Закон о персональных данных с 1 июля. Кому грозят новые штрафы за нарушение работы с персональными данными

Персональные данные работников есть у всех компаний. С 1 июля 2017 года применяются новые штрафы. Они больше прежних. Подскажем, как работать без нарушений.

С 1 июля 2017 года повышается ответственность за нарушения в работе с персональными данными. Изменения затронут всех без исключения работодателей, у которых в распоряжении есть личные сведения сотрудников и других физлиц.

Что относится к персональным данным в 2017 году

Под персональными данными понимается любая информация о физлице (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ). К таким сведениям, относятся фамилия, имя, отчество, пол, возраст, образование, место жительства физического лица и т.д.

А значит, все документы с персональными данными физлиц работодатель должен обрабатывать, хранить и уничтожать в соответствии с требованиями законодательства.

К таким документам относятся:

трудовая книжка;
паспорт или иной документ, удостоверяющий личность;
страховое свидетельство обязательного пенсионного страхования;
документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
документы об образовании и (или) о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
документы (справки) содержащие сведения о состоянии здоровья работника;
документы (справки) содержащие сведения о возрасте или семейном положении работника.

июля

2017 года увеличатся штрафы за нарушения правил работы с персональными данными

Как обеспечить защиту персональных данных

Рассмотрим, что нужно предпринять в хозяйстве в связи с защитой персональных данных сотрудников и других физлиц. Всего пять шагов.

Шаг 1. Закрепите порядок получения, обработки, передачи и хранения персональных данных в локальном акте организации. Например в положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 № 152-ФЗ).

Шаг 2. Назначьте работника, ответственного за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Это может быть сотрудник отдела кадров, который взаимодействует с личными делами сотрудников. Он будет получать согласие работников на обработку персональных данных, вести карточки сотрудников и т.д.

Шаг 3. Подготовьте шаблон согласия на обработку персональных данных. Без него запрашивать личные сведения физлиц нельзя. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ):

ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате и месте выдачи документа;
наименование или ФИО и адрес работодателя, который получает согласие сотрудника;
цель обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие;
наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
подпись работника.

Образец согласия на обработку персональных данных

Фамилия, имя, отчество (последнее - при наличии) субъекта персональных данных

Адрес места жительства _________________________________________________________

______________________________________________________________________________

Документ, удостоверяющий личность субъекта персональных данных, дата его выдачи и выдавший орган ________________________________________________________________

______________________________________________________________________________

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Настоящим выражаю согласие на обработку моих персональных данных, предусмотренную частью 3 статьи 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ, в целях предоставления Федеральной службой по интеллектуальной собственности (Роспатент) в соответствии с Федеральным законом от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» государственной услуги по государственной регистрации изобретения и выдаче патента на изобретение, его дубликата.

______________________________________________________________________________

(указывается название изобретения)

№ заявки ______________________________________________________________________

(указывается при наличии регистрационного номера заявки)

Заявитель _____________________________________________________________________

______________________________________________________________________________

(указываются фамилия, имя, отчество (последнее - при наличии) и место жительства)

Мне известно, что предоставленные мною персональные данные, которые не являются необходимыми для предоставления указанной государственной услуги, будут подвергнуты обработке, предусмотренной Федеральным законом от 27 июля 2006 г. № 152-ФЗ, при этом публикация моих персональных данных будет произведена Роспатентом в соответствии с действующим законодательством.

Мне известно, что настоящее согласие действует бессрочно. В случае отзыва согласия на обработку персональных данных Федеральная служба по интеллектуальной собственности вправе продолжить обработку персональных данных без моего согласия в соответствии с частью 2 статьи 9, пунктом 4 части 1 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ.

Подпись _______________________________________________

фамилия, имя, отчество (последнее - при наличии)

Дата _____________

Шаг 4. Предоставить по запросу физлица информацию, которая касается обработки его персональных данных (ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ). Среди таких сведений, например:

подтверждение факта обработки персональных данных;
цели обработки персональных данных;
способы обработки персональных данных;
наименование и адрес работодателя, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные по закону и т. д.

Как работать с персональными данными на сайте

Опубликуйте или иначе обеспечьте неограниченный доступ к документу, который определяет политику обработки персональных данных. Если хозяйство собирает персональные данные в интернете, этот шаг тоже нужно сделать (п. 2 ст. 18.1 Закона от 27 июля 2006 г. № 152-ФЗ).

Например, на некоторых сайтах пользователь указывает свои ФИО и e-mail при регистрации или отклике на вакансию. Тогда на сайте нужно разместить ссылки на документы:

«Политика обработки персональных данных»;
«Положение об обработке персональных данных» и т.п.

Сколько хранить персональные данные

Персональные данные нужно уничтожить через 30 дней с той даты получения согласия на обработку его персональных данных. Другой срок можно установить в договоре или соглашении с физлицом.

Если у хозяйства нет возможности уничтожить персональные данные в срок, сведения нужно заблокировать. После этого уничтожить личные сведения нужно не позднее, чем через шесть месяцев (ч. 6 ст. 21 Закона № 152-ФЗ).

Уничтожает персональные данные комиссия на основании приказа руководителя. Результат нужно оформить в виде акта о прекращении обработки персональных данных. Еще вариант - можно сделать запись об уничтожении в специальном журнале.

Кому грозят новые штрафы за нарушение работы с персональными данными

С 1 июля 2017 года расширится перечень оснований для привлечения работодателя к административной ответственности в области защиты персональных данных. Кроме того, увеличатся размеры штрафов (Федеральный закон от 7 февраля 2017 г. №13-ФЗ).

Раньше штраф был только один: от 500 руб. до 1000 руб. для директора и от 5000 руб. до 10 000 руб. для юрлица (ст. 13.11 КоАП РФ). Теперь будет шесть видов ответственности. За разные нарушения работодателей в сфере персональных данных проверяющие смогут применять несколько штрафов. Подробнее о видах нарушения и штрафах - в таблице.→00

Штрафы за нарушение правил работы с персональными данными

Нарушение
Незаконно обработали персональные данные либо обработали не по заявленной цели. Например, компания передала ФИО, телефоны, адреса юрлицу для рекламных рассылок.	Предупреждение или штраф: для физических лиц от 1000 до 3000 руб.; для руководителя или главбуха - от 5000 до 10 000 руб.; для юридических лиц - от 30 000 до 50 000 руб.
Обработали персональные данные без согласия физлица	для физических лиц - от 3000 до 5000 руб.; для руководителя или главбуха - от 10 000 до 20 000 руб.; для юридических лиц - от 15 000 до 75 000 руб.
Не разместили в свободном доступе документы о политике по обработке персональных данных	для физических лиц - от 700 до 1500 руб.; для директора или главбуха - от 3000 до 6000 руб.; для индивидуальных предпринимателей - от 5000 до 10 000 руб.; для юридических лиц - от 15 000 до 30 000 руб.
Не предоставили физлицу информацию, которая касается обработки его персональных данных	для физических лиц - от 1000 до 2000 руб.; для директора, кадровика или бухгалтера - от 4000 до 6000 руб.; для индивидуальных предпринимателей - 10 000 до 15 000 руб.; для юридических лиц - от 20 000 до 40 000 руб.
Не уничтожили или не заблокировали персональные данные	для граждан - от 1000 до 2000 руб.; для директора или главбуха - от 4000 до 10 000 руб.; для юридических лиц - 25 000 до 45 000 руб.
Собрали персональные данные работников только на бумаге и не вели никакой автоматизированной обработки, нет специальных программ для обработки	для физических лиц - от 700 до 2000 руб.; для руководителя или главбуха - от 4000 до 10 000 руб.; для индивидуальных предпринимателей - от 10 000 до 20 000 руб.; для юридических лиц - от 25 000 до 50 000 руб.

Одно из важнейших изменений в законодательстве, которое ждет кадровиков летом 2018 года, следующее – с 1 июля увеличатся штрафы за персональные данные. Если ранее максимальный штраф составлял 10 000 рублей, то теперь он может достигать 75 000 рублей. Кроме того, с 1 июля штрафовать работодателей сможет непосредственно Роскомнадзор, а раньше дела такой категории возбуждала прокуратура. Разберемся подробнее, как с 1 июля увеличатся штрафы за персональные данные.

Из статьи вы узнаете:

Персональные данные работников

Прежде чем рассматривать штрафы за персональные данные в 2018 году, выясним, что относится к таким данным. Персональные данные работников – это сведения, которая как прямо, так и косвенно относятся к физическому лицу. Это информация о фактах, событиях и перепитиях частной жизни, которые дают возможность идентифицировать личность человека, за исключением сведений, которые подлежат распространению в СМИ (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ, далее – Закон № 152-ФЗ, Указ Президента РФ от 6 марта 1997 г. № 188).

Скачайте документы по теме:

Выделяют три вида персональных данных работников: общие, специальные и биометрические. К общим относят:

Ф. И.О., место жительства;

паспортные данные;

сведения об образовании;

семейное положение;

Общие персональные данные работников содержатся в паспорте, дипломе, военном билете, личной карточке, трудовой книжке и других документах.

С 1 июля увеличатся штрафы за персональные данные за обработку в нарушение запрета специальных данных. К ним относится информация о (ч. 1 ст. 10 Закона № 152-ФЗ):

расовой, принадлежности, национальности;

политических взглядах;

религиозных или философских убеждениях;

состоянии здоровья и тому подобное.

Специальные персональные данные работников могут быть в анкете, которую сотрудник заполняет при приеме на работу, медицинском заключении и т. д.

Серьезные штрафы за нарушение закона о персональных данных грозят при нарушении порядка работы с биометрическими данными. Это сведения о физиологических и биологических особенностях человека, по которым можно установить его личность. К примеру, такие особенности, как:

дактилоскопические данные;
радужная оболочка глаз;
анализы ДНК;
рост, вес и прочее.

Обратите внимание! Фотография или видеозапись также относятся к биометрическим персональным данным, если по ним можно идентифицировать человека. Исключение составляют фото- и видеозаписи, которые сделали на массовых и публичных мероприятиях (п. 1 ст. 152.1 ГК РФ).

Новые штрафы: персональные данные

В 2017 году с 1 июля увеличатся штрафы за персональные данные. Поправки в КоАП РФ внес Федеральный закон от 07.02.2017 № 13-ФЗ. Изменения размеров новых штрафов за персональные данные существенные. Поэтому операторам персональных данных, к которым относятся все работодатели, нужно тщательно подготовиться к изменениям.

Действующая в текущий момент редакция статьи 13.11 КоАП РФ содержит только одно общее основание, чтобы привлечь организацию к административной ответственности – за нарушение определенного законом порядка сбора, хранения, использования или распространения персональных данных. С 1 июля увеличатся штрафы за персональные данные и видов нарушений, за которые можно наказать, будет семь.

Важно: сейчас максимальный размер штрафных санкций составляет 1 000 руб. (для должностных лиц) и 10 000 руб. (для юридических лиц). С 1 июля максимум возрастет до 20 000 и 75 000 руб. соответственно.

С 1 июля увеличатся штрафы за персональные данные и одновременно изменится порядок, в котором заводят дела об административных правонарушениях в области персданных. Сейчас такие дела возбуждают прокуроры (п. 1 ст. 28.4 КоАП РФ). С 1 июля 2017 года указанные полномочия передаются должностным лицам Роскомнадзора (подп. 58 п. 2 ст. 28.3 КоАП РФ в новой редакции). Они смогут сами налагать новые штрафы за персональные данные:

штраф за разглашение персональных данных;
штрафы за неправильную обработку персональных данных;
штраф за распространение персональных данных;
штрафы за нарушение работы с персональными данными и так далее.

Передача функций по возбуждению административных дел Роскомнадзору ускорит процесс привлечения работодателей к ответственности. В настоящее время такие органы лишь собирают информацию о нарушениях и передают ее в прокуратуру для решения вопроса о применении административного наказания.

Закон о персональных данных: штрафы

С 1 июля увеличатся штрафы за персональные данные. Рассмотрим семь составов, которые вводятся с 1 июля (таблица ниже). За нарушение закона о персональных данных штрафы для организаций составят от 15 000 до 75 000 рублей.

Штрафы за нарушение закона о персональных данных с 1 июля 2017 года

Вид правонарушения	Санкция для должностных лиц	Санкция для организаций	Правовое основание
Обработка работодателем персональных данных: – в случаях, не установленных законом; – несовместимая с целями сбора персональных данных	Предупреждение или штраф от 5 000 до 10 000 рублей	Предупреждение или штраф от 30 000 до 50 000 рублей	Ч. 1 ст. 13.11 КоАП РФ
Обработка персональных данных без письменного согласия работника, когда оно должно быть получено в обязательном порядке либо отсутствие в согласии необходимых сведений	Штраф от 10 000 до 20 000 тысяч рублей	Штраф от 15 000 до 75 000 тысяч рублей	Ч. 2 ст. 13.11 КоАП РФ
	Предупреждение или штраф от 3000 до 6000 рублей;	Предупреждение или штраф от 15 000 до 30 000 рублей.	ч. 3 ст. 13.11 КоАП РФ
Непредоставление работнику информации, которая затрагивает обработку его персональных данных	Предупреждение или штраф от 4000 до 6000 рублей;	Предупреждение или штраф от 20 000 до 40 000 рублей.	Ч. 4 ст. 13.11 КоАП РФ
Невыполнение требования работника либо управления Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении в случае, когда данные являются неполными, устаревшими, неточными, незаконно полученными или не требующимися для заявленной цели обработки	Предупреждение или штраф от 4000 до 10 000 рублей	Предупреждение или штраф от 20 000 до 45 000 тысяч рублей	Ч. 5 ст. 13.11 КоАП РФ
Необеспечение сохранности персональных данных при хранении материальных носителей персональных данных, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо другие неправомерные действия	от 4000 до 10 000 рублей	от 20 000 до 50 000 тысяч рублей	Ч. 6 ст. 13.11 КоАП РФ
Невыполнение обязанности по обезличиванию персональных данных или несоблюдение установленных требований или методов по обезличиванию таких данных (для государственных и муниципальных органов)	Предупреждение или штраф от 3000 до 6000 рублей.		Ч. 7 ст. 13.11 КоАП РФ

Чтобы избежать повышенных новых штрафов за персональные данные в 2018 году, работодателям необходимо проанализировать, правильно ли они организовали систему работы с персональными данными, выявить и ликвидировать недочеты. В частности, важно проверить, получал ли работодатель письменное согласие сотрудников на обработку данных в тех случаях, когда оно требуется.

Согласие на обработку персональных данных в письменной форме надлежит получить, когда (подп. 1 п. 2 ст. 10, п. 1 ст. 11, подп. 1 п. 4 ст. 12 Закона № 152-ФЗ):

речь идет о их передаче в государство, не обеспечивающее необходимую защиту персональных данных;
обрабатываются биометрические данные, чтобы установить личность;
обрабатываются специальные категорий и сведений, которые касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Здравствуйте, уважаемые читатели! Совсем недавно вступили в силу изменения в ст. 13.11 КоАП РФ, внесенные Федеральным законом от 07.02.2017 № 13-ФЗ. Персональные данные с 1 июля 2017 года стали для кого-то головной болью, а кто-то на эти изменения не обратил внимания. Как выясняется при анализе поправок — зря.

Законодательство о персональных данных весьма сложное и непонятное. Но ориентироваться в нем сейчас совершенно необходимо, чтобы не попасть под крупный штраф.

Если объяснять суть изменений в двух словах, то штрафы выросли на несколько порядков (до 75 тыс. руб. за одно нарушение), а совершить правонарушение без знания закона можно запросто даже не подозревая об этом.

Поэтому давайте по порядку разбираться во внесенных и вступивших в силу изменениях, на которые многие упорно не обращают внимание.

Сперва давайте в целом поговорим о том, что такое персональные данные.

Что относится к персональным данным физического лица

Отношения, возникающие по поводу обработки персональных данных регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Ключевым понятием, вокруг которого вертится все остальное, является понятие самих персональных данных.

В соответствии с п. 1 ст. 3 указанного закона это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Из этого определения следуют два важных вывода:

Субъектом персональных данных может быть только физическое лицо. Сведения о юридическом лице не являются и не могут являться персональными данными.
Чтобы сведения о физическом лице признавались персональными данными, они должны позволять идентифицировать его.

С первым выводом все понятно. Со вторым возникает серьезный вопрос: при каких условиях информация, имеющая отношение к человеку, начинает рассматриваться как персональные данные? Что является персональными данными по закону?

При ответе на этот вопрос выделяют два подхода:

Это только та информация, из которой можно сделать однозначный вывод о том, что речь идет о конкретном человеке.
Это любая информация, которая имеет отношение к физическому лицу и позволяет выделить его из общей массы людей.

Но это теоретические подходы. Правильный выбор затруднен из-за отсутствия в законе перечня примеров возможных видов персональных данных. В определенной степени этот пробел восполняется судебной практикой.

Например, в Определении Верховного Суда РФ от 24.06.2015 № 18-АПГ15-7 указано:

«...К данным сведениям относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация».

Апелляционное определение Санкт-Петербургского городского суда от 13.12.2016 N 33-26115/2016 по делу N 2-3830/2016 повторяет то же самое.

Особого внимания заслуживает информация, которую пользователи оставляют на посещаемых сайтах в сети Интернет. Анализ самой последней судебной практики (в частности, Постановления Девятого арбитражного апелляционного суда № 09-АП-17574/2016 от 23.05.2016 по делу № А40-14902/2016) позволяет сделать вывод, что сведения об IP-адресе пользователя, cookie, сведения о географическом местоположении устройства пользователя и т. п. тоже считаются персональными данными.

В целом суды придерживаются первого подхода — к персональным данным относится только та информация, из которой можно сделать однозначный вывод о том, что речь идет о конкретном человеке.

Обычно это связка «имя» и что-то еще. Например, номер мобильного телефона. Или адрес электронной почты. Или те же cookie и иные метаданные.

Поэтому если на сайте есть какая-либо форма для заполнения пользователями, в которой есть поле «Имя», то вместе с передаваемыми метаданными (IP, cookie) вся эта информация будет относиться к персональным данным, а значит владелец этого интернет-ресурса является оператором их обрабатывающим.

Если совсем по-простому, то при наличии на вашем сайте формы обратной связи, то вы обрабатываете персональные данные. А если есть форма подписки, как у меня, то и подавно.

Роскомнадзор придерживается позиции, что персональные данные — это любая информация, относящаяся к физическому лицу. Такую информацию озвучивает само ведомство. Факт идентификации или неидентификации субъекта персональных данных оператором не влияет на статус данных как персональных.

Отговорка «я не обрабатывают персональные данные, я их только собираю», не сработает.

С 01.07.2017 г. действуют изменения в ст. 13.11 КоАП РФ об административной ответственности за нарушение законодательства о персональных данных физлиц. Поскольку поправки касаются всех, кто использует персональные данные, рассмотрим эти новшества в нашей статье.

Обработка персональных данных – 2017

Персональные данные – это любая информация, прямо или косвенно относящаяся к конкретному физлицу (имя, адрес проживания, дата рождения, паспортные данные, номер телефона, фото, адрес электронной почты, и т.д.). Организация, госорган или физлицо, собирающее и обрабатывающее персональные данные, именуется оператором (Закон о персональных данных от 27.07.2006 № 152-ФЗ). К таковым относятся работодатели, а также все, кто получает личные данные от граждан – медучреждения, учебные заведения, интернет-магазины и т.д.

Для работодателя такие данные необходимы в связи с трудовыми отношениями. Получить их можно только лично от самого работника, а от третьих лиц - с его письменного согласия. Физлицо дает письменное согласие на обработку персональных данных. Бланк законодательством не утвержден, составить его можно самостоятельно, с учетом требований п. 4 ст. 9 закона № 152-ФЗ(п. 3 ч. 1 ст. 86 ТК РФ, п. 1 ст. 9 закона 152-ФЗ).

Согласие на обработку персональных данных (образец)

Недопустимо собирать и обрабатывать персональные данные работника, не относящиеся к его трудовой деятельности, например, об участии в общественных объединениях, вероисповедании, личной жизни и т.п. Это же касается и прочих операторов, которые запрашивают данные, не имеющие отношения к цели их обработки (например, указание паспортных данных в анкете об оценке работы сайта). Полученные данные не должны раскрываться третьим лицам или распространяться без согласия физлица (ст. 7 закона № 152-ФЗ).

Оператор обязан обеспечить данным надлежащую защиту, для чего закрепляет порядок их получения, обработки и хранения в Положении о персональных данных или ином внутреннем нормативном акте. В документе определяются необходимые меры, а также назначается ответственный за обработку. Доступ к таким данным должен разрешаться только уполномоченным на то лицам, причем они вправе получать только сведения, необходимые для осуществления конкретных функций (ст. 88 ТК РФ, ст. 18.1 закона № 152-ФЗ).

Положение о персональных данных либо иной документ о политике их обработки, находятся в открытом доступе и предъявляются по запросам уполномоченных органов - это касается и работодателей, и прочих операторов (ч. 2 и 4 ст. 18.1 закона № 152-ФЗ).

Персональные данные – 2017: новое в административной ответственности

Законом от 07.02.2017 № 13-ФЗ была принята новая редакция статьи 13.11 КоАП РФ. Если ранее статья содержала один единственный состав – нарушение ФЗ о персональных данных, теперь это целый перечень из семи оснований административной ответственности и, соответственно, разные штрафы. Вероятно, что при обнаружении нескольких нарушений у одного оператора, ему грозит несколько штрафов, а не один.

Также претерпели изменения статьи 28.3 и 28.4 КоАП РФ, упростив процесс привлечения операторов к ответственности: с 01.07.2017 г. протоколы о нарушениях закона 152-ФЗ о персональных данных составляют сотрудники Роскомнадзора, а не прокурор, как раньше. Срок для привлечения к ответственности остался прежним – 3 месяца.

За что теперь штрафуют

Итак, вот по каким основаниям теперь могут привлекаться к административной ответственности предприниматели и организации, обрабатывающие персональные данные:

Данные обрабатываются в случаях, не предусмотренных ФЗ о персональных данных либо их обработка несовместима с целями сбора (ч. 1 ст. 13.11 КоАП РФ) . Незаконное использование личных данных, если оно не влечет уголовной ответственности, грозит предупреждением, или штрафом: физлицам в 1000-3000 руб., должностным лицам – 5000-10 000 руб., организациям – 30 000-50 000 руб.
Обработка данных без письменного согласия, необходимого по закону (п. 2 ст. 13.11 КоАП РФ). Согласие на обработку должно содержать информацию, указанную в ч. 4 ст. 9 закона 152-ФЗ о персональных данных. Изменения 2017 г. предусматривают с 1 июля штраф за его отсутствие в следующем размере: для нарушителей физлиц – 3000-5000 руб., для должностных лиц – 10 000-20 000 руб., для организаций – 15 000-75 000 руб.
Отсутствие неограниченного доступа к политике оператора в области обработки персональных данных (п. 3 ст. 13.11 КоАП РФ). Обязанность обеспечения доступа установлена п. 2 ст. 18.1 закона 152-ФЗ о персональных данных. Невозможность ознакомиться с таким документом на бумаге либо на сайте, если данные собираются через интернет, обойдется операторам: в 700-1500 руб. - физлицам, 3000-6000 руб. – должностным лицам, 5000-10 000 руб. – ИП, 15 000-30 000 руб. – организациям, а в лучшем случае все обойдется предупреждением.
Непредоставление лицу информации, касающейся обработки его персональных данных (п. 4 ст. 13.11 КоАП РФ). Порядок запроса такой информации прописан в статье 14 закона 152-ФЗ. Изменения с 01.07.2017 следующие: за нарушение полагается предупреждение, либо штраф 1000-2000 руб. – физлицам, 4000-6000 руб. - должностным лицам, 10 000-15 000 руб. – ИП, 20000-40000 руб. – организациям.
Невыполнение в установленные сроки требования о блокировании, изменении или уничтожении персональных данных (п. 5 ст. 13.11 КоАП РФ) . Физлицо или его представитель могут заявить такие требования, если данные неполные, неточные, получены с нарушением закона, либо устарели, это установлено статьей 21 закона о персональных данных № 152-ФЗ. Нарушителей ждет предупреждение, или штраф: 1000-2000 руб. физлицам, 4000-10 000 руб. должностным лицам, 10 000-20 000 руб. – ИП, 25 000-45 000 руб. организациям.
Несоблюдение условий, обеспечивающих сохранность персональных данных при неавтоматизированной обработке (п. 6 ст. 13.11 КоАП РФ). Это касается «бумажных» данных, несанкционированный доступ к которым стал причиной их уничтожения, повреждения, незаконного распространения и т.п. Не обеспеченная защита персональных данных в 2017 г. влечет штраф 700-2000 руб. для граждан, 4000-10 000 руб. для должностных лиц, 10 000-20 000 руб. для ИП и 25 000-50 000 руб. для организаций.

Таковы изменения в защите персональных данных 2017 г., заработавшие с 1 июля. Как видим, составы правонарушений стали более конкретными, а штрафы для операторов заметно ужесточились.

С 1 июля выросли штрафы за нарушение обработки личных данных работников, поэтому стоит навести порядок в документах и проинструктировать персонал. Подробнее о работе с персональными данными с 1 июля 2017 года - в этой статье.

Персональные данные - это любая информация, относящаяся к конкретному сотруднику. Например, Ф. И. О., дата и место рождения, место проживания и др. Работодатель - организация или ИП - в этом случае выступает оператором данных , которые ему становятся известны о сотруднике, и обязан хранить такие сведения в соответствии с установленным порядком.

Личные данные работодателю сообщают только сами работники. После такие сведения, как правило, обобщаются в личных карточках или делах. Если же персональные сведения можно получить от третьих лиц, то об этом следует уведомить работника и получить от него письменное согласие (п. 3 ч. 1 ст. 86 ТК РФ).

Работодатели не вправе получать и обрабатывать персональные данные, которые не относятся к трудовой деятельности, например сведения о личной или семейной жизни. А распространять и раскрывать персональные данные третьим лицам можно только с согласия работника (ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ).

С 1 июля 2017 года введены новые штрафы за нарушения требований обработки и защиты персональных данных. Поэтому следует навести порядок в документах и проинструктировать подчиненных, чтобы компания и лично главбух избежали штрафов.

Обработка персональных данных с 1 июля 2017 года

Основная задача работодателя - защита персональных данных сотрудников. Порядок получения, обработки, передачи и хранения персональных данных должен быть закреплен в локальном акте организации, например в Положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ).

В организации должен быть официально назначен сотрудник, отвечающий за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Это может быть, например, работник отдела кадров.

Организация должна принимать необходимые меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения. Меры безопасности при обработке персональных данных прописаны подробно в статье 19 закона № 152-ФЗ. Напомним о них.

Для обеспечения безопасности персональных необходимо своевременно определять угрозы безопасности при обработке, применять надежные средства защиты и оценивать эффективность защиты, принимать меры для предотвращения незаконного доступа к данным, установить правила доступа к данным, регистрировать и вести учет всех действий при работе с данными.

С 1 июля 2017 года расширен перечень оснований, по которым работодателя привлекут к административной ответственности , если выяснится, что нарушен порядок работы с данными. Изменения внес Федеральный закон от 07.02.2017 № 13-ФЗ. Расскажем о них подробнее.

Вместо одного вида административной ответственности, который был раньше. теперь статья 13.11 КоАП РФ предусматривает семь пунктов. Шесть из них касаются организаций и ИП. То есть за различные нарушения работодателей при работе с персональными данными можно будет применять разные штрафы.

Примеры ошибок обработки персональных данных с 1 июля 2017 года

Оставили документы с личными данными на столе . Штраф за это нарушение - 50 тыс. рублей на компанию, 10 тыс. рублей на главбуха (ч. 6 ст. 13.11 КоАП РФ). Оставлять документы работников на всеобщее обозрение нельзя. Информацией о сотруднике могут воспользоваться посторонние.

Надо разработать порядок работы с персональной информацией. Например, запретить оставлять на столе бумаги с личными данными и выносить их за пределы кабинета. А документы хранить в сейфе или шкафу, где доступ к ним будет ограничен.

Не выдали работнику документы с его данными . Сокрытие от человека его персональных данных - тоже нарушние. Штраф - 50 тыс. рублей на компанию, 5 тыс. рублей на главбуха (ст. 5.27 КоАП РФ).

Выдавайте работникам расчетные листки. Для этого теперь даже не надо тратиться на бумагу. Можно разослать листки на электронную почту либо сообщением на корпоративном сайте вашей организации. Сведения о стаже выдавайте в течение 5 календарных дней с момента, когда за ними обратится работник, а также в день увольнения.

Не обновили старые данные . Штраф составит 45 тыс. рублей на компанию, 10 тыс. рублей - на главбуха (ч. 5 ст. 13.11 КоАП РФ). Данные работника могут меняться, поэтому их надо обновлять по просьбе сотрудника. Например, сотрудница вышла замуж и сменила фамилию, адрес или реквизиты счета. Если компания не обновит информацию, то нарушит правила работы с данными.

Сразу вносите новые сведения в базу, если сотрудник принес документы. Так вам будет проще заполнять отчетность.

Разместили информацию на стенде . Штраф - 75 тыс. рублей на компанию, 20 тыс. рублей на главбуха (ч. 2 ст. 13.11 КоАП РФ). Личные данные можно раскрыть и случайно. Например, главбух разместил на стенде копию заявления сотрудника на имущественный вычет как образец. В документе личные реквизиты, поэтому это нарушение. Сотрудник не давал согласие, чтобы информация о нем стала общедоступной. Размещать информацию нельзя и на доске позора. Для этого необходимо запросить согласие работника.

Не разглашайте сведения о сотрудниках без согласия. Если нужно вывесить образец, используйте вымышленные сведения.

Передали имя, адрес или номер телефона сотрудника . Цена нарушения - 50 тыс. рублей на компанию, 10 тыс. рублей на главбуха (ч. 1 ст. 13.11 КоАП РФ). Информацию о сотрудниках запрещено передавать третьей стороне без согласия, например банкам или коллекторским агентствам. Чтобы передать информацию, запросите согласие работника.

Передавать информацию о сотруднике по просьбе другой организации или «физика» можно, только если работник выдал им доверенность на получение сведений. Согласие работника на обработку данных не требуется только в случаях, которые предусмотрены законом. Например, если работник покупает что-то у компании и хочет получить на почту или телефон электронный чек (письмо Минкомсвязи России от 07.07.2017 № П11-15054-ОГ).

Возможно, будет полезно почитать: