Нарушили закон о персональных данных

С 2 декабря за нарушение требования о локализации персональных данных грозит штраф

Wavebreakmedia / Depositphotos.com

В ч. 5 ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» установлено требование о локализации персональных данных: при их сборе, в том числе посредством сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на ее территории (Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»).

Рассматриваемым законом установлена административная ответственность за невыполнение указанной обязанности. Соответствующими положениями дополнена статья 13.11 КоАП РФ («Нарушение законодательства Российской Федерации в области персональных данных»).

Так, с 2 декабря 2019 года за нарушение требования о локализации персональных данных грозит административный штраф. Для граждан он установлен в размере от 30 тыс. до 50 тыс. руб.; для должностных лиц – от 100 тыс. до 200 тыс. руб.; для юрлиц и лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, – от 1 млн до 6 млн руб. Повторное совершение данного правонарушения чревато штрафом гораздо большего размера.

Рассматриваемым законом внесен также ряд иных изменений в КоАП. В частности, установлены повышенные размеры административных штрафов за повторное совершение административных правонарушений в области связи и информации, предусмотренных ст. 13.31 КоАП РФ, 13.35 КоАП РФ, 13.36 КоАП РФ, 13.37 КоАП РФ, 13.39 КоАП РФ и 13.40 КоАП РФ.

Источник: http://www.garant.ru/news/1308049/

152 ФЗ — штрафы за нарушение закона О персональных данных

Штрафы за нарушение закона 152 ФЗ «О персональных данных» года существенно увеличены. С 1 июля вступила в законную силу новая редакция Закона. Самый высокий штраф – до 75 тыс. руб. установлен для юридических лиц. В новой редакции статьи 13.11 четко установлены случаи, за которые может быть наложен штраф.

Ваша компания попадает под действие Закона 152 ФЗ и сайт считается оператором по обработке персональных данных если на нем есть:

Обратная связь

• форма обратной связи
• заказ обратного звонка
• форма любой заявки

Продажи

• корзина
• оплата
• доставка

Пользователи

• Регистрация
• Авторизация
• Социальные сети

Email маркетинг

• Подписка на новости
• Авторизация
• Социальные сети

Ответственность за нарушение закона «О персональных данных»

Уголовная ответственность

Уголовный кодекс предостерегает от незаконного сбора или распространения сведений о частной жизни, составляющих личную или семейную тайну человека, без его согласия. Наказанием может стать штраф до 300 000 руб. и выше, принудительные работы, а также лишение свободы на срок до 4 лет.

Административная ответственность

Кодекс об административных правонарушениях даёт возможность оштрафовать физическое или должностное лицо, индивидуального предпринимателя или компанию за невыполнение 152-ФЗ на 10 000 руб. Штраф может быть наложен не только на компанию, но и на работника: руководителя или ответственного за организацию обработки персональных данных.

Также компания может быть оштрафована на сумму до 20 000 руб., если не выполнит в срок предписание Роскомнадзора или не ответит на его запрос.

Нарушения трудового законодательства, в том числе главы 14 Трудового кодекса, наказываются штрафом до 50 000 руб. Для компании может стать неприятной новостью, что не только Роскомнадзор, но и Трудовая инспекция интересуется тем, как она осуществляет обработку персональных данных.

Гражданско-правовая ответственность

Закон «О персональных данных» даёт физическим лицам право на возмещение морального и имущественного вреда, а также понесённых убытков. Размер возмещения будет определяться судом, и заранее он ничем не ограничен.

Подготовим Соглашение о защите персональных данных

Для наших клиентов мы предлагаем услугу подготовки текста Соглашения о конфиденциальности и Положения по обработке персональных данных. Эти документы проходят проверку юристом и соответствуют всем требованиям Закона 152 ФЗ. Вы можете обратиться в веб студию АВАНЗЕТ за подготовкой этих документов.

После этого необходима настройка всех форм обратной связи таким образом, чтобы пользователь, который отправляет письмо с любой формы на вашем сайте сначала познакомился с этими документами и поставил галочку в чек боксе, что он с ними знаком и только после этого он получит возможность отправить вам сообщение.

Мы уверены, что большинство наших клиентов — законопослушные люди, и поэтому мы хотим существенно облегчить соблюдение этого закона, чтобы помочь избежать штрафов. Напишите нам письмо и мы подготовим все необходимые документы и произведем нужные настройки на вашем сайте

Не ждите когда вас оштрафуют!

Закажите Соглашение о защите персональных данных прямо сейчас!

Размер штрафов за нарушение закона «О персональных данных»

Согласно новой редакции ст.13.11 КоАП РФ, нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:

• Частное лицо может получить предупреждение или штраф в размере от 1 тыс. до 3 тыс. руб.
• Должностное лицо заплатит от 5 тыс. до 10 тыс. руб.,
• Юридическое лицо — от 30 тыс. до 50 тыс. руб.

Обработка персональных данных без согласия гражданина приведет к наложению штрафа:

• в размере от 3 тыс. до 5 тыс. руб. для граждан,
• от 10 тыс. до 20 тыс. руб. — для должностных лиц
• от 15 тыс. до 75 тыс. руб. для юридических лиц.

В случае если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф.

• Для граждан он составит от 700 до 1500 руб.,
• для должностных лиц — от 3 тыс. до 6 тыс. руб.,
• для индивидуальных предпринимателей (ИП) — от 5 тыс. до 10 тыс. руб.,
• для юридических лиц — от 15 тыс. до 30 тыс. руб.

Самый лучший способ оградить себя и свою компанию от наложения штрафа и других видов ответственности — выполнить требования Закона 152 ФЗ «О персональных данных»! Заходите на сайт нашего партнера, регистрируйтесь и для вас будет подготовлен пакет документов, который необходим для выполнения всех требований Закона 152 ФЗ

Как не нарушить закон о персональных данных

Если на вашем сайте присутствует форма регистрации, то вам нужно уведомить Роскомнадзор и опубликовать политику конфиденциальности (политику защиты персональных данных). Без них вы будете нарушителем закона.

С 1 июля вступили в законную силу правки к п. 13.11 КоАП о нарушении в обработке персональных данными. За эти нарушения: сбор, хранение или обработка вы можете получить штраф до 75 000 руб. Роскомнадзор составил план для проверки компаний. Но не паникуйте: срочно идти к юристу не обязательно, всё не так страшно. Так что же нужно сделать?

Кого в первую очередь касается этот закон?

Закон о персональных данных касается операторов персональных данных: физических лиц и организации, которые собирают, хранят и обрабатывают персональные данные.

Оператором персональных данных может стать кто угодно. Даже если у вас личный сайт с формой регистрации, вам всё равно могут выписать штраф. Правда штрафы частным лицам не велики, компаниям значительно выше.

В законе нет четкого списка, что считать персональными данными. Правило такое: если по данным, что вы собираете, можно найти пользователя, сотрудника или клиента, это персональные данные. Например, если у вас есть имя, фамилия и электронная почта клиента, теоретически вы сможете найти его через поиск в Гугле.

Что относится к персональным данным:

• ФИО (фамилия, имя, отчество)
• домашний адрес
• личный телефон
• ваша электронная почта
• дата и место рождения
• ссылка на профиль в соцсети
• ваша профессия

Что же делать, без оформления документов никак? Конечно лучше обезопасить себя и оформить документы, тем более за это не нужно платить. Иначе есть только два варианта:

• убрать с сайта все формы регистрации, которые запрашивают данные посетителей;
• вместо классической формы регистрации поставить одно поле «Контактные данные» и надеяться, что Роскомнадзор не сможет понять, относятся эти данные к персональным или нет.

Один посетитель сайта напишет свое ФИО, другой — укажет телефон, третий — может обругать матом 🙂 Для вашего спокойствия лучше играть в эти игры с Роскомнадзором, рекомендуем сделать всё по установленным правилам.

Как правильно уведомить Роскомнадзор?

Уведомления следует подавать до момента начала обработки данных. Иначе, если форма регистрации или подписки на вашем сайте есть, но вы не уведомили об этом Роскомнадзор, то вы уже являетесь нарушителем закона. Но если отправите уведомление сейчас, то Роскомнадзор не будет штрафовать за прошлые месяцы или годы нарушения.

Но есть путь легче — это можно сделать через сервис Контура. Мы рекомендуем сделать это один рази больше не волноваться что вы не выполняете требования закона о защите персональных данных. Надеемся, что наша публикация была вам полена

Источник: http://a1z.ru/news/510-152-fz-shtrafy-za-narushenie-zakona-o-personalnykh-dannykh.html

Нарушения по персональным данным, за которые с 1 июля 2017 новые штрафы

В июле вступает в силу новая редакция ст. 13.11 КоАП РФ. Она предусматривает штрафы за нарушение Закона о персональных данных. Только теперь вместо одного состава нарушения с максимальным штрафом на организацию 10 тыс. рублей эта статья содержит семь составов нарушений с максимальным штрафом 75 тыс. рублей. Поэтому стоит понять, какие нарушения под какие части обновленной статьи подпадают. Узнать это поможет данная Актуальная тема. Она создана на основе анализа более 100 судебных решений по ст. 13.11 КоАП РФ, часть которых представлена в качестве примеров нарушений по новым частям этой статьи.

Использование номера телефона для рекламной рассылки

1) обработку персональных данных в случаях, не предусмотренных законодательством;

2) обработку, несовместимую с целями их сбора.

Санкции: предупреждение или штраф:

• на граждан – от 1 до 3 тыс. рублей;
• на должностных лиц – от 5 до 10 тыс. рублей;
• на юридических лиц – от 30 до 50 тыс. рублей

1. К обработке персональных данных в случаях, не предусмотренных законодательством, относятся, например, следующие ситуации.

1.1. Требование об указании сведений о родственниках в заявлении на получение кредита

Банк включил в заявление-анкету на предоставление кредита графы для указания персональных данных родственников: родителей, мужа/жены и совершеннолетних детей. С точки зрения банка он имеет право запрашивать у заемщика эти сведения, так как кредитные обязательства родственников могут повлиять на расчет кредита для него.

Однако это нарушает Закон № 152-ФЗ.

Родственники заемщика ни клиентами, ни заемщиками банка не являются, и кредитный договор с ними не заключается. Согласия на передачу и обработку своих персональных данных они банку также не давали. Поэтому возложение банком на заемщика обязанности указать информацию о них в заявлении-анкете является прямым нарушением ст. 6 Закона № 152-ФЗ, – решили Роскомнадзор и судьи (Постановление Арбитражного суда Уральского округа от 22.12.2016 № Ф09-10782/16, Постановление Самарского областного суда от 08.08.2016 № 4а-847/2016).

1.2. Предоставление персональных сведений о гражданах по адвокатскому запросу

Адвокат обратился в отдел УФМС с адвокатским запросом о выдаче адресной справки на гражданина для предоставления мировому судье. Чиновники отказали в этом, сославшись на Закон «О персональных данных».

Адвокат пожаловался на них в суд, но судьи решили, что миграционная служба была права, поскольку предоставление информации о персональных данных субъекта по адвокатскому запросу федеральным законодательством не предусмотрено.

Закрепленное же в Законе об адвокатуре право адвоката собирать сведения, необходимые для оказания юридической помощи, и обязанность соответствующего органа предоставить такую информацию, не распространяются на установленные законом конфиденциальные сведения (Определение Верховного Суда РФ от 12.05.2010 № 49-В10-5).

2. К обработке персданных, несовместимой с целями их сбора, относятся, например, следующие ситуации.

2.1. Использование телефонного номера для рассылки рекламных сообщений

Гражданин при оформлении кредита в банке подписал согласие на обработку своих персональных данных. В числе этих данных был указан номер мобильного телефона. Банк стал присылать на этот номер сообщения рекламного характера. В них говорилось о предварительном одобрении кредита на определенную сумму по определенной ставке и предлагалось получить его в отделении.

Прокуратура и суд признали данную рассылку обработкой персональных данных, несовместимой с целями сбора этих данных. Гражданин предоставил их банку в целях оформления кредита, а не для получения на свой номер телефона рекламных рассылок. Направление данных СМС-сообщений с предложением взять у банка кредит не имеет отношения к ранее заключенному кредитному договору с банком. Следовательно, направление банком этих сообщений являлось незаконным (Апелляционное определение Новосибирского областного суда от 02.04.2015 № 33-2662/2015).

2.2. Использование личных данных гражданина из одного дела для другого дела

Адвокат обратился в районный суд для ознакомлении с материалами гражданского дела о взыскании ущерба от затопления квартиры. Сфотографировал материалы, но полученную информацию, в том числе персональные данные гражданина-истца – паспортные данные, данные о месте работы и занимаемой должности, сведения о личной жизни и состоянии здоровья, – использовал не в интересах коллегии адвокатов, а в личных интересах по уголовному делу частного обвинения.

Суд решил, что адвокат нарушил Закон № 152-ФЗ, так как использовал полученные персданные на в тех целях, в которых он их получил (Постановление Тюменского областного суда от 20.07.2011 № 7-3-307/2011).

Можно привести пример, когда подозреваемое нарушение на самом деле не имеет места: компания хранит персональные данные уволенных сотрудников: Ф.И.О., пол, дату рождения, паспортные данные, адрес регистрации).

Тот факт, что люди уже уволены и не находятся с компанией в каких-либо договорных отношения, не означает, что она не имеет права хранить (то есть обрабатывать) их персональные данные. Ведь в силу ст. 17 Закона об архивном деле организации и ИП обязаны обеспечивать сохранность архивных документов, в том числе документов по личному составу, в течение сроков их хранения, установленных федеральными законами и иными нормативными правовыми актами. Поэтому в данной ситуации компания не нарушает Закон о персональных данных (Постановление Ярославского областного суда от 15.02.2013 № 4А-21/2013).

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС «Консультант Плюс»

Отсутствие доступа к политике сайта по работе с личными данными

Санкции: предупреждение или штраф:

• на граждан – от 700 до 1,5 тыс. рублей;
• на должностных лиц – от 3 до 6 тыс. рублей;
• на индивидуальных предпринимателей – от 5 до 10 тыс. рублей;
• на юридических лиц – от 15 до 30 тыс. рублей

К случаям невыполнения оператором названной обязанности относится, например, следующий.

К форме обратной связи не прикреплена ссылка на политику обработки персональных данных

На сайте организации размещена форма обратной связи, состоящая из трех элементов: «Ваше имя», «Тема сообщения», «Сообщение». Компания заблуждалась, полагая, что эти сведения не подпадают под персональные данные. Подпадают. Поэтому организация должна была опубликовать и обеспечить неограниченный доступ к документу, определяющему политику организации в отношении обработки персональных данных, а также к сведениям о реализуемых требованиях к защите персональных данных (Постановление Тамбовского областного суда от 04.10.2016 № 4А-288/2016).

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС «Консультант Плюс»

Отказ сообщить гражданину о правилах обработки его данных

Санкции: предупреждение или штраф:

• на граждан – от 1 до 2 тыс. рублей;
• на должностных лиц – от 4 до 6 тыс. рублей;
• на индивидуальных предпринимателей – от 10 до 5 тыс. рублей;
• на юридических лиц – от 20 до 40 тыс. рублей.

Под данный состав подпадает нарушение ч. 7 ст. 14 Закона № 152-ФЗ, согласно которой субъект персональных данных имеет право на получение следующей информации относительно обработки своих данных:

• подтверждение факта обработки;
• правовые основания и цели обработки;
• сроки обработки и хранения данных;
• цели и применяемые оператором способы обработки;
• наименование и место нахождения оператора;
• лица, которые имеют доступ к данным;
• обрабатываемые персональные данные, источник их получения;
• порядок осуществления гражданином прав, предусмотренных Законом № 152-ФЗ;
• информация о состоявшейся или предполагаемой трансграничной передаче данных;
• наименование или Ф.И.О. и адрес лица, осуществляющего обработку данных по поручению оператора;
• иные сведения, предусмотренные законом или другими федеральными законами.

Практики привлечения к ответственности за данное нарушение в рамках прежней редакции ст. 13.11 КоАП РФ не имеется.

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС «Консультант Плюс»

Отказ уточнить или удалить персональные данные

Санкции: предупреждение или штраф:

• на граждан – от 1 до 2 тыс. рублей;
• на должностных лиц – от 4 до 10 тыс. рублей;
• на индивидуальных предпринимателей, на должностных лиц – от 4 до 6 тыс. рублей;
• на юридических лиц – от 25 до 45 тыс. рублей.

К случаям невыполнения оператором названного требования относится, например, следующий.

Отказ закрыть доступ к интернет-базе с личными данными предпринимателей

В Управление Роскомнадзора поступило обращение индивидуального предпринимателя. Он жаловался на компанию, которая предоставляла любым юридическим и физическим лицам платные услуги по формированию для них выписок из ЕГРЮЛ и ЕГРИП. Выписки содержали персональные данные граждан – индивидуальных предпринимателей: Ф.И.О., дату и место рождения, гражданство, пол, регистрационные данные.

Роскомнадзор счел, что компания фактически является оператором, обрабатывающим персональные данные граждан без их на то согласия, и потребовал прекратить эту деятельность. Суд поддержал чиновников (Апелляционное определение Омского областного суда от 17.09.2014 № 33-5967/2014).

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС «Консультант Плюс»

Необеспечение сохранности данных, повлекшее доступ к ним

Анкеты с персональными данными хранятся в картонных коробках в шкафу без замка

Коллекторское бюро было уличено в том, что анкеты заемщиков (должников), содержащие персональные данные, и использование которых уже было завершено, в установленном порядке не были уничтожены. При этом они хранились в картонных коробках в шкафу без запирающего устройства.

За отсутствие актов об уничтожении использованных персональных данных и за то, что агентство не обеспечило ограничение доступа третьих лиц к указанным данным, был назначен штраф (Постановление Псковского областного суда от 14.07.2016 N 4А-103/2016).

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС «Консультант Плюс»

Оформление пропуска по паспорту – только с согласия его владельца

В соответствии с ч. 1 ст. 11 Закона «О персональных данных» обработка биометрических персональных данных в подобных случаях может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.

Исключением являются случаи, предусмотренные ч. 2 данной статьи: связанные с осуществлением правосудия и исполнением судебных актов, предусмотренные законодательством об обороне, безопасности, противодействии терроризму, транспортной безопасности, противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательстве, о порядке выезда из страны и въезда в нее.

В иных случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Закона «О персональных данных» не регулируются. Соответственно, обработка сведений в данных случаях осуществляется согласно общим требованиям, установленным данным законом.

Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность.

РАЗЪЯСНЕНИЯ Роскомнадзора
«О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»

Документ включен в СПС «Консультант Плюс»

Источник: http://www.klerk.ru/buh/articles/463475/

Новые штрафы в области персональных данных с 1 июля

Как многим известно, с 1 июля КоАП РФ пополнился новыми штрафами за «неправильную» обработку персональных данных («ПДн»).

В основном, внимание привлекает размер новых штрафов в статье 13.11 КоАП РФ. Если раньше с юр.лица могли потребовать до 10 тыс. руб. за нарушение, то теперь эта сумма увеличилась до 75 тыс. руб. Опасность создает и то, что штраф взыскивается за каждый случай нарушения, а, значит, компания может понести немалые потери при большом объеме работы с персональными данными, которая ведется юридически некорректно.

Неудивительно, что многие компании заинтересовались тем, касаются ли их нововведения и нужно ли им что-то предпринимать. Давайте разбираться.

Что такое персональные данные?

Формально ответ содержится в п. 1 ст. 3 ФЗ «О ПДн». Это:

«любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

Справедливости ради, нужно отметить, что текущая судебная практика в большей степени склоняется к ограничительному толкованию рассматриваемого понятия и стоят на той позиции, что ПДн – это лишь те данные, которые позволяют идентифицировать конкретного гражданина.

Однако это не значит, что случайно попавший к вам адрес электронной почты [email protected] не будет признаваться персональными данными.

Следовательно, даже собирая email ’ы через форму обратной связи на сайте, ваша компания может обрабатывать персональные данные.

Что такое обработка персональных данных и кто такой оператор?

Законодательство часто использует термин «обработка персональных данных».

Может сложиться впечатление, что речь идет о некой специфической деятельности. Однако это не так. Обработкой считается любое действие или операция с персональными данными, в том числе их хранение (п. 3 ст. 3 ФЗ «О ПДн»).

Оператор персональных данных – это тот, кто осуществляет их обработку. В ряде случаев оператор обязан уведомлять Роскомнадзор о начале обработки персональных данных, однако компания будет признаваться оператором даже без такого уведомления.

За какие ошибки можно поплатиться?

Итак, мы определились с понятиями. Теперь попробуем выяснить, за что и кого у нас будут штрафовать:

Ошибка № 1. Вы обрабатываете персональные данные без законных оснований (ч. 1 ст. 13.11 КоАП РФ)

Штраф: 50 000 ₽ (речь идет о максимальном штрафе для юридического лица).

Использовать чужие персональные данные нельзя просто так. Для этого нужно одно из оснований, перечисленных в ст. 6 ФЗ «О ПДн».

Самое банальное: получение согласия гражданина – субъекта персональных данных.

Но встречаются и другие основания. Например, обработка осуществляется в целях исполнения договора с субъектом персональных данных.

Проще говоря, либо нужно получить согласие на обработку персональных данных, либо убедиться, что закон разрешает вам такую обработку и без согласия гражданина.

Кстати, оператор должен заранее определять цели обработки ПДн и соблюдать их. Если вы выходите за пределы заявленных целей, то вас тоже ждет штраф до 50 тыс. рублей.

Кейс. Суды признали законным предписание Роскомнадзора, выданное в связи с тем, что коммунальная компания без согласия должников передавала сведения о них иной организации – расчетному центру (Постановление ФАС Уральского округа от 26.02.2014 № Ф09-73/14 по делу № А71-6910/2013).

Ошибка № 2. Вы не получили письменное согласие на обработку персональных данных (ч. 2 ст. 13.11 КоАП РФ)

Штраф: 75 000 ₽

В определенных случаях нужно получать письменное согласие на обработку персональных данных гражданина, которое составляется по определенной форме. Если письменное согласие не содержит всю информацию согласно перечню из ч. 4 ст. 9 ФЗ «О ПДн», то можно считать, что у вас его нет, и вы все равно будете нести ответственность.

Письменное согласие по специальной форме требуется, например:

• при обработке особых категорий «персональных данных» (речь идет о sensitivedata: сведениях о состоянии здоровья, интимной жизни, национальной принадлежности и т.д.);
• при обработке биометрических данных для установления личности гражданина (в том числе если речь идет об идентификации по фото);
• при передаче ПДн в страну, которая, по мнению Роскомнадзора, не обеспечивает их «адекватную защиту»* (например, в США, Гонконг или Швейцарию).

*В последнем пункте речь идет о странах, не являющихся участницами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не перечисленных в Приказе Роскомнадзора от 15.03.2013 № 274.

Кейс. Компания «Скартел» (бренд Yota ) осуществляла трансграничную передачу персональных данных в США без получения письменных согласий. Это послужило одним из оснований выдачи Роскомнадзором предписания об устранении нарушений законодательства, которое было признано судами законным (Постановление Девятого арбитражного апелляционного суда от 16.08.2016 по делу № А40-17595/16).

Ошибка № 3. Вы не опубликовали политику конфиденциальности (ч. 3 ст. 13.11 КоАП РФ)

Штраф: 30 000 ₽

Сведения о том, как вы защищаете чужие персональные данные и вообще какой политики придерживаетесь при их обработке, должны содержаться в специальном документе – политике конфиденциальности.

Этот документ предназначается и должен быть доступен для неограниченного круга лиц. Если Вы собираете данные через Интернет (в том числе через формы регистрации / опроса / подписки на новости), то политика конфиденциальности должна быть опубликована на вашем сайте.

Кейс. Юридическая компания опубликовала на сайте форму обратной связи, предусматривающую поля лишь для имени пользователя, темы сообщения и самого сообщения. Суд счел, что собираемые таким образом сведения могут относиться к ПДн, а, следовательно, на сайте должна быть опубликована политика конфиденциальности. Поскольку этого не было сделано, суд признал законным привлечение юридической фирмы к ответственности. Помимо прочего, суд отклонил довод о том, что отсутствие компании в реестре операторов персональных данных имеет значение для спора (Постановление Тамбовского областного суда от 04.10.2016 по делу № 4А-288/2016).

Ошибка № 4. Вы проигнорировали запрос гражданина о том, как обрабатываются его персональные данные (ч. 4 ст. 13.11 КоАП РФ)

Штраф: 40 000 ₽

Граждане вправе запрашивать информацию, касающиеся обработки их персональных данных. Например:

• на каком основании и для чего данные обрабатываются?
• кто имеет доступ к данным, кроме самого оператора и его работников?
• будут ли персональные данные передаваться за рубеж?

Если запрос содержит все необходимые реквизиты, подписан субъектом ПДн или его представителем («живой» или электронной подписью), то ответ на него, как правило, обязателен. Оператор вправе отказать в ответе, если в течение последних 30 дней уже дал достаточную информацию по такому же запросу.

Кейс. Заемщица обратилась в суд с требованием к микрофинансовой организации «Фреш кэш» предоставить информацию, касающуюся обработки ее персональных данных, предоставленных при заключении договора займа. Ответчик не смог представить суду доказательства о направлении ответа на данное требование, поэтому суд не только обязал МФО предоставить запрошенную информацию, но и взыскал символические 2000 ₽ морального вреда (Апелляционное определение Санкт-Петербургского городского суда от 18.04.2016 № 33-6906/2016 по делу № 2-8320/2015).

Ошибка № 5. Вы игнорируете требование об уточнении, блокировании или уничтожении персональных данных (ч. 5 ст. 13.11 КоАП РФ)

Штраф: 45 000 ₽

Ст. 21 ФЗ «О ПДн» устанавливает для операторов специальную процедуру того, что делать, если, по мнению субъекта персональных данных или Роскомнадзора, обработка ведется незаконно.

1. На период проверки обоснованности запроса персональные данные должны быть заблокированы.
2. Если ПДн будут окажутся неточными, то их нужно скорректировать в течение 7 рабочих дней после получения уточнений.
3. В течение 3 рабочих дней после получения соответствующего запроса неправомерная обработка ПДн должна быть прекращена оператором. Если обеспечить законные основания для обработки не удается в течение 10 рабочих дней, то данные должны быть уничтожены.

К слову, если цели обработки ПДн достигнуты оператором, то использование персональных данных нужно прекратить в течение 30 дней, уничтожив персональные данные. То же самое касается и случаев, когда согласие субъекта персональных данных было им отозвано. Обратите внимание, что последние два положения являются диспозитивными и могут изменяться условиями договора, заключенного с субъектом персональных данных.

Кейс. Компания «Скартел» (бренд Yota ) не уничтожала персональные данные, содержавшиеся в резюме кандидатов, в течение 30 дней после принятия решения о приеме на работу. Это послужило одним из поводов для выдачи предписания Роскомнадзором, которое было признано судами законным (Постановление Девятого арбитражного апелляционного суда от 16.08.2016 по делу № А40-17595/16).

Ошибка № 6. Вы не обеспечили сохранность / конфиденциальность при хранении материальных носителей персональных данных (ч. 6 ст. 13.11 КоАП РФ)

Штраф: 50 000 ₽

Речь идет о тех случаях, когда ПДн обрабатываются без использования вычислительной техники, что не исключает нарушения оператором условий в части безопасности материальных носителей персональных данных.

Под безопасностью, в данном случае, подразумеваются условия, при которых носители ПДн, во-первых, остаются в сохранности, а, во-вторых, исключают несанкционированный доступ со стороны третьих лиц.

В связи с этим следует обратить внимание на Постановление Правительства РФ от 15.09.2008 № 687, утверждающее «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Этим документом на операторов возлагаются такие обязанности, как:

• определения мест хранения ПДн и перечня лиц, имеющих к ним доступ;
• раздельное хранение ПДн, обрабатываемых в различных целях;
• самостоятельное определение мер по обеспечению безопасности и сохранности материальных носителей.

Административное наказание применяется в случаях наступления негативных последствий – таких, как неправомерный доступ третьих лиц к ПДн, уничтожение или распространение данных.

Кейс. Арбитражные суды Московского округа признали законным предписание Роскомнадзора, вынесенное «Почте России». Предписание было выдано в связи с нарушениями, допущенными отделениями в нескольких субъектах РФ, которые заключались в отсутствии мест хранения ПДн и отсутствии перечня лиц, обрабатывающих ПДн / имеющих к ним доступ (Постановление ФАС Московского округа от 11.10.2011 по делу № А40-129853/10-147-806).

Остается пожелать всем удачи и терпения в вопросе соблюдения законодательства о персональных данных!

Источник: http://regforum.ru/posts/3294_novye_shtrafy_v_oblasti_personalnyh_dannyh_s_1_iyulya/

Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных

Информация об изменениях:

Федеральным законом от 7 февраля 2017 г. N 13-ФЗ статья 13.11 настоящего Кодекса изложена в новой редакции, вступающей в силу с 1 июля 2017 г.

Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных

ГАРАНТ:

См. комментарии к статье 13.11 КоАП РФ

1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, —

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от тридцати тысяч до пятидесяти тысяч рублей.

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, —

влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от пятнадцати тысяч до семидесяти пяти тысяч рублей.

3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных —

влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц — от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от пятнадцати тысяч до тридцати тысяч рублей.

4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, —

5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, —

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до сорока пяти тысяч рублей.

6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния —

влечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до пятидесяти тысяч рублей.

7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных —

влечет предупреждение или наложение административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.

Информация об изменениях:

Статья 13.11 дополнена частью 8 с 2 декабря 2019 г. — Федеральный закон от 2 декабря 2019 г. N 405-ФЗ

8. Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, —

влечет наложение административного штрафа на граждан в размере от тридцати тысяч до пятидесяти тысяч рублей; на должностных лиц — от ста тысяч до двухсот тысяч рублей; на юридических лиц — от одного миллиона до шести миллионов рублей.

Информация об изменениях:

Статья 13.11 дополнена частью 9 с 2 декабря 2019 г. — Федеральный закон от 2 декабря 2019 г. N 405-ФЗ

9. Повторное совершение административного правонарушения, предусмотренного частью 8 настоящей статьи, —

влечет наложение административного штрафа на граждан в размере от пятидесяти тысяч до ста тысяч рублей; на должностных лиц — от пятисот тысяч до восьмисот тысяч рублей; на юридических лиц — от шести миллионов до восемнадцати миллионов рублей.

Информация об изменениях:

Статья 13.11 дополнена примечанием с 2 декабря 2019 г. — Федеральный закон от 2 декабря 2019 г. N 405-ФЗ

Примечание. За административные правонарушения, предусмотренные частями 8 и 9 настоящей статьи, статьями 13.31, 13.35 — 13.37, 13.39 и 13.40 настоящего Кодекса, лица, осуществляющие предпринимательскую деятельность без образования юридического лица, несут административную ответственность как юридические лица.

Источник: http://base.garant.ru/12125267/b369434ee740927935cc6f0a04242543/