Неуведомление роскомнадзора об обработке персональных данных штраф

Содержание

За что штрафует Роскомнадзор или как быть готовым к проверке по защите персональных данных? – Соцсеть — Audit-it.ru

Неуведомление роскомнадзора об обработке персональных данных штраф

Роскомнадзор является федеральным органом исполнительной власти, находящимся в ведении Минкомсвязи России и контролирует соответствие обработки персональных данных требованиям российского законодательства.

На сайтах своих 65 территориальных управлений Роскомнадзор публикует результаты проведения плановых и внеплановых проверок.

С мая по ноябрь 2014 года было опубликовано 750 сообщений о нарушениях закона 152-ФЗ «О персональных данных», его подзаконных актов, а также главы 14 ТК РФ.

За какие нарушения штрафует Роскомнадзор?

Нарушения закона 152-ФЗ «О персональных данных»

В результате проверок, проведённых с мая по ноябрь, было установлено, что 50% компаний нарушают ч. 4 ст. 20закона 152-ФЗ, которая обязывает в течение 30 дней отвечать на письменный запрос надзорного органа. Как правило, в таком запросе содержится требование направить уведомление об обработке персональных данных.

Согласно ч. 2 ст. 18.1 152-ФЗ оператор персональных данных должен опубликовать политику в отношении обработки персональных данных. Это требование нарушили 7 % организаций, проверенных Роскомнадзором.

Зачастую клиенты оставляют online-заявки на сайтах Интернет-магазинов, а также передают свои персональные данные, записываясь в автосервис или на приём к врачу.

Согласно 152-ФЗ политика обработки персональных данных должна быть общедоступной: если у компании нет своего сайта, то её необходимо разместить хотя бы на информационном стенде.

5 % компаний нарушили ч. 3 ст. 22 152-ФЗ, согласно которой при уведомлении Роскомнадзора необходимо указывать актуальные и соответствующие действительности сведения, такие как наименование, адрес оператора, ФИО ответственного лица, категории персональных данных, цель их обработки и иные сведения, предусмотренные данной статьёй.

Если организация не уведомит Роскомнадзор об изменении этих сведений, то в случае проведения проверки она будет оштрафована.

Наименее распространёнными нарушениями закона «О персональных данных» оказались:

* — отсутствие согласия на обработку персональных данных (ч. 1 ст. 6);

* — раскрытие и распространение персональных данных в нарушение ст. 7 закона;

* — незаконная передача персональных данных другой компании (ч. 4 ст. 9);

* — незаконная обработка специальных категорий персональных данных (ч. 1 ст. 10).

Нарушения постановления Правительства № 687

Постановление Правительства № 687 от 15.09.2008 является подзаконным актом к закону 152-ФЗ «О персональных данных». Нарушения его требований были выявлены у 5% проверяемых компаний. Этот документ регламентирует хранение и использование бумажных документов, содержащих персональные данные.

Чаще всего компании нарушают требования к форме документов (п.7). Например, в них необходимо указывать перечень действий, совершаемых с персональными данными, а также срок и цель их обработки.

Также нарушаются требования к местам хранения документов (п.13). Разные документы (например, трудовые договоры и договоры с клиентами) должны храниться раздельно в заранее определённых местах.

Работники допускаются к использованию документов на основании приказа.

Нужно проинформировать работников, что они допущены к использованию документов (п. 6), а также ознакомить с локальными актами компании (например, положением об обработке персональных данных).

Нарушения постановления Правительства № 211

Постановление Правительства № 211 от 21.03.2012 ужесточает требования 152-ФЗ, но данный подзаконный акт обязателен к исполнению только государственными и муниципальными органами. В ходе проведения проверок Роскомнадзором были выявлены нарушения требований этого документа в 3% случаев.

https://www.youtube.com/watch?v=Up1h8Jf4csU

В нём перечислены дополнительные документы и требования (п. 1), а также сказано, что государственный или муниципальный орган должен публиковать политику на сайте в течение 10 дней после её утверждения (п. 2).

Нарушение требований главы 14 Трудового кодекса РФ

За нарушение требований Трудового Кодекса был оштрафован 1% компаний. Работники этих компаний не были ознакомлены под роспись с документами, регламентирующими обработку их персональных данных, или же у работодателей и вовсе не оказалось таких документов.

В таком случае Роскомнадзор привлекает компанию к ответственности и передаёт информацию в Трудовую инспекцию.

Какова ответственность за нарушение закона «О защите персональных данных»?

Чаще всего организации-нарушители и их сотрудники подвергаются штрафам, но возможное наказание не ограничивается только штрафами. Ответственность за нарушение 152-ФЗ предусмотрена Трудовым кодексом, Кодексом об административных правонарушениях, а также Гражданским и Уголовным кодексами.

Административную ответственность предусматривает КоАП: согласно статье 13.11 на граждан может быть наложен штраф в размере от 300 до 500 руб, а организацию могут оштрафовать на сумму до 10.000 руб. Если компания не выполнит предписание Роскомнадзора в срок или не ответит на его запрос, штраф может составить до 20.000 руб.

Штраф до 50.000 руб. предусмотрен за нарушения трудового законодательства, в том числе главы 14 ТК РФ.

Дисциплинарная ответственность предусмотрена главой 14 Трудового Кодекса и касается защиты персональных данных работников.

Работники могут в судебном порядке обжаловать действия работодателя при обработке их персональных данных, в результате чего виновные в нарушениях работники могут получить замечание, выговор или быть уволены.

В случае разглашения любой охраняемой законом тайны, в том числе персональных данных другого работника, работник может быть уволен по инициативе работодателя.

Гражданско-правовая ответственность предусмотрена законом «О персональных данных», который предоставляет физическим лицам право на возмещение морального и имущественного вреда, а также компенсацию понесённых убытков.

Уголовная ответственность может наступить за нарушение неприкосновенности частной жизни, к которому можно отнести незаконный сбор или распространение сведений, составляющих личную или семейную тайну. Статья 137 УК РФ предусматривает наказание в виде штрафа до 300.000 руб., принудительных работ или лишения свободы на срок до 4 лет.

Как защититься от штрафа?

Лучший способ обезопасить себя и свою компанию от штрафов и иных видов ответственности – это обеспечить соответствие деятельности компании требованиям действующего законодательства и заблаговременно подготовиться к возможной проверке Роскомнадзора.

Это можно сделать с помощью сервиса «Контур-Экстерн. Персональные данные», который поможет провести в Вашей компании необходимые организационные, правовые и технические мероприятия.

http://extern.balans2.ru/pd/

Источник: https://www.audit-it.ru/club/user/32690/blog/11613/

Новые штрафы за нарушение закона о персональных данных: что делать бизнесу? — Финансы на vc.ru

Неуведомление роскомнадзора об обработке персональных данных штраф

В РФ сохраняется тренд на повышенное внимание государства к соблюдению законодательства о защите персональных данных. Глава комитета Госдумы по бюджету и налогам Андрей Макаров предлагал закрепить в Конституции норму о кибербезопасности личности.

Хотя президент Владимир Путин поддержал это предложение, на 5 марта в текст закона о поправках в Конституцию, подготовленного ко второму чтению, оно не вошло. Но и без этой поправки нарушение закона № 152-ФЗ «О персональных данных» наказывается чрезвычайно строго.

Если несколько лет назад максимальный штраф за нарушение данного закона составлял 10 тыс. рублей, то на сегодня максимальный штраф может достигнуть 18 млн рублей.

“Крутые виражи» в регулировании защиты персональных данных”

Локализация персональных данных. В 2015 году вступили в силу требования по локализации персональных данных.

Операторы, получающие информацию о пользователях сети, были обязаны систематизировать и хранить эти данных в базах данных, располагающихся на территории Российской Федерации (за исключением предусмотренных законом случаев).

Появился и пример приостановки деятельности крупного международного ресурса в России в связи с невыполнением требования по локализации − Linkedin.

Ужесточение ответственности за нарушение закона. В 2017 году вступила в силу новая редакция профильной статьи Кодекса об административных правонарушениях. Вместо существовавшего ранее абстрактного состава правонарушения с санкцией 10 тыс.

рублей была введена система мультиплицирования штрафов по различным составам административных нарушений в сфере обработки персональных данных. Штрафы по отдельным составам теперь могли достигать 50 − 75 тыс.

рублей, а Роскомнадзор получил полномочия самостоятельно возбуждать производство по административным нарушениям.

Размер штрафа за отказ предоставить Роскомнадзору информацию о выполнении требования по локализации данных остался 3 тыс. рублей, но ведомство могло потребовать блокировки ресурса в России.

Штраф до 18 млн рублей за отказ локализовать базы данных. В 2019 году была резко усилена ответственность за нарушение требования о локализации персональных данных. В итоговой версии закона, подписанном Президентом РФ Владимиром Путиным 2 декабря 2019 г.

, размер административного штрафа для граждан установлен в размере от 30 до 50 тыс. рублей; для должностных лиц − от 100 до 200 тыс. рублей; для юридических лиц − от 1 до 6 млн рублей. Повторное нарушение влечет за собой штрафы: для граждан в размере от 50 до 100 тыс. рублей; для должностных лиц − от 500 до 800 тыс.

рублей; для юридических лиц − от 6 до 18 млн рублей.

В пояснительной записке к закону необходимость усиления ответственности за локализацию данных была названа «приоритетом обеспечения информационной безопасности». В обоснование размера штрафов приводился зарубежный опыт: Германии, где штрафы за подобные нарушения установлены в размере 500 тыс. евро, Франции − штраф 30 тыс. евро, Великобритании − штраф 50 тыс. фунтов стерлингов.

Правоприменительная практика не заставила себя ждать. Уже в феврале 2020 года суд наложил штраф в размере 4 млн рублей на компанию , такой же размер штрафа был наложен и на компанию .

Прежде всего, необходимо осознать факт − эра расслабленного отношения к вопросам обработки персональных данных завершилась. Компаниям необходимо обеспечивать соответствие своих бизнес-процессов требованиям закона. Роскомнадзор регулярно проводит проверки компаний на предмет соблюдения требований закона о персональных данных.

Руководству компании важно четко понимать:

– какие конкретно данные компания собирает,

– от какой категории субъектов,

– как регламентирует сбор данных.

Цели сбора персональных данных должны быть совместимы с существующей в компании моделью обработки таких данных. Например, если происходит маркетинговая рассылка, необходимо проанализировать, на каком правовом основании она происходит, и выражал ли адресат согласие на ее получение.

Один из приоритетных моментов: каким образом компания получает согласие гражданина на обработку персональных данных; содержит ли такое согласие достаточный набор сведений; и не носит ли оно избыточный характер. Ювелирная выверка политики обработки персональных данных спасет компанию от штрафов.

Ссылка на документ, в котором описываются все моменты работы с персональными данными, должен обязательно присутствовать на каждом сайте компании. Отсутствие такой ссылки – отдельное правонарушение.

Если российский офис компании передает персональные данные за рубеж (например, сообщает их материнской компании) – должны быть соблюдены требования к трансграничной передаче данных.

Следует также не забыть про разработку эффективного механизма реагирования на запросы субъектов персональных данных. Невнимательность к требованию, например, удалить персональные данные человека чревата неприятностями.

Исключение несанкционированного доступа к базам персональных данных − особая тема. Обеспечить его нередко не удается даже самым крупным компаниям. К этой проблеме рекомендуется подойти с максимальной серьезностью и максимально возможным уровнем бюрократического формализма.

При утечке персональных данных первым делом проверяют наличествующую документацию − инструкции, сертификаты, допуски, росписи сотрудников в журнале. Документарно подтвержденное соблюдение закона о персональных данных может служить залогом минимизации рисков в этой сфере.

Кто отвечает за персональные данные

Нередко сбои в защите персональных данных возникают потому, что никто в компании персонально не отвечает за данный вопрос. Не у всех есть ресурсы, чтобы ввести в штатное расписание позицию сотрудника, уполномоченного для работы с персональными данными, и его специальную подготовку.

В этом случае имеет смысл провести обучение всех сотрудников компании принципам работы с персональными данными, и в дальнейшем регулярно напоминать об этом с помощью лекций, семинаров и другими способами.

На проверяющих может произвести приятное впечатление стенд наглядной агитации с призывом соблюдать конфиденциальность персональных данных.

Оценка возможных потерь в случае проверки со стороны контролирующего органа и обнаружения нарушений в работе с персональными данными может помочь принять правильное решение о формализации работы в этой сфере.

Например, можно осуществить регулярные тренинги сотрудников для цели повышения компетенции в работе с персональными данными, что будет направлено на снижение рисков нарушения законодательства.

Более надежно регулярное проведение аудита работы с персональными данными сторонней компанией, специализирующейся на защите данных.

В договор с компаний, обслуживающей базы данных, полезно включить отдельный пункт о хранении баз персональных данных на территории РФ. Проверить, где оператор хранит данные, неспециалисту и без должного уровня доступа практически невозможно. Пункт в договоре о хранении данных в РФ может минимизировать риски.

Адаптирование деятельности компании в части её соответствия законодательству о персональных данных приходится проводить индивидуально для каждой компании в зависимости от принятых в компании бизнес-процессов.

При этом у компаний из близких сфер бизнеса основные методы защиты данных зачастую близки по содержанию.

Учет имеющихся бизнес-кейсов и привлечение квалифицированных юридических консультантов в данной сфере позволить сэкономить деньги и минимизирует риски штрафов.

Горячев И.С., Старший юрист ООО «Юридическая фирма Городисский и Партнеры»

Источник: https://vc.ru/finance/111938-novye-shtrafy-za-narushenie-zakona-o-personalnyh-dannyh-chto-delat-biznesu

Обработка персональных данных в 2018: как избежать штрафа

Неуведомление роскомнадзора об обработке персональных данных штраф

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы 

ОснованиеРазмер штрафа
ФизлицаДолжностные лицаЮрлицаИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДнпредупреждение или штраф — от 1000 до 3000 руб. предупреждение или штраф — от 5000 до 10 000 руб.предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб.от 10 000 до 20 000 руб.от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДнот 700 до 1500 руб.от 3000 до 6000 руб.от 15 000 до 30 000 руб. от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработкепредупреждение или штраф — от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 6000 руб.предупреждение или штраф — от 20 000 до 40 000 руб.предупреждение или штраф — от 10 000 до 15 000 руб. 
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)предупреждение или наложение штрафа в размере от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 10 000 руб.предупреждение или штраф — от 25 000 до 45 000 руб.  предупреждение или штраф — от 10 000 до 20 000 руб. 
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копированияот 700 до 2000 руб.от 4000 до 10 000 руб.от 25 000 до 50 000 руб.от 10 000 до 20 000 руб. 
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДнпредупреждение или наложение административного штрафа — от 3000 до 6000 руб. 

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:  

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?  

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данныелюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данныхлюбое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан. 

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора  

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально.

 На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.         

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ): 

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.

1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft.

 Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда.

 За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн. 

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;  
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!  

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

5 базовых принципов закона о персональных данных, о которых нужно знать

Как подготовиться к плановой проверке ФСБ по персональным данным?

Проверка Роскомнадзора: как подготовиться и избежать штрафов 

Источник: https://kontur.ru/articles/4816

Ответственность за нарушение закона о персональных данных

Неуведомление роскомнадзора об обработке персональных данных штраф

Новости и аналитика Важная тема Все о персональных данных Ответственность за нарушение закона о персональных данных

Екатерина Добрикова

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Таблица 1. “Виды ответственности за нарушение закона о персональных данных”

Вид ответственностиНарушениеСанкцияНорма
АдминистративнаяНеправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информацииАдминистративный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.Статья 5.39 КоАП РФ
Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данныхПредупреждение или административный штраф:

  • на граждан – от 1 тыс. до 3 тыс. руб.;
  • на должностных лиц – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 30 тыс. до 50 тыс. руб.
Часть 1 ст. 13.11 КоАП РФ
Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласиеАдминистративный штраф:

  • на граждан – от 3 тыс. до 5 тыс. руб.;
  • на должностных лиц – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 75 тыс. руб.
Часть 2 ст. 13.11 КоАП РФ
Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данныхПредупреждение или административный штраф:

  • на граждан – от 700 до 1 тыс. руб.;
  • на должностных лиц – от 3 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 30 тыс. руб.
Часть 3 ст. 13.11 КоАП РФ
Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данныхПредупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 15 тыс. руб.;
  • на юридических лиц – от 20 тыс. до 40 тыс. руб.
Часть 4 ст. 13.11 КоАП РФ
Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 45 тыс. руб.
Часть 5 ст. 13.11 КоАП РФ
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении нихАдминистративный штраф:

  • на граждан – от 700 до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 50 тыс. руб.
Часть 6 ст. 13.11 КоАП РФ
Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методовПредупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.Часть 7 ст. 13.11 КоАП РФ
Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном видеАдминистративный штраф:

  • на граждан – от 100 до 300 руб.;
  • на должностных лиц – от 300 до 500 руб.;
  • на юридических лиц – от 3 тыс. до 5 тыс. руб.
Статья 19.7 КоАП РФ
УголовнаяНезаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИШтраф до 200 тыс. руб., либо обязательные работы на срок до 360 часов, либо исправительные работы на срок до одного года, либо принудительные работы на срок до двух лет (с лишением права занимать определенные должности на срок до трех лет или без такового), либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет (с лишением права занимать определенные должности на срок до трех лет)Статья 137 Уголовного кодекса
То же деяние, совершенное с использованием служебного положенияШтраф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет или без такового), либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет)
Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданийШтраф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительные работы на срок до пяти лет (с лишением права занимать определенные должности на срок до шести лет или без такового), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет (с лишением права занимать определенные должности на срок до шести лет)
Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам гражданШтраф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти летСтатья 140 УК РФ
Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копированиеШтраф до 200 тыс. руб., либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительные работы на срок до двух лет, либо лишение свободы на тот же срокСтатья 272 УК РФ
Гражданско-правоваяПричинение лицу убытков в результате нарушения правил обработки его персональных данных.Под убытками при этом понимаются:

  • расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права;
  • утрата или повреждение его имущества;
  • неполученные доходы, которые лицо получило бы, не будь его право нарушено.
Возмещение убытковСтатья 15 Гражданского кодекса
Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данныхКомпенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)Статья 24 закона о персональных данных, ст. 151 ГК РФ
ДисциплинарнаяРазглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностейУвольнениеПодпункт “в” п. 6 ч. 1 ст. 81 Трудового кодекса
Иные нарушения в области персональных данных при их обработкеЗамечание или выговорСтатья 90, ст. 192 ТК РФ

Источник: https://www.garant.ru/actual/persona/otvetstvennost/

Штрафы за персональные данные в 2020 году – за что штрафуют и на сколько

Неуведомление роскомнадзора об обработке персональных данных штраф
2 декабря 2019 года вступили в силу новые штрафы за нарушения законодательства РФ в области персональных данных суммой до 18 миллионов рублей.

Административная ответственность по статье 13.

11 в текущей редакции предусматривает дифференциацию в зависимости от последствий нарушения.

Так ответственность для юридического лица предусматривает наложение штрафа в размере от 15 тысяч до 6 миллионов рублей, а при повторном нарушении — до 18 миллионов рублей.

Максимальный совокупный штраф для должностного лица составляет 268 тысяч рублей, а при повторном нарушении может превышать 800 тысяч.

Статья 13.11 Кодекса об административных правонарушениях РФ

КоАП РФ не возлагает на организации, осуществляющие обработку персональных данных, дополнительных обязанностей и не изменяет содержание существующих требований, которые предусмотрены законодательством в области персональных данных (152-ФЗ).

Стоит отметить, что КоАП наделяет должностных лиц органа, осуществляющего функции по контролю и надзору в области персональных данных, которым является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), полномочиями по возбуждению дел об административных правонарушениях.

Представляем вашему вниманию сводную таблицу штрафов за нарушения законодательства в области персональных данных (в редакции от 02.12.2019):

Статья статьи КоАП Сумма штрафа Гражданин Должн. лицо ИП Юр. лицо
13.11 ч.1 Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния 1-3 тыс. руб 5-10 тыс. руб 30-50 тыс. руб
13.11 ч.2 Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных 3-5 тыс. руб 10-20 тыс. руб 15-75 тыс. руб
13.11 ч.3 Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных 0,7-1 тыс. руб 3-6 тыс. руб 5-10 тыс. руб 15-30 тыс. руб
13.11 ч.4 Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных 1-2 тыс. руб 4-6 тыс. руб 10-15 тыс. руб 20-40 тыс. руб
13.11 ч.5 Невыполнение оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки 1-2 тыс. руб 4-10 тыс. руб 10-20 тыс. руб 25-45 тыс. руб
13.11 ч.6 Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния 0,7-2 тыс. руб 4-10 тыс. руб 10-20 тыс. руб 25-50 тыс. руб
13.11 ч.7 Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных 3-6 тыс. руб
13.11 ч.8 Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством РФ в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ 30-50 тыс. руб 100-200 тыс. руб 1-6 млн. руб
13.11 ч.9 Повторное совершение административного правонарушения, предусмотренного частью 8 настоящей статьи 50-100 тыс. руб 500-800 тыс. руб 6-18 млн. руб

Данная статья актуализирована с учетом изменений статьи 13.11 Кодекса №195-ФЗ от 2 декабря 2019 года.

Источник: https://data-sec.ru/personal-data/fines/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.