Здравствуйте, в этой статье мы постараемся ответить на вопрос: «152 закон фз о персональных данных». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Содержание:
Уголовная ответственность
Уголовный кодекс предостерегает от незаконного сбора или распространения сведений о частной жизни, составляющих личную или семейную тайну человека, без его согласия. Наказанием может стать штраф до 300 000 руб. и выше, принудительные работы, а также лишение свободы на срок до 4 лет.
Административная ответственность
Кодекс об административных правонарушениях даёт возможность оштрафовать физическое или должностное лицо, индивидуального предпринимателя или компанию за невыполнение 152-ФЗ на 10 000 руб. Штраф может быть наложен не только на компанию, но и на работника: руководителя или ответственного за организацию обработки персональных данных.
Также компания может быть оштрафована на сумму до 20 000 руб., если не выполнит в срок предписание Роскомнадзора или не ответит на его запрос.
Нарушения трудового законодательства, в том числе главы 14 Трудового кодекса, наказываются штрафом до 50 000 руб. Для компании может стать неприятной новостью, что не только Роскомнадзор, но и Трудовая инспекция интересуется тем, как она осуществляет обработку персональных данных.
Гражданско-правовая ответственность
Закон «О персональных данных» даёт физическим лицам право на возмещение морального и имущественного вреда, а также понесённых убытков. Размер возмещения будет определяться судом, и заранее он ничем не ограничен.
Закон «О персональных данных»
Для наших клиентов мы предлагаем услугу подготовки текста Соглашения о конфиденциальности и Положения по обработке персональных данных. Эти документы проходят проверку юристом и соответствуют всем требованиям Закона 152 ФЗ. Вы можете обратиться в веб студию АВАНЗЕТ за подготовкой этих документов.
После этого необходима настройка всех форм обратной связи таким образом, чтобы пользователь, который отправляет письмо с любой формы на вашем сайте сначала познакомился с этими документами и поставил галочку в чек боксе, что он с ними знаком и только после этого он получит возможность отправить вам сообщение.
Согласно новой редакции ст.13.11 КоАП РФ, нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:
- Частное лицо может получить предупреждение или штраф в размере от 1 тыс. до 3 тыс. руб.
- Должностное лицо заплатит от 5 тыс. до 10 тыс. руб.,
- Юридическое лицо — от 30 тыс. до 50 тыс. руб.
Обработка персональных данных без согласия гражданина приведет к наложению штрафа:
- в размере от 3 тыс. до 5 тыс. руб. для граждан,
- от 10 тыс. до 20 тыс. руб. — для должностных лиц
- от 15 тыс. до 75 тыс. руб. для юридических лиц.
В случае если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф.
- Для граждан он составит от 700 до 1500 руб.,
- для должностных лиц — от 3 тыс. до 6 тыс. руб.,
- для индивидуальных предпринимателей (ИП) — от 5 тыс. до 10 тыс. руб.,
- для юридических лиц — от 15 тыс. до 30 тыс. руб.
Самый лучший способ оградить себя и свою компанию от наложения штрафа и других видов ответственности — выполнить требования Закона 152 ФЗ «О персональных данных»! Заходите на сайт нашего партнера, регистрируйтесь и для вас будет подготовлен пакет документов, который необходим для выполнения всех требований Закона 152 ФЗ
Закон о персональных данных касается операторов персональных данных: физических лиц и организации, которые собирают, хранят и обрабатывают персональные данные.
Оператором персональных данных может стать кто угодно. Даже если у вас личный сайт с формой регистрации, вам всё равно могут выписать штраф. Правда штрафы частным лицам не велики, компаниям значительно выше.
В законе нет четкого списка, что считать персональными данными. Правило такое: если по данным, что вы собираете, можно найти пользователя, сотрудника или клиента, это персональные данные. Например, если у вас есть имя, фамилия и электронная почта клиента, теоретически вы сможете найти его через поиск в Гугле.
Что относится к персональным данным:
- ФИО (фамилия, имя, отчество)
- домашний адрес
- личный телефон
- ваша электронная почта
- дата и место рождения
- ссылка на профиль в соцсети
- ваша профессия
Что же делать, без оформления документов никак? Конечно лучше обезопасить себя и оформить документы, тем более за это не нужно платить. Иначе есть только два варианта:
- убрать с сайта все формы регистрации, которые запрашивают данные посетителей;
- вместо классической формы регистрации поставить одно поле «Контактные данные» и надеяться, что Роскомнадзор не сможет понять, относятся эти данные к персональным или нет.
Один посетитель сайта напишет свое ФИО, другой — укажет телефон, третий — может обругать матом 🙂 Для вашего спокойствия лучше играть в эти игры с Роскомнадзором, рекомендуем сделать всё по установленным правилам.
152 ФЗ — штрафы за нарушение закона О персональных данных
- Создание интернет магазинов
- Создание адаптивных сайтов
- Создание сайтов на Битрикс
- Разработка Landing Page
- Тексты и статьи для сайта
- SEO тексты для продвижения
- Тексты для рекламных акций
Согласно закону РФ, руководитель компании должен утвердить порядок использования личных сведений. Необходимые нормы указываются в локальном документе организации о защите данных. Они должны соответствовать требованиям правовых актов РФ и 152-ФЗ.
Оператор личных данных — это правительственный, муниципальный орган или физическое, юридическое лицо, которое организует осуществление обработки личной информации и определяет цели их использования.
В обязанности оператора входит:
1. При сборе личных сведений, оператор предоставляет по просьбе гражданина информацию о том, чьи данные он получил, информацию, которая предусмотрена ст. 14 ч.7 152-ФЗ.
2. Если гражданин обязан предоставить свои сведения по закону РФ, оператор должен объяснить ему, что в случае отказа, можно столкнуться с юридическими последствиями.
3. Если полученная оператором для обработки личная информация не была предоставлена ее владельцем, он обязан предоставить ему следующую информацию:
- ФИО и адрес оператора;
- С какой целью обрабатываются данные и на основании каких правовых актов;
- Права гражданина, чьи данные были получены;
- При помощи какого источника была получена личная информация.
Поскольку законодательные акты зачастую претерпевают корректировки, в 152-ФЗ также были внесены изменения.
По причине вступления в силу Федерального закона от 03.07.2016 № 230-ФЗ претерпели изменения условия анализа личной информации, описанные в Федеральном Законе 152.
Статья 3
В 3 статье закона описываются основные понятия, которые используются в акте: персональные данные, оператор, обработка персональных сведений, а также распространение и предоставление личных сведений. В последней редакции представленная статья не претерпела изменений.
Статья 5
В 5 статье федерального закона описаны принципы анализа информации. Отмечается, что обработка сведений осуществляется только по закону и объединение базы данных с личной информацией граждан запрещена. В последнем редактировании текущая статья не подвергалась изменениям.
Статья 7
В 7 ст. 152-ФЗ сказано, что операторы и другие ответственные лица, получившие доступ к личным данным, обязаны не распространять информацию, не получив согласие владельца. Изменений статья не претерпела.
Статья 9
В 9 ст. 152-ФЗ указана информация о согласии субъекта на обработку его личных данных. Представлены сведения о том, как составить письменное согласие.
При последней редакции, изменений в текущей статье не было.
Статья 19
19 статья 152 Федерального Закона указывает меры для обеспечения безопасности личной информации при ее анализе.
152-ФЗ «О защите персональных данных»
- анализ категорий субъектов персональных данных (сотрудники, клиенты и др.);
- анализ категорий (ФИО, телефон и др.) и объема (количества) персональных данных;
- анализ актуальных угроз, связанных с недекларированными возможностями, в используемом при обработке данных программном обеспечении.
На выходе: акт установления уровня защищенности персональных данных. Акт формируется для каждой информационной системы по отдельности или один на все системы одновременно.
- анализ и выдача замечаний по корректировке типовых бумажных форм документов с персональными данными;
- подготовка отдельного согласия сотрудников, осуществляющих обработку персональных данных без использования средств автоматизации;
- анализ и выдача замечаний по корректировке журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор;
- анализ порядка хранения материальных носителей с персональными данными и выдача замечаний и рекомендаций по приведению в соответствие.
- формирование проекта уведомления или извещения об изменении с учетом практики прохождения проверок Роскомнадзора;
- согласование с оператором, утверждение и подача в Роскомнадзор;
- отслеживание регистрации оператора (о корректировке сведений) в реестре Роскомнадзора.
- проверка наличия и утверждения пакета организационно-распорядительной документации в требуемом объёме;
- выборка договоров с контрагентами, наиболее соответствующих требованию закона;
- контроль готовности оператора к прохождению проверки в соответствии с типовым планом проверки Роскомнадзора.
На выходе, как правило, следующие отчетные документы:
- выбрано по одному договору к проверке (наиболее подходящие) по каждому типу контрагентов;
- программа и методика проверки;
- протокол проверки;
- заключение о готовности к прохождению проверки Роскомнадзора;
- протокол технического совещания по результатам контроля готовности к проверке.
- выезд на территорию заказчика при выездной проверке Роскомнадзора;
- пояснение требований и замечаний Роскомнадзора (при наличии);
- помощь в устранении замечаний от Роскомнадзора (при наличии);
- помощь в подготовке справок и ответа на замечания Роскомнадзора (при наличии).
- актуализация организационно-распорядительной документации в части обработки и защиты персональных данных в информационных системах;
- администрирование системы защиты персональных данных (системное администрирование средств защиты информации);
- ежегодный контроль защищенности (оценка эффективности применяемых мер защиты персональных данных);
- мониторинг защищенности информационных систем и реагирование на инциденты безопасности.
- отслеживание изменений в законе и подзаконных актах;
- отслеживание изменений в категориях и объеме обрабатываемых оператором данных;
- своевременная актуализация сведений в реестре Роскомнадзора;
- периодический контроль соответствия требованиям закона;
- актуализация организационно-распорядительной и регламентирующей документации в части обработки и зашиты персональных данных у оператора.
- Использование только антивируса не обеспечивает защиты от хакеров, спама, возможности ограничения доступа к различным интернет-ресурсам, отдельным дискам, папкам или файлам, проверки всего интернет-трафика до поступления его в различные программы. Данные возможности доступны в лицензии Dr.Web Enterprise Security Suite. Комплексная защита.
- Надежная защита всей сети и выполнение требований закона о защите персональных данных обеспечиваются при установке средств защиты почтового и интернет-трафика, а также средств защиты от несанкционированного доступа — использование только антивируса в качестве единственной меры защиты рабочих станций и персональных компьютеров недостаточно. Внедрение средств защиты почтового и интернет-трафика не только повышает уровень вашей безопасности и позволяет экономить интернет-трафик, но и снижает нагрузку на рабочие компьютеры.
- Использование Dr.Web Enterprise Security Suite позволит перекрыть все пути поступления вирусов и спама на компьютеры и выполнить требования по защите данных в части защиты от несанкционированного доступа и централизованной защиты каналов передачи данных. При этом Dr.Web Enterprise Security Suite:
- дает вам возможность контроля состояния вашей защиты из любой точки мира;
- позволяет оперативно реагировать на возникающие проблемы, что, в свою очередь, снижает риск заражения сети и финансовых потерь компании из-за потери данных, отключения от Интернета, заражения партнёров по бизнесу;
- автоматизирует рутинные операции по обеспечению безопасности, сбору статистики и периодической проверке сети.
- Использование для организации защиты программ от одного производителя не только снижает стоимость закупки и исключает проблему несовместимости программ от разных производителей, но и позволяет сэкономить трафик после их установки!
Поставка производится только на дисках, содержащих верифицированные версии.
Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. К конфиденциальной информации относятся сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Первый уровень защищенности персональных данных устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа (угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе) и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;
б) для информационной системы актуальны угрозы 2-го типа (угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.) и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Только Dr.Web Enterprise Security Suite может быть использован для обеспечения 1-го уровня защищенности персональных данных, а также систем, содержащих документы с уровнем «Совершенно секретно».
-
Арбитражный процессуальный кодекс РФ
-
Бюджетный кодекс РФ
-
Водный кодекс Российской Федерации РФ
-
Воздушный кодекс Российской Федерации РФ
-
Градостроительный кодекс Российской Федерации РФ
-
ГК РФ
-
Гражданский кодекс часть 1
-
Гражданский кодекс часть 2
-
Гражданский кодекс часть 3
-
Гражданский кодекс часть 4
-
Гражданский процессуальный кодекс Российской Федерации РФ
-
Жилищный кодекс Российской Федерации РФ
-
Земельный кодекс РФ
-
Кодекс административного судопроизводства РФ
-
Кодекс внутреннего водного транспорта Российской Федерации РФ
-
Кодекс об административных правонарушениях РФ
-
Кодекс торгового мореплавания Российской Федерации РФ
-
Лесной кодекс Российской Федерации РФ
-
НК РФ
-
Налоговый кодекс часть 1
-
Налоговый кодекс часть 2
-
Семейный кодекс Российской Федерации РФ
-
Таможенный кодекс Таможенного союза РФ
-
Трудовой кодекс РФ
-
Уголовно-исполнительный кодекс Российской Федерации РФ
-
Уголовно-процессуальный кодекс Российской Федерации РФ
-
Уголовный кодекс РФ
Статья 22. Уведомление об обработке персональных данных
-
ФЗ об исполнительном производстве
-
Закон о коллекторах
-
Закон о национальной гвардии
-
О правилах дорожного движения
-
О защите конкуренции
-
О лицензировании
-
О прокуратуре
-
Об ООО
-
О несостоятельности (банкротстве)
-
О персональных данных
-
О контрактной системе
-
О воинской обязанности и военной службе
-
О банках и банковской деятельности
-
О государственном оборонном заказе
-
Закон о полиции
-
Закон о страховых пенсиях
-
Закон о пожарной безопасности
-
Закон об обязательном страховании гражданской ответственности владельцев транспортных средств
-
Закон об образовании в Российской Федерации
-
Закон о государственной гражданской службе Российской Федерации
-
Закон о защите прав потребителей
-
Закон о противодействии коррупции
-
Закон о рекламе
-
Закон об охране окружающей среды
-
Закон о бухгалтерском учете
-
Приказ Управления делами Президента РФ от 28.07.2011 N 451
«О защите персональных данных федеральных государственных гражданских служащих Управления делами Президента Российской Федерации» (вместе с «Положением об организации работы с персональными данными федерального государственного гражданского служащего Управления делами Президента Российской Федерации», «Списком должностей федеральных государственных гражданских служащих Управления делами Президента Российской Федерации, уполномоченных на обработку персональных данных») (Зарегистрировано в Минюсте
-
Указ Президента РФ от 02.09.2020 N 544
«О единовременной выплате некоторым категориям граждан Российской Федерации, постоянно проживающих на территории Российской Федерации, в Латвийской Республике, Литовской Республике и Эстонской Республике, в связи с 75-й годовщиной Победы в Великой Отечественной войне 1941 — 1945 годов»
-
Указ Президента РФ от 02.09.2020 N 542
«О внесении изменений в Положение о порядке прохождения военной службы, утвержденное Указом Президента Российской Федерации от 16 сентября 1999 г. N 1237»
-
Постановление Правительства РФ от 04.09.2020 N 1352
«О внесении изменений в пункт 6 Правил формирования и ведения государственного информационного ресурса в области защиты прав потребителей»
-
Постановление Правительства РФ от 04.09.2020 N 1354
«О внесении изменений в перечень организаций, созданных для выполнения задач, поставленных перед Правительством Российской Федерации»
-
Распоряжение Правительства РФ от 04.09.2020 N 2250-р
«О принятии мер по увеличению обеспечиваемой за счет средств федерального бюджета оплаты труда»
-
Приказ Росстата от 28.08.2020 N 496
«Об утверждении Основных методологических и организационных положений по сплошному федеральному статистическому наблюдению за деятельностью субъектов малого и среднего предпринимательства за 2020 год»
-
Приказ Росстата от 28.08.2020 N 498
«Об утверждении форм федерального статистического наблюдения для организации федерального статистического наблюдения за ценами (тарифами) на промышленные товары и услуги, приобретенные сельскохозяйственными организациями, и составом розничной цены и затратами организаций розничной торговли по продаже отдельных видов товаров»
-
Положение о межрегиональных и всероссийских официальных спортивных соревнованиях по перетягиванию каната на 2020 год. Номер-код вида спорта: 1270001511Я
(утв. Минспортом России 03.12.2019, Общероссийской общественной организацией «Всеросийская федерация перетягивания каната») (ред. от 26.08.2020)
Итак, какие сведения относятся к персональным данным в терминах Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных»?
Это — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). То есть персональные данные – это любые сведения о человеке, по которым можно его идентифицировать.
Закон не содержит полного и исключительного перечня таких сведений, отнесение данных к персональным и определение своего статуса (оператор или не оператор персональных данных) отдано на откуп владельцам сайтов. Никакой проверки того, что данные относятся к конкретному физическому лицу закон не предусматривает. Поэтому получается, что владелец сайта фактически не знает вымышленные или нет данные ввел клиент, но от обязанностей по обработке персональных данных это его не освобождает. И еще, нельзя забывать, что за нарушение норм Закона о персональных данных Роскомнадзор может привлечь к ответственности.
Судебная практика по этому вопросу разная, но тенденция прослеживается и она совпадает с разъяснениями Роскомнадзора относительного того, что относится к персональным данным:
- фамилия
- имя
- отчество
- паспортные данные
- год, месяц, дата рождения
- место рождения
- адрес
- семейное положение
- социальное положение
- имущественное положение
- образование
- профессия
- доходы
Вы являетесь оператором персональных данных, если:
- вы собираете на сайте вышеуказанную информацию о клиентах-физических лицах;
- у вас есть форма обратной связи, подписки, регистрации;
- у вас есть личный кабинет;
- клиент может заполнить анкету на сайте;
- на сайте возможно размещение объявления;
- на сайте размещена кнопка обратного звонка.
Определить ваш статус (являетесь ли оператором персональных данных или нет) вам нужно самостоятельно исходя из вашей конкретной ситуации, настроек сайта, интернет-магазина, программных и технических средств, которые у вас установлены.
Вы не являетесь оператором персональных данных, если никаким образом не получаете, не храните и не обрабатываете вышеуказанную информацию в любом ее сочетании.
С 1 июля 2017 г. увеличиваются административные штрафы за нарушение порядка работы с персональными данными (регулирует этот порядок Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных», а Кодекс об административных правонарушениях содержит санкции за нарушение работы с данными). До 1 июля 2017г. статья 13.11 КоАП РФ состоит из одного общего состава и предусматривает ответственность для лица, которое с нарушением закона:
- собирает,
- хранит,
- использует,
- распространяет информацию о гражданах (персональных данных).
С 1 июля 2017 г. статья 13.11 КоАП РФ будет включать в себя семь составов правонарушения. Максимальный штраф – 75 тыс. рублей.
1) Если вы обрабатываете персональные данные в случаях, которые не предусмотрел Закон о персональных данных или происходит обработка этих данных, несовместимая с целями сбора персональных данных. К примеру, интернет-магазин запрашивает избыточную информацию о клиенте – требует скан-копию паспорта, водительских прав, свидетельства ИНН. Или гражданин указал электронную почту для покупки в интернет-магазине, а магазин воспользовался адресом и рассылает СПАМ.Ответственность – предупреждение или штраф:
- гражданам – от 1 тыс. до 3 тыс. рублей;
- должностному лицу и предпринимателю – от 5 тыс. до 10 тыс. рублей;
- юридическому лицу – от 30 тыс. до 50 тыс. рублей.
К ответственности по этому «легкому» пункту привлекут в случаях, когда действия не подпадают под часть 2 статьи 13.11 КоАП или не образуют состав уголовного преступления (ст.137 или ст.272 УК РФ). Чтобы избежать ответственности нужно:
- обрабатывать данные только в случаях, предусмотренных ч.1 ст.6 Закона о персональных данных;
- обрабатывать данные только в целях, которые заявлялись.
2) Если вы обрабатываете персональные данные без письменного согласия лица, когда такое согласие требует закон (к примеру, собирает и хранит специальные персональные данные – информацию о здоровье, политических взглядах, вероисповедании)или обрабатываете персональные данные с нарушением требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных (как вариант — не указал третьих лиц, которым будут переданы персональные данные). Ответственность – штраф:
- гражданам – 3 тыс. до 5 тыс. рублей;
- должностному лицу и предпринимателю – от 10 тыс. до 20 тыс. рублей;
- юридическому лицу – от 15 тыс. до 75 тыс. рублей.
Чтобы избежать ответственности нужно:
- получить согласие субъекта персональных данных на обработку его персональных данных;
- включить в согласие необходимые сведения.
3) Если у вас не опубликовано на сайте или по-другому не обеспечен неограниченный доступ:-к документу, который определяет политику оператора в отношении обработки персональных данных, или-к сведениям о реализуемых требованиях к защите персональных данных. Ответственность – предупреждение или штраф:
- гражданам — от 700 руб. до 1,5 тыс. рублей;
- должностному лицу — от 3 тыс. до 6 тыс. рублей;
- предпринимателю — 5 тыс. до 10 тыс. рублей;
- юридическому лицу – от 15 тыс. до 30 тыс. рублей.
Чтобы избежать ответственности нужно:опубликовать на сайте общедоступные ссылки:
- на Политику организации в отношении обработки персональных данных и
- иные сведения о требованиях к защите персональных данных
4) Если вы не предоставляете субъекту персональных данных информацию, которая касается обработки его персональных данных. Ответственность – предупреждение или штраф:
- гражданам — от 1 тыс. руб. до 2 тыс. рублей;
- должностному лицу — от 4 тыс. до 6 тыс. рублей;
- предпринимателю — 10 тыс. до 15 тыс. рублей;
- юридическому лицу – от 20 тыс. до 40 тыс. рублей.
Чтобы избежать ответственности нужно:
- Предоставлять информацию по запросу в течение 30 дней (ч. 1 ст. 20 Закона о персональных данных).
5) Если вы не выполнили в срок требования субъекта персональных данных или его представители либо уполномоченного органа по защите прав субъектов персональных данных:
- об уточнении персональных данных;
- о блокировании или уничтожении.
Оператор обязан это сделать, когда персональные данные:
- утратили актуальность, неполные, неточные, незаконно получены или
- не отвечают заявленной цели обработки персональных данных.
Ответственность – предупреждение или штраф:
- гражданам — от 1 тыс. руб. до 2 тыс. рублей;
- должностному лицу — от 4 тыс. до 10 тыс. рублей;
- предпринимателю — 10 тыс. до 20 тыс. рублей;
- юридическому лицу – от 25 тыс. до 45 тыс. рублей.
Чтобы избежать ответственности нужно:уточнить, блокировать или уничтожить персональные данные по требованию владельца в течение установленных Законом сроков.
6) Если вы не обеспечили условия, которые необходимы, чтобы:
- сохранить персональные данные при хранении материальных носителей;
- исключить несанкционированный доступ к ним.
-
Федеральный закон от 27.07.2010 N 210-ФЗ (ред. от 31.07.2020)
«Об организации предоставления государственных и муниципальных услуг»
-
Федеральный закон от 30.12.2008 N 316-ФЗ (ред. от 31.07.2020)
«О патентных поверенных»
-
Федеральный закон от 31.07.2020 N 302-ФЗ
«О внесении изменений в Федеральный закон «О кредитных историях» в части модернизации системы формирования кредитных историй»
Это федеральный закон, который регулирует деятельность операторов персональных данных в области управления персональными данными. Закон посвящен регулировке данных граждан Российской Федерации. Требования ФЗ сообщают о том, что все сайты и блоги, на которых есть формы для отправки данных пользователей должны соответствовать ряду требований.
Под формами отправки данных имеются в виду онлайн-формы:
-
обратной связи и отправки сообщений,
-
регистрации пользователей,
-
оформления заказов,
-
подписки на рассылку,
-
комментарии,
-
любые другие формы, через которые пользователи отправляют какие-либо данные (текстовые, графические, голосовые и другие) с сайта.
ПОДГОТОВКА КОМПАНИИ В РАМКАХ 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»
Перед тем, как принимать какие-либо данные от пользователей вашего сайта (если вы предварительно не заключили с ними договор о правоотношениях), вы должны получить от них согласие на обработку персональных данных.
-
Веб-форма ― способ получить это согласие. Необходима специальная форма, где пользователь ставит галочку в определенной графе, явно указывающей на его согласие с правилами обработки персональных данных.
Обратите внимание, что помимо подготовки сайта к работе с 152-ФЗ вам нужен документ с указанием лиц, имеющих допуск к обработке персональных данных. Для его грамотного составления и соблюдения всех тонкостей законодательства рекомендуем проконсультироваться со специалистами или изучить соответствующие материалы.
Если отойти от сухих формулировок законодательных актов, то становится понятно, что все, кто связан со сбором и обработкой информации находятся в группе риска. Ответственность за нарушение закона о защите персональных данных наступает при любой утечке информации, неправильном ее сборе или несвоевременном предоставлении.
Это означает, что за взлом баз отвечает гражданин, должностное лицо, которое с ними работает. Ответственность ужесточается в зависимости от степени вреда, причиненной несанкционированным доступом к информации.
Утечка персональных данных, наложение штрафных санкций – урон репутации бизнесу. В современных условиях такое происшествие спровоцирует отток клиентов. Особенно, если персональная информация была использована для незаконного оформления кредитов, участия в рекламных, предвыборных кампаниях.
Наши специалисты минимизируют риски, повысят уровень безопасности информационной защиты после проведения аудита ИТ-инфраструктуры. Аудит позволяет выявить:
- уязвимые места в системе (выявляются при мониторинге программного обеспечения);
- проблемы действующего регламента сбора и обработки информации (или необходимость его создания, если он отсутствует);
- возможности по оптимизации, модернизации оборудования;
- недостаточный уровень компетенции сотрудников по пресечению попыток несанкционированного доступа к персональной информации.
Наши специалисты помогут избежать ответственности за нарушение 152-ФЗ, минимизировать репутационные риски.
1 Этап
Проводится аудит для сбора всей информации о процессах обработки и защиты персональных данных.
2 Этап
Определяется уровень защищенности персональных данных для каждой информационной системы персональных данных (ИСПДн). Далее готовится уведомление в Роскомнадзор для включения в реестр операторов персональных данных.
3 Этап
Разрабатывается комплект необходимой организационно-распорядительной документации для выполнения требований №152-ФЗ «О персональных данных» и других подзаконных актов.
По результатам проведенного аудита готовим:
- Акты определения уровня защищенности на каждую ИСПДн.
- Комплект необходимой организационно-распорядительной документации.
- Соответствие требованиям №152-ФЗ «О персональных данных» и других подзаконных актов.
Краеугольным камнем, определяющим качество системы обработки личных данных, является защита информации. Обеспечивает должный уровень безопасности, полная реализация требований 152 ФЗ.
Особое внимание уделяется следующим структурным моментам:
- детализации и контролю аппаратной базы компании вовлеченной в оборот ПДн;
- юридическому обоснованию внутренних и внешних процессов взаимодействия при обработке ПДн;
- согласованной работе с третьими сторонами прямо или косвенно занятым в обращении ПДн;
- регулярному аудиту систем обработки персональных данных компаний.
Выполняя требования соответствия ФЗ 152, организация обеспечивает себе актуальную в плане технического обеспечения и, что важно, юридически обоснованную базу для работы.
Соответствие 152 ФЗ достигается поэтапным выполнением определенных шагов. Применяемый алгоритм может иметь особенности, продиктованные профессиональной спецификой области, но в целом, един для всех операторов.
- Определение собственных ресурсов и процессов относительно положений ФЗ.
- Обозначение необходимости делегировать выполнение пунктов ФЗ приглашенным специалистам.
- Получение соответствующих нормативных документов и методик.
- Комплексный аудит систем участвующих в обработке данных.
- Лицензирование и аттестация.
Федеральный закон 152 ФЗ «О персональных данных» — это целый свод норм, правил и инструкций, включающий в себя 25 статей (плюс две подстатьи), регулирующих все, что касается личных данных граждан. Он был составлен достаточно давно, еще в 2006 году, и достаточно редко серьезно редактировался, не смотря на множество инициатив.
Целей у данного закона много – от систематизации данных граждан, до определения правил работы с ними и их защиты. В Федеральном законе 152 ФЗ не только описываются все основные понятия и термины, но еще и указываются абсолютно все принципы и нормы, по которым осуществляется работа с личными данными абсолютно всех людей на территории России. Им же регулируются и жесткие рамки, в которых происходит обработка данных.
Для того, чтобы понимать основные правила работы закона «О персональных данных», в первую очередь нужно рассмотреть его основные понятия. Они прописаны в первой части 152 ФЗ, которая включает 4 статьи.
Основными терминами можно считать следующие:
- Персональные данные. Так называют очень широкий спектр информации о человеке, и точные границы этого термина установить достаточно тяжело. Так что с юридической точки зрения персональными данными называют все данные о физлице, не являющиеся общественно доступными (например, данные о его паспорте);
- Обработка персональных данных. Так называют любые действия, касающиеся сведений о физлице. Под это определение попадают сбор сведений, их хранение, передачу, непосредственное использование в работе. При этом способ взаимодействия не имеет значения – обработку можно проводить как вручную, так и с помощью различной техники;
- Оператор, обрабатывающий персональные данные. Так именуется лицо, которое осуществляет обработку данных физлица. Оператором может выступать как государственный служащий, так и сотрудник какой – либо частной организации, а иногда даже и просто физлицо. При этом именно на операторе лежит основная ответственность.
- Информационная система персональных данных. Так называется любая совокупность данных. Достаточно редко операторам приходится работать с какой – либо определенной информацией, и она поступает массивами. Именно эти массивы и именуются информационной системой.
Но не стоит думать, что любые данные о физлице входят в перечень персональных данных. Законом установлен целый перечень сведений, которые могут по определению являться персональными, но таковыми не являются. Так, например, под действие 152 ФЗ не попадают:
- Государственные тайны (работа с ними регулируется отдельными правилами);
- Документы и содержащиеся в них сведения из Архивного фонда России;
- Данные, обрабатываемые судами (по 262 ФЗ);
- Сведения, которые обрабатываются гражданами в личных целях или в рамках семьи.
Коротко о ФЗ-152 «О персональных данных»
Итак, как же закон «О персональных данных» работает и в чем его суть? Ответ достаточно прост: основной задачей данного закона является защита личных сведений физлиц при их обработке во время осуществления различных операций, а так же создание норм, обеспечивающих как безопасность, так и высокую эффективность обработки этих самых сведений.
К основным правилам и принципам, которые позволяют осуществить данную задачу, можно отнести следующие нормы:
- Обработка данных должна проходить только для достижения заранее поставленных и согласованных сведений. Так, например, если человек разрешил использовать его персональную информацию из удостоверения личности для подготовки договора, то для других целей (например, для передачи в стороннюю организацию), её использовать нельзя;
- Объединение баз данных в одну общую с целью дальнейшей обработки запрещено, за исключением тех случаев, когда базы обрабатываются с одной целью. Это значит, что нельзя брать персональные сведения из сторонних баз данных для выполнения сторонних задач, даже если есть такая возможность;
- При работе с данными требуется соблюдать высокую точность и следить за актуальностью сведений. Ошибки, использование устаревшей информации или обработка ложных сведений недопустимы;
- Хранить личную информацию операторы обязаны так, чтобы доступом к ней обладали только уполномоченные работники и операторы. Не допускается передача данных третьим лицам или её распространение.
Многих интересует именно ответ на вопрос «есть ли изменения в законе о персональных данных в 2020 году?». Ответ прост – изменений нет и в настоящий момент не предвидится, так как никаких значительных правок в законы о работы с данными граждан и в сфере документооборота не вносилось.
Самая свежая правка в закон «о персональных данных» была внесена в 2017 году, она вступила в силу первого января. Так же в 2018 году предлагалось внести еще несколько правок, но они были отменены Государственной Думой. Так что новые изменения пока не планируются, а ближайшие значительные изменения в закон «о персональных данных» ожидаются только после серьезных изменений в электронном документообороте.
Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, признается персональными данными (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ).
К персональным данным относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы и другая информация о конкретном человеке. Размер заработной платы, выплачиваемой работнику, относится к его персональным данным (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681).
Понятие «заработная плата» включает в себя не только должностной оклад или тарифную ставку работника, но и положенные ему выплаты компенсационного и стимулирующего характера (надбавки, доплаты, премии) (ч. 1 ст. 129 Трудового кодекса РФ).
В пункте 4 разъяснений от 14.12.2012 специалисты Роскомнадзора разобрали несколько ситуаций, когда нельзя предоставлять персональные сведения о работнике.
Так, нельзя передавать данные о работнике, если:
— с запросом обратился человек или организация, не уполномоченные федеральным законом на получение таких сведений. Например, запросивший персональные данные не является государственным инспектором труда, прокурором, сотрудником правоохранительных органов или органов безопасности и т. п.;
— нет письменного согласия работника на предоставление сведений о нем лицу, обратившемуся с запросом. Если сотрудник не дал согласие на передачу персональных сведений никому из родственников, работодатель или его представитель не вправе передавать персональные данные работника его жене.
Требование супруги предоставить ей сведения о зарплате мужа также не является основанием для предоставления персональных сведений без согласия работника. Что подтверждают и специалисты Роскомнадзора в письме от 07.02.2014 № 08КМ-3681.
152-ФЗ о персональных данных с изменениями на 2020 год
Если персональные данные работника не сохранил в секрете бухгалтер компании, директор вправе сделать ему выговор или даже уволить (п. 6 ч. 1 ст. 81, ст. 90 и 192 ТК РФ).
Однако если бухгалтер решит оспорить в суде увольнение на основании пункта 6 части 1 статьи 81 Трудового кодекса за разглашение персональных данных другого работника, администрация компании должна будет доказать следующее:
— сведения, которые уволенный бухгалтер расчетной части неправомерно разгласил, относятся к персональным данным другого работника;
— они стали известны работнику в связи с исполнением им трудовых обязанностей;
— уволенный работник дал обязательство не разглашать такие сведения.
Об этом говорится в пункте 43 постановления Пленума Верховного суда РФ от 17.03.2004 № 2.
В компании должен быть разработан и утвержден локальный нормативный акт, в котором регламентируется порядок обработки, хранения, использования и защиты персональных данных работников, — положение о персональных данных работников (ст. 8, п. 7 и 8 ст. 86, ст. 87 и 88 ТК РФ).
В нем, в частности, необходимо прописать порядок передачи персональных данных работников третьим лицам.
В отдельном пункте положения о персональных данных работников следует указать, что информация может быть предоставлена родственникам или членам семьи только с письменного согласия самого работника (за исключением случаев, предусмотренных законодательством).
Обратите внимание: работник сам вправе определить, какому лицу (организации) он готов предоставить свои персональные данные. Необязательно, что в перечень этих лиц попадет супруга работника. Образец письменного согласия работника на предоставление его персональных данных смотрите ниже.
В положении о персональных данных также стоит описать порядок действий уполномоченных представителей компании, если в силу нормы закона на запрос не может быть дан положительный ответ. В этом случае обратившемуся лицу бухгалтер выдает письменное уведомление об отказе в предоставлении персональных данных работника.
В уведомлении можно будет сослаться на статью 88 Трудового кодекса и соответствующий пункт внутреннего положения о персональных данных работников. Образец уведомления смотрите ниже.
Похожие записи:
-