Соблюдение законодательства о персональных данных. Что грозит компании за нарушение закона
Инструкция: как уберечь компанию от штрафов по закону о персональных данных — Право на vc.ru
Рекомендации от юриста, основателя сервиса по защите интернет-бизнеса E-docs Анара Костенко.
Роскомнадзор продолжает свою деятельность по «спасению» интернета, и на этот раз под прицелом оказались почти все владельцы сайтов. С 1 июля 2017 года в силу вступают новые изменения в Кодексе об административных правонарушениях (КоАП), которые ужесточат санкции по отношению ко всем лицам, собирающим персональные данные. Теперь штрафы будут достигать 295 тысяч рублей.
Чем это грозит владельцам сайтов
Начать стоит с разъяснения того, что такое персональные данные. В первую очередь под эту категорию попадают электронная почта, имя, фамилия и номер телефона. А с недавних пор Роскомнадзор начал относить к персональным данным адрес места жительства, IP и даже сведения, получаемые при помощи cookies.
Так, если ваш сайт собирает такую информацию, то Роскомнадзор автоматически относит вас к операторам персональных данных. То есть вы обязаны уведомить ведомство о наличии специальной документации, которая регламентирует вашу деятельность. А теперь подумайте, много ли осталось сайтов, в которых нет личного кабинета или формы сбора информации?
Неужели начнут штрафовать?
Штрафовали и раньше. Один из самых интересных кейсов произошел в октябре 2016 года, когда Тамбовская городская юридическая компания была оштрафована за сбор персональных данных. Уже тогда суд занял позицию Роскомнадзора, приравнял электронную почту и номер телефона к персональным данным и обязал компанию выплатить административный штраф в размере 1 тысячи рублей.
Да, всё верно, одна тысяча. И если раньше нарушители выплачивали не больше 10 тысяч, то с 1 июля штрафы смогут достигать 295 тысяч рублей для юридических лиц и 75 тысяч рублей — для физических лиц.
Что может послужить основанием для проверки сайта
Существуют два ключевых основания: жалоба и проведение плановых проверок. Согласно данным Роскомнадзора, по сравнению с 2013 годом количество жалоб выросло практически на 60% — c 10 016 обращений до 33 814. Стоит учитывать, что никто не застрахован от жалобы со стороны конкурентов. Растет и количество проводимых проверок: если в 2013 году их было 743, то в 2016 году — уже 2053.
Какие еще могут быть последствия
Помимо вышеупомянутых штрафов, сайт будет внесен в «Реестр нарушителей прав субъектов персональных данных», что грозит повышенным вниманием со стороны Роскомнадзора. Также следует приготовиться к проверкам документов о порядке обработки персональных данных, даже если вы внесены в «Единый реестр субъектов малого и среднего предпринимательства».
Как защитить себя от штрафов
К счастью, если все персональные данные вы получаете через сайт, то можете защитить себя от большинства штрафов и претензий самостоятельно. Чтобы сделать сбор персональных данных полностью легальным, достаточно выполнить ряд действий:
- Если ваш сайт расположен на зарубежных серверах, то вам следует перевести его на сервера на территории РФ. Адрес нахождения вашего сервера, если он вам неизвестен, можно узнать у хостинг-провайдера.
- Составьте «Политику обработки персональных данных», соответствующую законодательству и подходящую для вашего сайта. Этот документ регламентирует и описывает все действия, осуществляемые с персональной информацией пользователей сайта.
- Составьте локальные акты, регулирующие действия с персональными данными. Этот пункт поможет избежать большинства штрафов в случае проведения проверок со стороны Роскомнадзора.
- Добавьте во все формы обратной связи на сайте кнопку или галочку с текстом «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». Подтверждение желательно сделать обязательным. Не стоит думать, что посетители перестанут оставлять свои данные — это только повысит доверие к сайту.
- Для полной защиты удостоверьтесь в том, что сайт собирает информацию посредством cookies только с разрешения посетителя (данные с IP и cookies Роскомнадзор также признает персональными).
- Предоставьте посетителям сайта возможности по распоряжению своими персональными данными через обращения по электронной почте. Для этого укажите email-адрес в «Политике обработки персональных данных» и опубликуйте его на сайте для общего доступа, чтобы каждый посетитель мог ознакомиться с правилами.
- Заполните и подайте уведомление в Роскомнадзор. Обязанность в уведомлении есть у многих владельцев сайтов и организаций (исключения описаны в п. 2 ст. 22 ФЗ «О персональных данных» №152-ФЗ). Форма уведомления есть на сайте РКН. Особое внимание обратите на порядок подачи уведомления.
Как правильно составить политику конфиденциальности
- Укажите термины. В политике обработки персональных данных нужно сразу обозначить понятия, которые вы будете использовать: администрация сайта, пользователь, персональные данные, обработка персональных данных, конфиденциальность персональных данных, cookies, IP-адрес.
- Перечислите категории персональных данных, которые вы собираете и обрабатываете (имя, электронная почта, номер телефона и так далее). Учитывайте все категории персональных данных, которые будете собирать и использовать.
- Укажите цели сбора персональных данных. Основная цель — выполнение условий договора с пользователем, а также предоставление доступа к функциональности сайта.
- Установите условия обработки персональных данных. Укажите сроки обработки, порядок охраны и основные нормативные акты, на основе которых составлен режим обработки персональных данных.
- Предоставьте пользователям возможность удалить свои персональные данные при обращении. Опишите порядок предоставления такой возможности и способ связи с оператором персональных данных.
- Укажите меры по защите персональных данных. Это может быть шифрование, установка паролей, хранение в защищенных местах и другие способы защиты информации.
- Добавьте дополнительную информацию. Например, порядок изменения условий политики и разрешения споров.
Ознакомиться с шаблоном политики можно здесь.
Как заполнить и подать уведомление в Роскомнадзор
Уведомление об обработке персональных данных направляется в территориальный орган Роскомнадзора в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.
Перед отправкой уведомления советую проверить полноту и правильность его заполнения. Уведомление должно содержать следующую информацию:
- Наименование (фамилия, имя, отчество), адрес оператора.
- Цель обработки персональных данных.
- Категории персональных данных.
- Категории субъектов, персональные данные которых обрабатываются.
- Правовое основание обработки персональных данных.
- Перечень действий с персональными данными, общее описание используемых оператором способов обработки.
- Описание мер, предусмотренных статьями Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
- Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, номера их контактных телефонов, почтовые адреса и адреса электронной почты.
- Дата начала обработки персональных данных.
- Срок или условие прекращения обработки персональных данных.
- Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки.
- Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.
- Сведения об обеспечении безопасности персональных данных в соответствии с требованиями, установленными Правительством Российской Федерации.
Для подачи уведомления нужно:
- Перейти по ссылке на сайт Роскомнадзора и заполнить форму.
- После заполнения отправить форму, нажав на соответствующую кнопку на сайте. Одновременно с отправкой вы получите форму для печати.
- Распечатать форму в двух экземплярах. Формы должны быть подписаны руководителем организации.
- Отправить подписанный бумажный вариант формы в территориальный орган РКН по месту регистрации (по почте или лично).
- Дождаться ответа от Роскомнадзора по почте (как правило, занимает не больше месяца). Также можно узнать о статусе заявки по телефону или с помощью специального сервиса на сайте Роскомнадзора.
#Колонка #инструкции #право
Источник: https://vc.ru/legal/24849-personal-data-law
Чем грозит несоблюдение закона о персональных данных?
В обычной жизни мы довольно часто сталкиваемся с законодательством о персональных данных.
Это происходит, когда мы подписываем бумаги под названием «Согласие на обработку персональных данных» или ставим галочку, заполняя информацию о себе на сайтах в интернете.
А вот какие требования закон № 152-ФЗ «О персональных данных» предъявляет к компаниям, как их выполнить директору или бухгалтеру, и что произойдет, если их проигнорировать, мы сегодня подробно расскажем.
Возможно, мы вас удивим, но это должна делать каждая компания, независимо от организационно-правовой формы или вида деятельности. Даже совсем небольшие фирмы хранят и используют персональные данные и обязаны соблюдать закон.
Почему? Потому что персональные данные — это любая информация о физическом лице, и в каждой организации при ведении кадрового и бухгалтерского учёта, расчёте заработной платы, подготовке отчётности используются персональные данные работников.
Многие компании предлагают товары и услуги и накапливают информацию о своих клиентах, и так далее.
Как соблюсти требования закона. Пошаговая инструкция
1. Назначьте ответственного. Решите, кто из ваших работников будет заботиться о том, чтобы были выполнены требования закона. Обычно это бухгалтер или руководитель компании.
Если вы — директор фирмы, можете пожалеть бухгалтера и подписать приказ, которым назначите ответственным самого себя. Большой роли это не играет.
2. Определите особенности компании. Разберитесь вот в чем:
- какие именно персональные данные каких физических лиц (работников, клиентов, соискателей вакансий и т.д.) вы собираете, храните и используете; с какой целью это делаете;
- убедитесь, что 152-ФЗ или другие законы разрешают вам использовать эти данные;
- в какие компьютерные программы и бумажные документы вы вносите персональные данные и как именно их храните.
3. Подготовьте комплект документов. Закрепите результаты двух предыдущих этапов в приказах, положениях, актах и подготовьте специальный документ для всех работников и клиентов — политику в отношении обработки персональных данных.
С этим может помочь знакомый юрист: он объяснит на пальцах, что нужно записать в документах, и поможет их составить.
4. Оформите отношения с физическими лицами. Иногда компания должна внести изменения в договоры со своими работниками, клиентами и другими лицами: например, включить туда форму согласия на обработку персональных данных. А Трудовой кодекс требует, чтобы все работники компании были ознакомлены «под роспись» с упомянутыми в предыдущем пункте документами.
Если у вашей компании есть сайт и вы принимаете заказы с его помощью, то дайте клиентам возможность поставить при оформлении заказа отметку, что они согласны предоставить вам свои персональные данные и что вы можете передавать их в курьерскую компанию для доставки заказа. При этом не забудьте поместить на сайт ссылку на «политику в отношении обработки персональных данных».
5. Оформите отношения с другими компаниями. Часто фирма передаёт имеющиеся у неё персональные данные другим компаниям (например, в банк в рамках зарплатного проекта) или получает персональные данные от других компаний. Закон требует включить в договоры с такими компаниями особые положения. Например, о неразглашении переданных персональных данных.
6. Подайте специальное уведомление в Роскомнадзор. Его подготовить несложно: укажите примерно те же сведения, что и в политике в отношении обработки персональных данных.7. Ведите оперативную деятельность. Некоторые действия нужно выполнять время от времени: уничтожать персональные данные, цель обработки которых достигнута, знакомить новых работников компании с комплектом документов и следить за его актуальностью, вовремя отвечать на обращения субъектов персональных данных и Роскомнадзора и так далее.
Чем грозит несоблюдение закона?
Директору:
- Штрафом за нарушение законодательства о персональных данных (обычно налагается после проверки, максимальный размер — 10 000 рублей;
- Штрафом за неустранение нарушений (обычно налагается, если вы нерасторопно реагируете на результаты проверки; максимальный размер — 20000 рублей);
- Штрафом за непредоставление сведений в Роскомнадзор (максимальный размер — 5000 рублей).
- Кроме этого, законопроект об изменениях в законе «О персональных данных» ещё в конце 2013 года отправился в Государственную Думу. Он предполагает увеличение максимальной суммы штрафа за невыполнение требования закона до 300 000 рублей.
Бухгалтеру:
Проверка закончится, штраф компания заплатит, но требования закона нужно будет так или иначе соблюсти: в течение 30 дней пройти по 7 шагам, озвученным выше. Потратить изрядное количество времени, нервов и, возможно, денег на консультацию.
Источник: https://e-kontur.ru/blog/13494
Как бухгалтеру избежать штрафа за нарушения при работе с персональными данными
Как бухгалтеру избежать штрафа за нарушения при работе с персональными данными 11 сентября 2014 11 сентября 2014
Небольшие организации и индивидуальные предприниматели обычно не уделяют должного внимания защите персональных данных, полагая, что проверки проводятся только у крупных работодателей.
Однако для контролирующих органов размер компании и количество работников значения не имеют. Причем, в случае выявления нарушений реальные штрафы грозят не только организации или ИП, но и лицу, ответственному за обработку персональных данных. А им зачастую является бухгалтер.
Давайте попробуем разобраться, насколько серьезны штрафы и что должны делать бухгалтеры или кадровики, чтобы их избежать.
На первый взгляд, штрафы за нарушение правил работы с персональными данными не так уж и высоки. Согласно статье 13.11 КоАП РФ штрафы составляют 5-10 тысяч рублей для организации и 500-1000 рублей для ее должностного лица.
Однако надо учитывать, что этот штраф может налагаться за каждое допущенное нарушение. А правил для тех, кто работает с персональными данными, законодатели установили очень много. Так что 10 тысяч рублей штрафа легко могут превратиться в 50 или 100 тысяч рублей даже в рамках одной проверки. А за год эти суммы могут оказаться еще внушительнее.
Ответственность организации
Кроме того, если в компании не утверждено Положение о персональных данных, то возможно наступление административной ответственности за нарушение трудового законодательства по статье 5.27 КоАП РФ.
Штраф может составить от 30 до 50 тыс. рублей. Также возможно административное приостановление деятельности на срок до девяноста суток.
Кстати, с 2015 года штраф за повторное нарушение, предусмотренное данной статьей, составит уже от 50 до 70 тыс. рублей.
Соблюдение законодательства о персональных данных контролирует Роскомнадзор.
За невыполнение предписания Роскомнадзора об устранении нарушений законодательства о персональных данных возможен административный штраф до 20 000 рублей (статья 19.5 КоАП РФ).
Если же просто не ответить на запрос этого органа касательно персональных данных, то штраф может составить до 5 000 рублей (статья 19.7 КоАП РФ).
Ответственность работника
Работник, по вине которого было допущено нарушение норм, регулирующих обработку и защиту персональных данных других работников, может быть привлечен (статья 90 ТК РФ):
- к административной ответственности
- к дисциплинарной и материальной ответственности;
- к гражданско-правовой ответственности;
- к уголовной ответственности.
Административная ответственность
Персональные данные относятся к информации, доступ к которой ограничен. Поэтому за разглашение персональных данных ответственный работник может быть оштрафован на сумму от 4 до 5 тыс. рублей (статья 13.14 КоАП РФ «Разглашение информации с ограниченным доступом»).
Должностных лиц также можно привлечь к ответственности и за отсутствие утвержденного Положения о персональных данных. В этом случае штраф за нарушение трудового законодательства составит от 1 до 5 тыс. рублей. За повторное нарушение с 2015 года штраф составит от 10 до 20 тыс. рублей или дисквалификация на срок от одного года до трех лет (статья 5.27 КоАП РФ).
Дисциплинарная ответственность
Трудовой договор с работником может быть расторгнут по причине разглашения охраняемой законом тайны, ставшей известной в связи с исполнением трудовых обязанностей. В том числе и по причине разглашения персональных данных другого работника (подпункт «в» п. 6 ч. 1 ст. 81 ТК РФ).
Материальная ответственность
В случае незаконного распространения информации о персональных данных работнику организации может быть причинен моральный вред. Работник может потребовать его возмещения от работодателя. Если вред был причинен по вине лица, ответственного за неразглашение данных, то работодатель впоследствии может привлечь виновного к материальной ответственности за нанесенный ущерб.
Гражданско-правовая ответственность
Если в результате нарушения норм, регулирующих хранение, обработку и использование персональных данных работнику причинен имущественный ущерб или моральный вред, то он подлежит возмещению в денежной форме в соответствии гражданским законодательством (статья 151 ГК РФ).
Уголовная ответственность
Если работник, ответственный за хранение, обработку и использование персональных данных злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, то он может быть привлечен к уголовной ответственности на основании статьи 137 УК РФ.
Проверки
Как уже говорилось выше, ведомством, которое уполномочено контролировать соблюдение режима персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно — Роскомнадзор).
Однако права налагать и взыскивать штрафы у этой организации нет. Все материалы по тем проверкам, где обнаружены нарушения, Роскомнадзор передает в прокуратуру. Прокурор уполномочен принимать решения о возбуждении производства по административному правонарушению (п. 1 ст. 28.4 КоАП РФ).
Вопрос же о наложении штрафов решается судьей (п. 1 ст. 23.1 КоАП РФ).
Официальная информация
В 2013 году в рамках осуществления государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства в области персональных данных проведено 2 418 проверок (еще в 2011 году таких проверок было значительно меньше — 1 743 проверки).
Из них 1 801 плановая и 617 внеплановых проверок.В 2013 году рост количества плановых проверок был связан, прежде всего, с увеличением количества операторов, отказывавшихся выполнять требования Федерального закона от 27.07.
06 № 152-ФЗ «О персональных данных» ввиду неосуществления, по их мнению, деятельности по обработке персональных данных.
Источник: сайт Роскомнадзора
Положение о персональных данных
Теперь попробуем выяснить, что же требуется сделать, чтобы успешно пройти проверку Роскомнадзора и избежать штрафов.
Вопросы обработки персональных данных регулируются Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ). Соблюдать требования этого закона должны все организации и ИП, у которых есть хотя бы один работник.
Связано это с тем, что к персональным данным законодатели среди прочего отнесли и те сведения, которые предприятие получает от физических лиц, принимая их на работу. А это значит, что организация обязана их защищать в полном соответствии с законом.
Главным документом, который должен иметь любой работодатель, является положение о персональных данных. Принять этот локальный акт, регулирующий порядок хранения и использования персональных данных работодателя обязывает статья 87 Трудового кодекса.
В положении обычно прописывают все требования к получению, хранению, комбинированию, передаче и любому другому использованию персональных данных, а также гарантии по их защите.
На практике такой документ обычно состоит из разделов, описывающих каким именно образом в организации должен происходить сбор и обработка персональных данных; кто и в каком порядке имеет доступ к этим данным; какие меры предпринимаются для предотвращения разглашения персональных данных.
Так что начать Положение мы рекомендуем с раздела «Сбор и обработка персональных данных». В нем обязательно нужно зафиксировать, что персональные данные в организации можно получить и обрабатывать исключительно на основании письменного согласия работника (см. образец «Согласие на обработку персональных данных»). А значит, не лишним будет сразу разработать и утвердить форму такого заявления.
На подпись такое заявление работнику надо давать сразу при приеме на работу. А по действующим сотрудникам такую работу придется провести сразу же после утверждения Положения. Далее может следовать раздел «Доступ к персональным данным».
В нем последовательно описывается порядок доступа к таким данным работников организации и третьих лиц (отдельно родственников, государственных органов, представителей других организаций). При необходимости тут можно ввести уровни доступа в зависимости от должности сотрудника.
Например, директор и аппарат дирекции имеют доступ ко всем персональным данным; сотрудники бухгалтерии — только к тем сведениям, которые необходимым для расчета заработной платы и налогов; представители кадровой службы — к сведениям, необходимым для оформления кадровой документации и т п. Продолжит Положение раздел «Порядок обработки и передачи данных».Здесь надо зафиксировать правила для передачи данных о сотрудниках определенным органам или лицам. В случаях, когда передача данных регулируется законодательно (налоговые органы, органы статистики, Пенсионный фонд и т п.) достаточно сделать ссылки на порядок передачи сведений, установленный законодательством.
Но при этом следует обязательно зафиксировать, кто и в каком порядке вправе готовить данные сведения для передачи в госорганы. А вот родственникам, членам семьи, страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам и т п. персональные данные предоставляются только при наличии письменного согласия работника на каждый конкретный факт передачи данных.
Закончить Положение лучше разделом «Ответственность». Тут изобретать велосипед не нужно — достаточно будет сделать ссылки (или привести целиком) на нормы Трудового кодекса (увольнение за разглашение персональных данных по статье 81 ТК РФ), Кодекса об административных правонарушениях (уже знакомая нам статья 13.11 КоАП РФ) и, если есть такая необходимость Уголовного кодекса (ст. 137 УК РФ).
Положение о персональных данных можно разработать, взяв за основу разработанный нашим юристом образец «Положение о работе с персональными данными».
Однако кроме положения контролирующие органы в ходе проверок интересуются и другими документами. Назовем некоторые из них.
Приказ руководителя о назначении ответственного
Руководитель должен издать приказ о назначении ответственного за работу с персональными данными и обеспечении их защиты. Таким ответственным может быть как конкретное лицо (см.
образец «О назначении ответственного за работу с персональными данными и обеспечение их защиты (ответственное лицо)»), так и подразделение (см.
образец «Приказ о назначении ответственного за работу с персональными данными и обеспечение их защиты (ответственное подразделение)»). В последнем случае личную ответственность несет руководитель такого подразделения.
Перечень персональных данных
Также потребуется утвердить документ, содержащий перечень персональных данных (см. образец «Приказ об утверждении перечня персональных данных»), которые реально используются в деятельности организации.
Составляя такой документ, не забудьте включить в него все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.
В этом перечне должны быть:
- заявление о приеме на работу;
- анкета сотрудника;
- личная карточка;
- личное дело;
- трудовой договор;
- приказы;
- трудовая книжка;
- материалы аттестационных комиссий.
Это один раздел перечня. Если же в организации имеется внутренний документооборот, содержащий сведения о сотрудниках (например, отчеты и материалы, которые составляются для акционеров, учредителей, головной организации и т п.), то эти отчеты тоже нужно включить в перечень.
Помимо этого, в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).
Журнал учета персональных данных
Работодатели обязаны соблюдать режим конфиденциальности персональных данных (статья 7 Закона № 152-ФЗ).
В подтверждение того, что названное требование соблюдается, контролирующие органы могут потребовать представить журнал учета персональных данных, где указано, кто и когда имел доступ к конфиденциальной информации.
Заметим, что форма такого журнала не установлена, поэтому разработать ее требуется самостоятельно.
Внешняя и внутренняя защита персональных данных
Угрозы для хранящихся персональных данных, условно, можно разделить на внешние и внутренние.
Если говорить о защите от внешних угроз, то в локальных актах имеет смысл прописать особый режим доступа в помещения, где хранится информация, содержащая персональные данные. В частности, можно предусмотреть пропускной режим и контроль за посетителями офиса.
Что же касается внутренней защиты, то целесообразно регламентировать состав работников, обязанности которых требуют доступа к персональным данным. Конкретный перечень работников и случаи получения информации следует утвердить приказом или распоряжением (в котором оговорить, что, например, юристы компании могут получать персональные данные для оформления доверенностей).
Возможное решение
Очевидно, что решение вопросов, касающихся персональных данных, может отнимать у бухгалтера очень много времени: требуется изучить весьма объемный закон и понять, какие действия надо совершить, какие документы составить, найти примерные образцы этих документов, скорректировать и заполнить их.
Если учесть, что общее количество документов и действий по обработке данных исчисляется десятками, можно представить, сколько времени и сил потребуется бухгалтеру, чтобы организовать работу с персональными данными в соответствии с требованиями закона.
Сэкономить время и сосредоточиться на своей основной работе можно с помощью веб-сервиса «Персональные данные». Он автоматически формирует все необходимые приказы, акты, уведомления и положения, необходимые для работы с персональными данными.
Вопросы, возникающие в ходе совершения действий, бухгалтер прямо со страницы сервиса может задать эксперту и получить оперативный ответ. Когда все действия завершены, остается только распечатать подготовленные сервисом документы и подписать их.Впоследствии сервис будет напоминать, что пора провести определённое мероприятие, закреплённое в комплекте документов, а также следить за изменениями законодательства и информировать о том, что надо сделать после вступления поправок в силу.
Год работы в сервисе с данными одной организации или ИП стоит 6 тысяч рублей. Однако часть необходимых документов бухгалтер может подготовить в «Персональных данных» бесплатно. Для этого достаточно пройти по ссылке, которую вы видите чуть ниже.
Обсудить на форуме (5)РаспечататьВ закладки
Источник: https://www.Buhonline.ru/pub/beginner/2014/9/9010
Владельцы сайтов, а вы готовы к нововведениям 1 июля? Несоблюдение закона о персональных данных грозит штрафом 75 000 руб. | Технологии Успеха
1 июля 2017 года начнут действовать внесенные в феврале этого года поправки в статью 13.11 КоАП, связанные с нарушением закона о персональных данных. Это очень важные нововведения для тех, кто так или иначе связан с любой персональной информацией — ее сбором, обработкой и хранением.
Теперь штрафы будут классифицировать по типам нарушений, а главное — существенно повысятся их размеры (в десятки раз).
Отвечаем на самые распространенные вопросы.
Как понять, касается ли меня этот закон?
Касается, если вы получаете, храните, собираете или распространяете данные о пользователях, на основе которых можно провести их идентификацию.
Вы по умолчанию становитесь оператором персональных данных и несете за них ответственность, если на вашем сайте есть:
- заполняемые поля при регистрации на сайте,
- подписка на e-mail,
- рассылка новостей и статей,
- форма для заказа звонка,
- форма для отправки сообщений
Кто меня может вычислить?
Все это время прокуратура проверяла сайты и выписывала протоколы за нарушения, но этот процесс был неактивным и многим легко удавалось не привлекать к себе внимания. Штрафы были мизерными (от 1 000 до 10 000 руб.
, а волокиты — уйма), поэтому и проверки были выборочными и нечастыми. Теперь все значительно строже — с 1 июля следить за соблюдением порядков будет Роскомнадзор, а значит штрафы будут раздавать налево и направо.
Более того, Роскомнадзор и ФСБ хотят собрать базу никнеймов.
Что будет, если я оставлю все как есть?
Штраф, сумма которого варьируется в зависимости от вида нарушения и типа нарушителя (ИП, физ. лицо, юр.лицо). Так, к примеру,организация, собирающая данные пользователей, не получив их письменного согласия, заплатит 75 000 руб. ИП, который не разместит политику конфиденциальности, — от 10 000 до 15 000 руб. Штрафы за разные виды нарушений суммируются.
Что мне нужно сделать, чтобы избежать наказания?
Если у вас есть сайт, на котором пользователи оставляют сведения о себе, ваш ресурс уже в зоне риска. И ответственность за несоблюдение законодательства будете нести именно вы, а не компания, обслуживающая ваш сайт.
Вот пошаговый алгоритм.
- Разработайте собственную политику конфиденциальности (использовать чужие документы можно лишь в качестве ориентира). Утвердите ее приказом, в котором указаны все лица, которые занимаются обработкой персональных данных, а также ответственное лицо, в обязанности которого входит контроль выполнения приказа и соблюдение закона. Ознакомьте с приказом и политикой конфиденциальности всех работников вашей компании под роспись.
- Разместите политику конфиденциальности в открытом доступе на сайте и в мобильных приложениях.
- Определите и реализуйте способ, который будет подтверждать, что пользователь согласился на обработку данных: галочка при регистрации или кнопка со ссылкой на политику конфиденциальности, либо предупреждение, которое отображается при оформлении онлайн-заказа.
- Подготовьте акт, основываясь на нормах законодательства об архивном деле: он должен содержать информацию о бизнес-процессах хранения и уничтожении персональных данных.
- Позаботьтесь о том, чтобы хостинг находился на территории РФ, узнайте точный адрес сервера (в том числе улицу и номер дома) — Роскомнадзор проявляет дотошность даже в таких мелочах.
- Опубликуйте электронный адрес, куда пользователь может написать с просьбой об удалении своих персональных данных.
- Заполните форму для Роскомнадзора, уведомляющую о том, что ваш сайт получает и обрабатывает данные от других пользователей. Писать в РКН не нужно, если ваша компания осуществляет сбор и обработку неавтоматизированно и только с целью заключения конкретного договора либо пользователь сам объявляет данные о себе общедоступными.
- Установите на сайте на видном месте и желательно во всех разделах уведомление о том, что здесь обрабатываются персональные данные посетителей и дальнейшее нахождение пользователей на ресурсе автоматически расценивается как согласие на обработку. При несогласии пользователь должен покинуть сайт.
Все требования Роскомнадзора
Кроме штрафов, за несоблюдение закона могут взыскать компенсацию морального вреда и даже довести дело до тюремного заключения.
Источник: https://webtu.ru/blog/shtrafy-za-nesoblyudenie-zakona-o-personalnyh-dannyh/
Как владельцу сайта защитить себя от штрафов за нарушение закона о персональных данных
19.05.2017 Время прочтения: 3 минуты
С 1 июля 2017 вступают в силу поправки в Кодекс об административных правонарушениях, касающиеся закона о персональных данных.
Персональными данными закон называет «любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу». Проще говоря, это сведения, по которым человека можно идентифицировать.
К сожалению, закон не приводит список данных о человеке, попадающих под это определение, но по существующим прецедентам к ним можно отнести:
- фамилию, имя и отчество;
- физический адрес;
- адрес электронной почты;
- номер телефона;
- дату и место рождения,
- фотографию;
- ссылки на персональный сайт или страницы в социальной сети;
- сведения о профессии, уровне образования и доходов, семейном положении;
- передаваемые файлы cookie и другие метаданные.
Получается, поправки затронут всех, кто собирает, записывает, накапливает, хранит, использует и обрабатывает любые персональные данные пользователей.
Это означает, что любая форма обратной связи (регистрация на сайте, подписка на e-mail рассылку, функция «» или «Отправить сообщение») делает вас оператором персональных данных, и вы несёте за это ответственность.
Кто следит за исполнением закона?
Сейчас проверкой сайтов и выпиской протоколов о нарушениях занимается прокуратура, поэтому пока всё идёт медленно и касается не всех. С июля эти обязанности переходят к Роскомнадзору – и процесс пойдёт значительно быстрее.
Чем грозит нарушение?
Сумма штрафа может быть разной в зависимости от конкретного нарушения и от того, на кого накладывается взыскание (ИП, физическое лицо, юридическое или должностное).
Например, если организация получает данные пользователя без его письменного разрешения, штраф за это для неё может составлять до 75 000 рублей.
Если не предоставить пользователю информацию об обработке его данных, то с ИП потребуют взыскание в размере от 10 000 до 15 000 рублей, а с организации – от 20 000 до 40 000.
Что нужно сделать владельцу сайта?
Установить кнопку «Я согласен на обработку персональных данных» со ссылкой на вашу политику конфиденциальности, без нажатия на которую пользователь не сможет отправить свои данные.
Утвердить приказом политику конфиденциальности. В этом приказе должен быть приведен перечень лиц, непосредственно занимающихся обработкой персональных данных, и указано ответственное лицо, которое контролирует исполнение приказа и закона. С обоими документами – приказом и политикой – нужно ознакомить всех сотрудников компании под роспись.
Разместить утверждённую политику в офисе, на сайте и в мобильных приложениях в открытом доступе. Так, например, поступил Яндекс, опубликовав свою политику, сервис e-mail рассылок Subscribe.ru и крупнейший в Европе ресурс для IT-специалистов Хабрахабр. С Политикой Конфиденциальности компании SEO.RU можно ознакомиться здесь.
Принять внутренний распорядительный акт, в котором, основываясь на нормах законодательства об архивном деле, должны быть разработаны и описаны ваш бизнес-процесс хранения и передачи персональных данных, назначены ответственные по этому делу лица, определены их обязанности и полномочия. Тут же нужно определить сроки обработки персональных данных, сроки и порядок их хранения и уничтожения.
Перенести хостинг на территорию России и узнать точный адрес местоположения сервера – до улицы и номера здания. Роскомнадзор умеет проверять это.
Опубликовать e-mail, на который пользователь может отправить письмо с просьбой удалить его персональные данные, с вопросами о них. И убедиться, что эти письма до вас дойдут, а не будут отфильтрованы или проигнорированы.
Отправить сообщение в Роскомнадзор (по этой форме) о том, что ваш сайт обрабатывает персональные данные пользователей. Не нужно уведомлять РКН в том случае, если пользователь объявляет свои данные общедоступными, если компания собирает их исключительно для заключения и исполнения гражданского договора, а также если сбор и обработка данных не автоматизированы. Других исключений нет.
Если компания имеет доступ к персональным данным, владельцу нужно заключить с ней соглашение, где будет указано, какие данные, как и зачем компания обрабатывает и как защищает.
Поставить дисклеймер (лучше всего на видном месте и в каждом разделе), который уведомит посетителей сайта, что для нормальной работы сайта их персональные данные обрабатывают, и если пользователь останется на этом сайте, то это автоматически считается его согласием на обработку. Чтобы не допустить этого, пользователь должен покинуть сайт.
Этот список – только часть требований РКН к компаниям. С полным перечнем можно ознакомиться тут.
Итак, резюмируя вышесказанное:
- Чтобы не получать штрафы, разработайте политику конфиденциальности, покажите её пользователю и спросите, согласен ли он с ней, поставив для этого кнопку.
- Чтобы избежать проблем с законом о персональных данных, зарегистрируйтесь в РКН, заведите отдельный e-mail для обращений клиентов, перенесите хостинг в РФ и ознакомьтесь с остальными требованиями.
Незаконная обработка персональных данных чревата не только очевидными юридическими последствиями, но проблемами с деловой репутацией и показателями SEO. Мы – за безопасный интернет и соблюдение законов, так что и своим клиентам, и вообще всем, кто получает продажи через свой сайт, рекомендуем до 1 июля обеспечить выполнение всех требований закона.
Яндекс тестирует Турбо-страницы на десктопе
Команда Яндекса рассказала о запуске открытого бета-теста Ту…
14.03.2019 183
Как будут работать Острова Яндекса
На пятой конференции Яндекса YaC 2013 представители компании…
Источник: https://SEO.ru/news/view/2017/05/19/kak-zashhitit-sebja-ot-shtrafov-za-narushenie-zakona-o-personalnyh-dannyh/
Нарушение персональных данных
Мои вебинары и курсы Галичевская Е. Н., эксперт Контур.Школы, налоговый консультант, автор ряда статей и пособий по бухгалтерскому и налоговому учету
31 мая 2018
Работодатель, принимая сотрудника на работу, запрашивает у него определенные сведения. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и какая ответственность за их несоблюдение ждет нарушителей.
Какие данные являются персональными
Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
К персональным данным могут быть отнесены:
- фамилия, имя, отчество;
- пол, возраст;
- образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
- место жительства;
- семейное положение, наличие детей, родственные связи;
- факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
Кстати, сведения о заработной плате относятся к персональным данным.
Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».
Можно ли номер телефона отнести к персональным данным?
Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств.
Из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.
Поэтому номер телефона сам по себе не относится к персональным данным.
А вот фотография относится к биометрическим персональным данным.
Так как это изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (См.
Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).
Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны.
Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных
С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст.
23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее.
Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.
Подведем итоги
Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:
- от всех ли работников получено согласие на обработку персональных данных;
- ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
- должным ли образом осуществляется хранение и защита персональных данных;
- соответствует ли документация об их обработке требованиям законодательства и т.д.
1 893 просмотра
Нарушение закона о персональных данных: наказание
Достаточно часто бывает так, что компании допускают нарушение закона о персональных данных, разглашая конфиденциальную информацию. Как правило, речь идет именно о персональных данных, а не о технологических секретах. Давайте разберемся, какое наказание может понести фирма, сотрудники которой «сливают» конфиденциальные сведения.
Наказания за нарушение закона о персональных данных
Важно! Максимально возможным по размеру штрафом за нарушение закона о персональных данных является штраф в сумме 75 000 рублей. Но в большинстве случаев Роскомнадзор делает предписание.
Источник: https://rebuko.ru/narushenie-personalnyh-dannyh/