Новое в обработке персональных данных

Содержание
  1. Изменения в законе о персональных данных
  2. Что было?
  3. Что будет?
  4. 1
  5. 2
  6. 3
  7. 4
  8. 5
  9. 6
  10. Что делать?
  11. Обработка персональных данных в 2018: как избежать штрафа
  12. Персональные данные: штрафы 
  13. Как понять, являетесь ли вы оператором персональных данных?
  14. Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора  
  15. Случаи, когда уведомление Роскомнадзора не требуется
  16. В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?
  17. Когда для обработки персональных данных не нужно согласие субъекта персональных данных?
  18. Портал персональных данных — что это такое?
  19. Новое в работе с персональными данными
  20. Выложите на сайт компании Политику о персональных данных
  21. Скорректируйте Политику по рекомендациям Роскомнадзора
  22. Не берите у сотрудника универсальное согласие на обработку персданных
  23. Заготовьте шаблоны согласия на обработку персданных
  24. Не передавайте третьим лицам персданные работника без его письменного согласия
  25. Обяжите работников писать заявления, если они хотят, чтобы вы передали их персданные
  26. Оставьте в личных делах документы, по которым не достигли цели обработки персданных
  27. Нововведения в законодательстве о персональных данных — и как это касается бизнеса
  28. Для начала следует разобраться: а что вообще подразумевается под персональными данными
  29. Итак, рассмотрим детально, о чём речь
  30. И здесь нельзя обойти стороной GDPR, вступивший в силу и сильно нашумевший в 2018 году
  31. Конечно, это всё разговоры о штрафах в других частях мира — Европе, США — и речь о гражданах этих стран
  32. В целях минимизации риска применения санкций в России всем бизнес-проектам в первую очередь рекомендуется выяснить — отвечает ли документация сайта и организации требованиям законодательства о персональных данных

Изменения в законе о персональных данных

Новое в обработке персональных данных

С 1 июля вступают в силу изменения в закон № 152-ФЗ «О персональных данных». Что было, что стало и что теперь делать владельцам сайтов – разбираемся далее.

Что было?

Операторов персональных данных

Из закона: “Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.”

То есть оператором персональных данных может быть частное лицо, индивидуальный предприниматель или организация, которая обрабатывает персональные данные. Например, через форму заявки на своем сайте собирает имя, фамилию, номер телефона или почту.

Штрафовали за неправильную обработку персональных данных

Из закона: “Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.”

То есть обработка персональных данных – это, например, собор номеров телефонов и адресов электронных почт в форме заявки на вашем лендинге.

Что будет?

С 1 июля 2017 году увеличивается размер штрафов. Оштрафуют за:

1

Обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных.

Например, взяли электронную почту для исполнения договора, а отправляем email-рассылки.

Сколько штраф?

  • До 3 000 рублей для физических лиц
  • До 50 000 рублей для юридических лиц

2

Обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных.

Например, проведение онлайн-скоринга данных пользователя (IP, cookie и аккаунтов в социальных сетях) без согласия на обработку персональных данных.

Сколько штраф?

  • До 5 000 рублей для физических лиц
  • До 75 000 рублей для юридических лиц

3

Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных

Например, на сайте не размещена политика конфиденциальности.

Сколько штраф?

  • До 1 500 рублей для физических лиц
  • До 30 000 рублей для юридических лиц

4

Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.

Например, посетитель сайта спрашивает об обработке и защите его персональных данных, а ему не отвечают.

Сколько штраф?

  • До 2 000 рублей для физических лиц
  • До 40 000 рублей для юридических лиц

5

Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки

Например, посетитель сайта просит удалить его персональные данные, но этого не происходит.

Сколько штраф?

  • До 2 000 рублей для физических лиц
  • До 40 000 рублей для юридических лиц

6

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния.

Например, нет списка лиц допущенных к обработке персональных данных.

Сколько штраф?

  • До 2 000 рублей для физических лиц
  • До 50 000 рублей для юридических лиц

Полная информация о штрафах за неправильную обработку персональных данных в статье 13.11 Кодекса об административных правонарушениях.

Что делать?

Требований к владельцам сайтов большой список.

То, что нужно сделать в первую очередь:

  • Убедиться, что серверы, на которых хранится информация, размещены на территории России.

Все лендинги, размещенные на доменах Платформы LP хранятся на российских серверах. Адрес дата-центра: Москва, ул. Берзарина, д. 36, стр. 3.

  • Утвердить политику конфиденциальности – политику в отношении обработки персональных данных, и разместить её на сайте – обычно ссылку на документ дают в футере. А также указать почту, куда посетитель может задать вопрос о персональных данных, и обратиться, если хочет удалить или заблокировать свои персональные данные.

Политика конфиденциальности Платформы LP

  • Под каждой формой на лендинге, где пользователь оставляет свои данные, разместить текст о согласии пользователя на обработку его персональных данных со ссылкой на документ. Согласие можно оформить как отдельный документ – список обязательных пунктов в ч.4 ст. 9 закона 152-ФЗ «О персональных данных»

О том, как разместить согласие на обработку персональных данных в форме Платформы

  • Если вы собираете метаданные пользователей (cookie, данные об IP-адресе и местоположении), предупреждайте пользователей о том, что вы делаете это в целях поддержания функционирования сайта. Предупреждение должно содержать следующую пометку: если пользователь не хочет, чтобы его данные обрабатывались, он должен покинуть сайт.
  • Подать уведомление на сайте Роскомнадзора и внести организацию в реестр операторов персональных данных. Форма уведомления здесь. Список тех, кому можно не подавать заявку в 22 статье закона № 152-ФЗ «О персональных данных»

Полный список требований в тексте закона № 152-ФЗ «О персональных данных»

Источник: https://platformalp.ru/blog/zakon-izmeneniyah-personalnyh-dannih/

Обработка персональных данных в 2018: как избежать штрафа

Новое в обработке персональных данных

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы 

ОснованиеРазмер штрафа
ФизлицаДолжностные лицаЮрлицаИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДнпредупреждение или штраф — от 1000 до 3000 руб. предупреждение или штраф — от 5000 до 10 000 руб.предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб.от 10 000 до 20 000 руб.от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДнот 700 до 1500 руб.от 3000 до 6000 руб.от 15 000 до 30 000 руб. от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработкепредупреждение или штраф — от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 6000 руб.предупреждение или штраф — от 20 000 до 40 000 руб.предупреждение или штраф — от 10 000 до 15 000 руб. 
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)предупреждение или наложение штрафа в размере от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 10 000 руб.предупреждение или штраф — от 25 000 до 45 000 руб.  предупреждение или штраф — от 10 000 до 20 000 руб. 
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копированияот 700 до 2000 руб.от 4000 до 10 000 руб.от 25 000 до 50 000 руб.от 10 000 до 20 000 руб. 
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДнпредупреждение или наложение административного штрафа — от 3000 до 6000 руб. 

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:  

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?  

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данныелюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данныхлюбое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан. 

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора  

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально.

 На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.         

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ): 

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.

1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft.

 Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда.

 За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн. 

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;  
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!  

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

5 базовых принципов закона о персональных данных, о которых нужно знать

Как подготовиться к плановой проверке ФСБ по персональным данным?

Проверка Роскомнадзора: как подготовиться и избежать штрафов 

Источник: https://kontur.ru/articles/4816

Новое в работе с персональными данными

Новое в обработке персональных данных

Две новости: хорошая и плохая. Плохая: появятся два новых штрафа за нарушения в работе с персональными данными. Подробнее об этих изменениях узнаете чуть ниже. 

Если в личном деле сотрудника, других документах и папках будете хранить данные, которые уже обработали и которые больше не требуются, компанию оштрафуют на 50 тыс. руб., ч. 1 ст. 13.11 КоАП.

Персональные данные не должны быть избыточными по отношению к заявленным целям их обработки, ч. 5 ст. 5 Закона № 152-ФЗ.

Как только вы выполнили необходимые действия и процедуры, оформили кадровые документы, предоставили сотруднику гарантии и компенсации и т. д., персональные данные больше не нужны.

Копии документов верните сотруднику или уничтожьте.

Хорошая новость — мы разработали способы, как организовать работу с персданными так, чтобы было удобно вам и безопасно для компании. Как облегчить себе работу — узнаете из статьи.

Выложите на сайт компании Политику о персональных данных

Опубликуйте или иным образом обеспечьте неограниченный доступ к документу, который определяет политику компании в отношении обработки персональных данных, ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ. Политика в области обработки персональных данных — обязательный документ для каждого работодателя.

Вы не можете сократить количество локальных актов и утвердить только Положение о порядке обработки и защите персональных данных. Если у вас нет Политики либо она есть, но вы не опубликовали ее на сайте или другим способом не обеспечили к ней свободный доступ, компании придется платить штраф до 30 тыс. руб., ч. 3 ст. 13.11 КоАП.

Компания должна утвердить Положение о защите персональных данных и другие локальные акты, установить в них порядок обработки персональных сведений, права и обязанности сотрудников в этой области, п. 8 ст. 86 ТК. Но эти локальные акты не заменят Политику, выбрать один из документов не получится.

Если у вас нет Политики, как можно скорее утвердите документ. За образец возьмите наше Положение о политике компании в отношении обработки персональных данных.

Если у вас есть Политика, убедитесь, что редакция документа актуальная и он доступен по ссылке на официальном сайте компании.

https://onedrive.live.com/embed?cid=D76A71F883094701&resid=D76A71F883094701%2115380&authkey=AHv0Omdec79Q70s&em=2&wdAr=1.3333333333333333

Скорректируйте Политику по рекомендациям Роскомнадзора

Чтобы избежать претензий к содержанию Политики, приведите ее в соответствие с рекомендациями Роскомнадзора.

Убедитесь, что в документе есть необходимая информация, даже если вы указали ее в других разделах. Если сведений не хватает, дополните Политику и не забудьте разместить новую редакцию на сайте.

Если содержание вашей Политики сильно отличается по составу сведений от рекомендованного Роскомнадзором, советуем утвердить новый документ и заменить старую версию на сайте.

Работодателя, который без согласия работника передаст его персональные данные третьим лицам, будут штрафовать на сумму от 20 тыс. до 40 тыс. рублей. Депутаты предлагают выделить это нарушение в отдельный состав. Утверждают, что «это повысит эффективность защиты прав работников».Напомним, что сейчас за разглашение без согласия работника его персданных третьим лицам, компанию могут оштрафовать на сумму от 15 тыс. до 75 тыс. рублей, но по ч. 2 ст. 13.11 КоАП.Второй новый штраф грозит тем, кто хранит персональные данные сотрудников в зарубежных базах данных. Должностное лицо за это заплатит от 10 тыс. до 20 тыс. рублей, компания – от 15 тыс. до 75 тыс. рублей. Собирать, хранить, уточнять и т.д. персональные данные работодатели должны с использованием баз данных, которые находятся на территории России, ч. 5 ст. 18 Закона от 27.07.2006 № 152–ФЗ о персданных. Это требование появилось еще три года назад – 1 сентября 2015 года. Теперь депутаты обнаружили, что ответственности за нарушение данного требования до сих пор нет, и решили дополнить ст. 13.11 новой частью с максимальным штрафом в 75 тыс. рублей.Проект закона с поправками в КоАП уже прошел общественное обсуждение и антикоррупционную экспертизу

Не берите у сотрудника универсальное согласие на обработку персданных

Не тратьте зря время и не берите при приеме на работу у сотрудника универсальное согласие на обработку персональных данных, которое будет действовать вплоть до увольнения.

Письменное согласие должно быть «конкретным, информированным и сознательным», п. 1 ст. 9 Закона № 152-ФЗ.

Универсальное согласие, которое вы берете «на все случаи жизни», этим требованиям не соответствует, а значит, можно считать, что согласие работника вы не получили.

Если вы обработали персональную информацию без письменного согласия сотрудника, когда оно требовалось, должностное лицо оштрафуют от 10 до 20 тыс. руб., а компанию — от 15 до 75 тыс., ч. 2 ст. 13.11. КоАП.

Компания вправе обрабатывать персданные только с письменного согласия сотрудника, ч. 4 ст. 9 Закона № 152-ФЗ. Обойтись без этого документа можно в случаях, которые называет закон. В других ситуациях запрашивайте у сотрудника отдельное письменное согласие.

Получите без письменного согласия работника его персональные данные у третьих лиц, тоже нарушите закон. По общему правилу персональные данные работника можно получить только у него самого. Если хотите взять сведения о работнике, например, в образовательном учреждении, на прежнем месте работы, заручитесь письменным согласием.

Заготовьте шаблоны согласия на обработку персданных

Чтобы избежать ошибок и экономить время, не составляйте каждый раз заново согласие на обработку персданных. Заготовьте шаблон и дополняйте его новыми данными по ситуации.

Возьмете у работника письменное согласие, а в документе не окажется обязательных сведений, компанию оштрафуют на 75 тыс. руб., ч. 2 ст. 13.11 КоАП.

В письменном согласии на обработку персональных данных укажите, ч. 4 ст. 9 Закона № 152-ФЗ.

  • фамилию, имя, отчество, адрес сотрудника;
  • реквизиты паспорта или иного документа, удостоверяющего его личность, в том числе сведения о дате выдачи документа и выдавшем его органе;
  • наименование и адрес вашей компании;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дает согласие сотрудник;
  • перечень действий с персональными данными, на совершение которых сотрудник дает согласие;
  • способы обработки персданных, которые используете;
  • срок, в течение которого действует согласие сотрудника, и как его можно отозвать.

Проследите, чтобы эта информация была в шаблоне, а затем и в каждом письменном согласии сотрудника.

Согласие на обработку персданных сотрудник должен подписать лично или поставить электронную подпись на электронном документе, ч. 4 ст. 9 Федерального закона № 152-ФЗ.

Сотрудник может в любое время отозвать согласие на обработку персональных данных. Сообщите сотрудникам об этой возможности.

Чтобы они не отвлекали вас каждый раз от работы с вопросом, что писать в таком документе, приложите шаблон письменного отзыва к Положению о защите персональных данных.

Чтобы получить данные сотрудника у третьих лиц, направьте ему письменное уведомление. В документе сообщите, с какой целью, откуда и как собираетесь получать его персональные данные, а также укажите последствия, если сотрудник не даст письменного согласия, п. 3 ч. 1 ст. 86 ТК. Сохраните шаблон уведомления, чтобы каждый раз не составлять его заново.

Не передавайте третьим лицам персданные работника без его письменного согласия

Если сотрудник устно попросит вас передать третьему лицу информацию, которая содержит его персданные, не делайте этого.

Вы не вправе передать третьим лицам персданные сотрудника или бывшего работника без их письменного согласия. Устной просьбы в этой ситуации недостаточно.

Такое нарушение проверяющие расценят как обработку данных без письменного согласия сотрудника и оштрафуют от 15 до 75 тыс. руб., ч. 2 ст. 13.11. КоАП.

Сотрудник или бывший работник может указать компанию в перечне рекомендателей, поручителей и других лиц, которые могут предоставить информацию.

Однако даже если работник вас об этом попросит лично, не сообщайте сведения о нем, пока не принесет письменное заявление.

Прежде чем направить сведения о сотруднике третьим лицам, убедитесь, что они имеют право получить эту информацию, а сотрудник письменно просит, чтобы вы ее передали.

Обяжите работников писать заявления, если они хотят, чтобы вы передали их персданные

Чтобы избежать штрафа за незаконную передачу персданных, объясните работникам, что сведения об их работе, зарплате и т. д. вы сообщите третьим лицам только по письменному заявлению.

Оптимизируйте процесс: приложите шаблон такого заявления к Положению о защите персданных.

Бывшим работникам объясните, что они должны лично прийти в отдел кадров или прислать заявление по почте.

Если письменного заявления сотрудника нет, а вы получаете от третьих лиц устный запрос или письменную просьбу предоставить персональные сведения, не отвечайте по существу.

Уточните, кто и с какой целью хочет получить персональные данные вашего нынешнего или бывшего сотрудника. После сообщите сотруднику, что о нем пытаются получить сведения, и спросите, дает ли он согласие на это.

Советуем оформить письменное уведомление.

Если сотрудник даст письменное согласие, передавайте конфиденциальные данные третьему лицу.

Когда будете передавать персональные данные сотрудника, сообщите получателю о статусе сведений и обязанности использовать персональные данные только в законных целях.

Если сотрудник откажется передавать сведения о себе третьим лицам, пусть напишет отказ на запрос.

Оставьте в личных делах документы, по которым не достигли цели обработки персданных

Храните персональные данные, пока не достигли цели их обработки. Вы не можете подшивать в личные дела все личные документы и копии, даже если получили их от работника.

Снимайте и заверяйте копии только для определенных целей. Когда достигнете цели, уничтожьте копию документа.

Источник: https://cokps.ru/2018/09/20/novoe-v-rabote-s-personalnymi-dannymi/

Нововведения в законодательстве о персональных данных — и как это касается бизнеса

Новое в обработке персональных данных

В настоящее время персональные данные используются во многих сферах жизни людей и в совершенно различных целях.

Начиная от информации в социальных сетях для коммуникации с друзьями, коллегами и заканчивая банковскими реквизитами при покупке товаров, будь то в интернете или в супермаркете.

Согласно исследованиям, проведённым в 2019 году, в социальных сетях зарегистрировано порядка 3,48 миллиарда пользователей.

При этом обычный человек совсем не интересуется, куда попадают его данные и что с ними происходит дальше.

При покупке товаров человек просто прикладывает телефон или банковскую карту к платёжному терминалу и забирает купленные продукты, размышляя лишь о способах их потребления. Однако кое-кто об этом задумывается, поэтому был внесён законопроект с беспрецедентными для России размерами штрафов за нарушения в сфере персональных данных.

Для начала следует разобраться: а что вообще подразумевается под персональными данными

Закон нам чётко говорит, что это «любая информация, которая прямо или косвенно относится к определённому или определяемому человеку». Однако когда читаешь такое пояснение в первый раз, создаётся впечатление, что это какая угодно информация о людях, начиная с номера телефона и заканчивая цветом волос.

Поэтому данный вопрос порождает массу дискуссионных моментов, множественность мнений и является остро обсуждаемым уже довольно давно. При этом ни одна государственная инстанция не может предоставить исчерпывающего списка сведений о человеке, относящихся к персональным данным.

Если же обратиться к позициям судов, то в состав персональных данных можно внести несколько достаточно очевидных пунктов: ФИО человека, его паспортные данные, адрес проживания, иная информация из пенсионного дела и/ или трудового договора. При этом ИНН человека или логин на каком-нибудь сайте не являются персональными данными, ведь по этим наборам чисел и символов нельзя понять, что это за человек, какого он возраста, пола.

Однако если на аватарке человека есть его фотография или при регистрации он укажет электронную почту, в названии которой будет его ФИО, а в доменном имени — название компании, где он работает, то суммарно эта информация также будет признаваться персональными данными.

Итак, рассмотрим детально, о чём речь

В середине июня 2019 года был опубликован законопроект, который вводит новые штрафы за нарушения в сфере персональных данных, и если сейчас максимальный штраф в сети интернет достигает 75 тысяч ₽ для юридических лиц (ст. 13.11 КоАП РФ), то новый законопроект вводит максимальный штраф в той же статье закона до 18 млн ₽.

Также существенно повышается штраф и за незаконную обработку персональных данных граждан РФ. А в связи с тем, что под обработкой понимается любое действие с персональными данными, то бизнесу необходимо разрабатывать документацию, соответствующую требованиям законодательства для контроля и урегулирования вопросов использования персональных данных.

Однако большинство бизнес-проектов на свою голову относятся пренебрежительно к этому вопросу, не уделяя должного внимания правовым механизмам, регламентирующим использование личной информации, например, при обработке сведений пользователей своих сайтов.

Обсуждаемый законопроект, значительно увеличивающий штрафы, призывает компании быть внимательнее при обработке персональных данных и в обязательном порядке предусматривать ряд превентивных мер, минимизируя спектр рисков, связанных с наложением штрафов за нарушения в сфере персональных данных.

Предполагаю, что разработчики этого законопроекта руководствовались и вдохновлялись международной практикой решения тех же вопросов.

И здесь нельзя обойти стороной GDPR, вступивший в силу и сильно нашумевший в 2018 году

Он увеличивает штрафы за нарушение правил обработки персональных данных до 20 млн € (~1,4 млрд ₽) или 4% годового дохода компании, тем самым усиливая и ужесточая ответственность за такие правонарушения.

В связи с тем, что данный документ имеет экстерриториальное действие, то он применяется ко всем компаниям, обрабатывающим персональные данные граждан Европейского союза, независимо от резидентства или местонахождения такой компании.

Но что же происходит на практике? Так в ноябре 2018 года в Германии был вынесен штраф чат-приложению для знакомств Knuddels за утечку логинов и паролей порядка 330 000 пользователей продукта. За это правовой регулятор Германии, руководствуясь именно положениями GDPR, вынес штраф в размере 20 тысяч € (~1,4 млн ₽).

Британский правовой регулятор также не дремлет и привлёк к ответственности Equifax — кредитное бюро, являющееся одним из трёх крупнейших кредитных агентств в США наряду с Experian и TransUnion, на 550 тысяч € (~39 млн ₽) за нарушения, касающиеся персональных данных 146 миллионов клиентов компании.

В ходе расследования было установлено, что британский филиал Equifax “failed to take appropriate steps” (не предпринял надлежащих шагов) для защиты данных граждан, добавив, что многочисленные сбои в компании привели к тому, что личная информация сохранялась дольше, чем необходимо для целей её обработки, и была совершенно открыта для доступа иных лиц. Британский регулятор также отдельно подчеркнул, что меры для защиты и управления личной информацией были “inadequate and ineffective” (неадекватными и неэффективными).

Безусловно, для российского бизнеса, а особенно для молодых бизнес-проектов прочтение фактов о штрафах таких размеров за утечку или ненадлежащую обработку персональных данных людей поражают и удивляют, однако история знает цифры совсем другого порядка, которые действительно способны впечатлить.

Так, в начале 2019 года GDPR постучал в дверь Google, а именно правовой регулятор Франции, с комментарием, что при использовании смартфонов на платформе Android цели обработки описаны “in a too generic and vague manner” (слишком обобщённо и расплывчато), как и категории данных, обрабатываемых для этих разных целей.

Аналогично передаваемая информация недостаточно ясна, чтобы пользователь мог понять, что правовой основой обработки операций для персонализации рекламы является согласие, а не законный интерес компании. В результате разбирательства Google был оштрафован на 50 млн € (~3,5 млрд ₽) за нарушение положений GDPR по мнению Национальной комиссии по делам информационных технологий и правам человека Франции.

В сентябре 2018 года социальная сеть была взломана, и злоумышленники похитили персональные данные примерно 50-ти миллионов пользователей. В результате проведения расследования европейскими правовыми регуляторами вина социальной сети была установлена, и в настоящий момент ведётся утверждение штрафа в размере 5 млрд $ (~очень много рублей).

Конечно, это всё разговоры о штрафах в других частях мира — Европе, США — и речь о гражданах этих стран

Но есть ощущение, что, вводя этот законопроект об увеличении штрафов в сфере персональных данных до 18 млн ₽, законотворцы в России решили «сделать свой GDPR» со своими историческими максимумами по штрафам.

Россия — это страна, в которой штрафы за нарушения в сфере персональных данных всегда были достаточно низкими, ведь только в 2017 году их максимальная отметка достигла 75 тысяч ₽, ранее было ещё меньше, и это происходит на фоне штрафа Uber на 148 млн $ (~9,3 млрд ₽) в 2016 году — такой контраст действительно поражает и заставляет задуматься.

Мы не можем отрицать, что сегодняшние технологии, гаджеты очень плотно вошли в мир современного человека и в зону его коммуникаций. Настолько плотно, что учёные и психологи совершенно серьёзно выделяют новый вид фобии — номофобию (страх отсутствия мобильного телефона).

А ведь взаимодействие человека с мобильным телефоном, планшетом или ноутбуком неизбежно приводит к предоставлению его персональных данных компаниям-владельцам используемых устройств, мобильных приложений, сайтов.

Бесспорно, это в значительной мере изменяет степень общественной опасности правонарушений в сфере персональных данных, и, конечно же, динамично изменяющиеся условия требуют адекватной реакции и корректировки законов в целях предупреждения противоправных действий в сфере персональных данных. Но остаётся лишь найти ответ на один вопрос — штраф в 18 миллионов — это адекватная реакция?

В целях минимизации риска применения санкций в России всем бизнес-проектам в первую очередь рекомендуется выяснить — отвечает ли документация сайта и организации требованиям законодательства о персональных данных

Закон говорит нам, что при обработке персональных данных организация обязана принимать необходимые правовые, организационные и технические меры для защиты личных сведений пользователей от незаконного или случайного доступа к ним и от иных неправомерных действий в отношении персональных данных.

В частности, под правовыми мерами подразумевается документальное оформление условий обработки персональных данных на сайте в виде пользовательского соглашения, политики обработки персональных данных и cookie policy, а за пределами онлайн-пространства — в виде локальных нормативных актов, то есть внутренней документации организации, касающейся персональных данных.

Организационные и технические меры связаны с работой сайта и с использованием средств защиты информации на нём.

Речь идёт о целом постановлении Правительства РФ, которое содержит объёмный список требований к защите персональных данных при их обработке с целью обеспечения необходимого уровня безопасности личных сведений граждан РФ.

Сведения каждого пользователя должны быть защищены надлежащим образом от третьих лиц, при этом важно своевременное информирование пользователя об использовании его персональных данных в тех или иных целях.

Данные блоки мер для защиты персональных данных пользователей закрепляют спектр императивных норм, обязательных для исполнения, поэтому выполнение таких требований существенно снижает вероятность назначения штрафа. В целом в положениях нет избыточности, все действия действительно важны и работают на защиту как личной информации пользователей сайта, так и интересов организации.

Согласно отчёту Роскомнадзора, в 2018 году было проведено 832 плановые проверки, при этом нарушения были выявлены в 80% случаев от общего числа проведённых проверок. Внеплановых проверок проведено всего 49, а нарушения были выявлены в 33% случаев.

Высокий процент выявления нарушений при плановых проверках говорит лишь о том, что на практике большинство организаций просто не знают, как в рамках требований законодательства управлять персональными данными, которые они обрабатывают.

За весь 2018 год органами Роскомнадзора было составлено и направлено в суды 156 протоколов об административных правонарушениях в отношении персональных данных за такие нарушения:

Как вы видите, превалирующее большинство протоколов об административных нарушениях были вынесены по ч. 1 ст. 13.11 КоАПа РФ, то есть, например, за обработку персональных данных без получения согласия, либо обработку, которая несовместима с целями сбора персональных данных.

И если в 2018 году эти штрафы составляли максимум 50 тысяч ₽, то обсуждаемый законопроект увеличивает их до 18 млн ₽, поэтому если вы думали о закрытии рисков, связанных с персональными данными, но откладывали решение вопроса на потом, то сейчас самое время сменить приоритеты и предпринять необходимые меры по обеспечению безопасности персональных данных.

Мнение редакции может не совпадать с мнением автора. Ваши статьи присылайте нам на 42@cossa.ru. А наши требования к ним — вот тут.

Источник: https://www.cossa.ru/trends/242294/

Ответы юриста
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: