В очередной раз ужесточают ответственность за обработку персональных данных. С 1 июля 2017 года будет действовать новая редакция статьи 13.11 КоАП РФ. Список нарушений стал более детализированным, а размеры штрафов значительно выросли - до 75 тыс. руб. О том, как защититься от нарушений, читайте в статье.
Вид нарушения | Размер штрафа |
|
для юридических лиц | для должностных лиц |
|
Обработка персональных данных в случаях, не предусмотренных законодательством, либо их обработка, несовместимая с целями сбора персональных данных*. | От 30 тыс. до 50 тыс. руб. | От 5 тыс. до 10 тыс. руб. |
Обработка персональных данных без письменного согласия субъекта персональных данных на их обработку* | От 15 тыс. до 75 тыс. руб. | От 10 тыс. до 20 тыс. руб. |
Обработка персональных данных с нарушением требований к составу сведений, отражаемых в письменном согласии субъекта персональных данных на их обработку | От 15 тыс. до 75 тыс. руб. | От 10 тыс. до 20 тыс. руб. |
Нарушение оператором требований законодательства в области обработки, хранения и предоставления персональных данных | От 15 тыс. до 50 тыс. руб. | От 3 тыс. до 10 тыс. руб. |
* Если не предусмотрена уголовная ответственность
Полномочия по возбуждению дел об административных правонарушениях в области персональных данных переданы от прокуроров к Роскомнадзору. Срок давности для административной ответственности - три месяца со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Протокол об административном нарушении составляют сотрудники Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ).
Трудовая инспекция также вправе наказать за нарушения правил работы с персональными данными, которые установлены в трудовом законодательстве (например, если бухгалтер использует сведения сотрудника в незаконных целях или их утерял). Наказание - штраф от 1000 до 5000 руб., за повторное нарушение - штраф от 10 000 до 20 000 руб. или дисквалификация от одного года до трех лет (ч. 1, 2 ст. 5.27 КоАП РФ).
Срок давности для ответственности за персональные данные по трудовому законодательству - один год со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Кроме административной ответственности за нарушения в области обработки персональных данных могут привлечь к дисциплинарной, материальной и даже к уголовной ответственности.
Пример 2. Бухгалтер не предоставил сотруднику расчетный листок, справку, сведения о страховом стаже и другие документы, в которых есть персонифицированные сведения о человеке. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как сокрытие от человека его персональных данных и назначат штраф: на учреждение - от 20 000 до 40 000 руб., на бухгалтера - от 4000 до 6000 руб. (ч. 4 ст. 13.11 КоАП РФ).
Пример 3. Должностное лицо отказался принять к обработке новые паспортные данные человека, банковские реквизиты или другую изменяющую информацию - за такое нарушение инспекторы могут назначить штраф на учреждение - от 25 000 до 45 000 руб, а на должностное лицо - от 4000 до 10 000 руб.
Пример 4. Должностное лицо небрежно работает с документами, персональные сведения о сотруднике стали известны другим лицам из-за того, что он оставил на столе без присмотра или вынес с рабочего места справки, расчетные листки, другие документы с персональными данными или потерял эти документы. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как невыполнение требования человека уточнить, блокировать или уничтожить его персональные данные и назначат штраф: на учреждение - от 25 000 до 50 000 руб., а на бухгалтера - от 4000 до 10 000 руб. (ч. 6 ст. 13.11 КоАП РФ).
Пример 5. Должностное лицо передает имена, адреса, телефоны и другие данные сотрудников организациям, действующим в рекламных целях коллекторским агентствам или другим третьим лицам. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как обработку персональных данных, когда это не предусмотрено законами и не соответствуют целям сбора персональных данных и назначат штраф на учреждение - от 30 000 до 50 000 руб., а на бухгалтера - от 5000 до 10 000 руб. (ч. 1 ст. 13.11 КоАП РФ).
Материальная ответственность работника может наступить, если его нарушение привело к ущербу для учреждения (ст. 238 ТК РФ). К примеру, ответственный работник за обработку персональных данных распространил персональные данные сотрудников в сети Интернет, а те в свою очередь подали на работодателя в суд, который постановил: «выплатить пострадавшим работникам денежную компенсацию - 50 000 рублей каждому». В таком случае руководитель может привлечь как к ограниченной так и к полной материальной ответственности.
Самый страшный вид ответственности - это уголовная. Она может наступить за незаконные действия:
Этот вопрос решает каждый работодатель самостоятельно. Чиновниками утверждены меры по обеспечению безопасности персональных данных при их обработке (статья 19 Закона от 27 июля 2006 г. № 152-ФЗ и требованиях, установленных постановлением Правительства РФ от 1 ноября 2012 г. № 1119). Злоумышленники могут уничтожить, изменить, заблокировать, скопировать информацию, предоставить ее третьим лицам. Иногда несанкционированный доступ случайно получают люди, у которых нет дурных намерений. Но угрозу безопасности персональных данных это не исключает.
Примите меры, чтобы предотвратить несанкционированный доступ к персональным сведениям в базе данных.
1. Ограничьте доступ сотрудников к компьютерам.
2. Введите систему индивидуальных паролей. Их нужно периодически менять.
3. Храните диски и другие носители информации в запирающихся шкафах.
4. Закрепите процедуру защиты информации в положении.
Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия сотрудника (ст. 7 от 27 июля 2006 г. закона № 152-ФЗ). Чтобы не допустить утечки информации, создайте систему защиты. Порядок получения, обработки, передачи и хранения сведений установите в локальном акте, например в положении о работе с персональными данными сотрудников.
Положение утверждает руководитель учреждения. Ознакомьте сотрудников с положением под подпись (п. 8 ч. 1 ст. 86 ТК РФ). Руководитель определяет, кто будет отвечать за работу с персональными данными (ч. 5 ст. 88 ТК РФ). На практике такую работу поручают работникам отдела кадров, а в бухгалтерии - бухгалтеру по начислению зарплаты, так как они чаще всего имеют дело с персональными данными сотрудников.
Также не нужно получать согласие человека на обработку персональных данных в случаях, когда такая обработка предусмотрена законодательством. К таким случаям относится передача сведений в следующие органы:
В 2017 году с 1 июля увеличили штрафы за нарушение закона о персональных данных. Например, штраф за обработку персональных данных без согласия владельца составляет 75 тысяч рублей. Чем рискует компания, которая нарушает закон, и сколько ей придется заплатить.
Читайте в нашей статье:
По действующим правилам ответственность несет лицо, которое нарушает правила сбора, хранения, использования или распространения персональных данных. Максимальная сумма штрафа за нарушение требований закона о персональных данных составляет сейчас 75 тыс. руб. ( КоАП РФ).
1 июля 2017 года произошло повышение штрафов, которые Роскомнадзор начислит за нарушение требований о работе с персональными данными, в 2018 году действуют те же правила. Компанию привлекут к административной ответственности, если она обрабатывает персональные данные:
В качестве наказания могут вынести предупреждение или оштрафовать. Штраф за нарушение обработки о персональных данных составляет:
Есть исключения. Некоторые случаи могут подпадать под действие ч. 2 ст. 13.11 КоАП РФ. Также иное наказание предусмотрено за действия, в которых присутствует состав уголовного преступления.
Чтобы обезопасить себя от штрафа за персональные данные, нужно обрабатывать их только в заявленных целях и согласно ч. 1 ст. 3 закона о персональных данных.
В ряде случаев граждане должны согласиться на обработку своих данных. Нарушением считается, если компания использует персональные данные граждан без их письменного согласия. Также компанию накажут за несоблюдение требования закона к составу данных, которые необходимо перечислить в документе о согласии на обработку . Например, если компания не указала, каким третьим лицам будут доступны данные после того, как гражданин согласится на их обработку.
По правилам ч. 2 ст. 13.11 КоАП РФ штраф за использование и обработку персональных данных без согласия их владельца составляет:
Если у нарушения будут признаки уголовно наказуемого деяния, совершивший несет ответственность по ст. 137 или ст. 272 УК РФ.
Чтобы не возникло необходимости платить за обработку персональных данных штраф, нужно получать у граждан согласие на обработку персональных данных и соблюдать требования к списку сведений в документе о согласии.
Компания не опубликовала на интернет-ресурсе или иным образом не предоставила неограниченный доступ к документу, из которого граждане могут узнать о политике компании в отношении обработки персональных данных, либо к информации о том, как компания реализует требования к защите данных.
Согласно ч. 3 ст. 13.11 КоАП РФ за такое нарушение могут вынести предупреждение или назначить штраф. Штраф за такое нарушение составляет:
Чтобы предотвратить нарушение, компании нужно опубликовать у себя на сайте в общем доступе ссылки на документ о политике компании в отношении обработки данных и другие сведения о требованиях к защите данных.
Если компания не предоставила гражданину сведений о том, что касается обработки его данных, такое нарушение наказывают предупреждением или штрафом. Такие правила закрепили в ч. 4 ст. 13.11 КоАП РФ. В данном случае штраф за нарушение обработки персональных данных составляет:
Во избежание нарушения предоставляйте гражданам информацию по запросу в течение 30 дней (ч. 1 ст. 20 Закона о персональных данных).
Гражданин или его полномочный представитель потребовали уточнить персональные данные, блокировать их или уничтожить. Компания обязана сделать это, если данные утратили актуальность, оказались неполными или неточными, а также в случае незаконного получения или если они были собраны с целью, отличающейся от заявленной.
В ч. 5 ст. 13.11 КоАП РФ указано, что нарушение наказывается предупреждением или штрафом. Роскомнадзор начислит штраф за персональные данные по такому нарушению в сумме:
Если компания не хочет, чтобы ее оштрафовали, следует выполнить требования заявителя.
Компания не обеспечила сохранность носителей, на которые записаны персональные данные, и не создала условий, исключающих несанкционированный доступ. Это является нарушением по ч. 6 ст. 13.11 КоАП РФ. Норма касается случаев, когда:
В этом случае штраф за персональные данные начисляют в размере.
На портале правовой информации размещен подписанный Президентом РФ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», устанавливающий новые размеры штрафов за нарушение законодательства Российской Федерации в области персональных данных, которые вступят в силу с 1 июля 2017 года .
Положения Федерального закона уточняют основания для применения мер административной ответственности за нарушение законодательства Российской Федерации в области персональных данных с учётом изменений, внесённых в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Изменения вносятся в основном в статью 13.11, а также в статьи 28.3 и 28.4 КоАП РФ.
Итак, что же изменится в области персональных данных с 1 июля 2017 года. Новая редакция статьи 13.11 содержит теперь семь конкретных составов правонарушений и предусматривает соответствующие им штрафы с самым высоким из них – 75 тысяч рублей (для юридических лиц). В отличие от прошлой редакции ст.13.11, новая редакция статьи четко устанавливает случаи, за которые оператор ПДн может понести наказание. Например, по ст.13.11 можно было наказать за нарушение ФЗ №242, с новой редакцией сделать это будет невозможно, так же как и сложно будет наказать за отсутствие уведомления Роскомнадзора.
Тексты статьи 13.11 коротко представлены на рисунке ниже. Более развернутое описание — можно скачать в виде таблицы . А постатейный разбор приведен в статье.
Напомним, что изменения в ст.13.11 готовились еще с декабря 2014 года, но работа над ними была надолго заморожена законодателями. Самым существенным моментом ранней версии этого законопроекта был относительно большой (до 300 000 рублей) штраф за неправомерную обработку персональных данных специальных категорий, но в принятой версии этот текст был убран:
Обработка специальных категорий персональных данных , касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости в случаях, не предусмотренных законодательством Российской Федерации о персональных данных,
— влечет наложение административного штрафа на граждан от трех тысяч до пяти тысяч рублей; на должностных лиц — от десяти тысяч до двадцати пяти тысяч рублей; на индивидуальных предпринимателей — от пятидесяти тысяч до ста тысяч рублей; на юридических лиц — от ста пятидесяти тысяч до трехсот тысяч рублей .
Какие основные последствия принятия поправок? Их несколько:
Здравствуйте, дорогой коллега!
Если у вас есть сайт, то с 1-го июля вы можете попасть на штрафы до 300000 руб. просто за то, что не разметили нужную информацию.
В феврале 2017 года были внесены поправки в Федеральный закон 152 по поводу нарушений закона о персональных данных.
Поправки вступают в силу 1 июля 2017 года и коснутся всех, кто обрабатывает и хранит на сайте любые персональные данные.
Являетесь, если используете следующие инструменты:
Персональные данные - это любая информация о пользователе, по которой его можно идентифицировать.
Например, по имени и логину понять что за человек нельзя. А вот по логину и е-маилу уже можно. Также можно определить пользователя по установленному пикселю ретаргетинга на сайте.
Поэтому вы являетесь оператором персональных данных, если пользователи на вашем сайте оставляют в любом сочетании следующие данные:
Кроме этого нужно:
По закону операторы персональных данных должны уведомить Роскомнадзор, причем сделать это нужно до начала обработки данных или хотя бы до 1 июля 2017 г.
Уведомление можно не подавать если:
Штраф не зависит от вида нарушения. Для ИП или директора 1000 руб., для юр.лица - 10000 руб.
Выпиской штрафов занимается прокуратура. Процедура длительная, сумма не высокая, поэтому на этот счет не было особых переживаний.
7 видов нарушений, общий штраф до 295000 руб.
Выпиской штрафов занимается Роскомнадзор, решение принимается быстро.
Перед наложением штрафа Роскомнадзор присылает уведомление о нарушении и требование предоставить документы.
Как говорится, время покажет. Но на данный момент в Тамбовоской области и в Астрахани прокуратура идет просто по списку сайтов и штрафует за формы обратной связи.
Может быть им делать больше нечего, может нагнетают страха перед введением закона. Но так или иначе, лучше подготовиться.
Татьяна Гежа,
главный эксперт-консультант ООО «ТЛС-ПРАВО»
С 01.07.2017 существенно повысилась ответственность за нарушения при обработке персональных данных. Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» внес изменения в статью 13.11 КоАП РФ. Новая редакция содержит дифференцированную шкалу штрафных санкций, вводится семь новых составов правонарушений. К ответственности будут привлекаться не только организации, но и должностные лица. Помимо тех организаций, которые обрабатывают персональные данные физических лиц - клиентов, данные изменения безусловно касаются и всех работодателей, которые обрабатывают персональные данные своих работников. Мы рассмотрим некоторые ситуации из практики, за которые работодателя могут привлечь к ответственности.
Нужно ли брать согласие на обработку персональных данных при приеме на работу?
При заключении трудового договора в соответствии со ст. 65 ТК РФ работодатель получает от работника большой перечень персональных данных. К ним, в частности, относятся: данные документа, удостоверяющего личность, СНИЛС, трудовая книжка, данные об образовании, документы воинского учета и т. д. Все это персональные данные работника.
Так как работник выступает стороной трудового договора, получать согласие на обработку его персональных данных при заключении трудового договора не нужно (п. 5 ст. 6 Закона от 27.07.2006 № 152-ФЗ «О персональных данных».) Также на это указывает Роскомнадзор в своих Разъяснениях «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».
Имеет ли право работодатель, получив персональные данные работника при заключении трудового договора, хранить в личном деле копии паспортов, военных билетов, дипломов и т. д.?
Если кадровая служба хранит в личных делах сотрудников копии паспорта, военного билета, Роскомнадзор при проведении проверки, может привлечь работодателя к ответственности в соответствии с ч. 1 ст. 13.11 КоАП РФ за обработку избыточных персональных данных работника в случаях, не предусмотренных законодательством РФ в области персональных данных.
За это на юридическое лицо может быть возложен штраф в размере от 30 000 до 50 000 руб., а на должностное лицо - от 5 000 до 10 000 руб.
Данный вывод подтверждается судебной практикой (см. Постановление ФАС Северо-Кавказского округа от 21.04.2014 по делу № А53-13327/2013).
В данном Постановлении, в частности указано: «…суд апелляционной инстанции сделал правильный вывод о том, что для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом документа, удостоверяющего личность, в котором содержатся все необходимые сведения.
Хранение копий паспорта, страниц военного билета, свидетельства о заключении брака, свидетельства о рождении ребенка на рабочем месте превышает объем обрабатываемых персональных данных работника и действующим законодательством не предусмотрено, это нарушает права и свободы гражданина, снижает уровень прав и гарантий работника,
противоречит федеральному законодательству.
При проведении проверки… сделан правильный вывод о том, что «организация <…> производит обработку избыточных персональных данных, по сравнению с теми, которые определены к заявленным целям их обработки, что является нарушением ч. 5 ст. 5 Закона № 152-ФЗ».
Обязана ли организация, арендующая офис в здании, в котором действует пропускной режим, направляя сторонней организации персональные данные работников в целях выдачи им пропусков на проход в здание, получать от них разрешение на передачу таких данных третьим лицам?
В соответствии со ст. 88 ТК РФ работодатель не должен сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами.
В своем Письме от 13.05.2011 № 1302-6-1 Роструд разъясняет, что, если обработкой персональных данных работников занимается организация, не являющаяся стороной трудовых отношений, передача персональных данных работников данной организации для последующей обработки должна осуществляться с соблюдением ограничений, установленных ст. 88 ТК РФ.
Это означает, что для оформления пропусков организация обязана получать от работников разрешение на передачу их персональных данных третьему лицу - сторонней организации.
В противном случае к организации могут применить ч. 2 ст. 13.11 КоАП РФ: обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных <…> влечет наложение административного штрафа <…> на должностных лиц - от 10 000 до 20 000 руб.; на юридических лиц - от 15 000 до 75 000 руб.
Кадровый и бухгалтерский учет осуществляется сторонней организацией. Нужно ли брать согласие от работников на обработку их персональных данных?
В соответствии с Разъяснениями Роскомнадзора при привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Федерального закона «О персональных данных», в том числе получить согласие работников на передачу их персональных данных. В противном случае возможно привлечение к ответственности работодателя в соответствии с ч. 2 ст. 13.11 КоАП РФ.
Что необходимо указать в согласии на обработку персональных данных?
В соответствии с ч. 2 ст. 13.11 КоАП РФ работодателя могут привлечь к ответственности за обработку персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных.
Согласие сотрудника на обработку персональных данных должно быть оформлено письменно. Работодателю имеет смысл разработать и утвердить в качестве приложения к положению о персональных работников бланк согласия работника на обработку и передачу его персональных данных.
Требования к содержанию письменного согласия установлены ч. 4 ст. 9 Закона № 152-ФЗ «О персональных данных».
В согласии нужно указать:
Ф.И.О., адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе;
при получении согласия от представителя работника - его Ф.И.О., адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя;
наименование или Ф.И.О. и адрес работодателя;
цель обработки персональных данных;
перечень персональных данных, которые подлежат обработке;
Ф.И.О. и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации;
перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки;
срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия;
подпись работника.
Нужно ли разрабатывать положение о персональных данных работников?
В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов.
Работодатель должен определить политику организации в отношении обработки персональных данных, а также издать локальный акт, в котором будет установлен порядок обработки, хранения и защиты персональных данных работников (пп. 2 п. 1 ст. 18 Закона № 152-ФЗ «О персональных данных»).
Это означает, что работодатель должен издать локальный нормативный акт, в котором он пропишет весь порядок, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты.
С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под роспись.
Необходимость утверждения подобного документа подтверждается судебной практикой (см., например, Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06).
Примерная структура положения может быть такой:
1) «Общие положения» - в данном разделе следует указать, с какой целью принимается данное Положение и какие вопросы оно регулирует;
2) «Основные понятия. Состав персональных данных работников» - здесь следует указать, какие документы в организации содержат персональные данные;
3) «Обработка персональных данных» - в этом разделе следует указать, какие условия должны быть соблюдены при обработке персональных данных работника;
4) «Передача персональных данных» - здесь следует прописать порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам;
5) «Доступ к персональным данным» - в данном разделе должна содержаться информация о порядке доступа к персональным данным работников. Доступ делится на внутренний (предоставление персональных данных отдельным работникам организации) и внешний (передача персональных данных представителям других организаций и государственных органов);
6) «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных» - в данном разделе нужно указать, кто в организации несет ответственность за нарушение правил хранения и использования персональных данных.
Отсутствие разработанного в организации порядка хранения и использования персональных данных работников расценивается как нарушение требований ст. 87 ТК РФ и, соответственно, образует состав административного правонарушения, предусмотренного ст. 5.27 КоАП РФ. (см., например, Решение Верховного суда Республики Карелия от 11.04.2014 по делу № 21-153/2014).