ее телефон.

— Это еще зачем?!

— Ну, вы же просили разрешить конфликт.

Работник, подозрительно косясь по сторонам, продиктовал номер, имя и отчество жены.

— Марина Евгеньевна, добрый день. С вами говорит главный бухгалтер с работы вашего мужа. Я хочу принести извинения за нашего секретаря. Она, по излишней доброте, называет представителям банков зарплаты сотрудников несколько выше реальных. Благодаря вам и Алексею Максимовичу нам это стало известно, за что вам и ему отдельное спасибо. Больше у нас такое не повторится… Да, и вам всего хорошего.

— Она же теперь решит, что у меня с вами роман! — схватился за голову сотрудник.

— Алексей! — слегка повысил голос директор.

— Ой, извините… За зарплату спасибо, но вы же ее не знаете…

— Надеюсь, у нас еще не приняли закон, обязывающий лично знакомиться с супругами работников? И остальные семейные проблемы ты в состоянии решить сам?

— Постараюсь….

Шпаргалка

Проверять соблюдение работодателем требований к работе с персональными данными могут ГИТ и Роскомсвязьнадзор. Трудовая инспекция проверяет только соответствие нормам, указанным в главе 14 ТК. Нарушения, выявленные инспектором, подпадают под действие частей 1 и 2 ст. 5.27 КоАП. Для должностного лица предусмотрен штраф от 1000 до 5000 руб., за повторное нарушение —штраф от 10 000 до 20 000 руб. или дисквалификация от одного года до трех лет. Срок давности — один год со дня нарушения (ч. 1 ст. 4.5 КоАП РФ).

Представители Роскомсвязнадзора при выявлении нарушений руководствуются ст. 13.11 КоАП. В частности, разглашение информации о заработной плате и иных доходах гражданина влечет наложение штрафа на должностное лицо в размере от 10 000 до 20 000 рублей; на организацию — от 15 000 до 75 000 рублей.

Срок давности для административной ответственности перед Роскомсвязьнадзором — три месяца со дня нарушения (ч. 1 ст. 4.5 КоАП РФ).

Помимо административной ответственности на работника можно возложить материальную (ст. 238 ТК), дисциплинарную (вплоть до увольнения по пп. «в» п. 6 ст. 81 ТК — разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашение персональных данных другого работника), а на руководителя и главного бухгалтера организации — еще и уголовную (ст. 137 УК).

Для предотвращения нарушений необходимо:

• строго регламентировать порядок работы с персональными данными работников;
• обеспечить защиту конфиденциальной информации (как на бумажных, так и на электронных носителях);
• брать у сотрудников письменное согласие на обработку персональных данных, а также разрешение на их передачу. Данные документы должны содержать предельно конкретную информацию! Без согласия работника информацию можно передавать только в случаях, установленных законодательством (например, представителям правоохранительных органов);
• документы с данными сотрудника выдавать только по его письменному заявлению и с соблюдением установленных сроков;
• вести специальный журнал учета запросов и получения работниками документов, содержащих их персональные данные.

Ответственность за распространение персональных данных

Правовые основы применения различных взысканий за несанкционированную передачу личной информации заложены в ст. 23 и 24 Конституции РФ. Она предусматривает право граждан на неприкосновенность частной жизни и запрет на работу с персональными данными без их согласия. Именно по этой причине его следует получать у соискателей работы и у действующих сотрудников. Понятие частной жизни детализировано в определении Конституционного суда РФ N 12-53-О от 28 июня 2012 года. Речь идет о сведениях, относящихся к отдельному гражданину, которые касаются исключительно его и не подлежат общественному или государственному контролю.

Другой базовой нормой, устанавливающей ответственность за разглашение персональных данных гражданина, является ст. 24 закона N ФЗ-152. На основании указанных правил нарушители подвергаются административным, дисциплинарным и уголовным наказаниям.

Привлечение к уголовной ответственности

Наиболее суровое наказание предусмотрено для случаев, когда распространение личной информации носит преступный характер. Уголовная ответственность за разглашение персональных данных устанавливается в ст. 137 УК РФ. Ч.1 устанавливает способы следующие совершения правонарушений:

• размещение информации о частной жизни в СМИ;
• разглашение сведений в произведении, которое демонстрируется другим лицам;
• любое иная публичная демонстрация персональных данных в ходе выступления.

Любой из указанных способов предполагает распространение сведений среди неограниченного круга лиц в нарушение закона.

Фактором, необходимым для инициирования уголовного преследования, является отсутствие согласия гражданина. Нарушителю грозит штраф до 200 тыс. рублей (альтернативой будет изъятие суммы, эквивалентной полуторагодовому доходу преступника). Другим наказанием служат обязательные работы (максимальный срок составляет 360 часов) или исправительные работы (до года) или принудительные работы (не более 2 лет). Нарушителя могут подвергнуть аресту на период 2 – 4 месяца или лишить свободы на срок до 2 лет. В ряде случаев существует риск дополнительного наказания в виде 3-летней дисквалификации.

Обратите внимание: соблюдать тайну персональных данных работников обязаны все лица, которые имеют к ним доступ в связи с исполнением своих служебных обязанностей. То есть наказать за разглашение такой информации могут не только директора предприятия, но и сотрудника отдела кадров, бухгалтера, начальника отдела и т.д.

Преступник, использовавший свое служебное положение для сбора и распространения информации (руководитель компании или уполномоченный сотрудник кадровой службы), получит более суровое наказание (ч. 2 ст. 137 УК РФ):

• Штраф будет находиться в пределах 100 – 300 тыс. рублей или составлять доход нарушителя за период от 1 до 2 лет.
• Дисквалификация может применяться в качестве основного наказания и продолжаться от 2 до 5 лет.
• Максимальный период ареста составляет полгода.
• Принудительные работы могут назначаться на срок до 4 лет.
• Потенциальный период лишения свободы также составляет 4 года.

2 последних вида наказания могут дополняться 5-летней дисквалификацией.

Ч. 3 ст. 137 УК не касается отношений работодателя и персонала (в ней речь идет о распространении сведений о потерпевших, являющихся подростками).

Административная ответственность

Для ряда нарушителей предусматривается административная ответственность. Распространение персональных данных без согласия работника влечет наказание по 13.14 КоАП РФ. Эти правила применяются по остаточному принципу: речь идет только о случаях, не являющихся преступлениями.

Основным контролирующим ведомством по вопросам защиты персональных данных является Роскомнадзор РФ. Эта служба отвечает за организацию надзора за обработкой и защиту персональных данных граждан. С 1 июля 2017 года право возбуждать дела по админ нарушениям возлагается на должностных лиц Роскомнадзора (до этого времени таким правом обладал только прокурор).

Если разглашение не носит публичный характер (связано с передачей сведений ограниченному числу получателей информации), то допустившее его лицо будет обязано уплатить штраф. Размер взыскания отличается в зависимости от статуса нарушителя:

• для граждан он находится в пределах 500 – 1000 рублей;
• должностным лицам, к которым приравниваются адвокаты, придется оплатить от 4 до 5 тыс. рублей.

Ответственность за разглашение персональных данных работника дополняется наказанием за нарушение порядка обращения с ними (ст. 13.11 КоАП РФ). Речь идет о соблюдении правил ст. 88 ТК РФ – работодатель обязан передавать информацию 3-м лицам только после письменного согласия сотрудника. Этими же правилами запрещена передача данных о работнике в коммерческих целях.

За такое нарушение возможно как получение предупреждения, так и взыскание штрафа. Для граждан он составит от 300 до 500 рублей, а должностным лицам придется уплатить 500 – 1000 рублей. Если к ответственности привлекается компания, штраф составит 5 – 10 тыс. рублей.

Контроль за соблюдением режима конфиденциальности позволит работодателю пресечь возможные нарушения и избежать риска привлечения к ответственности.

С 1 июля 2017 года ужесточили административную ответственность за неправомерное использование работодателями персональных данных работников. Федеральный закон № 13-ФЗ был принят 07.02. 2017 и вступит в силу 01.07. 2017 года. В частности, вместо одного вида появилось семь составов правонарушений. Кроме того, возросли административные штрафы. Все изменения описаны в новой редакции статьи 13.11 КоАП РФ.

• Здравствуйте, председатель снт, членом которого я являюсь на доске информации разместил персональные данные (ФИО и номер участка) собственников, которые не оплатили членские взносы. К какой отвественности я могу привлечь председателя как должностное лицо?

Штраф за нарушение законодательства о персональных данных составляет от 300 до 500 руб. для граждан, от 500 до 1 тыс. руб. для должностных лиц и от 5 тыс. до 10 тыс. руб. для юридических лиц (ст. 13.11 КоАП РФ).