Рубрики:

Закон о персональных данных: как уберечь бизнес от новых штрафов

Прочтёте за 4 мин.

С 1 июля 2017 года законом 152-ФЗ ужесточается ответственность за сбор «личной» информации о пользователях и клиентах

С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований федерального закона «О персональных данных» (№ 152-ФЗ от 27 июля 2006 года). Этот закон коснётся многих индивидуальных предпринимателей и компаний малого и среднего бизнеса. О том, как избежать штрафов при проверках Роскомнадзора, рассказал эксперт по налогообложению Игорь Кармазин.

152-ФЗ 

Кого коснутся новые штрафы

Штрафы за несоблюдение требований федерального закона «О персональных данных» были повышены в соответствии с федеральным законом № 13-ФЗ от 7 февраля 2017 года. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для индивидуальных предпринимателей увеличили до 20 тысяч рублей. При этом, если раньше в Кодексе административных правонарушений существовал только один, общий для всех случаев состав правонарушения в области персональных данных (ст.13.11 КоАП РФ), то теперь в данной статье появилось целых семь составов. 

Чтобы избежать штрафов по 152-ФЗ, компаниям и индивидуальным предпринимателям с 1 июля 2017 года следует внимательнее подходить к соблюдению требований закона о персональных данных.

Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. По закону они отнесены к операторам персональных данных и обязаны соблюдать законодательные ограничения.

Закон не содержит конкретного перечня таких организаций. Однако к ним можно отнести банки, страховые компании, операторов мобильной связи и интернета, медицинские организации, транспортные компании, учебные заведения и все те компании, при обращении в которые граждан просят указать личные данные или заполнить анкету.

Но и это ещё не всё. Закон распространяется на всех без исключения работодателей, получающих сведения от сотрудников как по трудовым договорам, так и по договорам гражданско-правового характера. Работодатели тоже являются операторами персональных данных с небольшой оговоркой. Если работодатель состоит с гражданином в трудовых или гражданско-правовых отношениях, ему не требуется уведомлять Роскомнадзор об обработке личной информации (ч. 2 ст. 22 федерального закона № 152-ФЗ). 

Также к операторам персональных данных относятся все компании, имеющие собственные сайты с обратной формой связи и регистрацией пользователей, у которых запрашиваются личные сведения.

Как обезопасить себя от штрафов: шесть важных правил 

1. Исключить случаи нецелевого сбора и обработки данных

Под данное нарушение попадают и случаи сбора излишней информации о гражданах. Например, когда сайт для новостной рассылки по e-mail требует от посетителей предоставить, скажем, паспортные данные. Это считается обработкой данных не по назначению, поэтому исключите подобные случаи из практики работы своей компании и сайта.

Данные действия образуют состав правонарушения по ч. 1 ст. 13.11 Кодекса об административных правонарушениях РФ. Штраф для предпринимателей – от 5 до 10 тысяч рублей, а для организаций – от 30 до 50 тысяч рублей. 

2. Получать письменное согласие граждан на обработку их данных

Согласие граждан необходимо получать в обязательном порядке (ч. 4 ст. 9 федерального закона № 152-ФЗ). Исключений из этого правила не так много. Например, не требуется письменного согласия при получении персональных данных в личных или семейных целях. 

В большинстве же случаев дополнительно к основному договору стороны должны подписывать соглашение об обработке персональных данных. Это соглашение может включаться в текст основного договора, или выступать в качестве отдельного документа. Согласие должно поступить лично от гражданина. Без его ведома передавать данные нельзя. 

Самый банальный пример злоупотреблений в этой части – когда кредиторы передают третьим лицам информацию о должниках для взыскания с них займов, кредитов и процентов. Или, скажем, оператор мобильной связи передаёт контакты абонентов без их ведома сторонним компаниям, и на телефонные номера граждан начинает поступать всевозможный спам. 

Если письменного соглашения на обработку данных у компании нет, на ИП наложат штраф в размере от 10 до 20 тысяч рублей, а на юрлиц – от 15 до 75 тысяч рублей. Причем контролёрам будут неважны последствия неполучения письменного согласия. Важен будет сам факт наличия или отсутствия такого согласия в письменной форме. 

3. Знакомить граждан с политикой обработки персональных данных

Эта информация должна находиться в свободном доступе и с ней должен иметь возможность ознакомиться каждый. Например, сайты вывешивают информацию о порядке работы с персональными данными на отдельных своих страницах.  

В противном случае наступит ответственность по ч. 3 ст. 13.11 КоАП РФ. Индивидуальные предприниматели заплатят штраф в размере от 5 до 10 тысяч рублей, а организации - в размере от 15 до 30 тысяч рублей. 

4. Отвечать на вопросы граждан о том,
каким образом используются их персональные данные
 

На практике бывают случаи, когда данные «утекают» третьим лицам, и клиентам компании начинает поступать всевозможная реклама от магазинов, медицинских центров и кредитных организаций. В этом случае клиент может потребовать от оператора персональных данных предоставить информацию о том, как используются и хранятся его личные сведения.  

За игнорирование обращений граждан операторы персональных данных несут ответственность по ч. 4 ст. 13.11 КоАП РФ. Штраф для ИП – от 10 до 15 тысяч рублей, а для юрлиц – от 20 до 40 тысяч рублей. 

5. Выполнять требования граждан 
об уточнении персональных данных, их блокировании или уничтожении

Это нужно делать в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.  

Неисполнение этой обязанности грозит штрафом по ч. 5 ст. 13.11 КоАП РФ. Для ИП штраф составит от 10 до 20 тысяч рублей, для организаций – от 25 до 45 тысяч рублей. 

6. Обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д.

Ответственность за необеспечение сохранности личных сведений установлена ч. 6 ст. 13.11 КоАП РФ. Для предпринимателей – от 10 до 20 тысяч рублей, для компаний – от 25 до 50 тысяч рублей.

Как зарегистрироваться в качестве операторов персональных данных   

Компании, по закону отнесённые к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре. Для этого необходимо подать уведомление о намерении осуществлять обработку персональных данных (ч. 3 ст. 22 федерального закона № 152-ФЗ).  

Для подачи уведомления об обработке персональных данных необходимо  заполнить электронную форму на  Портале персональных данных Роскомнадзора. Электронная форма уведомления об обработке персональных данных и порядок его заполнения также размещены на  Едином портале государственных и муниципальных услуг (функций)

После заполнения формы уведомления о намерении осуществлять обработку персональных данных её следует отправить в информационную систему уполномоченного органа по защите прав субъектов персональных данных. Затем заполненную форму нужно распечатать и заверить надлежащим образом, скрепив подписью и печатью организации, после чего направить в  соответствующий территориальный орган Роскомнадзора по месту регистрации компании-оператора персональных данных. 

Что делать владельцам сайтов

Что касается сайтов (а сейчас они есть практически у любой компании), то основная масса потенциальных нарушений здесь связана именно с нецелевым сбором и использованием персональных данных.

Например, нередко в форме регистрации на сайте используются такие поля, как «дата рождения» и «телефон», а в форме профиля пользователя - «отчество», «дата рождения», «место жительства» (страна, область/край, город). 

Следует понимать, что для регистрации пользователя на большинстве сетевых ресурсов не требуется знать такие данные, как телефон и место жительства/регистрации пользователя. Из формы регистрации эти сведения следует убрать.  

А из формы личного профиля лучше убрать такие сведения, как «профессия», «www-страница», Skype (или другой мессенджер) и «дата рождения».  

Форма подписки на новости сайта должна собирать информацию только о e-mail пользователей. Форма регистрации может собирать имя, фамилию, e-mail и пол пользователя. Это разрешено и за это не будет штрафов

А вот сбор «лишней» информации при проверке сайта могут посчитать нарушением.

Выполнение вышеописанных правил позволят избежать ответственности за нарушение закона. При этом следует учитывать одно немаловажное обстоятельство: если раньше закон о персональных данных обходил вашу компанию стороной и никакой ответственности за его нарушение вы не несли, то с 1 июля все может измениться кардинальным образом. 

Именно с этой даты начинает действовать упрощённый порядок привлечения к административной ответственности. Раньше дела в этой сфере возбуждала прокуратура (ст. 28 КоАП РФ). По новым же правилам (п. 58 ч. 2 ст. 28.3 КоАП РФ) дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры. На практике это означает, что количество штрафов и доведённых до суда дел может значительно увеличиться, и уйти от ответственности станет значительно сложнее.

Экспресс-резюме по статье

1. С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований федерального закона «О персональных данных». 

2. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей. 

3. Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. Закон не содержит конкретного перечня таких организаций. 

4. Компании, по закону отнесённые к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре. 

5. Обезопасить себя от штрафов можно, соблюдая шесть правил

  • исключить случаи нецелевого сбора и обработки данных;

  • получать письменное согласие граждан на обработку их данных;

  • знакомить граждан с политикой обработки персональных данных;

  • отвечать на вопросы граждан о том, каким образом используются их персональные данные;

  • выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении;

  • обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д. 

6. С 1 июля 2017 года начинает действовать упрощённый порядок привлечения к административной ответственности. Дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры.  

Источник: Buh.ru.

152-ФЗ

Читайте также:

В чём суть закона об онлайн-кассах и как он будет работать.
Экспресс-гид по «упрощёнке»: что нужно знать предпринимателю про УСН.
Можно ли заключать договоры по email и как это правильно сделать.

22 июня 2017

Комментарии

0
  • Прокомментируйте первым.

  • Задайте вопрос
    профи

    Наши эксперты ответят на любой вопрос

    Задать вопрос
    Ваш вопрос отправлен

    Ваш вопрос

    Введите Имя
    Введите E-mail
    Отправить Очистить
Возможно, вас заинтересуют другие наши материалы
Идёт загрузка материалов