Защита персональных данных новое в законодательстве. Передачу персональных данных на зарубежные сервера планируется ограничить. Видео: Закон о персональных данных в РФ: забота о пользователях или тотальный контроль

Содержание
  1. Особенности обработки персональных данных в РФ иностранными компаниями
  2. Осуществление деятельности по обработке персональных данных:
  3. Деятельность иностранной компании в РФ, связанная с обработкой персональных данных
  4. Главный критерий: деятельность иностранной компании направлена на территорию РФ
  5. Параллельный ввод данных
  6. Нововведения в законодательстве о персональных данных — и как это касается бизнеса
  7. Для начала следует разобраться: а что вообще подразумевается под персональными данными
  8. Итак, рассмотрим детально, о чём речь
  9. И здесь нельзя обойти стороной GDPR, вступивший в силу и сильно нашумевший в 2018 году
  10. Конечно, это всё разговоры о штрафах в других частях мира — Европе, США — и речь о гражданах этих стран
  11. В целях минимизации риска применения санкций в России всем бизнес-проектам в первую очередь рекомендуется выяснить — отвечает ли документация сайта и организации требованиям законодательства о персональных данных
  12. Закон о персональных данных с 1 января 2020 года (2017) – последняя редакция, 152 ФЗ, ответственность за нарушение, кратко, федеральный, о защите, согласие на обработку
  13. Краткий обзор федерального закона 152 ФЗ
  14. Закон о персональных данных: последняя редакция
  15. Согласие на обработку
  16. Ответственность за нарушение
  17. : Закон о персональных данных в РФ: забота о пользователях или тотальный контроль?
  18. Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать
  19. Обеспечить защиту данных
  20. Что будет, если не защитить данные
  21. Публичные документы: их показываем тем, у кого берем персональные данные
  22. Внутренние документы компании: в них описываем корпоративный порядок работы с персональными данными
  23. Что будет, если не разработать документы
  24. Уведомить Роскомнадзор
  25. Что будет, если не отправить уведомление
  26. Получать согласие на хранение и обработку персональных данных
  27. Что будет, если не спрашивать разрешения
  28. Краткая инструкция по выполнению федерального закона о персональных данных 152-ФЗ

Особенности обработки персональных данных в РФ иностранными компаниями

Защита персональных данных новое в законодательстве. Передачу персональных данных на зарубежные сервера планируется ограничить. Видео: Закон о персональных данных в РФ: забота о пользователях или тотальный контроль

опубликовано: 18.04.2019

Согласно ч. 5 ст.

18 Закона 152-ФЗ (О персональных данных) при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона (эти исключения к исследуемой ситуации не относятся).

Также существует мнение (юридическое обоснование неизвестно), что персональные данные в первую очередь должны попадать на российские сервера.

Кроме того, дальнейшая обработка и извлечение персональных данных, якобы, также должны осуществляться с российских серверов.

Задача сформировать перечень требований, которые Общество, как оператор персональных данных клиентов, должно соблюдать согласно требованиям действующего законодательства. На основании изложеного просим обосновать:

Вас может заинтересовать: Соблюдение требований законодательства при обработке персональных данных

Осуществление деятельности по обработке персональных данных:

Часть 5 статьи 18 Закона 152-ФЗ обязывает осуществлять запись, систематизацию, накопление, хранение, уточнение, извлечение ПД граждан РФ с использованием баз данных, находящиеся в РФ. При этом данная норма запрещает обработку ПД за пределами РФ в целом, а лишь устанавливает такой запрет на сбор ПД (запись, систематизацию, накопление, хранение, уточнение, извлечение).

При этом данная норма не затрагивает использования, передачи, обезличивания, блокирования, удаления, уничтожения ПД. Таким образом, при буквальном толковании положений Закона 152-ФЗ можно сделать вывод, что они не распространяются на дальнейшую передачу ПД за пределы РФ.

Аналогичная позиция изложена в разъяснениях Минкомсвязи по вопросу о соотношении требования о локализации отдельных процессов обработки персональных данных с положениями о трансграничной передаче персональных данных https://digital.gov.ru/ru/personaldata/

В частности, Минкомсвязи разъяснил, что изменения в Закона 152-ФЗ, не затронули положений закона о трансграничной передаче данных. Соответственно передача персональных данных за пределы Российской Федерации возможна, как и ранее, с соблюдением условий, указанных в ст. 12 ФЗ «О персональных данных».

Тем самым требование о локализации отдельных процессов обработки персональных данных, содержащееся в ч. 5 ст. 18 ФЗ «О персональных данных», следует толковать в системном единстве с положениями ст. 12 о трансграничной передаче данных и с учетом определения данного понятия.

Таким образом, персональные данные гражданина Российской Федерации, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней («первичная база данных»), могут далее передаваться в базы данных, расположенные за пределами России («вторичные базы данных»), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных.

Такие вторичные базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр.

При этом при передаче персональных данных за границу иному оператору ответственность за действия, совершаемые в отношении переданных персональных данных, несет такой оператор в соответствии с применимым к нему законодательством.

Предоставление удаленного доступа к базам данных, находящихся на территории Российской Федерации, с территории другого государства ФЗ-242 не запрещается.

Таким образом, первоначально ПД должны попадать в российские БД, а в дальнейшем эти ПД можно передавать на зарубежные сервера с соблюдением требований о трансграничной передаче.

Вас может заинтересовать: Включение в реестр операторов осуществляющих обработку персональных данных

Деятельность иностранной компании в РФ, связанная с обработкой персональных данных

Судебная практика показывает, что положения Закона 152-ФЗ распространяются не только на российских субъектов, но и на иностранные компании, осуществляющие деятельность в РФ (в том числе без фактического присутствия на территории РФ).

Ярким примером такого толкования может служить дело о блокировке в России социальной сети LinkedIn, в котором суд (Апелляционное определение Московского городского суда от 10.11.2016 по делу N 33-38783/16) не согласился с доводом, что нормы российского законодательства о персональных данных не подлежат применению к иностранной компании.

Позиция суда сводилась к тому, что компания LinkedIn осуществляла деятельность на территории России посредством использования сайта http://www.linkedin.com, направленного на территорию России, что подтверждалось наличием у сайта русскоязычной версии и возможностью использования на нем рекламы на русском языке.

Таким образом, если владелец вторичной базы данных будет признан осуществляющим деятельность на территории РФ, то к нему будут применены все те же требования о локализации ПД в базах данных, расположенных в РФ. В связи с этим необходимо при выборе вторичной базы данных оценить ее владельца.

Вас может заинтересовать: Аккредитация представительства или филиала иностранной компании в РФ.

Главный критерий: деятельность иностранной компании направлена на территорию РФ

Даже если иностранная компания ведет свою деятельность через Интернет без физического присутствия на территории России, на такую компанию могут распространяться требования локализации, если соблюден главный критерий – деятельность такой иностранной компании направлена на территорию РФ. О направленности деятельности на территорию России, по мнению Минкомсвязи России, могут свидетельствовать:

  • Использование доменного имени, связанного с Российской Федерацией (.ru, .рф., .su, .москва., .moscow и т.п.).
  • Наличие русскоязычной версии интернет-сайта, созданной владельцем такого сайта или по его поручению иным лицом, за исключением функции автоматизированного переводчика, в сочетании со следующими условиями (одним из них):
    • Возможность производить расчеты в российских рублях;
    • Возможность доставки товара, оказания услуги или пользования цифровым контентом на территории России, а также иные случаи исполнения договора на территории Российской Федерации;
    • Использование рекламы на русском языке, отсылающей к соответствующему интернет-сайту;
  • Иные обстоятельства, явно свидетельствующие о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию.

В связи с этим, в первую очередь, нужно обратить внимание на доменное имя сайта компании-владельца вторичной базы. Во-вторых, чтобы на этом сайте отсутствовала русскоязычная версия, в-третьих, деятельность не должна быть направлена иным образом на территорию РФ.

Возможно, вас заинтересует: Юридическое обслуживание стартапов и IT компаний.

Параллельный ввод данных

Источник: https://primelegal.ru/analitika/osobennosti-obrabotki-personalnyh-dannyh-v-rf-inostrannymi-kompaniyami/

Нововведения в законодательстве о персональных данных — и как это касается бизнеса

Защита персональных данных новое в законодательстве. Передачу персональных данных на зарубежные сервера планируется ограничить. Видео: Закон о персональных данных в РФ: забота о пользователях или тотальный контроль

Digital-юрист Константин Крупский объясняет ситуацию и даёт советы — как не попасть на штраф в 18 млн ₽.

В настоящее время персональные данные используются во многих сферах жизни людей и в совершенно различных целях.

Начиная от информации в социальных сетях для коммуникации с друзьями, коллегами и заканчивая банковскими реквизитами при покупке товаров, будь то в интернете или в супермаркете.

Согласно исследованиям, проведённым в 2019 году, в социальных сетях зарегистрировано порядка 3,48 миллиарда пользователей.

При этом обычный человек совсем не интересуется, куда попадают его данные и что с ними происходит дальше.

При покупке товаров человек просто прикладывает телефон или банковскую карту к платёжному терминалу и забирает купленные продукты, размышляя лишь о способах их потребления. Однако кое-кто об этом задумывается, поэтому был внесён законопроект с беспрецедентными для России размерами штрафов за нарушения в сфере персональных данных.

Для начала следует разобраться: а что вообще подразумевается под персональными данными

Закон нам чётко говорит, что это «любая информация, которая прямо или косвенно относится к определённому или определяемому человеку». Однако когда читаешь такое пояснение в первый раз, создаётся впечатление, что это какая угодно информация о людях, начиная с номера телефона и заканчивая цветом волос.

Запустите свой интернет-магазин с нуля до работающего сервиса и первых заказов.

Практический онлайн-курс для начинающих предпринимателей и предпринимателей, желающих перейти в онлайн-торговлю.

Записывайтесь прямо сейчас!>>>

Реклама

Поэтому данный вопрос порождает массу дискуссионных моментов, множественность мнений и является остро обсуждаемым уже довольно давно. При этом ни одна государственная инстанция не может предоставить исчерпывающего списка сведений о человеке, относящихся к персональным данным.

Если же обратиться к позициям судов, то в состав персональных данных можно внести несколько достаточно очевидных пунктов: ФИО человека, его паспортные данные, адрес проживания, иная информация из пенсионного дела и/ или трудового договора. При этом ИНН человека или логин на каком-нибудь сайте не являются персональными данными, ведь по этим наборам чисел и символов нельзя понять, что это за человек, какого он возраста, пола.

Однако если на аватарке человека есть его фотография или при регистрации он укажет электронную почту, в названии которой будет его ФИО, а в доменном имени — название компании, где он работает, то суммарно эта информация также будет признаваться персональными данными.

Итак, рассмотрим детально, о чём речь

В середине июня 2019 года был опубликован законопроект, который вводит новые штрафы за нарушения в сфере персональных данных, и если сейчас максимальный штраф в сети интернет достигает 75 тысяч ₽ для юридических лиц (ст. 13.11 КоАП РФ), то новый законопроект вводит максимальный штраф в той же статье закона до 18 млн ₽.

Также существенно повышается штраф и за незаконную обработку персональных данных граждан РФ. А в связи с тем, что под обработкой понимается любое действие с персональными данными, то бизнесу необходимо разрабатывать документацию, соответствующую требованиям законодательства для контроля и урегулирования вопросов использования персональных данных.

Однако большинство бизнес-проектов на свою голову относятся пренебрежительно к этому вопросу, не уделяя должного внимания правовым механизмам, регламентирующим использование личной информации, например, при обработке сведений пользователей своих сайтов.

Обсуждаемый законопроект, значительно увеличивающий штрафы, призывает компании быть внимательнее при обработке персональных данных и в обязательном порядке предусматривать ряд превентивных мер, минимизируя спектр рисков, связанных с наложением штрафов за нарушения в сфере персональных данных.

Предполагаю, что разработчики этого законопроекта руководствовались и вдохновлялись международной практикой решения тех же вопросов.

И здесь нельзя обойти стороной GDPR, вступивший в силу и сильно нашумевший в 2018 году

Он увеличивает штрафы за нарушение правил обработки персональных данных до 20 млн € (~1,4 млрд ₽) или 4% годового дохода компании, тем самым усиливая и ужесточая ответственность за такие правонарушения.

В связи с тем, что данный документ имеет экстерриториальное действие, то он применяется ко всем компаниям, обрабатывающим персональные данные граждан Европейского союза, независимо от резидентства или местонахождения такой компании.

Но что же происходит на практике? Так в ноябре 2018 года в Германии был вынесен штраф чат-приложению для знакомств Knuddels за утечку логинов и паролей порядка 330 000 пользователей продукта. За это правовой регулятор Германии, руководствуясь именно положениями GDPR, вынес штраф в размере 20 тысяч € (~1,4 млн ₽).

Британский правовой регулятор также не дремлет и привлёк к ответственности Equifax — кредитное бюро, являющееся одним из трёх крупнейших кредитных агентств в США наряду с Experian и TransUnion, на 550 тысяч € (~39 млн ₽) за нарушения, касающиеся персональных данных 146 миллионов клиентов компании.

В ходе расследования было установлено, что британский филиал Equifax “failed to take appropriate steps” (не предпринял надлежащих шагов) для защиты данных граждан, добавив, что многочисленные сбои в компании привели к тому, что личная информация сохранялась дольше, чем необходимо для целей её обработки, и была совершенно открыта для доступа иных лиц. Британский регулятор также отдельно подчеркнул, что меры для защиты и управления личной информацией были “inadequate and ineffective” (неадекватными и неэффективными).

Безусловно, для российского бизнеса, а особенно для молодых бизнес-проектов прочтение фактов о штрафах таких размеров за утечку или ненадлежащую обработку персональных данных людей поражают и удивляют, однако история знает цифры совсем другого порядка, которые действительно способны впечатлить.

Так, в начале 2019 года GDPR постучал в дверь Google, а именно правовой регулятор Франции, с комментарием, что при использовании смартфонов на платформе Android цели обработки описаны “in a too generic and vague manner” (слишком обобщённо и расплывчато), как и категории данных, обрабатываемых для этих разных целей.

Аналогично передаваемая информация недостаточно ясна, чтобы пользователь мог понять, что правовой основой обработки операций для персонализации рекламы является согласие, а не законный интерес компании. В результате разбирательства Google был оштрафован на 50 млн € (~3,5 млрд ₽) за нарушение положений GDPR по мнению Национальной комиссии по делам информационных технологий и правам человека Франции.

В сентябре 2018 года социальная сеть была взломана, и злоумышленники похитили персональные данные примерно 50-ти миллионов пользователей. В результате проведения расследования европейскими правовыми регуляторами вина социальной сети была установлена, и в настоящий момент ведётся утверждение штрафа в размере 5 млрд $ (~очень много рублей).

Конечно, это всё разговоры о штрафах в других частях мира — Европе, США — и речь о гражданах этих стран

Но есть ощущение, что, вводя этот законопроект об увеличении штрафов в сфере персональных данных до 18 млн ₽, законотворцы в России решили «сделать свой GDPR» со своими историческими максимумами по штрафам.

Россия — это страна, в которой штрафы за нарушения в сфере персональных данных всегда были достаточно низкими, ведь только в 2017 году их максимальная отметка достигла 75 тысяч ₽, ранее было ещё меньше, и это происходит на фоне штрафа Uber на 148 млн $ (~9,3 млрд ₽) в 2016 году — такой контраст действительно поражает и заставляет задуматься.

Мы не можем отрицать, что сегодняшние технологии, гаджеты очень плотно вошли в мир современного человека и в зону его коммуникаций. Настолько плотно, что учёные и психологи совершенно серьёзно выделяют новый вид фобии — номофобию (страх отсутствия мобильного телефона).

А ведь взаимодействие человека с мобильным телефоном, планшетом или ноутбуком неизбежно приводит к предоставлению его персональных данных компаниям-владельцам используемых устройств, мобильных приложений, сайтов.

Бесспорно, это в значительной мере изменяет степень общественной опасности правонарушений в сфере персональных данных, и, конечно же, динамично изменяющиеся условия требуют адекватной реакции и корректировки законов в целях предупреждения противоправных действий в сфере персональных данных. Но остаётся лишь найти ответ на один вопрос — штраф в 18 миллионов — это адекватная реакция?

В целях минимизации риска применения санкций в России всем бизнес-проектам в первую очередь рекомендуется выяснить — отвечает ли документация сайта и организации требованиям законодательства о персональных данных

Закон говорит нам, что при обработке персональных данных организация обязана принимать необходимые правовые, организационные и технические меры для защиты личных сведений пользователей от незаконного или случайного доступа к ним и от иных неправомерных действий в отношении персональных данных.

В частности, под правовыми мерами подразумевается документальное оформление условий обработки персональных данных на сайте в виде пользовательского соглашения, политики обработки персональных данных и cookie policy, а за пределами онлайн-пространства — в виде локальных нормативных актов, то есть внутренней документации организации, касающейся персональных данных.

Организационные и технические меры связаны с работой сайта и с использованием средств защиты информации на нём.

Речь идёт о целом постановлении Правительства РФ, которое содержит объёмный список требований к защите персональных данных при их обработке с целью обеспечения необходимого уровня безопасности личных сведений граждан РФ.

Сведения каждого пользователя должны быть защищены надлежащим образом от третьих лиц, при этом важно своевременное информирование пользователя об использовании его персональных данных в тех или иных целях.

Данные блоки мер для защиты персональных данных пользователей закрепляют спектр императивных норм, обязательных для исполнения, поэтому выполнение таких требований существенно снижает вероятность назначения штрафа. В целом в положениях нет избыточности, все действия действительно важны и работают на защиту как личной информации пользователей сайта, так и интересов организации.

Согласно отчёту Роскомнадзора, в 2018 году было проведено 832 плановые проверки, при этом нарушения были выявлены в 80% случаев от общего числа проведённых проверок. Внеплановых проверок проведено всего 49, а нарушения были выявлены в 33% случаев.

Высокий процент выявления нарушений при плановых проверках говорит лишь о том, что на практике большинство организаций просто не знают, как в рамках требований законодательства управлять персональными данными, которые они обрабатывают.

За весь 2018 год органами Роскомнадзора было составлено и направлено в суды 156 протоколов об административных правонарушениях в отношении персональных данных за такие нарушения:

Как вы видите, превалирующее большинство протоколов об административных нарушениях были вынесены по ч. 1 ст. 13.11 КоАПа РФ, то есть, например, за обработку персональных данных без получения согласия, либо обработку, которая несовместима с целями сбора персональных данных.

И если в 2018 году эти штрафы составляли максимум 50 тысяч ₽, то обсуждаемый законопроект увеличивает их до 18 млн ₽, поэтому если вы думали о закрытии рисков, связанных с персональными данными, но откладывали решение вопроса на потом, то сейчас самое время сменить приоритеты и предпринять необходимые меры по обеспечению безопасности персональных данных.

Мнение редакции может не совпадать с мнением автора. Ваши статьи присылайте нам на 42@cossa.ru. А наши требования к ним — вот тут.

Источник: https://www.cossa.ru/trends/242294/

Закон о персональных данных с 1 января 2020 года (2017) – последняя редакция, 152 ФЗ, ответственность за нарушение, кратко, федеральный, о защите, согласие на обработку

Защита персональных данных новое в законодательстве. Передачу персональных данных на зарубежные сервера планируется ограничить. Видео: Закон о персональных данных в РФ: забота о пользователях или тотальный контроль

С развитием цифровых технологий многие организации сталкиваются с проблемой, связанной с хранением и обработкой персональных данных клиентов. Принятый закон о персональных данных призван обеспечить права и свободы гражданина в тот момент, когда его личная информация хранится или используются в различных государственных и коммерческих структурах.

Краткий обзор федерального закона 152 ФЗ

Закон даёт определение персональным данным, согласно ему это набор информации, которая может поспособствовать идентификации лица.

К таким типам информации относятся:

  • Ф.И.О.;
  • полная дата рождения;
  • адрес по месту регистрации;
  • сведения о доходах;
  • сведения о социальном положении;
  • личные номера телефонов;
  • сведения об образовании;
  • банковские реквизиты;
  • данные для доступа в аккаунты;
  • личная переписка;
  • биометрические показатели.

Скачать текст Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (с изменениями и дополнениями).

Обрабатывают и хранят всю эту информацию операторы. Закон о персональных данных относит к таким операторам:

  • государственные органы и структуры;
  • некоммерческие и коммерческие организации;
  • физические лица.

Большинство операторов в стране это:

  • банки и кредитные организации;
  • интернет – магазины;
  • социальные сети;
  • почтовые сервисы.

Физическое лицо, которое предоставляет свои данные операторам, будет являться субъектом персональных данных.Сфера действия закона распространяется на:

  • органы государственной власти;
  • органы местного самоуправления;
  • иные органы гос. власти;
  • юридические лица;
  • физические лица.

Как видно, закон охватывает полностью всех субъектов правоотношения в не зависимости от статуса и местоположения. Любой из нарушителей в представленном списке будет нести равную ответственность перед остальными участниками в этой сфере деятельности.

К обработке персональных данных закон относит любые действия или их совокупность, которые проводятся с применением устройств автоматизирующих этот процесс или без применения таких:

  • сборы информации;
  • запись;
  • систематизация;
  • накопления;
  • срочное или долговременное хранение;
  • обновления или изменения информации;
  • извлечения;
  • применения;
  • использование и передача;
  • блокировка;
  • удаления или уничтожения персональной информации.

К автоматизированным средствам обработки относят вычислительную технику. Она используется в большинстве интернет ресурсов и банковских системах.

К защите информации относят комплексы мер:

  • организационные;
  • технические;
  • правовые.

Все они направлены на исключения доступа к хранимой и обрабатываемой информации.

Совет: помимо использования технических средств направленных на защиту информации от её неправомерного использования, следует проявлять бдительность, при предоставлении информации и проверять, на законных ли основаниях действует оператор, запрашивающий личные данные.

Уполномоченным органом, отвечающем за исполнение закона о защите данных является Роскомнадзор. Свою деятельность данный орган осуществляет через территориальные отделения расположенные во всех субъектах страны. Специалистами Роскомнадзора ведётся специальный реестр операторов, которые занимаются обработкой и хранение персональных данных.

В полномочия органа также входят:

  1. Осуществление контрольных и надзорных действий в отношении операторов.
  2. Обработка поступающих жалоб и обращений.
  3. Проведение приостановления и прекращения деятельности по обработке информации.

Кроме указанных полномочий, представители от Роскомнадзора вправе обращается с исками в суд для защиты нарушенных прав субъектов.

Любой оператор, зарегистрированный на территории РФ, обязан:

  1. Перед началом проведения обработки личной информации своих клиентов уведомить контрольный орган по месту регистрации оператора.
  2. После поступления сообщения о намерении осуществить обработку данных оператором уполномоченные органы в срок до 30 дней вносят информацию об операторе в реестр.
  3. Список реестра является открытым и находится в общем доступе, кроме данных, относящихся к системам защиты обрабатываемой информации.

Закон о персональных данных: последняя редакция

Основным изменением в редакции закона в 2020 году будет ужесточение ответственности за нарушение обработки персональной информации. Поправки уже приняты в государственной думе и вступят в законную силу в 1 июля.

На сегодняшний день, нарушение регулирует 13.11 статья КоАПа. Санкции при этом следующие:

  • предупреждение;
  • денежный штраф до 500 р. для физического лица;
  • штраф до 1000 р. для должностного лица;
  • до 10 000 р. для юридического лица.

Представители законодательной власти считают, что действующая система наказания должным образом не защищает нарушенные права лиц, тем более не учитывается объем наступающих при этом негативных последствий.

Увеличения административных штрафов в несколько раз, по мнению законодателей, поспособствует сокращению правонарушений в области хранения и обработки персональной информации. Поправки были приняты во втором чтении в январе текущего года.

Начиная с 1 июня, будут действовать следующие санкции:

За обработку и использование данных не по законной форме
  • для физического лица – штраф до 3 000 р.;
  • для должностного лица – до 10 000 р.;
  • для юридического лица – до 50 000 р.
Если данные были обработаны без согласия лица
  • для физического лица – штраф до 5 000 р.;
  • для должностного лица – до 20 000 р.;
  • для юридического лица – до 75 000 р.
если операторами не будет опубликован документ, в котором будут указаны условия по применению и обработке информации
  • для физического лица – штраф до 1 500 р.;
  • для должностного лица – до 6 000 р.;
  • для юридического лица – до 30 000 р.
При отказе оператором предоставить данные касающиеся обработки персональной информации
  • для физического лица – штраф до 2 000 р.;
  • для должностного лица – до 6 000 р.;
  • для юридического лица – до 40 000 р.
Если операторы отказывается предоставлять субъекту данных уточнения по информации, не блокируют её и не удаляют
  • для физического лица – штраф до 2 000 р.;
  • для должностного лица – до 10 000 р.;
  • для юридического лица – до 45 000 р.

Ещё одно изменение будет принято в отношении возбуждения административных дел. Сейчас Роскомнадзору необходимо обращаться для возбуждения дела в прокуратуру с заявлением. После 1 июля эти полномочия перейдут к работникам Роскомнадзора.

Согласие на обработку

Субъекты всегда самостоятельно принимают решения по предоставлению своих персональных данных для их последующей обработки и хранения операторам. Форма согласия при этом может быть любая, главное чтобы в содержание было чётко указано, что субъект сознательно предоставляет свои данные.

Субъект также вправе отозвать своё согласие у оператора. На основе составленного заявления об отказе оператор обязан исключить всю информацию, которая относилась к данному субъекту.

Согласие на предоставление данных должно быть составлено в письменной форме на бумажном носителе и подписано собственноручно субъектом, либо в электронной форме, заверенной цифровой подписью.

В любой из форм должна содержаться следующая информация:

  • Ф.И.О;
  • полный адрес;
  • номер документов удостоверяющих личность;
  • дата их выдачи;
  • органы, выдавшие удостоверяющие документы;
  • полное наименование оператора;
  • адрес его регистрации;
  • цели обработки персональной информации;
  • список персональной информации, которая подлежит обработке;
  • список всех действий, которые будут производиться с предоставляемой информацией;
  • срок действия соглашения по обработке;
  • способы отзывов соглашения;
  • подпись и инициалы субъекта.

Ели субъект является недееспособным, тогда предоставить к обработке его персональные данные может законный представитель.

Ответственность за нарушение

Во многих законах присутствует статья за нарушения обработки и распространение персональных данных. Основной мерой воздействия на нарушителей является выплата денежного штрафа. Однако, в каждом из перечисленных законов присутствуют и иные санкции.

КоАПКак уже писалось выше, нововведения коснутся размеров штрафов за административное нарушение. Минимальная сумма штрафа будет 1 500 р. для физических лиц. Самая большая сумма будет у юридических лиц и составит 75 000 рублей.
Уголовный кодексВ уголовном кодексе за незаконную обработку сбор или распространение данных, таких как:
  • информация о частной жизни;
  • личная или семейная тайна;
  • личная переписка.

Предусмотрена ответственность в виде штрафа до 300 тысяч рублей, принудительных работ или лишения свободы до 4 лет.

Гражданский кодексПотерпевший субъект может обратиться в суд с иском о возмещении морального или физического вреда и понесенного убытка в связи с нарушением обработки его персональных данных. Суд определяет размер компенсации самостоятельно, однако эта сумма не имеет ограничений.
Трудовой кодексРаботники при нарушении могут получить от работодателя выговор или замечание. В зависимости от степени причиненного ущерба работник может быть уволен. Руководитель имеет полное право уволить работника по собственной инициативе, если тот разглашал сведения, касающиеся охраняемых законом тайн или персональной информации другого сотрудника.

: Закон о персональных данных в РФ: забота о пользователях или тотальный контроль?

Внимание!

  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов. Базовая информация не гарантирует решение именно Ваших проблем.

Поэтому для вас круглосуточно работают БЕСПЛАТНЫЕ эксперты-консультанты!

  1. Задайте вопрос через форму (внизу), либо через онлайн-чат
  2. Позвоните на горячую линию:

ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ.

    Источник: http://masterurist.ru/zakon-o-personalnyh-dannyh/

    Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать

    Защита персональных данных новое в законодательстве. Передачу персональных данных на зарубежные сервера планируется ограничить. Видео: Закон о персональных данных в РФ: забота о пользователях или тотальный контроль
    В России действует закон о защите персональных данных. Его обязаны соблюдать все, кто хранит любые персональные данные, то есть те, у кого есть сотрудники или база клиентов.

    Расскажем, как соответствовать 152-ФЗ и какими штрафами грозит несоблюдение закона.

    Обеспечить защиту данных

    Если вы храните персональные данные, то по статье 3 152-ФЗ являетесь оператором персональных данных и отвечаете за их защиту. Основные требования общие для всех:

    • Обеспечить аутентификацию, чтобы к данным имели доступ только те, у кого есть на это право.
    • Поставить серверы с данными в защищенном месте, чтобы посторонний не мог войти в помещение и подключиться к серверу напрямую.
    • Установить антивирусные программы, межсетевые экраны и другое ПО, которое должно защитить от угроз.
    • Использовать для защиты информации ПО, сертифицированное ФСТЭК — оно считается безопасным. Например, такой сертификат есть у антивируса от «Лаборатории Касперского». Если используете ПО собственной разработки, то можно получить на него сертификат самостоятельно.

    Если вы храните не просто ФИО, а важные данные, например фотографии, нужно обеспечить более серьезную защиту — к примеру, настроить систему обнаружения вторжений. Подробнее об этом можно почитать в нашей статье «Защита персональных данных в облаке: как сделать все по закону 152-ФЗ» — там мы рассказываем о типах угроз, уровнях защищенности и технических требованиях по безопасности.

    Если вы храните данные в облаке от Mail.ru Cloud Solutions, часть требований выполняем мы. Например, защищаем серверы или собираем информацию о событиях безопасности. Еще мы поможем построить систему защиты данных по требованиям ФСТЭК и аттестовать ваше ПО по требованиям закона.

    Что будет, если не защитить данные

    Ответственность за нарушение закона о персональных данных зависит от вида нарушения. Если оператор не защитит данные и кто-то случайно или намеренно получит к ним доступ, его оштрафуют:

    • Физлицо — на 700–2000 рублей.
    • Должностное лицо — на 4 000–10 000 рублей.
    • ИП — на 10 000–20 000 рублей.
    • Юрлицо — на 25 000–50 000 рублей.

    Может случиться, что из-за неправомерного доступа к персональным данным человек пострадает. Например, кто-то узнает его адрес и проникнет в квартиру. В таком случае компания, которая допустила утечку данных, должна будет компенсировать ущерб по закону о защите персональных данных.

    Публичные документы: их показываем тем, у кого берем персональные данные

    Согласие на обработку персональных данных. Базовый документ — его нужно давать на подпись тем, чьи персональные данные вы собираете лично, а не через интернет. В документе нужно прописать, какие именно данные и с какими целями вы собираете.

    Образец согласия на обработку персональных данных. Источник

    Если собираете данные только через интернет, этот документ не нужен. Понадобится опубликованная на сайте политика конфиденциальности, а получать согласие можно будет через форму.

    Положение об обработке и защите персональных данных. Этот документ нужно показывать тем, кто лично подписывает с вами согласие на обработку персональных данных. В положении о персональных данных прописывают цель и сроки обработки и хранения данных, порядок их уничтожения.

    Политика конфиденциальности. Это документ для тех, кто собирает данные через интернет. Его нужно разместить на сайте, чтобы пользователи могли узнать, как и для чего вы собираете их персональные данные. Он похож на «Положение об обработке и защите персональных данных».

    Ссылку на политику нужно добавить в пользовательское соглашение. А в формах, где пользователь оставляет свои данные, нужно добавить галочку с текстом: «Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности».

    Политику можно подготовить по шаблону. Такие шаблоны часто есть у конструкторов сайтов, например у Tilda.

    Внутренние документы компании: в них описываем корпоративный порядок работы с персональными данными

    Модель угроз безопасности. Этот документ показывает, какие опасности угрожают вашей системе хранения и обработки персональных данных. Его нужно составлять обязательно — без него нельзя понять, как именно вы обязаны защитить свою систему. При составлении нужно ориентироваться на базовую модель от ФСТЭК.

    Приказ о назначении ответственного за безопасность персональных данных. Если вы ИП, то сами отвечаете за безопасность, и приказ не нужен. Если у вас ООО, в нем должен быть ответственный — должностное лицо, которое следит за персональными данными. Его нужно назначить приказом.

    Образец приказа о назначении ответственного за персональные данные. Источник

    Приказ о допуске к обработке персональных данных. В этом документе прописаны все сотрудники, которые имеют доступ к персональным данным. Важно, чтобы это было обосновано — нельзя вписать туда людей, которым по работе не нужны персональные данные, например, уборщицу или программиста.

    Инструкция пользователя системы персональных данных. В этой инструкции нужно прописать, как правильно общаться с персональными данными. С ней должны ознакомиться все, кто имеет доступ к данным.

    Практически все эти документы стандартные, так что можно взять шаблоны и доработать под нужды своей компании. Или заказать пакет у юристов, чтобы все формулировки точно были правильными.

    Что будет, если не разработать документы

    Можно получить сразу два штрафа:

    • За обработку данных без модели угроз и прописанных целей: 1 000—3 000 для физлиц, 5 000–10 000 для должностных лиц, 30 000–50 000 для юрлиц.
    • За отсутствие положения об обработке персональных данных или политики конфиденциальности: 700–1 000 для физлиц, 3 000—6 000 для должностных лиц, 5 000–10 000 для ИП, 15 000–30 000 для юрлиц.

    Если вы не назначите ответственного за обработку ПД или не составите список тех, кому разрешен доступ — это тоже нарушение. Получится, что вы просто так передали данные третьим лицам — а это незаконное распространение, за которое положена уголовная ответственность: штраф до 200 000 рублей, принудительные работы до двух лет, арест до четырех месяцев.

    Уведомить Роскомнадзор

    Если вы собираете персональные данные сотрудников, уведомлять никого не нужно. А вот если работает с персональными данными клиентов, придется отправить уведомление в Роскомнадзор — зарегистрироваться как оператор персональных данных.

    Отправить уведомление можно онлайн, на сайте Роскомнадзора.

    Что будет, если не отправить уведомление

    Вы совершите административное правонарушение — не уведомите контролирующий орган, хотя обязаны были это сделать. За это положен штраф:

    • 100–500 рублей для физлиц
    • 300–500 рублей для должностных лиц.
    • 3 000—5 000 рублей для юрлиц.

    Получать согласие на хранение и обработку персональных данных

    Когда вы обеспечили защиту данных, собрали пакет документов и уведомили Роскомнадзор, можно, наконец, начать работать с персональными данными.

    Чтобы все было по закону, нужно получать согласие от каждого человека, чьи персональные данные вы собираете.

    По закону о защите персональных данных 152-ФЗ каждый ваш клиент или сотрудник будет субъектом персональных данных и должен быть в курсе, что вы собираете и храните информацию о нем.

    Получить согласие можно двумя способами:

    • Подписать письменное соглашение. Так обычно делают, если собирают данные в письменном виде — например, при приеме человека на работу или поступлении в ВУЗ.
    • Получить согласие через интернет. Для этого можно снабдить форму сбора данных галочкой, поставив которую пользователь соглашается на обработку персональных данных. На сайте при этом должна быть размещена Политика конфиденциальности, чтобы человек мог с ней ознакомиться.

    Что будет, если не спрашивать разрешения

    За это нарушение положен большой штраф:

    • 3 000–5 000 рублей для физлиц.
    • 10 000–20 000 рублей для должностных лиц и ИП.
    • 15 000–75 000 рублей для юрлиц.

    Краткая инструкция по выполнению федерального закона о персональных данных 152-ФЗ

    • Обеспечить защиту данных: установить антивирус, предотвратить доступ к данным посторонних.
    • Разработать пакет документов: соглашение об обработке, политику конфиденциальности, модель угроз.
    • Назначить ответственного за обработку персональных данных и составить список тех, кто имеет доступ к данным.
    • Уведомить Роскомнадзор о том, что вы обрабатываете персональные данные.
    • Подготовить форму согласия на обработку персональных данных и получать согласие от каждого человека, чьи данные вы собираете.

    Елена Шпрингер

    Источник: https://mcs.mail.ru/blog/kak-vypolnit-152-fz-o-zashchite-personalnyh-dannyh

    Читать по теме:Защита персональных данных в облаке: как сделать все по закону 152-ФЗСоблюдение законов о персональных данныхКибербезопасность в B2B: как бизнесу защититься от хакеров

    Источник: https://zen.yandex.ru/media/mcs/kak-vypolnit-152fz-o-zascite-personalnyh-dannyh-i-chto-s-vami-budet-esli-ego-ne-sobliudat-5ec6e5b0cdaa790dc5daa1e1

    Вопросы юристу
    Добавить комментарий

    ;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: