С 1 июля 2017 года вступает в силу Федеральный закон от 07.02.2017 N 13-ФЗ
"О внесении изменений в Кодекс Российской Федерации об административных правонарушениях".
Закон меняет ст.13.11 и устанавливает 7 конкретных нарушений, за которые будет предусмотрена административная ответственность:
|
Часть статьи |
Административное правонарушение | Подробнее о правонарушении |
Штраф (для юр. лиц) |
| 1 | Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. |
Обработка персональных данных человека допускается на основании: - его согласия; - Налогового и Трудового Кодексов и других законодательных актов; - договора, стороной которого он является; - других случаев, перечисленных в ч.1 ст.6 ФЗ №152 «О персональных данных» (далее – ФЗ №152). Персональные данные должны использоваться только для достижения конкретных целей, поставленных перед их сбором.
Примеры нарушений: - оператор производит сбор персональных данных на сайте, не предусмотрев наличия галочки о согласии на их обработку; - оператор производит сбор персональных данных для регистрации на сайте, а использует для рассылки рекламы. |
30 - 50 т.р. |
| 2 | Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных. |
Существует 5 случаев, в которых необходимо брать письменное согласие на обработку персональных данных: 1) создание общедоступных источников персональных данных, например, адресных книг, справочников и т.п. (ст.8 ФЗ №152); 2) обработка специальных категорий персональных данных, к которым относятся данные о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья и интимной жизни (ст.10 ФЗ №152); 3) обработка биометрических персональных данных (ст.11 ФЗ №152); 4) передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (ст.12 ФЗ №152). Это страны, не ратифицировавшие Конвенцию о защите физических лиц при автоматизированной обработке персональных данных и не входящие в перечень, утвержденный приказом Роскомнадзора от 15.03.2013 №274; 5) передача персональных данных работников третьим лицам, не предусмотренная ТК РФ или другими ФЗ (ст. 88 ТК РФ).
Требования к составу письменного согласия указаны в ч.4 ст.9 ФЗ №152.
Примеры нарушений: - обработка сведений о состоянии здоровья клиентов частного медицинского центра без их письменного согласия на обработку; - письменное согласие не содержит перечня персональных данных, на обработку которых человек даёт своё согласие. |
15 - 75 т.р. |
| 3 | Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных. |
Оператор должен вывесить Политику в отношении обработки персональных данных на видном общедоступном месте (например, на доске информации) согласно ч.2 ст.18.1 ФЗ №152. Если персональные данные собираются через форму на сайте, то на этом сайте также должна быть опубликована Политика.
Примеры нарушений: - доступ к вывешенной Политике ограничен (клиент не может свободно пройти и ознакомиться с ней); - на сайте форма для сбора персональных данных есть, а Политики нет. |
15 - 30 т.р. |
| 4 | Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных. | Любой человек может запросить у оператора информацию об обрабатываемых им персональных данных согласно ч.7 ст.14 ФЗ №152. Невыполнение этого требования (непредоставление информации или предоставление неполной или ложной информации) является нарушением. | 20 - 40 т.р. |
| 5 | Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. |
Если персональные данные человека изменились (изменился номер телефона, адрес, фамилия и т.д.), то он имеет право требовать, чтобы оператор (например, банк) и у себя внёс соответствующие изменения в данные. Также можно требовать уничтожения персональных данных в случае, если они были получены незаконно или цель их обработки достигнута (при отсутствии у оператора законных оснований продолжать обработку). Пример нарушения (из жизни): вам звонят из недавно открывшегося театра и приглашают посетить ближайший спектакль. На вопрос «откуда вы знаете моё имя и номер телефона?» ответ такой: «ваша мама/тётя/бабушка недавно у нас была и в анкете указала ваши данные как человека, кому бы она порекомендовала к нам сходить». Вы точно знаете, что ваша родственница в таком месте не была. На лицо пример незаконного получения персональных данных. Если по запросу оператор не удалит их из своей базы, то это будет являться нарушением. |
25 - 45 т.р. |
| 6 | Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных. |
При хранении материальных носителей персональных данных (документов, договоров, карточек в картотеке и пр.) оператор должен самостоятельно установить следующие меры: - меры, необходимые для обеспечения сохранности персональных данных; - меры, исключающие несанкционированный доступ к персональным данным. Об этом сказано в п.15 Постановления Правительства от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Примером нарушения будет невыполнение правил, определенных самим оператором в своих локальных актах, повлекшее указанные негативные последствия. А вот наказание за несоблюдение остальных пунктов Постановления Правительства (кроме п.14) под вопросом, т.к. в них уже говорится совсем не о хранении материальных носителей персональных данных. |
25 - 50 т.р. |
| 7 | Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных. |
Для государственных и муниципальных органов подпунктом з) пункта 1 Постановления Правительства РФ от 21.03.2012 №211 установлена обязанность по обезличиванию персональных данных. Приказом Роскомнадзора от 05.09.2013 №996 установлены требования и методы по обезличиванию персональных данных (а также в помощь операторам госам и муниципалам выпущены методические рекомендации по обезличиванию, утвержденные Роскомнадзором 13.12.2013 г.).
Примеры нарушений: - несоблюдение правил обезличивания (например, после обезличивания часть данных теряется, т.е. не соблюдается требование сохранения полноты обезличенных данных). |
3-6 т.р. только для должностных лиц |
Также закон меняет название самой статьи в КОАП – раньше она называлась «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)», теперь – «Нарушение законодательства Российской Федерации в области персональных данных». О чем это говорит? О том, что теперь Роскомнадзор с полным правом может проверять выполнение требований не только ФЗ №152 «О персональных данных», но и Трудового кодекса (а именно главы 14, описывающей правила обработки персональных данных работников).
Нововведения вступают в силу уже с 1 июля 2017 года. Но заняться приведением обработки ПДн в соответствие с законом нужно уже сейчас.