С 1 июля 2017 года резко возрастет штраф за неправильную работу с персональными данными. Максимальный размер одного штрафа – 75 тыс. руб. В рамках одной проверки Роскомнадзор может обнаружить несколько разных нарушений. Тогда он взыщет сразу несколько штрафов.
Больше всего рискуют организации и предприниматели, которые через свой сайт собирают контакты физических лиц. Например, предлагают посетителям сайта оставить свои данные, чтобы сотрудник организации перезвонил и подробнее рассказал о ее услугах или товарах. Если сбор данных на сайте организован неправильно, сотрудники Роскомнадзора легко это обнаружат. Или, если не разместить на сайте политику конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а компанию — на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юридического лица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч. Если нарушений несколько, то и штрафов будет несколько.
Что же должен выполнить владелец сайта
С 1 июля статья 13.11 будет действовать в новой редакции (Федеральный закон от 7 февраля 2017 г. № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»). Она будет включать в себя семь составов.
Сейчас статья 13.11 КоАП РФ состоит из одного общего состава. Максимальный штраф по ней – 10 тыс. руб.
Ниже описаны все эти семь новых составов и что надо выполнить, чтобы избежать штрафа по каждому из них. В частности, на сайте надо разместить текст согласия на обработку персональных данных.
Как изменятся штрафы с 1 июля 2017 года
Действия, за которые накажут оператора персональных данных
Санкции
Что делать, чтобы избежать штрафа
1. Обрабатывает персональные данные в случаях, которые не предусмотрел Закон о персональных данных. Например, интернет-магазин запрашивает избыточную информацию о потребителе – требует скан паспорта, водительских прав, свидетельства ИНН.
2. Обрабатывает персональные данные в целях несовместимых с теми, которые заявлялись. Например, гражданин указал электронную почту для покупки в интернет-магазине, а магазин воспользовался адресом и рассылает рекламу.
Привлекут к ответственности по части 1, только когда действия не подпадают:
под часть 2 или
состав преступления
Предупреждение или штраф:
гражданам – от 1 тыс. до 3 тыс. руб.;
должностному лицу и предпринимателю – от 5 тыс. до 10 тыс. руб.;
организации – от 30 тыс. до 50 тыс. руб.
Обрабатывать данные только:
в случаях, которые предусмотрел закон;
в целях, которые заявлялись
1. Обрабатывает персональные данные без письменного согласия лица, когда такое согласие требует закон. Например, собирает и хранит специальные персональные данные – информацию о здоровье, политических взглядах, вероисповедании.
Состав распространяется только на случаи, когда в действиях нет признаков преступления.
2. Нарушает требования закона к составу сведений, которые нужно включить в согласие субъекта персональных данных на обработку его персональных данных. Например, не перечислил третьих лиц, которым будет передавать персональные данные
Штраф:
гражданам – от 3 тыс. до 5 тыс. руб.;
должностному лицу и предпринимателю – от 10 тыс. до 20 тыс. руб.;
организации – от 15 тыс. до 75 тыс. руб.
Получить согласие субъекта персональных данных на обработку его персональных данных.
Включить в согласие необходимые сведения
Не опубликовал на сайте или по-другому не обеспечил неограниченный доступ:
к документу, который определяет политику оператора в отношении обработки персональных данных, или
к сведениям о реализуемых требованиях к защите персональных данных
Предупреждение или штраф:
гражданам – от 700 руб. до 1,5 тыс. руб.;
должностному лицу – от 3 тыс. до 6 тыс. руб.;
предпринимателю – от 5 тыс. до 10 тыс. руб.;
организации – от 15 тыс. до 30 тыс. руб.
Опубликовать на сайте общедоступные ссылки:
на Политику организации в отношении обработки персональных данных и
иные сведения о требованиях к защите персональных данных
Не предоставил субъекту персональных данных информации, которая касается обработки его персональных данных
Предупреждение или штраф:
– гражданам – от 1 тыс. до 2 тыс. руб.;
должностному лицу – от 4 тыс. до 6 тыс. руб.;
предпринимателю – от 10 тыс. до 15 тыс. руб.;
организации – от 20 тыс. до 40 тыс. руб.
Предоставлять информацию по запросу в течение 30 дней (ч. 1 ст. 20 Закона о персональных данных)
Не выполнил в срок требования:
об уточнении персональных данных;
о блокировании или уничтожении.
Оператор обязан это сделать, когда персональные данные:
утратили актуальность, неполные, неточные, незаконно получены или
не отвечают заявленной цели обработки персональных данных.
Эти требования вправе предъявить:
субъект персональных данных или его представитель либо
уполномоченный орган по защите прав субъектов персональных данных
Предупреждение или штраф:
гражданам – от 1 тыс. до 2 тыс. руб.;
должностному лицу – от 4 тыс. до 10 тыс. руб.;
предпринимателю – от 10 тыс. до 20 тыс. руб.;
организации – от 25 тыс. до 45 тыс. руб.
Уточнить, блокировать или уничтожить персональные данные по требованию владельца в течение установленных сроков
Не обеспечил условия, которые необходимы, чтобы:
сохранить персональные данные при хранении материальных носителей;
исключить несанкционированный доступ к ним.
Состав распространяется только на случаи, когда:
1) обрабатывают персональные данные без средств автоматизации;
2) отсутствует состав уголовного преступления;
3) произошел неправомерный или случайный доступ к персональным данным; или их уничтожили, изменили, блокировали, копировали, передали, распространили или совершили иные неправомерные действия.
Например, оператор:
не оформил список лиц, которые допущены к обработке информации;
не организовал раздельное хранение данных
Штраф:
гражданам – от 700 руб. до 2 тыс. руб.;
должностному лицу – от 4 тыс. до 10 тыс. руб.;
предпринимателю – от 10 тыс. до 20 тыс. руб.;
организации – от 25 тыс. до 50 тыс. руб.
Обеспечить безопасность персональных данных при неавтоматизированной обработке
Не выполнил:
обязанности по обезличиванию персональных данных;
требования по обезличиванию персональных данных.
Состав распространяется только на государственные и муниципальные органы
Предупреждение или штраф должностному лицу – от 3 тыс. до 6 тыс. руб.
Выполнять Требования и методы по обезличиванию персональных данных, которые утвердил Роскомнадзор приказом от 5 сентября 2013 г. № 996
Как узнать, являетесь ли вы оператором персональных данных?
Персональные данные — это любые данные о человеке, по которым его можно идентифицировать. В законе нет перечня таких данных, поэтому приходится догадываться самим.
Например, по имени или логину нельзя понять, что это за человек, а по имени и телефону или имени и электронной почте — можно.
Скорее всего, вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:
фамилию,
имя,
отчество,
какой-то физический адрес,
электронную почту,
телефон,
дату или место рождения,
фотографию,
ссылку на персональный сайт или соцсети,
профессию,
образование,
уровень доходов,
семейное положение.
Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, — это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения — это тоже обработка персональных данных.
Как правильно работать с персональными данными, чтобы не нарушить закон?
Как минимум нужно:
получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
хранить базы данных в надежном месте, защищать их от взлома и утечки;
научить сотрудников работать с персональными данными;
зарегистрироваться в Роскомнадзоре.
Всем, у кого есть сайт! С 1 июля штрафы за нарушение закона о персональных данных увеличатся!!!
С 1 июля 2017 года резко возрастет штраф за неправильную работу с персональными данными. Максимальный размер одного штрафа – 75 тыс.
Это интересно