Есть ли персональные данные у юридического лица. Вывод: штрафы близко. Как правильно собирать персональные данные

Буквально через пару дней, 1 июля 2017 года, вступят в силу поправки, внесенные в Кодекс об административных нарушениях и ужесточающие ответственность за несоблюдение (далее по тексту – Закон №152-ФЗ). Достаточно на эту тему было информации, писал об этом и "Клерк".

Но все еще остаются вопросы.

Читайте подробнее об ответственности за хранение персональных данных:

Парламентские группы также сформулировали демократическое мнение и формирование и призваны контролировать действия государства. Заявитель не является частью национальной администрации, но выступает против государства, в случае частной третьей стороны, в любом случае в отношении доступа к информации. Группа не может запрашивать передачу информации из Федеральной администрации посредством административной помощи или по другим административным основаниям. Согласно статье 45 Берлинской Конституции, отдельный депутат парламентского права имел право задавать вопросы в Сенат и консультироваться с административными органами.

Такое ощущение, что вокруг этой темы просто нагоняется ажиотаж. А что, собственно, произошло-то? В целом, закон не изменился. В него внесли изменения только в части штрафов.

Сейчас по ст. 13.11 КоАП есть только одно нарушение со штрафом 10 000 рублей для юрлиц. После 1 июля их станет семь и общий штраф может составить до 295 000 рублей.

Почему за персональные данные власти взялись именно сейчас? Все штрафы, которые вступают в силу с 1 июля - это самые частые нарушения, выявляемые Роскомнадзором в течение последних пяти лет.

Это, конечно, касалось только документов от берлинских властей и вопросов, на которые мог ответить также Сенат Берлина. Федеральные власти не обязаны это делать. Действующее российское законодательство позволяет хранить персональные данные на серверах, расположенных за рубежом, но для новых правил требуется использование только серверов, физически расположенных на территории России. Каковы последствия этого правила? Это начало глобальной тенденции?

Если какой-либо интернет-ресурс нарушает это обязательство, Агентство контроля СМИ и информационных технологий может ограничить или заблокировать доступ к этому ресурсу из России. Международные компании, которые, как правило, централизуют информацию для всех стран на своих серверах или других компаниях, должны будут обрабатывать российские персональные данные отдельно. Это затрагивает бесчисленные международные веб-сайты, издатели мобильных приложений, авиакомпании, бренды, производители и даже небольшие местные предприятия с российскими пользователями или клиентами.

Один из главных вопросов: действительно ли всем сайтам нужно регистрироваться как оператор персональных данных в Роскомнадзоре?

Оказывается, нет. Есть возможность избежать такой необходимости. А как? Данные, которые поступают от пользователей, должны обрабатываться на основании пользовательского соглашения. Подпункт 2 пункта 2 статьи 22 закона №152-ФЗ предусматривает следующее.

Цитируем: «…2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

Эта задача может привести к значительным потерям, а в некоторых случаях может быть даже невозможна, говорят эксперты, наиболее критичные к закону. Новые правовые требования затрагивают только персональные данные. Согласно российскому законодательству, основной особенностью персональных данных является способность идентифицировать конкретного человека среди многих людей. Если хранятся только некоторые части личной информации пользователя, такие как его / ее имя и отчество, но не его / ее фамилия, это не может считаться личными данными, поскольку их недостаточно для идентификации человека.

…2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;»

Однако некоторые отраслевые эксперты утверждают, что закон может быть изменен до его вступления в силу. Новый стандарт будет зависеть от российских компаний, если они хранят данные, полностью или частично, с иностранных серверов. Новое правовое регулирование «создает очень жесткие ограничения для бизнеса и влечет за собой огромные дополнительные затраты на адаптацию баз данных», - цитирует газета представитель компании.

Однако в подавляющем большинстве случаев удовлетворение новых требований не будет недоступно для бизнеса. Очевидно, что для компаний с только российскими пользователями или клиентами «репатриация» данных будет доступной задачей. Компания выразила озабоченность по поводу установки серверов с информацией от пользователей из других стран на территории России. Что касается международных баз данных, некоторые примеры показывают, что фильтрация пользовательских данных по странам происхождения также является доступной задачей.

Если на сайте организации или физического лица есть форма для сбора данных посетителей - например, форма обратной связи, строка для подписки на рассылку, регистрации или личный кабинет, это считается обработкой персональных данных.


Есть заблуждение, что с персональными данными работают только мобильные операторы и банки. На самом деле это не так. Любая компания обрабатывает персональные данные как минимум своих работников, а еще контрагентов, клиентов, посетителей офисов и т.д. В статье мы рассказали, что такое персональные данные и как их правильно обрабатывать. Читайте и не нарушайте закон - с 1 июля штрафы для компаний вырастут в семь раз.

По мнению западного разработчика мобильных приложений, утечка данных по стране происхождения не является исключительным случаем. «Например, по причинам авторского права владельцы аудиовизуальных материалов требуют, чтобы их контент был доступен для мобильных пользователей в некоторых странах».

Вывод: штрафы близко

Выполнение этого российского законодательства будет действительно сложным для более сложных баз данных, которые объединяют международную информацию, если их проекты не допускают таких изменений. В этом российском законодательстве предвидится то, что может быть следующей тенденцией: пересмотр сети на национальном уровне, а технологические компании должны научиться управлять своими данными по-другому, - заключает генеральный директор компании.

С персональными данными работает каждая компания, но не каждый юрист знает, что такое персональные данные и как их правильно обрабатывать. Если до 1 июля 2017 года это было еще не так страшно - штрафы за нарушения были невелики, то теперь ситуация изменилась. С этой даты вступают в силу поправки в КоАП РФ, которые увеличивают штрафы для компаний за нарушения при обработке персональных данных и вводят 7 новых составов правонарушений (Федеральный закон от 07.02.17 № 13-ФЗ). Штрафы будут платить не только компании, но и работники, которые нарушили закон - включая юристов. Мы решили помочь вам не нарушать закон и рассказали про азы обработки персональных данных, которые касаются каждой компании.

В большом или малом масштабе никто сегодня не может игнорировать проблематику персональных данных. В нашей повседневной жизни они неизбежны. Здоровье, связанные объекты, мониторинг потребительских привычек - вот некоторые примеры, демонстрирующие взрыв использования и хранения информации. Гарантии кажутся существенными.

Опубликованный 27 апреля, он предусматривает переходный период в два года для обеспечения соблюдения. Только европейские территории. Любые данные по обработке компании будут подлежать им, независимо от их размера. Представьте себе влияние на такие сектора, как банковское дело или страхование, пивоваренные миллионами контактов. За исключением исключительных случаев, ни одна организация не сможет пропустить! Настаивает г-н Арно Констант, юрист и отвечает за защиту данных в Национальном фонде здравоохранения.

Какая информация относится к персональным данным

Персональные данные - это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (п. 1 ст. 3 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных»; далее - Закон № 152-ФЗ). Более конкретно перечень такой информации определен в Указе Президента РФ от 06.03.97 № 188 «Об утверждении Перечня сведений конфиденциального характера»: это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, которые позволяют идентифицировать его личность, за исключением сведений, подлежащих распространению в СМИ в случаях, установленных законом.

Улыбка, вы не вошли в систему

Текст включает каталог прав в пользу физических лиц. Констант дает темп: «Здесь много внимания уделяется ясности как в информации, которую необходимо предоставить соответствующему физическому лицу, так и в сборе его согласия». Кроме того, информация должна предоставляться в ясных, точных и доступных условиях. Выйдите также юридическое словоблудие. Что касается бизнеса, то целесообразно сейчас пересмотреть действующие договорные положения, касающиеся информации, а также способ получения согласия клиентов.

В работе юридических и кадровых служб компаний обрабатываемые персональные данные обычно включает в себя следующие сведения о лице:

  • фамилия, имя, отчество;
  • год, месяц, дата и место рождения;
  • адрес;
  • семейное, социальное, имущественное положение;
  • образование, профессия, должность, доходы;
  • биометрические персональные данные.

Судебная практика расширяет перечень персональных данных. Например, суды признавали персональными данными:

Предварительное согласие лица может служить основанием для легитимности обращения. В тексте предусматривается, что проявление воли должно осуществляться декларацией или явной волей. Таким образом, на практике, один щелчок или предварительно выбранный ящик больше не является достаточным. Необходимо защищать от заявления или положительного акта его клиента, в сумме его истинного выбора.

Что такое обработка личных данных: под паровоз закона попадают все

Наконец, будет так же просто отказаться от согласия, чтобы дать его. Помимо традиционных прав доступа, исправления или оппозиции, в тексте закреплены новые права. Постановление также предусматривает упрощенные условия для судебного преследования соответствующего лица. Теперь можно передать дело в надзорный орган по месту жительства физического лица, государства-члена, в котором он работает, или того места, где произошло нарушение.

В последнее время есть явная тенденция - перечень сведений, которые составляют персональные данные, становится все шире. Так, Европейский суд справедливости в Решении от 19.10.16 по делу № 582/14 (Патрик Брейр против Германии) признал, что при определенных условиях даже IP-адрес интернет-пользователя может признаваться персональными данными.

Менеджер обработки данных: инструкции по использованию

Все эти действия должны быть реализованы, и ответственность лежит исключительно на профессионалах, которые собирают эти данные. Технические, финансовые и временные затраты неизбежны, чтобы привести инструменты и процедуры в соответствие. Как объяснено, компании уже имеют обязательную обязанность информировать лиц, участвующих в сборе, но также и о полном осуществлении процесса.

Для последнего в тексте приводятся неисчерпывающие примеры, такие как данные о состоянии здоровья, расовой или религиозной принадлежности. Кто может подать заявку на эту должность: адвокат? По словам Бока, адвокат или сотрудник по вопросам соблюдения, как мы его знаем, все еще лучше всего подходят. Там может быть ставка на «индивидуальные» формирования, которые приведут к инженеру права будущего!

Что такое обработка персональных данных

Обработка персональных данных - это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 Закона № 152-ФЗ).

Сотрудничество с надзорными органами по-прежнему является его частью. Он должен также как можно скорее информировать заинтересованного лица, если существует высокий риск для его прав. Это уже существующее обязательство по электронным коммуникациям было широко распространено.

Бок объясняет: Контролеру придется принять настоящий новый подход к соблюдению. Для обеспечения эффективности текста, конечно, предусмотрены меры контроля. Но это прежде всего санкции, которые бросают вызов. Если до настоящего времени законодательство Люксембурга предусматривало лишь ограниченные административные взыскания и низкие штрафные санкции, в настоящее время текст предусматривает возможность для надзорных органов налагать строгие финансовые санкции до 4% общий глобальный бизнес компании или 20 миллионов евро, достаточный для того, чтобы мотивировать более чем одного к соблюдению правил!

Например, компания обрабатывает персональные данные, если собирает анкеты клиентов (в бумажном виде или через сайт), ведет и хранит клиентскую базу, передает контакты клиентов в call-центр, фиксирует паспортные данные посетителей офиса на контрольно-пропускном пункте и т.д. Фактически персональные данные обрабатывает любая компания.

Какая информация относится к персональным данным

В конце концов, два года - это очень короткая работа, которая должна быть выполнена! Процесс перехода должен скоро начаться. И независимо от количественной оценки обработки данных по-прежнему необходимы перепись и индивидуальный подход. Для каждого рассматриваемого процесса, если на персональные данные влияют, необходимо будет рассмотреть проблему на протяжении всего процесса, включая минимальное использование законных данных и последующее удаление, если это необходимо.

Нельзя пренебрегать последствиями в договорных отношениях с клиентами, а также с субподрядчиками. Менеджмент и ключевые отделы не должны быть единственными вовлеченными. Более того, все внутренние сотрудники должны быть сенсибилизированы там, настаивает г-н.

Nota bene!
Дополнительные условия для обработки персональных данных соискателей и работников установлены гл. 14 ТК РФ и разъяснениями Роскомнадзора от 14.12.12 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».

Когда нужно уведомлять Роскомнадзор

В дополнение к организационной проблеме материал остается сложным и по-прежнему не имеет деталей. Надзорные органы, вероятно, будут вмешиваться, публикуя практические руководства. Не исключено также, что Европейская Комиссия вскоре примет делегированные действия для разъяснения обязательств. Тем временем, давайте не будем петь все лето, рискуя оказаться очень обездоленными, когда истечет крайний срок!

Право забыть очень сложно. Это очень сложно, потому что право забывать не точно написано в одном законе, а потому, что цифровое издание редко ограничивается одной страной: когда гражданин Франции просит американскую компанию удалить данные, которые его касаются, конфликты права появляются в открытом доступе.

Если компания обрабатывает персональные данные, она является оператором (п. 2 ст. 3 Закона № 152-ФЗ). Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении (п. 1 ст. 22 Закона № 152-ФЗ).

Направлять уведомление не требуется (п. 2 ст. 22 Закона № 152-ФЗ), если компания-оператор обрабатывает персональные данные, в частности:

Первой задачей этой лаборатории является разработка инструментов, способных гарантировать право стирания персональных данных, аутентификации печатных или цифровых документов или отслеживания подделок. У вас недавно был опыт по праву быть забытым. Каков был принцип и каковы были результаты?

У нас есть качественный вклад и широкий спектр, и мы очень заинтересованы в этих вопросах. Многие люди боятся и не доверяют цифровому миру: «мы не можем контролировать наши данные». Желание сделать это существует, но это непросто, даже «невозможно». Мы также собрали мнения, которые были враждебны принципу забывания: «все, что ограничивает свободу выражения в Интернете, нежелательно и не должно быть сделано, потому что утопия Интернета должна преобладать». Поэтому у нас действительно были очень разнообразные и очень разнообразные ответы.

  • только своих работников;
  • для целей заключения и исполнения договоров (например, персональные данные контрагентов);
  • для однократного пропуска лица на территорию компании;
  • без использования средств автоматизации (персональные данные используют, уточняют, распространяют и уничтожают при непосредственном участии человека - см. Постановление Правительства РФ от 15.09.08 № 687).

Проверьте, подпадает ли компания под исключения, которые указаны в Законе № 152-ФЗ. Если нет - составьте уведомление по официальной форме (Приложение № 2 к административному регламенту, утв. Приказом Минкомсвязи России от 21.12.11 № 346). Затем направьте его в территориальный орган Роскомнадзора по месту регистрации компании. Отправить уведомление можно как на бумажном носителе, так и в форме электронного документа через портал «Госуслуги» (gosuslugi.ru) или официальный сайт Роскомнадзора (pd.rkn.gov.ru/).

Роскомнадзор внесет сведения о компании в реестр операторов в течение 30 дней с даты поступления уведомления. Проверить, включена ли компания в реестр, можно на официальном сайте ведомства (pd.rkn.gov.ru/).

Как правильно собирать персональные данные

По общему правилу, чтобы собирать персональные данные, нужно получить согласие их владельца - субъекта персональных данных (пп. 1 п. 1 ст. 6 Закона № 152-ФЗ). Согласие должно быть конкретным, информированным и сознательным (п. 1 ст. 9 Закон № 152-ФЗ). Это значит, что перечень оснований для обработки персональных данных должен быть указан как можно более конкретно, а также содержать срок обработки и порядок отзыва согласия (постановление АС Уральского округа от 29.09.14 по делу № А60-31459/2013, постановление Пятого ААС от 13.08.14 по делу № А59-48/2014).

Закон не устанавливает форму согласия на обработку персональных данных, за исключением особых сведений. Субъект может дать согласие в любой форме, которая позволит подтвердить факт его получения (п. 1 ст. 9 Закона № 152-ФЗ). В частности, согласие может быть выражено в электронной форме путем заполнения анкеты на сайте (постановление ФАС Северо-Западного округа от 13.12.10 по делу № А56-73636/2009, апелляционное определение Омского областного суда от 07.08.13 по делу № 33-5139/2013).

СНОСКА
Письменное согласие субъекта нужно для обработки специальных категорий персональных данных - например, о национальной принадлежности и состоянии здоровья лица (ст. 10 Закона № 152-ФЗ). Согласие можно получить на бумажном носителе или в электронной форме с усиленной квалифицированной электронной подписью.

Получать согласие на обработку в типовой форме договора рискованно, если пункт о согласии просто включен в текст. Суд может признать такой способ ненадлежащим, если потребитель не может изменить это условие - например, сделать отметку о своем согласии или отказе (постановление АС Северо-Западного округа от 18.07.16 по делу № А44-9647/2015, постановление АС Уральского округа от 22.12.16 по делу № А76-5164/2016).

В случае проверки или судебного спора именно оператор обязан доказать, что получит согласие на обработку персональных данных (п. 3 ст. 9 Закона № 152-ФЗ). Поэтому заранее определите, какой тип персональных данных обрабатывает ваша компания. В зависимости от этого разработайте форму получения согласия на обработку. Важный момент - субъект вправе в любое время отозвать свое согласие (п. 2 ст. 9 Закона № 152-ФЗ). Если в компанию поступило такое обращение - она обязана прекратить обработку персональных данных.

Nota bene!
Согласие на обработку персональных данных не нужно, если субъект сам сделал их общедоступными. Например, при регистрации на форуме или в социальной сети. Если субъект потом отзовет согласие на обработку - его можно не учитывать (пп. 10 п. 1 ст. 6, пп. 2 п. 2 ст. 10 Закона).

Как получить согласие у работников

Работников надо ознакомить под роспись с документами компании, которые устанавливают порядок обработки персональных данных, а также их права и обязанности в этой сфере (п. 8 ст. 86 ТК РФ). Такой порядок можно прописать в самом трудовом договоре, приложениях к нему, правилах внутреннего трудового распорядка или других локальных актах - например, политике компании об обработке персональных данных. Факт ознакомления работников с этими документами нужно отдельно фиксировать - например, в специальном журнале.

СНОСКА
За нарушения при обработке персональных данных работников компанию могут привлечь к ответственности по ст. 5.27 КоАП РФ (до 80 тыс рублей штрафа).

Согласие работника на обработку персональных данных не нужно в следующих случаях (см. разъяснения Роскомнадзора от 14.12.12 «Вопросы, касающиеся обработки персональных данных работников, соискателей…»):

  • обработка персональных данных близких родственников работника в объеме, предусмотренном личной карточкой по форме Т-2;
  • получение мотивированных запросов от прокуратуры, правоохранительных органов, органов безопасности, государственных инспекторов труда;
  • обработка нужна для исполнения заключенного с работником договора или возложенных на работодателя обязанностей;
  • обработка связана с выполнением работником его трудовых обязанностей, в том числе, при отправлении его в командировки.

Как обеспечить безопасность персональных данных

Персональные данные относятся к конфиденциальным сведениям (ст. 7 Закона № 152-ФЗ). Операторы и иные лица, получившие к ним доступ, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта. Оператор обязан обеспечить безопасность персональных данных. Меры зависят от способа обработки данных - с использованием средств автоматизации или вручную.

Если компания ведет автоматизированную обработку персональных данных, на нее распространяются Требования к защите персональных данных при их обработке в информационных системах, утв. постановлением Правительства РФ от 01.11.12 № 1119 и Приказ ФСТЭК России от 18.02.13 № 21. Чтобы выполнить эти требования, нужно привлекать IT-специалистов.

Для защиты персональных данных без автоматизации предусмотрены рекомендательные меры (ст. 19 Закона № 152-ФЗ и п. 13-15 Положения, утв. постановлением Правительства РФ от 15.09.08 № 687). Одна из таких мер - определить во внутренних документах компании перечень лиц, которые обрабатывают персональные данные или имеют к ним доступ. Можно обеспечить безопасность данных, если раздельно хранить носители персональных данных, которые обрабатываются в различных целях (например, раздельно хранить данные работников, посетителей офисов и клиентов).

Что и кому грозит за нарушения в сфере персональных данных

За нарушения при обработке персональных данных компанию могут привлечь к гражданско-правовой и административной ответственности по ст. 13.11 КоАП РФ. До 1 июля 2017 года максимальным наказанием для должностного лица был штраф в 1 тысячу рублей, а для компании - до 10 тысяч рублей.

С 1 июля 2017 года вступают в силу поправки, которые усиливают административную ответственность (Федеральный закон от 07.02.17 № 13-ФЗ). Поправки вводят дополнительные составы правонарушений в ст. 13.11 КоАП РФ и увеличивают штрафы. В частности, закон вводит ответственность юридических лиц за следующие нарушения:

  • обработку персональных данных в случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП РФ) - штраф от 30 тыс до 50 тыс рублей;
  • обработку персональных данных без согласия в письменной форме, когда закон требует получить такое согласие (ч. 2 ст. 13.11 КоАП РФ) - штраф от 15 до 70 тыс рублей;
  • неопубликование оператором политики в отношении обработки персональных данных, когда такая обязанность предусмотрена законом (ч. 3 ст. 13.11 КоАП РФ) - штраф от 15 до 30 тысяч рублей.

Работника могут привлечь к административной ответственности, но не только. Дополнительно он несет материальную (п. 7 ст. 243 ТК РФ) дисциплинарную (пп. «в» п. 6 ч. 1 ст. 81 ТК РФ) и даже уголовную ответственность (ч. 2 ст. 137 УК РФ).

К ответственности привлекут как работника-нарушителя (например, скопировавшего базу клиентов на свою флешку и передавшего ее конкуренту), так и работника, который несет ответственность за обработку персональных данных в компании.



 

Возможно, будет полезно почитать: