Ответственность за нарушения в п...
Ответственность за нарушения в персональных данных.
1июля 2017 года вступит в силу новая редакция ст. 13 .11 КоАП (ст. 2 Федерального закона от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»). Что в связи с этим изменится:
|
|
СЕЙЧАС |
С 1 ИЮЛЯ |
|
ЗА ЧТО МОГУТ НАКАЗАТЬ |
Одно нарушенние — «установленного законом порядка сбора, хранения, использования или распространения персональных данных» (ч. 1 ст. 13.11 КоАП) |
Шесть самостоятельных нарушений |
|
НА СКОЛЬКО МОГУТ НАКАЗАТЬ |
Минимум предупреждение, максимум штраф 10 тыс. руб. |
Штраф: минимум 3 тыс. руб.,максимум 75 тыс. руб. |
|
КТО МОЖЕТ НАКАЗАТЬ |
Прокурор |
Должностное лицо Роскомнадзора |
Сейчас за любое нарушение работы с персональными данными грозит ответственность по ч. 1 ст. 13.11 КоАП. Максимальный штраф для компании — 10 тыс. руб., должностного лица — 1 тыс. руб.
С 1 июля 2017 г. появится шесть самостоятельных оснований привлечь к ответственности за нарушения в работе с персданными.
Вас и компанию могут наказать, если:
1. Нарушили правила обработки персональных данных.
2. Не получили письменные согласия работников, когда этого требует закон.
3. Не опубликовали документ, который определяет политику по обработке персональных данных или сведения по защите персональных данных.
4. Не предоставили работнику информацию об обработке его персональных данных.
5. Не уточнили, не заблокировали или не уничтожили персданные по требованию работника.
6. Нарушили правила хранения персональных данных — если это привело к несанкционированному доступу и неправомерным действиям.
Наказания за эти нарушения будут различаться. Самое «дорогое» — обработка персданных без согласия работника. За это компанию могут оштрафовать на 75 тыс. руб. «Дешевле» всего — в 3 тыс. руб. — обойдется необеспечение неограниченного доступа к документу, который определяет политику вашей компании по обработке персданных. Это минимальный размер штрафа для должностного лица.
Рассмотрим каждое из новых оснований ответственности за нарушения в работе с персданными и разберем, что сделать, чтобы этой ответственности избежать.
НАРУШИЛИ ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
За что и как накажут. К административной ответственности привлекут, если:
- обрабатываете персональные данные в непредусмотренных законом случаях;
- цель обработки персональных данных несовместима с целями их сбора.
|
КОГО НАКАЖУТ |
КАК НАКАЖУТ, ЕСЛИ ДЕЙСТВИЯ НЕ СОДЕРЖАТ УГОЛОВНО НАКАЗУЕМОГО ДЕЯНИЯ |
НА КАКОМ ОСНОВАНИИ |
|
Должностное лицо |
Предупреждение или штраф от 5 тыс. до 10 тыс. руб. |
Часть 1 ст. 13.11 КоАП |
|
Организация |
Предупреждение или штраф от 30 тыс. до 50 тыс. руб. |
Что учесть в работе. Содержание и объем персональных данных, которые вы обрабатываете, должны соответствовать заявленным целям сбора (ч. 5 ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ).
Вы можете обрабатывать персональные данные работников, чтобы (п. 1 ст. 86 ТК):
- соблюдать требования закона;
- содействовать работникам в трудоустройстве, получении образования и др.;
- обеспечить личную безопасность работников;
- контролировать количество и качество выполняемой работы;
- сохранить имущество.
Вы обрабатываете персданные, если совершаете с ними любое действие, в т. ч. собираете, записываете, систематизируете, накапливаете, храните, уточняете, извлекаете, используете, передаете, обезличиваете, блокируете, удаляете или уничтожаете. При этом передача персданных означает распространение или предоставление доступа к ним (п. 3 ст. 3 Закона № 152-ФЗ).
НЕ ПОЛУЧИЛИ ПИСЬМЕННОЕ СОГЛАСИЕ РАБОТНИКА НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
А ВЫ ЗНАЕТЕ
За что и как накажут. К ответственности привлекут, если:
- обработали персональные данные без письменного согласия работника, когда такое требование предусмотрено законом;
- в согласии на обработку нет установленных законом сведений.
|
КОГО НАКАЖУТ |
КАК НАКАЖУТ, ЕСЛИ ДЕЙСТВИЯ НЕ СОДЕРЖАТ УГОЛОВНО НАКАЗУЕМОГО ДЕЯНИЯ |
НА КАКОМ ОСНОВАНИИ |
|
Должностное лицо |
Штраф от 10 тыс. до 20 тыс. руб. |
Часть 2 ст. 13.11 КоАП |
|
Организация |
Штраф от 15 тыс. до 75 тыс. руб. |
Что учесть в работе. Если возникнет спор, придется доказывать, что сотрудник дал согласие на обработку персональных данных (ч. 3 ст. 9 Закона № 152-ФЗ).
Обрабатывать персданные работников вы можете с их письменного согласия (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ).
ПРИМЕР
Вы не можете собирать, хранить, распространять и использовать любую информацию о частной жизни, в т. ч. сведения о происхождении, месте пребывания или жительства, личной и семейной жизни, без согласия работника (п. 4ст. 86 ТК, п. 1 ч. 2 ст. 10 Закона № 152-ФЗ).
Однако есть исключительные случаи, когда вы не должны получать согласие на передачу персданных. Такие случаи перечислены в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона № 152-ФЗ, абз. 2 ст. 88 ТК.
ПРИМЕР
Без согласия работников медорганизация вправе размещать в общедоступном месте и публиковать на сайте данные о врачах, об уровне их образования и квалификации (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, п. 7 ч. 1 ст. 79 Закона от 21.11.2011 № 323-ФЗ).
Требования к составу сведений в письменном согласии на обработку персданных устанавливает ч. 4ст. 9 Закона № 152-ФЗ. Учитывайте эти требования и в случае, когда письменное согласие получать не обязательно, но вы решили его запросить.
Согласие на обработку персданных (приложение) включает:
- фамилию, имя, отчество, адрес работника;
- наименование работодателя;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых работник дает согласие;
- перечень действий с персональными данными, на совершение которых работник дает согласие;
- описание используемых вами способов обработки полученных сведений;
- срок, в течение которого действует согласие, а также способ его отзыва.
Работник может подписать согласие лично на бумаге либо поставить электронную подпись на электронном документе (ч. 4 ст. 9 Закона № 152-ФЗ).
НЕ ОПУБЛИКОВАЛИ ПОЛИТИКУ по обработке или сведения о защите персональных данных
За что и как накажут. К ответственности привлекут, если не обеспечите свободный доступ:
- к документу, который определяет политику в отношении обработки персданных;
- сведениям о реализуемых требованиях к защите персональных данных.
|
КОГО НАКАЖУТ |
КАК НАКАЖУТ |
НА КАКОМ ОСНОВАНИИ |
|
Должностное лицо |
Предупреждение или штраф от 3 тыс. до 6 тыс. руб. |
Часть 3 ст. 13.11 КоАП |
|
Организация |
Предупреждение или штраф от 15 тыс. до 30 тыс руб. |
Что учесть в работе. В компании должны быть:
- документы, которые определяют политику в отношении обработки персональных данных;
- сведения о реализуемых требованиях к их защите.
Эти документы нужно утвердить и опубликовать на сайте или предоставить к ним свободный доступ (ч. 2 ст. 18.1 Закона № 152-ФЗ).
Как правило, документ, который определяет политику в отношении обработки персональных данных, называют «Политика конфиденциальности». Этот документ касается персданных любых лиц и содержит разделы:
- обращение к субъектам персональных данных;
- персональные данные, которые собирает и обрабатывает оператор;
- цели сбора и обработки персональных данных;
- условия их обработки;
- правила передачи: кому, в каких целях и на каких условиях;
- общую характеристику мер защиты персональных данных;
- права субъектов персональных данных;
- порядок изменения политики.
Сведения или меры по защите персональных данных можете закрепить в отдельном локальном акте. Если храните и обрабатываете персданные в электронных информационных системах, то локальный акт должен соответствовать требованиям нормативных актов:
- постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
НЕ ПРЕДОСТАВИЛИ РАБОТНИКУ ИНФОРМАЦИЮ ОБ ОБРАБОТКЕ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ
За что и как накажут. К ответственности привлекут, если не проинформировали работника об обработке его персональных данных.
|
КОГО НАКАЖУТ |
КАК НАКАЖУТ |
НА КАКОМ ОСНОВАНИИ |
|
Должностное лицо |
Предупреждение или штраф от 4 тыс. до 6 тыс. руб. |
Часть 4 ст. 13.11 КоАП |
|
Организация |
Предупреждение или штраф от 20 тыс. до 40 тыс. руб. |
Что учесть в работе. Сотрудник вправе получать информацию о своих персданных и их обработке. Исключения установил абз. 2 ст. 89 ТК, ч. 7, 8 ст. 14 Закона № 152-ФЗ.
ПРИМЕР
Работник вправе попросить подтвердить, что вы обрабатывали его персональные данные. Вы обязаны удовлетворить просьбу и описать с какой целью и как обрабатывали его персданные.
Кроме того, вы обязаны предоставить работнику свободный доступ к его персональным данным и возможность получить копию любой записи, которая их содержит (абз. 3 ст. 89 ТК, ч. 1 ст. 18 Закона № 152-ФЗ). Предоставить сведения вы должны в течение 30 дней с даты получения запроса (ч. 1 ст. 20 Закона № 152-ФЗ).
НЕ ИСПРАВИЛИ ИЛИ НЕ УНИЧТОЖИЛИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ПО ТРЕБОВАНИЮ РАБОТНИКА
За что и как накажут. К ответственности привлекут, если по требованию сотрудника вы не уточните, не заблокируете или не уничтожите персональные данные, которые:
- являются неполными или неточными;
- устарели или были получены незаконно;
- не нужны для заявленной вами цели обработки.
|
КОГО НАКАЖУТ |
КАК НАКАЖУТ |
НА КАКОМ ОСНОВАНИИ |
|
Должностное лицо |
Предупреждение или штраф от 4 тыс. до 10 тыс. руб. |
Часть 5 ст. 13.11 КоАП |
|
Организация |
Предупреждение или штраф от 25 тыс. до 45 тыс. руб. |
Что учесть в работе. Сотрудник вправе потребовать исключить или исправить неверные или неполные персональные данные, а также данные, которые вы обработали с нарушением закона.
Кроме того, он вправе потребовать известить всех, кому вы ранее сообщили неверные или неполные персданные, об изменениях, которые в них внесли.
Если работник обратился с таким требованием, выполните его. Откажете — сотрудник может обжаловать ваше решение в суде (абз. 6, 8 ст. 89 ТК).
НАРУШИЛИ ПРАВИЛА ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
За что и как накажут. К ответственности привлекут, если обрабатываемые без средств автоматизации персданные на материальных носителях уничтожены, изменены, заблокированы, скопированы, распространены и т. п.
|
КОГО НАКАЖУТ |
КАК НАКАЖУТ, ЕСЛИ ДЕЙСТВИЯ НЕ СОДЕРЖАТ УГОЛОВНО НАКАЗУЕМОГО ДЕЯНИЯ |
НА КАКОМ ОСНОВАНИИ |
|
Должностное лицо |
Предупреждение или штраф от 4 тыс. до 10 тыс. руб. |
Часть 6 ст. 13.11 КоАП |
|
Организация |
Предупреждение или штраф от 25 тыс. до 50 тыс. руб. |
Что учесть в работе. Вы должны защищать персональные данные:
- от неправомерного или случайного доступа к ним;
- уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий.
Как будете защищать персданные, определяете сами. Учтите, что меры должны быть необходимыми и достаточными. Не забудьте закрепить перечень таких мер в локальном акте (ч. 1ст. 18.1, ст. 19 Закона № 152-ФЗ).
Есть персональные данные, которые обрабатывают без средств автоматизации. Для таких данных установите Правила обработки персональных данных, которые осуществляют без использования средств автоматизации. Этот документ должен соответствовать Положению (утв. постановлением Правительства РФ от 15.09.2008 № 687).
В Правилах укажите:
- лиц, которые осуществляют обработку персданных без средств автоматизации;
- необходимые меры по обеспечению сохранности персданных;
- лиц, которые отвечают за защиту персональных данных.
Права и обязанности работников, которые осуществляют неавтоматизированную обработку, определите в локальных актах, трудовых договорах и должностных инструкциях. Лицо, которому поручаете организовать обработку персданных, назначьте приказом (ч. 1 ст. 22.1 Закона № 152-ФЗ) и не забудьте ознакомить с Правилами.
Кроме того, у вас должны быть документы, подтверждающие, что вы:
- проинформировали работников, которые осуществляют неавтоматизированную обработку персданных, о ее правилах и категориях персональных данных;
- ознакомили их с требованиями нормативных правовых актов в этой сфере.
Кадровые документы держите в закрываемых помещениях, шкафах и сейфах. Вы должны хранить персональные данные так, чтобы исключить несанкционированный доступ к ним.
С 1 июля 2017 года ужесточают ответственность за нарушения в работе с персональными данными. При этом соблюдение вами требований к работе с такой информацией могут проверить не только по плану, но и по жалобе работника. Будьте внимательны при работе с персональными данными и не нарушайте установленные законом требования.
Дополнительная информация
из
.png)
из
из
из
из
из