Новая ответственность за нарушения обработки персональных данных

4545
С середины текущего года в действии новая редакция КоАП. Она вводит ряд самостоятельный видов нарушений Закона № 152 ФЗ “О персональных данных”, а также значительно увеличиваются размеры штрафов. В текущем положении дел стоит внимательнее отнестись к принятым в Вашей компании положениям и привести их в порядок. В нашей статье мы подробно остановимся на всех нарушениях и опишем пути их избежания.

Изменения в защите персональных данных в 2017 году

1 июля 2017 года вступит в силу новая редакция ст. 13.11 КоАП. Ст. 2 Федерального закона от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Что в связи с этим изменится:

СЕЙЧАС С 1 ИЮЛЯ
ЗА ЧТО МОГУТ НАКАЗАТЬ Одно нарушение — «установленного законом порядка сбора, хранения, использования или распространения персональных данных» (ч. 1 ст. 13.11 КоАП) Шесть самостоятельных нарушений
НА СКОЛЬКО МОГУТ НАКАЗАТЬ Минимум предупреждение, максимум штраф 10 тыс. руб. Штраф: минимум 3 тыс. руб., максимум 75 тыс. руб.
КТО МОЖЕТ НАКАЗАТЬ Прокурор Должностное лицо Роскомнадзора

Сейчас за любое нарушение работы с личными данными грозит ответственность по ч. 1 ст. 13.11 КоАП. Максимальный штраф для компании — 10 тыс. руб., должностного лица — 1 тыс. руб.

Прочитайте полезные статьи по теме:

С 1 июля 2017 г. появится шесть самостоятельных оснований привлечь к ответственности за нарушения в работе с такой информацией.

Вас и компанию могут наказать, если:

  1. Нарушили правила обработки персональных данных.
  2. Не получили письменные согласия сотрудников, когда этого требует закон.
  3. Не опубликовали документ, который определяет политику в области персональных данных или сведения по защите персональных данных.
  4. Не предоставили сотруднику информацию об обработке его личных данных.
  5. Не уточнили, не заблокировали или не уничтожили персданные по требованию сотрудника.
  6. Нарушили правила хранения таких сведений — если это привело к несанкционированному доступу и неправомерным действиям.

Посмотрите видео по теме:

Наказания за эти нарушения будут различаться. Самое «дорогое» — обработка сведений без согласия работника. За это компанию могут оштрафовать на 75 тыс. руб. «Дешевле» всего — в 3 тыс. руб. — обойдется необеспечение неограниченного доступа к документу, который определяет политику вашей компании по обработке персданных. Это минимальный размер штрафа для должностного лица.

Рассмотрим каждое из новых оснований ответственности за нарушения федерального закона о персональных данных. А также разберем, что сделать, чтобы этой ответственности избежать.

Нарушили правила обработки сведений, предусмотренных законом о защите персональных данных

За что и как накажут. К административной ответственности привлекут, если:

  • обрабатываете личные сведения в не предусмотренных законом случаях;
  • цель обработки несовместима с целями их сбора.
КОГО НАКАЖУТ КАК НАКАЖУТ, ЕСЛИ ДЕЙСТВИЯ НЕ СОДЕРЖАТ УГОЛОВНО НАКАЗУЕМОГО ДЕЯНИЯ НА КАКОМ ОСНОВАНИИ
Должностное лицо Предупреждение или штраф от 5 тыс. до 10 тыс. руб. Часть 1 ст. 13.11 КоАП
Организация Предупреждение или штраф от 30 тыс. до 50 тыс. руб.

Что учесть в работе с законом 152 ФЗ о персональных данных

Содержание и объем сведений, которыми Вы обрабатываете, должны соответствовать заявленным целям сбора (ч. 5 ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ).

Вы можете обрабатывать личные сведения сотрудников, чтобы (п. 1 ст. 86 ТК):

  • соблюдать требования законодательства;
  • содействовать сотрудникам в трудоустройстве, получении образования и др.;
  • обеспечить личную безопасность персонала;
  • контролировать количество и качество выполняемой работы;
  • сохранить имущество.

Вы обрабатываете персданные, если совершаете с ними любое действие, в т. ч.:

  • собираете,
  • записываете,
  • систематизируете,
  • накапливаете,
  • храните,
  • уточняете,
  • извлекаете,
  • используете,
  • передаете,
  • обезличиваете,
  • блокируете,
  • удаляете,
  • уничтожаете.

При этом передача сведений означает распространение или предоставление доступа к ним (п. 3 ст. 3 Закона о персональных данных № 152-ФЗ).

Изменения в защите персональных данных в 2017 относительно согласия на обработку

За что и как накажут. К ответственности привлекут, если:

  • обработали сведения без письменного согласия сотрудника, когда такое требование предусмотрено законом;
  • в согласии на обработку нет установленных законом сведений.
КОГО НАКАЖУТ КАК НАКАЖУТ, ЕСЛИ ДЕЙСТВИЯ НЕ СОДЕРЖАТ УГОЛОВНО НАКАЗУЕМОГО ДЕЯНИЯ НА КАКОМ ОСНОВАНИИ
Должностное лицо Штраф от 10 тыс. до 20 тыс. руб. Часть 2 ст. 13.11 КоАП
Организация Штраф от 15 тыс. до 75 тыс. руб.

Что учесть в работе. Если возникнет спор, придется доказывать, что сотрудник дал согласие на обработку (ч. 3 ст. 9 Закона № 152-ФЗ). Обрабатывать такие сведения работников вы можете с их письменного согласия (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ).

Пример

Вы не можете собирать, хранить, распространять и использовать любую информацию о частной жизни. В т. ч. сведения о происхождении, месте пребывания или жительства, личной и семейной жизни, без согласия работника (п. 4 ст. 86 ТК, п. 1 ч. 2 ст. 10 Закона № 152-ФЗ).

Однако есть исключительные случаи, когда вы не должны получать согласие на передачу персданных. Такие случаи перечислены в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона № 152-ФЗ, абз. 2 ст. 88 ТК.

Пример

Без согласия работников медорганизация вправе размещать в общедоступном месте и публиковать на сайте данные:

  • о врачах,
  • об уровне их образования и квалификации (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, п. 7 ч. 1 ст. 79 Закона от 21.11.2011 № 323-ФЗ).

Изменение состава сведений в положении о защите персональных данных 2017

Требования к составу сведений в письменном согласии на обработку личных сведений устанавливает ч. 4 ст. 9 Закона № 152-ФЗ. Учитывайте эти требования и в случае, когда письменное согласие получать не обязательно, но вы решили его запросить.

Согласие на обработку персданных (приложение) включает:

  • фамилию, имя, отчество, адрес работника;
  • наименование работодателя;
  • цель обработки персональных данных;
  • перечень персональных сведений, на обработку которых он дает согласие;
  • перечень действий с персональными данными, на совершение которых работник дает согласие;
  • описание используемых вами способов обработки полученных сведений;
  • срок, в течение которого действует согласие, а также способ его отзыва.

Сотрудник может подписать согласие лично на бумаге либо поставить электронную подпись на электронном документе (ч. 4 ст. 9 Закона № 152-ФЗ).

Публичность политики в 152 ФЗ о защите персональных данных: изменения 2017

За что и как накажут. К ответственности привлекут, если не обеспечите свободный доступ:

  • к документу, который определяет политику в отношении обработки личных сведений;
  • сведениям о реализуемых требованиях к защите данных.
КОГО НАКАЖУТ КАК НАКАЖУТ НА КАКОМ ОСНОВАНИИ
Должностное лицо Предупреждение или штраф от 3 тыс. до 6 тыс. руб. Часть 3 ст. 13.11 КоАП
Организация Предупреждение или штраф от 15 тыс. до 30 тыс руб.
Прочитайте полезные статьи по теме:

Что учесть в работе. В компании должны быть:

  • документы, которые определяют политику в отношении обработки персональных данных;
  • сведения о реализуемых требованиях к их защите.

Эти документы нужно утвердить и опубликовать на сайте или предоставить к ним свободный доступ (ч. 2 ст. 18.1 Закона № 152-ФЗ).

Содержание “Политики конфиденциальности” в законе № 152 ФЗ

Как правило, документ, который определяет политику в отношении обработки личных сведений, называют «Политика конфиденциальности». Этот документ касается персданных любых лиц и содержит разделы:

  • обращение к субъектам персональных данных;
  • персональные данные, которые собирает и обрабатывает оператор;
  • цели сбора и обработки;
  • условия их обработки;
  • правила передачи: кому, в каких целях и на каких условиях;
  • общую характеристику мер защиты;
  • права субъектов;
  • порядок изменения политики.

Сведения или меры по защите сведений можете закрепить в отдельном локальном акте. Если храните и обрабатываете персданные в электронных информационных системах, то локальный акт должен соответствовать требованиям нормативных актов:

  • постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Прочитайте полезные статьи по теме:

Не предоставление сотруднику сведений об обработке его персональных данных согласно ФЗ 152

За что и как накажут. К ответственности привлекут, если не проинформировали работника об обработке его персональных данных.

КОГО НАКАЖУТ КАК НАКАЖУТ НА КАКОМ ОСНОВАНИИ
Должностное лицо Предупреждение или штраф от 4 тыс. до 6 тыс. руб. Часть 4ст. 13.11 КоАП
Организация Предупреждение или штраф от 20 тыс. до 40 тыс. руб.

Что учесть в работе. Сотрудник вправе получать информацию о своих персданных и их обработке. Исключения установил абз. 2 ст. 89 ТК, ч. 7, 8 ст. 14 Закона № 152-ФЗ.

Пример

Работник вправе попросить подтвердить, что вы обрабатывали его персональные данные. Вы обязаны удовлетворить просьбу и описать с какой целью и как обрабатывали его персданные.

Кроме того, вы обязаны предоставить ему свободный доступ к его персональным данным и возможность получить копию любой записи, которая их содержит (абз. 3 ст. 89 ТК, ч. 1 ст. 18 Закона № 152-ФЗ). Предоставить сведения вы должны в течение 30 дней с даты получения запроса (ч. 1 ст. 20 Закона № 152-ФЗ).

Прочитайте полезные статьи по теме:

Обновление и уничтожение персданных с учетом изменений в законе

За что и как накажут. К ответственности привлекут, если по требованию сотрудника вы не уточните, не заблокируете или не уничтожите персональные данные, которые:

  • являются неполными или неточными;
  • устарели или были получены незаконно;
  • не нужны для заявленной вами цели обработки.
КОГО НАКАЖУТ КАК НАКАЖУТ НА КАКОМ ОСНОВАНИИ
Должностное лицо Предупреждение или штраф от 4 тыс. до 10 тыс. руб. Часть 5ст. 13.11 КоАП
Организация Предупреждение или штраф от 25 тыс. до 45 тыс. руб.

Что учесть в работе. Сотрудник вправе потребовать исключить или исправить неверные или неполные данные, а также сведения, которые вы обработали с нарушением законодательства.

Кроме того, он вправе потребовать известить всех, кому вы ранее сообщили неверные или неполные персданные, об изменениях, которые в них внесли.

Если работник обратился с таким требованием, выполните его. Откажете — сотрудник может обжаловать ваше решение в суде (абз. 6, 8 ст. 89 ТК).

Прочитайте полезные статьи по теме:

Нарушение правил хранения в законе № 152 “О персональных данных”

За что и как накажут. К ответственности привлекут, если обрабатываемые без средств автоматизации персданные на материальных носителях уничтожены, изменены, заблокированы,распространены и т. п.

КОГО НАКАЖУТ КАК НАКАЖУТ НА КАКОМ ОСНОВАНИИ
Должностное лицо Предупреждение или штраф от 4 тыс. до 10 тыс. руб. Часть 5ст. 13.11 КоАП
Организация Предупреждение или штраф от 25 тыс. до 50 тыс. руб.

Что учесть в работе. Вы должны защищать персональные данные:

  • от неправомерного или случайного доступа к ним;
  • уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий.

Как будете защищать персданные, определяете сами. Учтите, что меры должны быть необходимыми и достаточными. Не забудьте закрепить перечень таких мер в локальном акте (ч. 1 ст. 18.1, ст. 19 Закона № 152-ФЗ).

Есть персональные данные, которые обрабатывают без средств автоматизации. Для таких данных установите Правила обработки персональных данных, которые осуществляют без использования средств автоматизации. Этот документ должен соответствовать Положению (утв.постановлением Правительства РФ от 15.09.2008 № 687).

Содержание Правил обработки персональных данных в ФЗ 152

В Правилах укажите:

  • лиц, которые осуществляют обработку персданных без средств автоматизации;
  • необходимые меры по обеспечению сохранности персданных;
  • лиц, которые отвечают за защиту персональных данных.

Права и обязанности работников, которые осуществляют неавтоматизированную обработку, определите в ЛНА, трудовых договорах и должностных инструкциях. Лицо, которому поручается организовать обработку, назначьте приказом (ч. 1 ст. 22.1 Закона № 152-ФЗ) и не забудьте ознакомить с Правилами.

Кроме того, у вас должны быть документы, подтверждающие, что вы:

  • проинформировали работников, которые осуществляют неавтоматизированную обработку персданных, о ее правилах и категориях сведений;
  • ознакомили их с требованиями нормативных правовых актов в этой сфере.

Кадровые документы держите в закрываемых помещениях, шкафах и сейфах. Вы должны их хранить так, чтобы исключить несанкционированный доступ к ним.

С 1 июля 2017 года ужесточают ответственность за нарушения в работе с персональными данными. При этом соблюдение вами требований к работе с такой информацией могут проверить не только по плану, но и по жалобе работника. Будьте внимательны при работе с персональными данными и не нарушайте установленные законом требования.



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

Актуально


Рассылка




PRO-personal.ru: сайт для специалистов по кадрам и управлению персоналом

Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции сайта. Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

Свидетельство о регистрации электронных СМИ № ФС77-40332 от 23 июня 2010 года


  • Мы в соцсетях
Зарегистрируйтесь на сайте и скачайте файл!

Это бесплатно и займет всего одну минуту! Вам станут доступны для скачивания более 2000 форм и образцов документов.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль