Персональные данные с 1 июля 2018 года: ответственность

Содержание
  1. Персональные данные с 1 июля 2018 года: обработка, штрафы
  2. Обработка персональных данных с 1 июля 2018 года
  3. Примеры ошибок обработки персональных данных с 1 июля 2018 года
  4. Ответственность за персональные данные и их обработку с 1 июля 2017 года
  5. Как соблюдать закон о персональных данных 2017 года
  6. Правила безопасности при работе с персональными данными
  7. Персональные данные с 1 июля 2017 года: обработка, штрафы
  8. Что относится к персональным данным с 1 июля 2017 года
  9. Новые штрафы за персональные данные с 1 июля 2017 года
  10. Что изменить в обработке персональных данных с 1 июля 2017 года под новые требования
  11. Образец заявления-соглашения на использование персональных данных
  12. Ответственность за разглашение персональных данных
  13. Нарушили правила обработки личных сведений, предусмотренных положением об их защите
  14. Публичность политики и разглашение персональных данных: изменения 2017
  15. “Политики конфиденциальности” в ФЗ 152

Персональные данные с 1 июля 2018 года: обработка, штрафы

Персональные данные с 1 июля 2018 года: ответственность

Персональные данные — это любая информация, относящаяся к конкретному сотруднику. Например, Ф. И. О., дата и место рождения, место проживания и др.

Работодатель — организация или ИП — в этом случае выступает оператором данных, которые ему становятся известны о сотруднике, и обязан хранить такие сведения в соответствии с установленным порядком.

Личные данные работодателю сообщают только сами работники. После такие сведения, как правило, обобщаются в личных карточках или делах.

Если же персональные сведения можно получить от третьих лиц, то об этом следует уведомить работника и получить от него письменное согласие (п. 3 ч.

1 ст. 86 ТК РФ).

Работодатели не вправе получать и обрабатывать персональные данные, которые не относятся к трудовой деятельности, например сведения о личной или семейной жизни. А распространять и раскрывать персональные данные третьим лицам можно только с согласия работника (ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ).

С 1 июля 2018 года введены новые штрафы за нарушения требований обработки и защиты персональных данных. Поэтому следует навести порядок в документах и проинструктировать подчиненных, чтобы компания и лично главбух избежали штрафов.

Обработка персональных данных с 1 июля 2018 года

Основная задача работодателя — защита персональных данных сотрудников.

Порядок получения, обработки, передачи и хранения персональных данных должен быть закреплен в локальном акте организации, например в Положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ).

В организации должен быть официально назначен сотрудник, отвечающий за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Это может быть, например, работник отдела кадров.

Образец регламента допуска работников к обработке персональных данных

Организация должна принимать необходимые меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения. Меры безопасности при обработке персональных данных прописаны подробно в статье 19 закона № 152-ФЗ. Напомним о них.

Для обеспечения безопасности персональных необходимо своевременно определять угрозы безопасности при обработке, применять надежные средства защиты и оценивать эффективность защиты, принимать меры для предотвращения незаконного доступа к данным, установить правила доступа к данным, регистрировать и вести учет всех действий при работе с данными.

С 1 июля 2018 года расширен перечень оснований, по которым работодателя привлекут к административной ответственности, если выяснится, что нарушен порядок работы с данными. Изменения внес Федеральный закон от 07.02.2017 № 13-ФЗ. Расскажем о них подробнее.

Вместо одного вида административной ответственности, который был раньше. теперь статья 13.11 КоАП РФ предусматривает семь пунктов. Шесть из них касаются организаций и ИП. То есть за различные нарушения работодателей при работе с персональными данными можно будет применять разные штрафы.

Примеры ошибок обработки персональных данных с 1 июля 2018 года

Оставили документы с личными данными на столе. Штраф за это нарушение — 50 тыс. рублей на компанию, 10 тыс. рублей на главбуха (ч. 6 ст. 13.11 КоАП РФ). Оставлять документы работников на всеобщее обозрение нельзя. Информацией о сотруднике могут воспользоваться посторонние.

Надо разработать порядок работы с персональной информацией. Например, запретить оставлять на столе бумаги с личными данными и выносить их за пределы кабинета. А документы хранить в сейфе или шкафу, где доступ к ним будет ограничен.

Не выдали работнику документы с его данными. Сокрытие от человека его персональных данных — тоже нарушние. Штраф — 50 тыс. рублей на компанию, 5 тыс. рублей на главбуха (ст. 5.27 КоАП РФ).

Выдавайте работникам расчетные листки. Для этого теперь даже не надо тратиться на бумагу.

Можно разослать листки на электронную почту либо сообщением на корпоративном сайте вашей организации.

Сведения о стаже выдавайте в течение 5 календарных дней с момента, когда за ними обратится работник, а также в день увольнения.

Не обновили старые данные. Штраф составит 45 тыс. рублей на компанию, 10 тыс. рублей — на главбуха (ч. 5 ст. 13.11 КоАП РФ).

Данные работника могут меняться, поэтому их надо обновлять по просьбе сотрудника. Например, сотрудница вышла замуж и сменила фамилию, адрес или реквизиты счета.

Если компания не обновит информацию, то нарушит правила работы с данными.

Сразу вносите новые сведения в базу, если сотрудник принес документы. Так вам будет проще заполнять отчетность.

Разместили информацию на стенде. Штраф — 75 тыс. рублей на компанию, 20 тыс. рублей на главбуха (ч. 2 ст. 13.11 КоАП РФ). Личные данные можно раскрыть и случайно.

Например, главбух разместил на стенде копию заявления сотрудника на имущественный вычет как образец. В документе личные реквизиты, поэтому это нарушение. Сотрудник не давал согласие, чтобы информация о нем стала общедоступной.

Размещать информацию нельзя и на доске позора. Для этого необходимо запросить согласие работника.

Не разглашайте сведения о сотрудниках без согласия. Если нужно вывесить образец, используйте вымышленные сведения.

Передали имя, адрес или номер телефона сотрудника. Цена нарушения — 50 тыс. рублей на компанию, 10 тыс. рублей на главбуха (ч. 1 ст. 13.11 КоАП РФ).

Информацию о сотрудниках запрещено передавать третьей стороне без согласия, например банкам или коллекторским агентствам.

Чтобы передать информацию, запросите согласие работника.

Передавать информацию о сотруднике по просьбе другой организации или физика можно, только если работник выдал им доверенность на получение сведений.

Согласие работника на обработку данных не требуется только в случаях, которые предусмотрены законом.

Например, если работник покупает что-то у компании и хочет получить на почту или телефон электронный чек (письмо Минкомсвязи России от 07.07.2017 № П11-15054-ОГ).

Есть вопрос? Наши эксперты помогут за 24 часа! Получить ответ Новое

Источник: http://calypsocompany.ru/nalogi-i-vyplaty/personalnye-dannye-s-1-iyulya-2018-goda-obrabotka-shtrafy

Ответственность за персональные данные и их обработку с 1 июля 2017 года

С 1 июля 2017 года усилена административная ответственность за нарушение законодательства в области персональных данных и их обработку.

ВНИМАНИЕ!

В настоящее время проверочные действия в Интернет госструктурами ведутся очень активно, штрафы значительные и исчисляются суммарно по каждому нарушению.

Настоятельно рекомендуем Вам связаться с нами: воспользоваться нашими консультациями и составить необходимую документацию, что позволит соблюсти все требования Закона и избежать больших штрафов.

Внимательно изучите данную статью или воспользуйтесь нашими услугами по проведению всех необходимых мероприятий. 

Федеральный закон от 07.02.2017 N 13-ФЗ “О внесении изменений в Кодекс Российской Федерации об административных правонарушениях”

С этой целью новой редакцией статьи 13.11 КоАП РФ расширен перечень составов правонарушений, а также увеличены размеры штрафов.

Так, в частности, установлена административная ответственность за:

– обработку персональных данных в случаях, не предусмотренных законодательством в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния (повлечет предупреждение или наложение штрафа на граждан в размере от 1000 рублей до 3000 рублей, на должностных лиц – от 5000 рублей до 10000 рублей, на юридических лиц – от 30000 рублей до 50000 рублей);

– обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством, если эти действия не содержат уголовно наказуемого деяния, либо обработку персональных данных с нарушением установленных законодательством в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных;

– невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных;

– невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.

Составление протоколов по административным делам данной категории отнесено к компетенции должностных лиц Роскомнадзора (ранее дела данной категории возбуждались прокурором).

В прежней редакции статьи 13.

11 КоАП РФ была установлена ответственность лишь за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), которая предусматривала предупреждение или наложение штрафа на граждан в размере от 300 рублей до 500 рублей, на должностных лиц – от 500 рублей до 1000 рублей, на юридических лиц – от 5000 рублей до 10000 рублей.

Как соблюдать закон о персональных данных 2017 года

Вниманию сайтовладельцев! С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей (за одно обнаруженное нарушение).

У вас на сайте есть контактная форма?

Значит, скорее всего это касается и вас. Прокуратуры уже штрафуют компании и суды их поддерживают. Помимо штрафов в пользу государства за нарушение правил обработки персональных данных может быть также взыскана компенсация морального вреда и определена иная ответственность.

Правила безопасности при работе с персональными данными

В феврале 2017 года внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных, которые вступят в силу 1 июля. Нововведения коснутся всех, кто получает, собирает, обрабатывает или хранит персональные данные.

Штрафы увеличены в десятки раз и разделены по видам нарушений. Так, если на сайте не размещена политика конфиденциальности, то штраф для ИП составит 10 тысяч рублей, а для компании — 30 тысяч.

До 75 тысяч рублей составит штраф для юрлица, если посредством сайта обрабатываются персональные данные клиента интернет-магазина или подписчика на информационный ресурс без его согласия (директор компании или ИП должен будет заплатить до 20 тысяч).

И т.д. Если будет зафиксировано несколько нарушений, штрафов будет тоже несколько.

Что делать? Срочно привести сайты в порядок! Проверки уже начались

Сейчас протоколы о нарушениях имеет право выписывать только прокуратура, и размер штрафа вне зависимости от вида нарушения составляет для юрлица 10 тысяч рублей, а для ИП или директора — 1000 рублей. С 1 июля уже в соответствии с более высокими ставками и, по всей видимости более рьяно, выписывать протоколы будет Роскомнадзор.

Как узнать, являетесь ли вы тем самым оператором персональных данных?

Персональные данные согласно Федеральному закону «О персональных данных» — это любые данные о человеке, по которым его можно идентифицировать. При этом в законе не содержится перечня типов таких данных, поэтому приходится исходить из общей логики закона и практики, и «дуть на воду».

К примеру, по имени пользователя или логину нельзя понять, что это за человек, то по имени и телефону или ФИО и электронной почте уже можно некоторым образом идентифицировать человека, а значит получение подобного сочетания уже может определяться как сбор и хранение персональных данных.

Итак, скорее всего, вы уже являетесь оператором персональных данных, если каким-то образом получаете от людей, к примеру, следующую информацию (в любом сочетании): фамилию, имя, отчество, какой-либо физический адрес, электронную почту, номер телефона, дату или место рождения, фото, ссылку на персональный сайт или соцсети, профессию, образование, уровень доходов, семейное положение и т.д.

https://www.youtube.com/watch?v=kc6u-dFK4j4

На практике это означает, что все владельцы сайтов, которые содержат личные кабинеты, формы обратной связи, подписки или регистрации, анкеты и т.д.

, одним словом заполняемые формы, где посетитель должен оставить свои данные — это операторы персональных данных.

Даже если на сайте есть лишь популярные нынче кнопки заказа обратного звонка (пользователь оставляет имя и номер телефона) или отправки сообщения (имя и электронный адрес) — это тоже может быть квалифицировано как обработка персональных данных.

А записи в моей телефонной книжке тоже считаются сбором и хранением персональных данных?

Нет. На данные, которые вы храните для личных и семейных нужд, данный закон не распространяется. Но если вы передадите эти данные лицу или организации, которая согласно данному закону является оператором персональных данных или опубликуете сведения, это будет считаться нарушением.

Как работать с персональными данными, не нарушая закон?

Как минимум необходимо выполнить и соблюдать 10 нижеследующих правил:

  • публиковать в открытом доступе всю информацию о ваших принципах взаимодействия и работы с персональными данными клиентов и посетителей вашего предприятия или ресурса;
  • запрашивать только те данные, которые нужны для каждой конкретной цели. Например, нельзя запрашивать паспортные данные или домашний адрес для осуществления рассылки по электронной почте;
  • перед получением персональных данных, которые предполагается публиковать в общедоступных источниках, получать письменное согласие у каждого посетителя, клиента или подписчика на их обработку, хранение и распространение. В случае, если данные не публикуются, а используются исключительно для обработки внутри компании, необходимо явным образом ограничить возможность передачи вам персональных данных без согласия на их обработку;
  • использовать данные только для тех целей, о которых вы предупредили человека и которые указаны в опубликованных вами документах, касающихся работы с персональными данными;
  • сообщать по запросу человека, какие у вас есть данные о нём, как и для чего они обрабатываются и кому вы их передавали;
  • удалять данные по первому требованию лица, персональные данные которого хранятся в вашей базе;
  • хранить базы данных в надёжном месте, защищать их от взлома и утечки (требования определены законодательством!);
  • назначить лицо, ответственное за обеспечение безопасности персональных данных и соблюдения определённых ФЗ N152 правил работы с персональными данными;
  • обучить сотрудников работе с персональными данными;
  • зарегистрироваться в Роскомнадзоре.

Согласно Закону обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Законе, возлагается на оператора.

Почему владелец сайта должен регистрироваться?

По закону операторы персональных данных должны уведомить Роскомнадзор. Причем сделать это нужно до начала обработки данных или вскоре после начала осуществления данной деятельности. Роскомнадзор внесёт информацию об операторе в Реестр операторов персональных данных.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и не будут распространяться и использоваться никак иначе;
  • у вас хранятся только ФИО клиента;
  • данные опубликованы в общем доступе самим человеком или кем либо по его поручению.

Что делать, если ваш сайт содержит формы и позволяет получать персональные данные?

Если ваш сайт даёт возможность получать персональные данные и вы до сих пор не выполнили перечисленные выше условия, то уже сейчас может быть зафиксировано нарушение и уже сейчас вас могут оштрафовать.

Даже в том случае, если ваш сайт обслуживается другой компанией или специалистом на аутсорсинге, штраф будет выписан на компанию или ИП, которые указаны на сайте в качестве владельца и, следовательно, получателя персональных данных.

Как избежать возможных проблем (необходимая программа-минимум):1) Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны с любой страницы вашего сайта.

Это может быть уведомление, пользовательское соглашение, правила продажи или политика в отношении обработки персональных данных.

Как бы не назывался этот документ, он должен содержать правила и условия обработки персональных данных.

2) Не используйте документы других компаний без обработки. Их можно использовать в качестве шаблона, но список данных и цели использования персональных данных необходимо прописать свои.

То, что требуется типографии для оформления заказа или интернет-магазину для доставки товара, не понадобится для e-mail рассылки.

Запрос излишних данных может быть расценен как нарушение закона и стать поводом для штрафа.

3) Реализуйте программное решение, которое гарантирует однозначное установление того, что человек согласился на обработку персональных данных.

Это может быть чек-бокс в форме регистрации, в котором необходимо поставить галочку, или кнопка согласия с условиями использования, без активации которых человек не сможет отправить сообщение или оформить заказ.

Для подстраховки можно заверить у нотариуса распечатанные скриншоты веб-страниц с формами, прокомментировав их сопроводительным текстом (к примеру, «на момент заверения указанные на данной распечатке кнопки работали согласно описанному в преамбуле функционалу и без их активации пересылка данных была технически невозможна»).

4) Подготовьте внутренние документы, регламентирующие правила хранения и обработки персональных данных, и ответственности сотрудников, которые имеют к ним доступ.

5) Отправьте, если сайт подпадает под требования Закона, уведомление в Роскомнадзор. Если стопроцентно уверены, что отправка уведомления не требуется, оформите всю документацию так, чтобы это было явно понятно и возможным проверяющим.

Например, можно указать в политике работы с персональными данными, что они используются только для исполнения конкретных договоров, или зафиксировать в документации, что данные открыты для общего доступа по желанию пользователя (но помните, что доказывание этого факта Закон возлагает на оператора).

Настоятельно рекомендуем Вам связаться с нами: воспользоваться нашими консультациями и составить необходимую документацию, что позволит соблюсти все требования Закона.

Источник: http://Advokatorium.com/index.php/ru/knowledge/otvetstvennost_za_personalnye_dannye_2017_goda

Персональные данные с 1 июля 2017 года: обработка, штрафы

С 1 июля 2017 года применяются новые штрафы за нарушение обработки и хранения персональных данных.

Все это влечет за собой пересмотр политики компаний и ИП в отношении защиты данных сотрудников. Давайте рассмотрим внимательно новые требования, что относится к персональным данным, как их хранить с 1 июля 2017 года.

Что относится к персональным данным с 1 июля 2017 года

Прежде чем начать разговор о новых штрафах за неправильную обработку и хранение персональных данных с 1 июля 2017 года, нужно сначала определить, что относится к этим персональным данным.

Персональные данные – это личная информация о сотруднике, имеющая отношения к его частной или рабочей жизни. К ним относятся:

  • ФИО;
  • паспортные данные;
  • адрес, прописка;
  • данные о семье;
  • справка о состоянии здоровья;
  • страховые документы;
  • военный билет;
  • дипломы об образовании;
  • сведения о трудовой биографии.

Важно! Нельзя брать у сотрудника данные, не относящиеся к его работе и не влияющие на его трудовые обязанности, зарплату, выплаты, пособия и т. Д.  Имеются в виду: национальность, религиозная принадлежность, политические предпочтения и пр.

Новые штрафы за персональные данные с 1 июля 2017 года

Согласно ст.13.11 Федерального закона  №13-ФЗ от 7 февраля 2017 года за нарушение обработки и использования персональных данных с 1 июля 2017 года налагаются новые  штрафы, рассмотрим их поближе:

Противоречащая закону обработка ПД или вы делаете это с целью,  идущей в разрез с законодательством (то есть теперь передача данных сторонней компании для  распространения рекламы карается очень строго) 1000-3000 5000 -10 000 30 000 – 50 000 30 000 –50 000
Если вы обрабатываете ПД человека, не взяв предварительно с него согласие на это 3000 – 5000 10 000 –20 000 15 000 –75 000 15 000 –75 000
Не проинформировали о своей политике по использованию и обработке ПД 700 – 1500 3000 – 6000 5000 –10 000 15 000 –30 000
Не проинформировали человека о том, как вы собираетесь обрабатывать его ПД или дали ему информации о его ПД 1000 – 2000 4000 – 6000 10 000 –15 000 20 000 –40 000
Пропустили срок, оговоренного субъектом, по уточнению,  блокировке, либо уничтожению его ПД 1000 – 2000 4000 –10 000 10 000 – 20 000 25 000 –45 000
Если вы не имеете автоматизированной системы по хранению и защите ПД, и это привело к опубликованию ПД, уничтожению, блокировке, копированию, изменению и пр. незаконным операциям 700 – 2000 4000 –  10 000 10 000 – 20 000 25 000 –50 000

Внимание! За обработку персональных данных без согласия на то, самого человека, помимо штрафа предусмотрена также уголовная ответственность.

Поэтому не забывайте брать с сотрудников  заявление, в котором они дают свое разрешение на обработку данных, на предоставление этих данных банку, налоговой и иным заинтересованным организациям, оговаривают срок хранения информации и подтверждают, что ознакомлены с целью сбора данных.

Что изменить в обработке персональных данных с 1 июля 2017 года под новые требования

Для того чтобы вас с 1 июля 2017 года не оштрафовали за то, что вы обрабатываете, распространяете, изменяете и т.д. персональные данные ваших сотрудников, нужно взять с них письменное заявление, что они согласны на эти действия.

Утвержденного образца заявления пока нет, пишется оно в свободной форме. При этом ориентируясь на ч.4 ст.9 ФЗ №152-ФЗ от 27.07.2006, оно должно включать в себя следующие данные:

  • ФИО, адрес работника;
  • серию, номер паспорта, где и кем выдан;
  • перечень персональных данных и причина, по которой дается согласие;
  • манипуляции, которые работник разрешает производить со своими данными;
  • срок действия соглашения;
  • дата, подпись, расшифровка.

Скачать бланк-образец соглашения на использование своих персональных данных>>> 

Образец заявления-соглашения на использование персональных данных

Источник: https://www.RNK.ru/article/215582-personalnye-dannye-1-iyulya-2017

Ответственность за разглашение персональных данных

Ответственность за разглашение персональных данных ложится на плечи работодателя. С середины текущего года в действии новая редакция КоАП.

Она вводит ряд самостоятельный видов нарушений Закона № 152 ФЗ “О персональных данных”, а также значительно увеличиваются размеры штрафов.

Новые положения закона о разглашении персональных данных значительно расширяют не только сферу его воздействия, но также конкретизируют виды наказания.

Ответственность за не соответствующие действия с персональными данными также прописаны в КоАП. В нашей статье мы подробно остановимся на всех нарушениях и опишем пути их избежания.

1 июля 2017 года вступит в силу новая редакция ст. 13.11 КоАП. Ст. 2 Федерального закона от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Что в связи с этим изменится:

СЕЙЧАС С 1 ИЮЛЯ
ЗА ЧТО МОГУТ НАКАЗАТЬ Одно нарушение — «установленного законом порядка сбора, хранения, использования или распространения данных» (ч. 1 ст. 13.11 КоАП) Шесть самостоятельных нарушений
НА СКОЛЬКО МОГУТ НАКАЗАТЬ Минимум предупреждение, максимум штраф 10 тыс. руб. Штраф: минимум 3 тыс. руб., максимум 75 тыс. руб.
КТО МОЖЕТ НАКАЗАТЬ Прокурор Должностное лицо Роскомнадзора

Сейчас за любое нарушение работы с личными данными грозит ответственность по ч. 1 ст. 13.11 КоАП. В том числе ответственность за разглашение. Максимальный штраф для компании — 10 тыс. руб., должностного лица — 1 тыс. руб.

Прочитайте полезные статьи по теме:

С 1 июля 2017 г. появится шесть самостоятельных оснований привлечь к ответственности за нарушения в работе с такой информацией.

Вас и компанию могут наказать, если:

  1. Нарушили правила обработки личной информации.
  2. Не получили письменные согласия сотрудников, когда этого требует законодательство.
  3. Не опубликовали документ, который определяет политику в области персданных или сведения по их защите.
  4. Не предоставили сотруднику информацию об обработке его личных сведений.
  5. Не уточнили, не заблокировали или не уничтожили персданные по требованию сотрудника.
  6. Нарушили правила хранения таких сведений — если это привело к несанкционированному доступу и неправомерным действиям.

Посмотрите видео по теме:

Наказания за эти нарушения будут различаться. Самое «дорогое» — обработка сведений без согласия работника. За это компанию могут оштрафовать на 75 тыс. руб. «Дешевле» всего — в 3 тыс.

руб. — обойдется необеспечение неограниченного доступа к документу, который определяет политику вашей компании по обработке персданных. Это минимальный размер штрафа для должностного лица.

Рассмотрим каждое из новых оснований ответственности за нарушения федерального закона о персданных. А также разберем, что сделать, чтобы этой ответственности избежать.

Нарушили правила обработки личных сведений, предусмотренных положением об их защите

За что и как накажут. К административной ответственности привлекут, если:

  • обрабатываете личные сведения в не предусмотренных законом случаях;
  • цель обработки несовместима с целями их сбора.
КОГО НАКАЖУТ КАК НАКАЖУТ, ЕСЛИ ДЕЙСТВИЯ НЕ СОДЕРЖАТ УГОЛОВНО НАКАЗУЕМОГО ДЕЯНИЯ НА КАКОМ ОСНОВАНИИ
Должностное лицо Предупреждение или штраф от 5 тыс. до 10 тыс. руб. Часть 1 ст. 13.11 КоАП
Организация Предупреждение или штраф от 30 тыс. до 50 тыс. руб.

Прочитайте полезные статьи по теме:

и объем сведений, которыми Вы обрабатываете, должны соответствовать заявленным целям сбора (ч. 5 ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ).

Вы можете обрабатывать личные сведения сотрудников, чтобы (п. 1 ст. 86 ТК):

  • соблюдать требования законодательства;
  • содействовать сотрудникам в трудоустройстве, получении образования и др.;
  • обеспечить личную безопасность персонала;
  • контролировать количество и качество выполняемой работы;
  • сохранить имущество.

Вы обрабатываете персданные, если совершаете с ними любое действие, в т. ч.:

  • собираете,
  • записываете,
  • систематизируете,
  • накапливаете,
  • храните,
  • уточняете,
  • извлекаете,
  • используете,
  • разглашаете,
  • обезличиваете,
  • блокируете,
  • удаляете,
  • уничтожаете.

При этом передача сведений означает разглашение персональных данных или предоставление доступа к ним (п. 3 ст. 3 152-ФЗ). Разглашение персональных данных допускается только в установленных случаях.

Прочитайте полезные статьи по теме:

  • Персональные данные работников: состав и требования к обработке

За что и как накажут. К ответственности привлекут, если:

  • обработали сведения без письменного согласия сотрудника, когда такое требование предусмотрено законодательством;
  • в согласии на обработку нет установленных сведений.
КОГО НАКАЖУТ КАК НАКАЖУТ, ЕСЛИ ДЕЙСТВИЯ НЕ СОДЕРЖАТ УГОЛОВНО НАКАЗУЕМОГО ДЕЯНИЯ НА КАКОМ ОСНОВАНИИ
Должностное лицо Штраф от 10 тыс. до 20 тыс. руб. Часть 2 ст. 13.11 КоАП
Организация Штраф от 15 тыс. до 75 тыс. руб.

Что учесть в работе. Если возникнет спор, придется доказывать, что сотрудник дал согласие на обработку (ч. 3 ст. 9 152-ФЗ). Обрабатывать такие сведения работников вы можете с их письменного согласия (п. 1 ч. 1 ст. 6 152-ФЗ).

Пример

Вы не можете собирать, хранить, распространять и использовать любую информацию о частной жизни. В т. ч.

сведения о происхождении, месте пребывания или жительства, личной и семейной жизни, без согласия работника (п. 4 ст. 86 ТК, п. 1 ч. 2 ст. 10 152-ФЗ).

Даже если сведения такого характера появились в Вашем распоряжении распространение персональных данных незаконно.

Однако есть исключительные случаи, когда вы не должны получать согласие на разглашение данных. Такие случаи перечислены в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 152-ФЗ, абз. 2 ст. 88 ТК.

Пример

Без согласия работников медорганизация вправе размещать в общедоступном месте и публиковать на сайте данные:

  • о врачах,
  • об уровне их образования и квалификации (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, п. 7 ч. 1 ст. 79 Закона от 21.11.2011 № 323-ФЗ).

Прочитайте полезные статьи по теме:

  • Персональные данные сотрудников в информационных системах

Требования к составу сведений в письменном согласии на обработку личных сведений устанавливает ч. 4 ст. 9 Закона № 152-ФЗ. Учитывайте эти требования и в случае, когда письменное согласие получать не обязательно, но вы решили его запросить.

Согласие на обработку персданных (приложение) включает:

  • фамилию, имя, отчество, адрес работника;
  • наименование работодателя;
  • цель обработки личной информации;
  • перечень личных сведений, на обработку которых он дает согласие;
  • перечень действий с личными данными, на совершение которых работник дает согласие;
  • описание используемых вами способов обработки полученных сведений;
  • срок, в течение которого действует согласие, а также способ его отзыва.

Сотрудник может подписать согласие лично на бумаге либо поставить электронную подпись на электронном документе (ч. 4 ст. 9 Закона № 152-ФЗ).

Публичность политики и разглашение персональных данных: изменения 2017

За что и как накажут. К ответственности привлекут, если не обеспечите свободный доступ:

  • к документу, который определяет политику в отношении обработки личных сведений;
  • сведениям о реализуемых требованиях к защите информации.
КОГО НАКАЖУТ КАК НАКАЖУТ НА КАКОМ ОСНОВАНИИ
Должностное лицо Предупреждение или штраф от 3 тыс. до 6 тыс. руб. Часть 3 ст. 13.11 КоАП
Организация Предупреждение или штраф от 15 тыс. до 30 тыс руб.

Прочитайте полезные статьи по теме:

  • Персональные данные работников: особенности обработки

Что учесть в работе. В компании должны быть:

  • документы, которые определяют политику в отношении обработки личной информации;
  • сведения о реализуемых требованиях к их защите.

Эти документы нужно утвердить и опубликовать на сайте или предоставить к ним свободный доступ (ч. 2 ст. 18.1 152-ФЗ).

“Политики конфиденциальности” в ФЗ 152

Как правило, документ, который определяет политику в отношении обработки личных сведений, называют «Политика конфиденциальности». Этот документ касается данных персональных любых лиц и содержит разделы:

  • обращение к субъектам персданных;
  • личные данные, которые собирает и обрабатывает оператор;
  • цели сбора и обработки;
  • условия их обработки;
  • условия при разглашении данных: кому, в каких целях и на каких условиях;
  • общую характеристику мер защиты;
  • права субъектов;
  • порядок изменения политики.

Сведения или меры по защите сведений можете закрепить в отдельном локальном акте. Если храните и обрабатываете персданные в электронных информационных системах, то локальный акт должен соответствовать требованиям нормативных актов:

  • постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

Источник: https://m.pro-personal.ru/article/1097365-17-m6-razglashenie-personalnyh-dannyh

Бухгалтерия
Добавить комментарий