С 01.07.2017 г. действуют изменения в ст. 13.11 КоАП РФ об административной ответственности за нарушение законодательства о персональных данных физлиц. Поскольку поправки касаются всех, кто использует персональные данные, рассмотрим эти новшества в нашей статье.
Обработка персональных данных – 2017
Персональные данные – это любая информация, прямо или косвенно относящаяся к конкретному физлицу (имя, адрес проживания, дата рождения, паспортные данные, номер телефона, фото, адрес электронной почты, и т.д.). Организация, госорган или физлицо, собирающее и обрабатывающее персональные данные, именуется оператором (Закон о персональных данных от 27.07.2006 № 152-ФЗ). К таковым относятся работодатели, а также все, кто получает личные данные от граждан – медучреждения, учебные заведения, интернет-магазины и т.д.
Для работодателя такие данные необходимы в связи с трудовыми отношениями. Получить их можно только лично от самого работника, а от третьих лиц - с его письменного согласия. Физлицо дает письменное согласие на обработку персональных данных. Бланк законодательством не утвержден, составить его можно самостоятельно, с учетом требований п. 4 ст. 9 закона № 152-ФЗ(п. 3 ч. 1 ст. 86 ТК РФ, п. 1 ст. 9 закона 152-ФЗ).
Согласие на обработку персональных данных (образец)
Недопустимо собирать и обрабатывать персональные данные работника, не относящиеся к его трудовой деятельности, например, об участии в общественных объединениях, вероисповедании, личной жизни и т.п. Это же касается и прочих операторов, которые запрашивают данные, не имеющие отношения к цели их обработки (например, указание паспортных данных в анкете об оценке работы сайта). Полученные данные не должны раскрываться третьим лицам или распространяться без согласия физлица (ст. 7 закона № 152-ФЗ).
Оператор обязан обеспечить данным надлежащую защиту, для чего закрепляет порядок их получения, обработки и хранения в Положении о персональных данных или ином внутреннем нормативном акте. В документе определяются необходимые меры, а также назначается ответственный за обработку. Доступ к таким данным должен разрешаться только уполномоченным на то лицам, причем они вправе получать только сведения, необходимые для осуществления конкретных функций (ст. 88 ТК РФ, ст. 18.1 закона № 152-ФЗ).
Положение о персональных данных либо иной документ о политике их обработки, находятся в открытом доступе и предъявляются по запросам уполномоченных органов - это касается и работодателей, и прочих операторов (ч. 2 и 4 ст. 18.1 закона № 152-ФЗ).
Персональные данные – 2017: новое в административной ответственности
Законом от 07.02.2017 № 13-ФЗ была принята новая редакция статьи 13.11 КоАП РФ. Если ранее статья содержала один единственный состав – нарушение ФЗ о персональных данных, теперь это целый перечень из семи оснований административной ответственности и, соответственно, разные штрафы. Вероятно, что при обнаружении нескольких нарушений у одного оператора, ему грозит несколько штрафов, а не один.
Также претерпели изменения статьи 28.3 и 28.4 КоАП РФ, упростив процесс привлечения операторов к ответственности: с 01.07.2017 г. протоколы о нарушениях закона 152-ФЗ о персональных данных составляют сотрудники Роскомнадзора, а не прокурор, как раньше. Срок для привлечения к ответственности остался прежним – 3 месяца.
За что теперь штрафуют
Итак, вот по каким основаниям теперь могут привлекаться к административной ответственности предприниматели и организации, обрабатывающие персональные данные:
- Данные обрабатываются в случаях, не предусмотренных ФЗ о персональных данных либо их обработка несовместима с целями сбора (ч. 1 ст. 13.11 КоАП РФ) . Незаконное использование личных данных, если оно не влечет уголовной ответственности, грозит предупреждением, или штрафом: физлицам в 1000-3000 руб., должностным лицам – 5000-10 000 руб., организациям – 30 000-50 000 руб.
- Обработка данных без письменного согласия, необходимого по закону (п. 2 ст. 13.11 КоАП РФ). Согласие на обработку должно содержать информацию, указанную в ч. 4 ст. 9 закона 152-ФЗ о персональных данных. Изменения 2017 г. предусматривают с 1 июля штраф за его отсутствие в следующем размере: для нарушителей физлиц – 3000-5000 руб., для должностных лиц – 10 000-20 000 руб., для организаций – 15 000-75 000 руб.
- Отсутствие неограниченного доступа к политике оператора в области обработки персональных данных (п. 3 ст. 13.11 КоАП РФ). Обязанность обеспечения доступа установлена п. 2 ст. 18.1 закона 152-ФЗ о персональных данных. Невозможность ознакомиться с таким документом на бумаге либо на сайте, если данные собираются через интернет, обойдется операторам: в 700-1500 руб. - физлицам, 3000-6000 руб. – должностным лицам, 5000-10 000 руб. – ИП, 15 000-30 000 руб. – организациям, а в лучшем случае все обойдется предупреждением.
- Непредоставление лицу информации, касающейся обработки его персональных данных (п. 4 ст. 13.11 КоАП РФ). Порядок запроса такой информации прописан в статье 14 закона 152-ФЗ. Изменения с 01.07.2017 следующие: за нарушение полагается предупреждение, либо штраф 1000-2000 руб. – физлицам, 4000-6000 руб. - должностным лицам, 10 000-15 000 руб. – ИП, 20000-40000 руб. – организациям.
- Невыполнение в установленные сроки требования о блокировании, изменении или уничтожении персональных данных (п. 5 ст. 13.11 КоАП РФ) . Физлицо или его представитель могут заявить такие требования, если данные неполные, неточные, получены с нарушением закона, либо устарели, это установлено статьей 21 закона о персональных данных № 152-ФЗ. Нарушителей ждет предупреждение, или штраф: 1000-2000 руб. физлицам, 4000-10 000 руб. должностным лицам, 10 000-20 000 руб. – ИП, 25 000-45 000 руб. организациям.
- Несоблюдение условий, обеспечивающих сохранность персональных данных при неавтоматизированной обработке (п. 6 ст. 13.11 КоАП РФ). Это касается «бумажных» данных, несанкционированный доступ к которым стал причиной их уничтожения, повреждения, незаконного распространения и т.п. Не обеспеченная защита персональных данных в 2017 г. влечет штраф 700-2000 руб. для граждан, 4000-10 000 руб. для должностных лиц, 10 000-20 000 руб. для ИП и 25 000-50 000 руб. для организаций.
Таковы изменения в защите персональных данных 2017 г., заработавшие с 1 июля. Как видим, составы правонарушений стали более конкретными, а штрафы для операторов заметно ужесточились.
(см. текст в предыдущей редакции)
1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6 , части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.
4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью . Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.
Персональные данные: штрафы
| Основание | Размер штрафа | |||
| Физлица | Должностные лица | Юрлица | ИП | |
| Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн | предупреждение или штраф — от 1000 до 3000 руб. | предупреждение или штраф — от 5000 до 10 000 руб. |
предупреждение или штраф — от 30 000 до 50 000 руб. | |
| Обработка ПДн без письменного согласия на то их субъекта | от 3000 до 5000 руб. | от 10 000 до 20 000 руб. | от 15 000 до 75 000 руб. | |
| Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДн | от 700 до 1500 руб. | от 3000 до 6000 руб. | от 15 000 до 30 000 руб. | от 5000 до 10 000 руб. |
| Непредоставление субъекту ПДн информации по их обработке | предупреждение или штраф — от 1000 до 2000 руб. | предупреждение или штраф — от 4000 до 6000 руб. | предупреждение или штраф — от 20 000 до 40 000 руб. | предупреждение или штраф — от 10 000 до 15 000 руб. |
| Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки) | предупреждение или наложение штрафа в размере от 1000 до 2000 руб. | предупреждение или штраф — от 4000 до 10 000 руб. |
предупреждение или штраф — от 25 000 до 45 000 руб. | предупреждение или штраф — от 10 000 до 20 000 руб. |
| Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования | от 700 до 2000 руб. | от 4000 до 10 000 руб. |
от 25 000 до 50 000 руб. | от 10 000 до 20 000 руб. |
| Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн | предупреждение или наложение административного штрафа — от 3000 до 6000 руб. | |||
Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.
В связи с этим возникает много вопросов, наиболее часто задаваемые:
- Являюсь ли я оператором персональных данных?
- Распространяется ли на меня закон о персональных данных?
- Как уведомить Роскомнадзор об обработке персональных данных?
- Что делать владельцу сайта, чтобы избежать штрафов?
Давайте разбираться со всеми вопросами по порядку.
Заключение трудовых отношений между работником и работодателем обязывает последнего надлежащим образом осуществлять сбор, систематизацию, накопление, обновление, хранение и использование любой информации, относящейся к конкретному сотруднику или позволяющей его идентифицировать. Такая информация объединяется понятием персональных данных, а перечисленные процессы и операции называются обработкой. На законодательном уровне оба термина определяются и регулируются Конституцией Российской Федерации, а также главой 14 Трудового кодекса Российской Федерации. Образец разрешения на использование персональных данных, который вы сможете скачать ниже, — это обязательный документ, который должен быть оформлен на каждого работника и им подписан. В случае его отсутствия предприятие ждет штраф.
Состав личных данных работника
Законодательные документы не содержат строгого перечисления личных данных. Как правило, сотрудник предоставляет в распоряжение работодателя следующие сведения:
- об образовании;
- трудовом и общем стаже;
- составе семьи;
- воинском учете;
- заработной плате;
- социальных льготах;
- занимаемой должности;
- наличии судимостей;
- адресе по месту регистрации и проживания;
- контактных телефонах;
- местах работы или учебы членов семьи;
- условиях трудового договора;
- наличии декларируемых материальных ценностей;
- материалах по повышению квалификации, переподготовке, аттестации и служебных расследованиях и прочие.
Что представляет образец заявление на разрешение обработки персональных данных
Прежде всего это само разрешение, как бы банально это ни звучало. Начинать работу с информацией следует с получения согласия работника, необходимость которого продиктована п. 1 ст. 6 , который гласит, что «согласие… может быть дано субъектом… или его представителем в любой, позволяющей подтвердить факт его получения, форме, если иное не установлено Федеральным законом». Работодателю рекомендуется разработать бланк разрешения на обработку личных данных, который должен содержать:
- Ф.И.О. и паспортные данные сотрудника или его представителя;
- полное наименование и адрес работодателя;
- цель обработки информации;
- перечень подлежащих обработке данных;
- срок действия разрешения;
- способы отзыва согласия;
- подпись работника.
Образец разрешения на обработку персональных данных
Для чего формируется согласие на обработку при трудоустройстве
Фактически работодатель получает доступ к личным данным работника в момент ознакомления с резюме или анкетой, т. е. до официального трудоустройства. Следовательно, с этого момента работодатель может быть привлечен, согласно ст. 90 ТК РФ , к административной, дисциплинарной или уголовной ответственности в случае некорректного обращения с полученной информацией. Чтобы защитить интересы обеих сторон, сперва необходимо предоставить работнику для ознакомления образец заявления на разрешение обработки персональных данных. Соответствующий документ следует подписать до заключения трудового договора.
Если сотрудник отказывается подписывать согласие
В соответствии с п. 1 ст. 9 , предоставление данных о себе дается субъектом добровольно. Таким образом, работник вправе не давать согласие, если использование данных о нем не связано напрямую с выполнением должностных обязанностей. Иными словами, отказ подписать разрешение не может препятствовать трудовым отношениям. Тем более оно не требуется, когда речь идет о передаче сведений в Пенсионный фонд РФ, налоговую службу и другие установленные законодательством органы. Однако на практике отказ может повлечь за собой невозможность осуществлять трудовую деятельность, например, когда у работодателя установлен пропускной режим.
Как правильно организовать работу с персональными данными в организации, видео
Выскажите свое мнение о статье или задайте вопрос экспертам, чтобы получить ответ
Компания-работодатель, следуя законодательству, обязана заключать с нанимаемыми работниками трудовые соглашения.
В этих документах описываются все условия трудовых взаимоотношений.
Обязательным разделом является раздел «реквизиты».
Со стороны компании-работодателя ими являются название компании, номера регистрационных свидетельств, юридический и фактический адреса, телефоны и так далее.
Что такое согласие на обработку данных
Также необходимо прописывать реквизиты работника. К ним относятся ФИО, серия и номер паспорта, адрес регистрации, место фактического проживания, контактный телефон и прочее.
Данные работника являются личными (персональными). Согласно Конституции России каждый гражданин наделяется правом неприкосновенности жизни, семьи, личной тайны и так далее. Это означает, что для использования персональных данных необходимо оформлять письменный документ. Таким документом является согласие на обработку персональных данных образец которого можно скачать на сайте.
Ответственность за разглашение
Законодательством Российской Федерации определяется порядок хранения, сбора и применения персональных данных граждан. При нарушении этого порядка на правонарушителя накладывается административная ответственность. Кроме этого существует и уголовная ответственность. Она наступает в том случае, если нарушение данных норм производилось преднамеренно и с корыстными целями. В этом случае штраф может составить от двухсот пятидесяти до пятисот размеров заработных плат.
Оформив письменное согласие, компания-работодатель избавляет себя от возможности привлечения к ответственности. Давайте разберемся в том, что же несет в себе процесс обработки личных данных. Во-первых, это те самые отношения, которые возникают при следующих обстоятельствах. В первую очередь это формирование базы данных. Второе - это использование некоторых документов, предоставленных работником и которые находятся в архиве у работодателя.
Форма документа
Данный документ должен содержать идентификационную информацию о работнике. К ней относятся Фамилия, Имя, Отчество, адрес проживания, данные об удостоверении личности, паспортные сведения. Кроме этого, в тексте должно быть приведено название и адрес организации, которая оформляет эту бумагу.
Важно указать в тексте цель, с которой личные сведения берутся в обработку. Естественно нужно перечислить те документы, которые были приняты. Кроме этого необходимо перечислить те действия, которые планируют производить с полученной информацией. Одним из требований является указание срока действия. Использовать сведения можно запретить и в этот период, поэтому в документе нужно определить порядок одностороннего разрыва (отзыва).
