Ужесточение наказания за обработку персональных данных: что нужно знать
Теперь привлечь работодателей к ответственности будет проще
С 1 июля 2017 года в России начнет действовать ряд изменений в законодательстве, а именно: вырастет МРОТ, увеличится перечень документов, по которым можно будет купить алкоголь, введение электронных больничных листов и прочее. Но сегодня мы разберем такое важное изменение, как закон о персональных данных.
В феврале расширили перечень оснований для привлечения работодателя к административной ответственности за утечку персональных данных (ч. 1 ст. 13.11 КоАП РФ). Теперь вместо одного вида административной ответственности будет семь. Обычно в случае нарушения сначала работодателю поступает предупреждение, а затем административный штраф. Напомним, что теперь этими делами занимается Роскомнадзор, а не прокуратура. В особенности это коснется всех, у кого есть сайт.
Как пояснили в областном Роскомнадзоре, срок действия заявления — 3 месяца, и ранее этот срок истекал гораздо раньше, чем жалоба была рассмотрена.
Вообще за нарушение обработки, хранения и защиты данных можно привлечь работодателя к дисциплинарной, материальной, административной и уголовной ответственности. Но ужесточили только административную ответственность за персональные данные. Сумма штрафа для юрлиц теперь может достигнуть максимум 75 тысяч рублей.
Обезличивание персональных данных
Этот процесс обозначает то, что станет невозможно определить принадлежность данных какому-то конкретному человеку. Иными словами — анонимность. Допустим, если государственные органы разместили документ в открытом доступе, то персональные данные, указанные в нем, должны быть обезличены. За нарушение возможна ответственность в виде предупреждения или наложения штрафа на должностных лиц в размере от трех до шести тысяч рублей.
Нарушение сохранности персональных данных
Операторам и работодателям будет назначен штраф, если они не обеспечили сохранность персональных данных и это привело к неправомерному или случайному доступу с последующим уничтожением, блокированием или копированием.
Граждане заплатят от 700 до 2 000 рублей, должностные лица заплатят от 4 000 до 10 000 рублей, ИП — от 10 000 до 20 000 рублей, организации — от 25 000 до 50 000 рублей.
Уточнение и блокировка
Если оператор не выполнил требования гражданина об уточнении, блокировке или уничтожении данных, то будет наложен административный штраф.
Гражданам: от 1 000 до 2 000 рублей, должностным лицам от 4 000 до 10 000 рублей, ИП — от 10 000 до 20 000 рублей, юридическим лицам от 25 000 до 45 000 рублей.
Полная информация по обработке данных и ее сокрытие
Физическое лицо, кому принадлежат персональные данные, имеет полное право получить подробную информацию, касающуюся обработки данных. Если конкретнее, то: подтверждение факта обработки, основания и цели обработки, сведения о лицах, которые имеют доступ к персональным данным, сроки обработки данных.
Если оператор скрыл от вас какую-либо информацию, то в его отношении поступит предупреждение, а позже и административный штраф. На граждан – от 1000 до 2000 руб, на должностных лиц (например,директора, кадровика или бухгалтера) - от 4000 до 6000 руб, на ИП – 10 000 до 15 000 руб, на юридических лиц (организаций) – от 20 000 до 40 000 руб.
Доступ к документации по обработке данных
Работодатель, или оператор будет обязан предоставить неограниченный доступ к документу, определяющему его политику в отношении обработки данных. К примеру, на каждом сайте, в котором пользователи оставляют свои заявки, должны быть ссылки на документы «Политика обработки персональных данных», «Положение об обработке персональных данных». Если такого документа нет, то будет назначен административный штраф: на граждан - от 700 до 1500 руб, на должностных лиц - от 3000 до 6000 руб, на ИП - от 5000 до 10 000 руб.; на организации - от 15 000 до 30 000 руб.
Обработка данных без согласия субъекта
По общему правилу, обработка персональных данных возможна только с письменного согласия граждан. Хотя возможно получить его и устно, но вам придется доказать этот факт. Письменное согласие включает в себя: ФИО, адрес, реквизиты паспорта, цель обработки данных, перечень персональных данных, на обработку которых дается согласие, срок, в течение которого действует согласие сотрудника, подпись сотрудника. За обработку данных без согласия сотрудника, работодателю грозят штрафные санкции: на граждан - в размере от 3000 до 5000 руб, на должностных лиц (например, директор, кадровик или ИП) – от 10 000 до 20 000 руб, на организации - от 15 000 до 75 000 руб.
Обработка данных в «иных целях»
Допустим, если работодатель собрал персональные данные и передал их сторонним компаниям в рекламных целях (ФИО, телефоны, уровень дохода), а те начинают рассылать спам или рекламу работникам на электронную почту, телефон и т. д., то можно смело применить административную ответственность. На первый раз — предупреждение, а затем штраф: на граждан - в размере от 1000 до 3000 руб, на должностных лиц – 5000 до 10 000 руб, на юридических лиц – от 30 000 до 50 000 руб.
Как будут проверять?
На семинаре, проведенном в областном Роскомнадзоре, для многих юрлиц стал открытием тот факт, что, к примеру, в личном деле работника не должны храниться никакие ксерокопии его документов, даже если, по словам самих работодателей, это жизненно необходимо. Хотите получить штраф, пренебрегайте этими правилами, не хотите — фиксируйте все данные в личном деле.
Чтобы избежать нарушения закона, вашей юридической службе необходимо как следует изучить нюансы ФЗ «О защите персональных данных», проработать политику конфиденциальности с четким распределением обязанностей: кто будет являться оператором по обработке персональных данных, кто будет иметь к ним доступ, каким образом будет осуществляться их хранение и защита. Следует также не забывать, что любая передача персональных данных третьим лицам также требует согласия сотрудника, будь-то направление их в пенсионный фонд или проверка подлинности документа об образовании.
Естественно, что многие фирмы 1 июля вряд ли будут готовы с легкостью представить полный перечень набора документов проверяющему органу. Но, как заверили в Роскомнадзоре, к вам точно не нагрянут внезапно, а заблаговременно известят о планируемой проверке, а также предоставят примерный перечень документов, с которыми захотят ознакомиться. К тому же, на сайте ведомства есть список компаний, в отношении которых запланированы ближайшие контрольные мероприятия.
Кому следует привести документы в порядок в первую очередь?
Как показывает практика, нарушения закона «О персональных данных» — явление не редкое. С ними надзорному органу приходится сталкиваться как на сайтах образовательных учреждений, так и в госструктурах, к примеру, налоговой или службе занятости. Так что государственные структуры это коснется в первую очередь. Нововведения станут сюрпризом для Интернет-магазинов, которые поставляют товары или услуги. Как правило, при оформлении заказа они собирают данные, по которым можно идентифицировать личность: фамилию, адрес. Таким образом, владельцы должны подготовить для клиента форму с чек-боксом о его согласии на обработку этих данных. Предвидя возражения, что не все указывают реальное имя, советуем все же избежать нарушений заблаговременно. И естественно, что у каждого владельца Интернет-магазина должен быть подготовлен ряд необходимых документов, фиксирующих все данные о том, как в компании следят за соблюдением закона «О персональных данных».
Мне ничего непонятно!
Увы, контролирующий орган в Кировской области не обладает достаточными ресурсами, чтобы растолковать всем, кто попадает под действие закона, как необходимо защищать персональные данные. Прием юрлиц в ведомстве не ведут, но если у вас возникли вопросы, на сайте Роскомнадзора есть ответы, которые могу вам помочь.
На сайте также есть все разъяснения о том, как ведется защита прав субъектов персональных данных, что тоже может помочь вам избежать нарушения законодательства.
Фото:gladwinlegal.com.au, ghanastar.com
