Штрафы за обработку персональных данных с 1 июля 2021 года
Обработка персональных данных в 2021: как избежать штрафа
1 июля 2021 года вступил в силу Федеральный закон от 07.02.2021 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.
Персональные данные: штрафы
| Основание | Размер штрафа | |||
| Физлица | Должностные лица | Юрлица | ИП | |
| Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн | предупреждение или штраф — от 1000 до 3000 руб. | предупреждение или штраф — от 5000 до 10 000 руб. | предупреждение или штраф — от 30 000 до 50 000 руб. | |
| Обработка ПДн без письменного согласия на то их субъекта | от 3000 до 5000 руб. | от 10 000 до 20 000 руб. | от 15 000 до 75 000 руб. | |
| Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДн | от 700 до 1500 руб. | от 3000 до 6000 руб. | от 15 000 до 30 000 руб. | от 5000 до 10 000 руб. |
| Непредоставление субъекту ПДн информации по их обработке | предупреждение или штраф — от 1000 до 2000 руб. | предупреждение или штраф — от 4000 до 6000 руб. | предупреждение или штраф — от 20 000 до 40 000 руб. | предупреждение или штраф — от 10 000 до 15 000 руб. |
| Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки) | предупреждение или наложение штрафа в размере от 1000 до 2000 руб. | предупреждение или штраф — от 4000 до 10 000 руб. | предупреждение или штраф — от 25 000 до 45 000 руб. | предупреждение или штраф — от 10 000 до 20 000 руб. |
| Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования | от 700 до 2000 руб. | от 4000 до 10 000 руб. | от 25 000 до 50 000 руб. | от 10 000 до 20 000 руб. |
| Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн | предупреждение или наложение административного штрафа — от 3000 до 6000 руб. |
Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.
В связи с этим возникает много вопросов, наиболее часто задаваемые:
- Являюсь ли я оператором персональных данных?
- Распространяется ли на меня закон о персональных данных?
- Как уведомить Роскомнадзор об обработке персональных данных?
- Что делать владельцу сайта, чтобы избежать штрафов?
Давайте разбираться со всеми вопросами по порядку.
Как понять, являетесь ли вы оператором персональных данных?
В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:
- ФИО (вместе и даже по отдельности)
- дата рождения
- адрес
- телефон
- фотография
- ссылка на персональный сайт
- ссылка на профиль в социальных сетях
Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.
Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.
Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине.
К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн.Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан.
Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора
Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.
Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально.
На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.
А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.
Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):
- ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
- цель обработки ПДн;
- перечень ПДн, на обработку которых субъект дает согласие;
- наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
- срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
- подпись субъекта ПДн.
Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.
Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.
1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft.
Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда.
За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.
Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн.
Случаи, когда уведомление Роскомнадзора не требуется
При обработке ПДн, если они:
- относятся к субъектам, которых связывают с оператором трудовые отношения;
- получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
- являются общедоступными ПДн;
- включают только ФИО субъектов ПДн;
- нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
- включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.
Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.
Чтобы выполнить все требования закона об обработке персональных данных, следуйте бесплатной инструкции и разрабатывайте необходимые документы без изучения 152-ФЗ.
В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?
В соответствии с ч. 2 ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ обеспечения конфиденциальности персональных данных не требуется:
- в случае обезличивания персональных данных;
- в отношении общедоступных персональных данных.
Когда для обработки персональных данных не нужно согласие субъекта персональных данных?
Согласно ч. 2 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:
1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Портал персональных данных — что это такое?
В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2021 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор.
Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152
Узнать больше
Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.
Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!
Более детальная информация об обработке персональных данных — в материалах наших экспертов:
5 базовых принципов закона о персональных данных, о которых нужно знать
Как подготовиться к плановой проверке ФСБ по персональным данным?
Проверка Роскомнадзора: как подготовиться и избежать штрафов
Источник: https://kontur.ru/articles/4816
Персональные данные с 1 июля 2021 года: обработка, штрафы
С 1 июля 2021 года применяются новые штрафы за нарушение обработки и хранения персональных данных.
Все это влечет за собой пересмотр политики компаний и ИП в отношении защиты данных сотрудников. Давайте рассмотрим внимательно новые требования, что относится к персональным данным, как их хранить с 1 июля 2021 года.
Что относится к персональным данным с 1 июля 2021 года
Прежде чем начать разговор о новых штрафах за неправильную обработку и хранение персональных данных с 1 июля 2021 года, нужно сначала определить, что относится к этим персональным данным.
Персональные данные – это личная информация о сотруднике, имеющая отношения к его частной или рабочей жизни. К ним относятся:
- ФИО;
- паспортные данные;
- адрес, прописка;
- данные о семье;
- справка о состоянии здоровья;
- страховые документы;
- военный билет;
- дипломы об образовании;
- сведения о трудовой биографии.
Важно! Нельзя брать у сотрудника данные, не относящиеся к его работе и не влияющие на его трудовые обязанности, зарплату, выплаты, пособия и т. Д. Имеются в виду: национальность, религиозная принадлежность, политические предпочтения и пр.
Новые штрафы за персональные данные с 1 июля 2021 года
Согласно ст.13.11 Федерального закона №13-ФЗ от 7 февраля 2021 года за нарушение обработки и использования персональных данных с 1 июля 2021 года налагаются новые штрафы, рассмотрим их поближе:
| Противоречащая закону обработка ПД или вы делаете это с целью, идущей в разрез с законодательством (то есть теперь передача данных сторонней компании для распространения рекламы карается очень строго) | 1000-3000 | 5000 -10 000 | 30 000 – 50 000 | 30 000 –50 000 |
| Если вы обрабатываете ПД человека, не взяв предварительно с него согласие на это | 3000 – 5000 | 10 000 –20 000 | 15 000 –75 000 | 15 000 –75 000 |
| Не проинформировали о своей политике по использованию и обработке ПД | 700 – 1500 | 3000 – 6000 | 5000 –10 000 | 15 000 –30 000 |
| Не проинформировали человека о том, как вы собираетесь обрабатывать его ПД или дали ему информации о его ПД | 1000 – 2000 | 4000 – 6000 | 10 000 –15 000 | 20 000 –40 000 |
| Пропустили срок, оговоренного субъектом, по уточнению, блокировке, либо уничтожению его ПД | 1000 – 2000 | 4000 –10 000 | 10 000 – 20 000 | 25 000 –45 000 |
| Если вы не имеете автоматизированной системы по хранению и защите ПД, и это привело к опубликованию ПД, уничтожению, блокировке, копированию, изменению и пр. незаконным операциям | 700 – 2000 | 4000 – 10 000 | 10 000 – 20 000 | 25 000 –50 000 |
Внимание! За обработку персональных данных без согласия на то, самого человека, помимо штрафа предусмотрена также уголовная ответственность.
Поэтому не забывайте брать с сотрудников заявление, в котором они дают свое разрешение на обработку данных, на предоставление этих данных банку, налоговой и иным заинтересованным организациям, оговаривают срок хранения информации и подтверждают, что ознакомлены с целью сбора данных.
Что изменить в обработке персональных данных с 1 июля 2021 года под новые требования
Для того чтобы вас с 1 июля 2021 года не оштрафовали за то, что вы обрабатываете, распространяете, изменяете и т.д. персональные данные ваших сотрудников, нужно взять с них письменное заявление, что они согласны на эти действия.
Утвержденного образца заявления пока нет, пишется оно в свободной форме. При этом ориентируясь на ч.4 ст.9 ФЗ №152-ФЗ от 27.07.2006, оно должно включать в себя следующие данные:
- ФИО, адрес работника;
- серию, номер паспорта, где и кем выдан;
- перечень персональных данных и причина, по которой дается согласие;
- манипуляции, которые работник разрешает производить со своими данными;
- срок действия соглашения;
- дата, подпись, расшифровка.
Скачать бланк-образец соглашения на использование своих персональных данных>>>
Образец заявления-соглашения на использование персональных данных
Источник: https://www.RNK.ru/article/215582-personalnye-dannye-1-iyulya-2021
С 1 июля увеличатся штрафы за персональные данные
Одно из важнейших изменений в законодательстве, которое ждет кадровиков летом 2021 года, следующее – с 1 июля увеличатся штрафы за персональные данные.
Если ранее максимальный штраф составлял 10 000 рублей, то теперь он может достигать 75 000 рублей. Кроме того, с 1 июля штрафовать работодателей сможет непосредственно Роскомнадзор, а раньше дела такой категории возбуждала прокуратура.
Разберемся подробнее, как с 1 июля увеличатся штрафы за персональные данные.
Персональные данные работников
Прежде чем рассматривать штрафы за персональные данные в 2021 году, выясним, что относится к таким данным. Персональные данные работников – это сведения, которая как прямо, так и косвенно относятся к физическому лицу.
Это информация о фактах, событиях и перепитиях частной жизни, которые дают возможность идентифицировать личность человека, за исключением сведений, которые подлежат распространению в СМИ (п. 1 ст. 3 Закона от 27 июля 2006 г.
№ 152-ФЗ, далее – Закон № 152-ФЗ, Указ Президента РФ от 6 марта 1997 г. № 188).
Скачайте документы по теме:
Выделяют три вида персональных данных работников: общие, специальные и биометрические. К общим относят:
Ф. И.О., место жительства;
паспортные данные;
сведения об образовании;
семейное положение;
размере зарплаты и так далее.
Общие персональные данные работников содержатся в паспорте, дипломе, военном билете, личной карточке, трудовой книжке и других документах.С 1 июля увеличатся штрафы за персональные данные за обработку в нарушение запрета специальных данных. К ним относится информация о (ч. 1 ст. 10 Закона № 152-ФЗ):
расовой, принадлежности, национальности;
политических взглядах;
религиозных или философских убеждениях;
состоянии здоровья и тому подобное.
Специальные персональные данные работников могут быть в анкете, которую сотрудник заполняет при приеме на работу, медицинском заключении и т. д.
Подробнее об обработке персональных данных читайте здесь:
Серьезные штрафы за нарушение закона о персональных данных грозят при нарушении порядка работы с биометрическими данными. Это сведения о физиологических и биологических особенностях человека, по которым можно установить его личность. К примеру, такие особенности, как:
- дактилоскопические данные;
- радужная оболочка глаз;
- анализы ДНК;
- рост, вес и прочее.
Обратите внимание! Фотография или видеозапись также относятся к биометрическим персональным данным, если по ним можно идентифицировать человека. Исключение составляют фото- и видеозаписи, которые сделали на массовых и публичных мероприятиях (п. 1 ст. 152.1 ГК РФ).
Новые штрафы: персональные данные
В 2021 году с 1 июля увеличатся штрафы за персональные данные. Поправки в КоАП РФ внес Федеральный закон от 07.02.2021 № 13-ФЗ. Изменения размеров новых штрафов за персональные данные существенные. Поэтому операторам персональных данных, к которым относятся все работодатели, нужно тщательно подготовиться к изменениям.
Действующая в текущий момент редакция статьи 13.11 КоАП РФ содержит только одно общее основание, чтобы привлечь организацию к административной ответственности – за нарушение определенного законом порядка сбора, хранения, использования или распространения персональных данных. С 1 июля увеличатся штрафы за персональные данные и видов нарушений, за которые можно наказать, будет семь.
Важно: сейчас максимальный размер штрафных санкций составляет 1 000 руб. (для должностных лиц) и 10 000 руб. (для юридических лиц). С 1 июля максимум возрастет до 20 000 и 75 000 руб. соответственно.
С 1 июля увеличатся штрафы за персональные данные и одновременно изменится порядок, в котором заводят дела об административных правонарушениях в области персданных. Сейчас такие дела возбуждают прокуроры (п.
1 ст. 28.4 КоАП РФ). С 1 июля 2021 года указанные полномочия передаются должностным лицам Роскомнадзора (подп. 58 п. 2 ст. 28.3 КоАП РФ в новой редакции).
Они смогут сами налагать новые штрафы за персональные данные:
- штраф за разглашение персональных данных;
- штрафы за неправильную обработку персональных данных;
- штраф за распространение персональных данных;
- штрафы за нарушение работы с персональными данными и так далее.
Передача функций по возбуждению административных дел Роскомнадзору ускорит процесс привлечения работодателей к ответственности. В настоящее время такие органы лишь собирают информацию о нарушениях и передают ее в прокуратуру для решения вопроса о применении административного наказания.
Справка
Закон о персональных данных: штрафы
С 1 июля увеличатся штрафы за персональные данные. Рассмотрим семь составов, которые вводятся с 1 июля (таблица ниже). За нарушение закона о персональных данных штрафы для организаций составят от 15 000 до 75 000 рублей.
Штрафы за нарушение закона о персональных данных с 1 июля 2021 года
| Вид правонарушения | Санкция для должностных лиц | Санкция для организаций | Правовое основание |
| Обработка работодателем персональных данных:– в случаях, не установленных законом; – несовместимая с целями сбора персональных данных | Предупреждение или штраф от 5 000 до 10 000 рублей | Предупреждение или штраф от 30 000 до 50 000 рублей | Ч. 1 ст. 13.11 КоАП РФ |
| Обработка персональных данных без письменного согласия работника, когда оно должно быть получено в обязательном порядке либо отсутствие в согласии необходимых сведений | Штраф от 10 000 до 20 000 тысяч рублей | Штраф от 15 000 до 75 000 тысяч рублей | Ч. 2 ст. 13.11 КоАП РФ |
| Невыполнение обязанности опубликовать или обеспечить иным образом неограниченный доступ к документу, который определяет политику компании в области обработки персональных данных | Предупреждение или штраф от 3000 до 6000 рублей; | Предупреждение или штраф от 15 000 до 30 000 рублей. | ч. 3 ст. 13.11 КоАП РФ |
| Непредоставление работнику информации, которая затрагивает обработку его персональных данных | Предупреждение или штраф от 4000 до 6000 рублей; | Предупреждение или штраф от 20 000 до 40 000 рублей. | Ч. 4 ст. 13.11 КоАП РФ |
| Невыполнение требования работника либо управления Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении в случае, когда данные являются неполными, устаревшими, неточными, незаконно полученными или не требующимися для заявленной цели обработки | Предупреждение или штраф от 4000 до 10 000 рублей | Предупреждение или штраф от 20 000 до 45 000 тысяч рублей | Ч. 5 ст. 13.11 КоАП РФ |
| Необеспечение сохранности персональных данных при хранении материальных носителей персональных данных, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо другие неправомерные действия | от 4000 до 10 000 рублей | от 20 000 до 50 000 тысяч рублей | Ч. 6 ст. 13.11 КоАП РФ |
| Невыполнение обязанности по обезличиванию персональных данных или несоблюдение установленных требований или методов по обезличиванию таких данных (для государственных и муниципальных органов) | Предупреждение или штраф от 3000 до 6000 рублей. | – | Ч. 7 ст. 13.11 КоАП РФ |
Чтобы избежать повышенных новых штрафов за персональные данные в 2021 году, работодателям необходимо проанализировать, правильно ли они организовали систему работы с персональными данными, выявить и ликвидировать недочеты. В частности, важно проверить, получал ли работодатель письменное согласие сотрудников на обработку данных в тех случаях, когда оно требуется.
Согласие на обработку персональных данных в письменной форме надлежит получить, когда (подп. 1 п. 2 ст. 10, п. 1 ст. 11, подп. 1 п. 4 ст. 12 Закона № 152-ФЗ):
- речь идет о их передаче в государство, не обеспечивающее необходимую защиту персональных данных;
- обрабатываются биометрические данные, чтобы установить личность;
- обрабатываются специальные категорий и сведений, которые касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Скачать чистый бланк
Скачать в .doc
Скачать заполненный образец
Скачать в .doc
Кроме того, нужно проверить, утвердили ли политику обработки персональных данных, положение о защите персональных данных, перечень лиц, которые осуществляют обработку персональных данных и имеют к ним доступ, и так далее.
Скачать чистый бланк
Скачать в .doc
Скачать заполненный образец
Скачать в .doc
Скачать чистый бланк
Скачать в .doc
Скачать заполненный образец
Скачать в .doc
Источник: https://www.kdelo.ru/art/384497-qqq-17-m5-shtrafy-za-personalnye-dannye
С 1 июля 2021 года ужесточается закон о персональных данных
Не спешите закрывать статью. Вы наверняка мысленно задались вопросом — «А при чем здесь я?» — отвечаю, данный закон может коснуться и вас в том числе, а вы даже можете этого и не подозревать. Давайте по порядку.
Вступление
7 февраля 2021 года были внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Вступят в силу эти поправки уже скоро — 1 июля 2021 года.
Федеральный закон от 07.02.2021 N 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» — с полным текстом можете ознакомиться здесь
Что такое персональные данные?
Под персональными данными можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу (субъекту персональных данных) – пункт 1 статьи 3 Федерального закона от 27 июля 2006 № 152-ФЗ. Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д.
Что изменится 1 июля 2021 года?
Новый Федеральный закон от 07.02. 2021 № 13-ФЗ значительно расширил перечень оснований для привлечения лиц к административной ответственности в области защиты персональных данных, а также увеличил размеры административных штрафов.
Что интересно, выписывать протоколы о правонарушении в этой области будет не прокуратура, как раньше, а Роскомнадзор. А это значит, что дела пойдут гораздо быстрее и штрафы будут рассылаться пачками, если не упаковками.
Причем тут мы
Наверное большая часть моих читателей все еще не понимает, как все это относится к ним. Но грань тут очень тонкая, как понять, являетесь ли вы оператором персональных данных?
Если с помощью вашего блога, сайта, портала, интернет-магазина вы получаете какие-либо персональные данные от пользователя (какие именно, смотреть выше) — то вы автоматически попадаете под этот закон. Элементарно, на вашем сайте можно зарегистрироваться, вводя свое имя, эл.почту, адрес? Поздравляю, вы уже попали под закон.
Это вас касается если:
Ваш сайт позволяет производить регистрацию пользователей (даже с минимальным набором данных «имя + e-mail»). Примеры:
- форумы;
- социальные сети;
- многие новостные сайты;
- интернет-магазины;
- блоги;
- сайты с частными объявлениями;
- и так далее.
Ваш сайт позволяет вносить в формы персональные данные пользователей, которые впоследствии публикуются на сайте или отправляются по e-mail. Например, если на сайте есть функция «перезвонить мне», возможность отправить быстрый заказ или подписаться на рассылку и тому подобное.
Ваш сайт просто уже содержит реальные персональные данные граждан.
Ваша компания (юридическое лицо или индивидуальный предприниматель) на постоянной основе занимаются обработкой персональных данных граждан. Это справедливо для:
- большинства юридических фирм;
- абсолютно всех регистраторов (в смысле компаний, занимающиеся регистрацией юрлиц и ИП, изменениями, ликвидацией и так далее);
- реестродержателей;
- бухгалтерских компаний, оказывающих услуги по аутсорсингу бухгалтерии и кадрового делопроизводства;
- банков, МФО и других компаний финансового сектора, работающих с данными граждан;
- медицинских учреждений;
- магазинов, салонов красоты и других подобных организаций с персональными клубными картами (это особенно популярно у сетевых магазинов косметики);
- образовательных организаций и учреждений (в том числе проводящих краткосрочные курсы или разовые тренинги);
- ТСЖ и управляющих компаний в сфере ЖКХ;
- турагентств;
- третейских судов;
- и так далее.
Ваша компания активно работает с внештатными сотрудниками (по гражданско-правовому договору).
Ваша компания использует CRM или аналогичные системы.
Что делать?
Нужно уметь правильно работать с персональными данными.
Как минимум нужно:
Исключения
Вас это не касается в следующих случаях, так как на них ФЗ «О персональных данных» не распространяется:
- Обработка персональных данных производится физическими лицами исключительно для личных и семейных нужд, но если при этом не нарушаются права субъектов персональных данных;
- Обработка персональных данных производится при работе с документами Архивного фонда Российской Федерации и аналогичных документов;
- Персональные данные, отнесены к сведениям, составляющим государственную тайну;
- Персональные данные относятся к публичной информации о деятельности судов в РФ.
К сожалению, я не юрист в этой области и я не смогу дать вам точных ответов что именно нужно сделать чтобы обезопасить себя на 100%. Что уж там, даже сами профи не могут дать однозначных ответов, так как существует очень много нюансов и неточностей, не говоря уже про то, что закон не вступил в силу. В любом случае, цель моего поста была именно предупредить Вас о том, что такая «хрень» существует. Ну а дальше, как говорится, предупрежден — значит вооружен
Источник: https://wpkot.ru/s-1-iyulya-uzhestochaetsya-zakon-o-personalnyh-dannyh/
Новые штрафы за обработку персональных данных вырастут с 1 июля 2021 года
пост опубликован веб-студией noviKEY 17.05 2021
советы закон владельцу сайта
Внесённые в феврале поправки в статью 13.11 КоАП о нарушении закона о «Персональных данных» вступят в силу с 1 июля этого года. Нововведения коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные. Персональные данные — это любые данные о человеке, по которым его можно идентифицировать. Такими данными могут быть:
- Фамилия имя отчество или физический адрес,
- Адрес электронной почты или номер телефона,
- Дата, место рождения или фотографии человека,
- Ссылки на аккаунт в соцсети или персональный сайт,
- Профессия, образование или уровень доходов,
- Семейное положение и т.д.
Каждый владелец сайта, на котором есть личный кабинет или любая форма для ввода персональных данных — оператор персональных данных. Таким образом, подавляющее большинство владельцев сайтов являются операторами персональных данных. С учётом того, что штрафы выросли в десятки раз, нужно срочно вносить правки.
Персональные данные — это любые данные о человеке, по которым его можно идентифицировать.
Например, если Индивидуальный предприниматель не разместит на своём сайте Политику конфиденциальности, то ему грозит штраф на 10 000 рублей, аналогичный штраф для компании — 30 000 рублей. Обработка Интернет-магазином персональных данных без согласия Клиента грозит юридическому лицу штрафом до 75 000 рублей.
Что сделать владельцу сайта?
- Подготовьте публичные документы (Пользовательское соглашение, Политика конфиденциальности и другие) и разместите их на сайте так, чтобы они были доступны на всех страницах. Для примера можете зайти на сайт крупной компании и посмотреть их документы. Но не используйте чужие документы. Помните, что ваша задача не написать лишнего – иначе штраф.
- Реализуйте решение, позволяющее однозначно установить, что человек согласился на обработку персональных данных в установленном объёме. Это может быть галочка в форме регистрации или предупреждение при оформлении заказа. Для надёжности можно заверите веб-страницы у нотариуса.
- Добавьте в должностные инструкции пункт о хранении персональных данных и ответственности сотрудников, которые с ними работают. Обучите сотрудников работе с персональными данными.
- Если нужно, отправьте уведомление в Роскомнадзор. Если уверены, что уведомление отправлять не нужно, оформите документы так, чтобы это было понятно при проверке. Пропишите в политике, что используете персональные данные только для исполнения конкретного договора. Или укажите, что создаете ресурс, на котором данные размещаются в общем доступе по желанию пользователя.
Кому нужно регистрироваться в Роскомнадзоре?
По закону операторы персональных данных должны уведомить Роскомнадзор. Сделать это нужно до начала обработки данных или как можно скорее. Роскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу. Уведомление можно не подавать, если:
- обрабатываются только данные сотрудников;
- персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более — распространяться;
- человек сам опубликовал эти данные в общем доступе;
- у вас есть только ФИО клиента и больше ничего.
Что делать владельцу сайта?
Как минимум нужно постоянно делать это:
- получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
- публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
- запрашивать только те данные, которые нужны для конкретной цели;
- использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
- сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
- удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
- хранить базы данных в надежном месте, защищать их от взлома и утечки;
Кто будет оплачивать штрафы?
Даже если ваш сайт обслуживает веб-студия или удаленный специалист, штраф всё равно выпишут на ту компанию или Индивидуального предпринимателя, которые указаны на сайте.
Хранить персональные данные можно только на серверах на территории России?
В законе нет ясности, и есть противоречия по этому вопросу. С одной стороны, собирать, обрабатывать и хранить базы данных нужно на российских серверах. Но при этом есть отдельная статья про трансграничную передачу данных.
По мотивам: https://journal.tinkoff.ru/personalnye-dannye/ (особая благодарность Тинькову)
Источник: https://novikey.com/personaldata/
Об изменениях законодательства о персональных данных с 1 июля 2021 года
Подробности 03.07.
2021 12:51 Швецов Максим Николаевич 2157
Некоторое время назад рынок взбудоражило известие о том, что с 1 июля 2021 года меняется законодательство о персональных данных и что теперь за нарушения можно получить большие штрафы. Ну, а чтобы этого избежать, нужно на сайт добавить оферту или дисклеймер. В этой статье разберемся с реальным положением дел, рассмотрим 2 больших мифа и расскажем, что же делать на самом деле.
Итак, сначала мифы.
Миф 1. С 1 июля 2021 года меняется ФЗ “О персональных данных”
Как на самом деле: Федеральный закон “О персональных данных” с 1 июля 2021 года не поменялся. Он остался в точности таким же, как и был до 1 июля 2021 года. Другими словами, как была обязанность выполнять данный закон, так и осталась.
На самом деле, изменения коснулись только статьи 13.11 Кодекса об административных правонарушений Российской Федерации.
Ранее была предусмотрена ответственность за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), которая предусматривала:
- предупреждение или наложение штрафа на граждан в размере от 300 рублей до 500 рублей
- на должностных лиц – от 500 рублей до 1000 рублей
- на юридических лиц – от 5000 рублей до 10000 рублей.
С 1 июля 2021 года расширен перечень составов правонарушений, а также увеличены размеры штрафов. В частности:
- За обработку персональных данных в случаях, не предусмотренных законодательством в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния (повлечет предупреждение или наложение штрафа на граждан в размере от 1000 рублей до 3000 рублей, на должностных лиц – от 5000 рублей до 10000 рублей, на юридических лиц – от 30000 рублей до 50000 рублей);
- За обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством, если эти действия не содержат уголовно наказуемого деяния, либо обработку персональных данных с нарушением установленных законодательством в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных;
- За невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных;
- За невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.
Составление протоколов по административным делам данной категории отнесено к компетенции должностных лиц Роскомнадзора (ранее дела данной категории возбуждались прокурором).
Миф 2. Если поместить на сайт оферту или дисклеймер, предусматривающий согласие на обработку персональных данных, то никаких санкций не будет
Как на самом деле: если Вы не занимаетесь сбором, хранением и обрабокой персональных данных пользователей, то бояться нечего, никаких штрафов Вы не получите. А вот если все же Ваша работа предполагает какие-либо действия с персональными данными пользователей, то Вы обязаны:
- Стать оператором, осуществляющим обработку персональных данных и получить вот такую выписку из реестра операторов, осуществляющих обработку персональных данных (получить ее относительно просто, быстро и бесплатно). Если Вы не входите в реестр операторов, то обрабатывать персональные данные нельзя вне зависимости от того, есть на Вашем сайте дисклеймер или нет (подробнее тут).
- Получать согласия пользователей на обработку их персональных данных.
Далее мы кратко разберем, что же со всем этим делать.
Форма согласия на обработку персональных данных
Статья 9 федерального закона «О персональных данных» определяет, что согласие может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
В ряде случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных (равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью).
Обозначим также еще несколько важных моментов, указанных в той же статье 9:
- Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
- Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
- Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
- Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора.
Пункт 4 статьи 9 федерального закона «О персональных данных» устанавливает данные, которые должны содержаться в письменном согласии на обработку персональных данных. Например, данные, которые должны содержаться в согласии в самом простом случае, когда гражданин дает согласие на обработку персональных данных компании:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
В заключение отметим, что наиболее полно закону соответствуют следующие формы получения согласия на обработку персональных данных:
- письменная (или с помощью электронной подписи),
- устная (при наличии возможности доказать получение согласия, например, с помощью предоставления записи телефонного разговора), а также
- согласие, оставленное на сайте (например, акцепт оферты, в которой содержится согласие на обработку персональных данных).
Пример оферты/дисклеймера в части обработки персональных данных для сайта:
«Нажимая кнопку «Заказать», я:
- Подтверждаю, что введенные мной данные (фамилия, имя, отчество, электронный адрес, телефон) являются корректными;
- Подтверждаю, что все данные предоставляются добровольно;
- Выражаю полное и безоговорочное согласие на использование моих данных для поддержания связи со мной любым способом, включая телефонные звонки на указанный стационарный и/или мобильный телефон, отправку СМС-сообщений на указанный мобильный телефон, отправку электронных писем на указанный электронный адрес с целью информирования о поступлении новых товаров/услуг, оповещения о проводимых акциях, мероприятиях, скидках, их результатах, для осуществления заочных опросов с целью изучения мнения о товарах/услугах, организациях торговли, высылки новостей и т.п.
Согласие предоставляется ООО “Таргет Телеком” (ОГРН 5147746239427) мной бессрочно. Я проинформирован о том, что согласие может быть отозвано в любой момент путем:
- Направления письменного уведомления по адресу: 125635 Москва, ул. Ангарская, дом 6, пом. III, ком. 1;
- Направления электронного письма на адрес: unsubscribe@targetsms.ru;
- Звонка по телефону: +74959661303.»
Выводы
- Федеральный закон “О персональных данных” как был обязателен к исполнению, так и остался. С 1 июля 2021 года изменилась лишь статья 13.11 КоАП РФ.
- Если Вы не собираете/храните/обрабатываете персональные данные пользователей, то ничего делать и не нужно.
- Если Вы работаете с персональными данными пользователей, то нужно стать оператором, осуществляющим обработку персональных данных, получать согласия пользователей в определенной законодательством форме и поместить на сайт политику/оферту/дисклеймер, описывающий то, что Вы собираетесь делать с персональными данными пользователей (обычно политика в области обработки персональных данных и согласие пользователей на обработку персональных данных являются одним документом).
Источник: https://targetsms.ru/blog/865-ob-izmeneniyakh-zakonodatelstva-o-personalnykh-dannykh-s-1-iyulya-2021-goda
