Закон о сборе персональных данных 1 июля. Что нужно знать про новые правила хранения персональных данных? Штрафы за нарушение правил работы с персональными данными
Эксперт Илья Шагаев рассказывает об изменениях в законе о персональных данных: что изменится, какие будут последствия и как к этому подготовиться.
Илья Шагаев, генеральный директор CRM-агентства « ДМ Базис ». Персональными данными занимается с 2006 года, входил в Консультативный совет при Роскомнадзоре, в рабочие группы различных ассоциаций по 152-ФЗ.
Как было раньше и почему не волнуются сейчас
Частичные массовые изменения в обработке данных в бизнес-секторе, которые произойдут через новый европейский закон о защите данных, можно условно разделить на три категории. Он должен восстановить руководящие принципы сохранения данных. Хранение данных связи разрешается только в случае подозрения и судебного разбирательства.
Директива является «особенно серьезным нарушением основных прав на уважение частной жизни и защиты персональных данных», правящих государств. Метаданные действия связи, то есть местоположение, время, продолжительность, участник, тип телефонного звонка или сообщение сохраняются. Однако содержание сообщения не записывается.
Приверженец подхода «закон о персональных данных - это не о безопасности баз данных, а о правильной работе с данными частного лица - потенциального клиента, покупателя, работника».
В законодательстве произошли большие изменения, но про них практически не говорят. Так что давно пора привлечь к этому внимание широкой общественности.
Как обеспечить защиту персональных данных
Она независимый журналист, а также тренер и оратор для социальных медиа. Суждение создает путаницу и непонимание среди юристов. Во многих интернет-блогах суждение вызывает недоумение. Фактическое падение маркетинга информационных бюллетеней - это разговор.
Федеральному суду в Карлсруэ в ближайшем будущем должна быть предоставлена возможность исправить это решение. Филиппом Крамером и Дэвидом Обербеком, экспертами в области защиты данных и закона о новых средствах массовой информации. Хранилище данных в облаке в настоящее время очень современно, а также практично. Наконец, доступ к данным через облако возможен с любого устройства, подключенного к Интернету. Тем не менее, следует проявлять осторожность, потому что вы никогда точно не знаете, кто слушает или слушает - как в следующем случае.
Законодательство нас часто пугает и порой кажется тайной даже для людей, знакомых с языком договоров, приложений и прочей формальной документации. Поэтому статья написана простым языком, в первую очередь - для представителей бизнес-аудитории, которые используют персональные данные (далее - ПДн) для рекламы и маркетинговых акций.
Кому грозят новые штрафы за нарушение работы с персональными данными
С их помощью вам больше не нужно вводить текст, но может просто диктовать то, что вы хотите написать - приложение затем преобразует то, что сказано в текст. Как это практически звучит: вещь имеет взломать и находится в условиях лицензии. С помощью установки приложение позволяет поставщику хранить данные, то есть контакты, а также продиктованные - на его серверах. Затем поставщик может передать эти данные третьим лицам.
Правительство штата Гессен разработало дополнительные правила. Она хотела бы внести соответствующий законопроект через Федеральный совет. Здесь основное внимание уделяется социальным сетям, интернет-магазинам, форумам или блогам, то есть всем веб-сайтам, которые требуют регистрации. Поэтому пользователи должны иметь возможность разрешать свою учетную запись одним щелчком мыши. Неактивные учетные записи должны быть удалены автоматически. Кроме того, при создании новой учетной записи пользователя максимальный уровень безопасности должен быть установлен по умолчанию - это точно то, что не указано.
Как правило, юристы не любят законодательство о персональных данных - мутное, непонятное, примеры не проработаны. При появлении вопросов о ПДн им проще запретить, чем искать пути решения проблемы. Поэтому российскому бизнесу необходимо уметь ориентироваться в этих вопросах, хотя бы для правильной постановки задач юристам и правильного контроля.
Штрафы за нарушение правил работы с персональными данными
Пользователь также должен быть в состоянии определить, должны ли его данные записываться поисковыми системами. В будущем оператор веб-сайта должен информировать пользователя о возможных рисках для персональных данных и связанных с ним нарушениях его личных прав. Кроме того, операторы веб-сайтов обязаны называть ответственные органы защиты данных на своих сайтах.
Что еще предстоит выработать из законопроекта, пока не видно. Комментарии доступны в Интернет-законе и в блоге Йенса Фернера. Работодатели обязаны сообщать своим работникам о некоторых действующих законах и правилах посредством уведомления. Компиляция соответствующих законов находится на странице. Сегодня правительство утвердило декрет-закон, который позволяет бенефициарам общей системы социального обеспечения и конвергентной системы социальной защиты уйти в отставку без штрафа. Диплом вступает в силу 1 октября.
В поисковиках мне удалось найти только три статьи на тему изменений в Законе N 152-ФЗ с 1 июля; во всех трёх грубейшие ошибки в трактовке законодательства и изменений. Правда же в том, что некоторые ужесточения не особо страшны, а вот на другие советуем обязательно обратить внимание.
Государство предприняло самый значимый шаг в законодательстве о ПДн со времени появления самого закона 152-ФЗ. С 1 июля 2017 года вступит в силу закон 13-ФЗ от 07.02.2017, вносящий поправки в КоАП. Ужесточается ответственность за нарушения, которые могут допустить операторы (читаем - бизнес) в работе с ПДн.
Декларация об отказе от ответственности
Указ-закон не распространяется на цитаты, уведомления или любые сообщения, направленные судами. Новый закон упростил заявки на проживание для осуществления подчиненной и независимой профессиональной деятельности. Мы хотим, чтобы эта информация была актуальной и точной. Мы попытаемся исправить любые ошибки, которые нам сообщаются.
По степени реакции на происходящее в законодательстве выделим четыре категории компаний
Однако Комиссия не несет никакой ответственности за информацию, содержащуюся на этом сайте. Носит общий характер и не относится к конкретным фактам, связанным с конкретным физическим или юридическим лицом; он не обязательно является исчерпывающим, полным, точным или актуальным; иногда связана с внешними сайтами, по которым услуги Комиссии не имеют контроля и за которые они не несут никакой ответственности; не является профессиональным или юридическим мнением. Напоминается, что не может быть гарантировано, что документ, доступный в режиме онлайн, воспроизводит точно официально принятый текст.
Если коротко, то штрафы выросли почти на порядок (до 75 тысяч рублей). Причём за нарушения, которые допустить очень легко и которые видны на каждом шагу. Проверяющим и надзорным органам в том числе.
А привлечь к ответственности стало существенно проще. Если раньше это можно было сделать через прокуратуру (которой этими вашими ПДн заниматься некогда), то сейчас возбудить дело об административном правонарушении может непосредственно регулятор - Роскомнадзор. Который, можете быть уверены, заниматься этим хочет и давно уже ждал изменений в КоАП.
Только официальный журнал Европейского Союза является подлинным и дает юридические последствия. Наша цель - минимизировать неудобства, вызванные техническими ошибками. Комиссия снимает с себя всю ответственность за любые проблемы, возникающие в результате консультаций с этим сайтом или любыми связанными с ним внешними сайтами. Этот отказ от ответственности не предназначен для ограничения ответственности Комиссии таким образом, который противоречит применимому национальному законодательству или исключает ответственность в случаях, когда это не разрешено таким законодательством.
Главное
«Кошмарить бизнес» за нарушения 152-ФЗ стало гораздо выгоднее. Штраф был до 10 000 рублей, стал до 75 000 рублей.
Привлекать к ответственности стало проще. Раньше была прокуратура, которой было не до того, чтобы этим заниматься, а стал Роскомнадзор - регулятор, в зоне ответственности которого и находится 152-ФЗ.
В переходный период старые и новые варианты написания могут сосуществовать на одной странице. Лекс и Саутгемптонский университет. Авторизованное повторное использование при указании источника. Общий принцип повторного использования может зависеть от условий, изложенных в конкретных декларациях об авторском праве. Принцип повторного использования не применяется к документам, которые являются предметом прав интеллектуальной собственности третьих лиц. Хотя вы можете просматривать большинство этих веб-сайтов без предоставления какой-либо личной информации, в некоторых случаях личные данные необходимы для предоставления вам услуг, которые вы хотите в Интернете.
Бизнес, однако, расслаблен, и угрозы не заметил.
Давайте разберёмся, будут ли «кошмарить», за что конкретно и зачем это нужно. Где кошмар, а где нет?
Как было раньше и почему не волнуются сейчас
Небольшое сравнение законодательства и поведения операторов (бизнеса, компаний, юрлиц) «раньше и сейчас».
Как мы обрабатываем ваши сообщения электронной почты?
Набор институциональных веб-сайтов Европейского Союза в домене ЕС предоставляет ссылки на сторонние сайты. Какая информация собирается, для каких целей и с помощью каких технических средств. Эта информация больше не будет использоваться для несовместимых целей; Кому информация раскрыта. Поскольку данные касаются вас, вы имеете право выражать возражения по поводу обработки ваших личных данных по законным причинам, за исключением случаев, когда они собираются во исполнение юридического обязательства, когда они необходимы для исполнения договора, стороной которого вы являетесь или когда они используются для достижения цели, за которую они дали свое однозначное согласие; Как долго сохраняются ваши данные. Когда вы отправляете сообщение таким образом, собираются только личные данные, необходимые для отправки ответа.
152-ФЗ «О персональных данных» появился в 2006 году. Всё прошло тихо, и люди всполошились не сразу. Довольно долгое время (год–два) к закону не было подзаконной нормативной базы на тему его применения.
Тем не менее, году в 2008–2009 благодаря появлению нормативки (от Роскомнадзора, ФСТЭК и ФСБ) и более активной работе СМИ некоторый мандраж наступил. Не знающих о законе почти не осталось, а отношение к нему было очень разным.
Если команда управления почтовым ящиком не может ответить на вопрос, сообщение отправляется другой службе. Услуга, по которой был отправлен вопрос, отправляется по электронной почте отправителю. Если у вас есть вопросы об обработке ваших сообщений электронной почты и соответствующих личных данных, не стесняйтесь представить их в своем сообщении.
Используемая терминология и способ представления материала на этой карте не подразумевают выражения какого-либо мнения со стороны Европейского союза относительно правового положения любой страны, территории, города или района или ее властей или делимитации границ или границ.
С операторами-клиентами в то время много общались мои сотрудники в рамках наших CRM-проектов (мы ведём крупные проекты, и клиенты были озадачены), я сам выступал и писал на эту тему, как раз в те годы я входил в Консультативный совет при РКН.
По степени реакции на происходящее в законодательстве выделим четыре категории компаний
2. «Знаем, но не обращаем внимания и считаем это всё полной ерундой. Ещё один неработающий закон: как применять - непонятно, и чем грозит - непонятно».
Это действие действует в течение всего времени ваших навигаций с данного компьютера и до тех пор, пока все куки-файлы браузера не будут удалены. Эти текстовые файлы, которые сохраняются на компьютере пользователя, могут использоваться для отображения конкретной информации и услуг пользователя. Если ваш браузер настроен на отказ от куки-файлов, доступ к определенным службам или ресурсам может быть изменен.
Образец согласия на обработку персональных данных
Для осуществления этого права, пожалуйста, обращайтесь. Для получения дополнительной информации о обработке персональных данных вы можете обратиться в университет. Любое использование, включая даже частичное воспроизведение, изменение, распространение, передачу, размещение контента или любых элементов этого сайта строго запрещено без письменного согласия Университета. защита будет преследоваться по закону.
3. «Знаем, смотрим в ту сторону. Как применять - непонятно, чем грозит - непонятно... Немножко что-то сделаем, типа подготовились».
4. «Знаем и подготовимся по полной программе, насколько это можно в непонятном законодательстве».
Последняя категория позволила хорошо заработать интеграторам и компаниям, специализирующимся на информационной безопасности. Стоимость услуги по подготовке документации «на соответствие 152-ФЗ» могла превышать 2 млн рублей, хотя сама услуга была достаточно типовая.
Сколько хранить персональные данные
Если не указано иное, если вы хотите использовать фотографии или тексты на этом сайте, вы должны связаться с нами по адресу. Кроме того, использование информации, содержащейся на этом сайте, является исключительной ответственностью пользователя. Мы не несем ответственности ни при каких обстоятельствах, ни по какой-либо причине, независимо от последствий. Мы не несем ответственности за какие-либо ошибки или упущения на этом сайте.
Для коммерческого использования вышеуказанного мое письменное согласие необходимо всегда! Все участники рекомендуется опубликовать такое уведомление, или, если хотите, вы можете скопировать и вставить эту версию. Если вы не публикуете заявление хотя бы один раз, вы будете молчаливо разрешать использование таких элементов, как ваши фотографии, а также информацию, содержащуюся в ваших обновлениях статуса вашего профиля. Информация предназначена только для указанного домена, а не для каких-либо других веб-сайтов, с которыми может связаться пользователь через ссылки на другие домены.
К 2012 году рынок понял, что «реальной опасности» законы о ПДн не представляют - штрафы мизерные, вчинить их довольно сложно, требования умозрительные, проверки редкие и так далее. Операторы из категорий 3 и 4 плавно перетекли в категорию 2; а категория 4 при этом почувствовала себя обманутой - сначала услуги по подготовке подешевели до 600–500 тысяч, потом до 300 тысяч, а после появились сайты, предлагающие типовой пакет документов за 20–30 тысяч рублей.
Поэтому после консультации с этим сайтом могут быть обработаны данные, относящиеся к идентифицированным или идентифицируемым лицам, для которых вам сообщается, что. Ответственный за обработку является менеджером корпоративной структуры. Все собранные и обработанные данные могут быть переданы сотрудникам или сотрудникам Регистратора, а также третьим лицам, всегда в контексте деятельности, связанной с веб-деятельностью, в соответствии с действующим законодательством.
Эти данные должны обрабатываться только ответственными специалистами или временным обслуживающим персоналом. Такие субъекты официально уполномочены и назначены для выполнения таких задач, определены, образованы и проинформированы об ограничениях, налагаемых законом. Никакие данные, полученные из веб-службы, не передаются или не распространяются.
Что мы имеем сейчас? Пассивность и нежелание бизнеса обращать внимание на изменения. Несмотря на то, что с изменениями «поймать штраф» до 30 тысяч рублей теперь легко может каждый второй интернет-магазин, а в более запущенных случаях и до 75 тысяч рублей, а в инфопространстве тишина и покой! К моему большому удивлению, ничего не обсуждается, подготовка не ведётся - это отчётливо видно по тем же интернет-сайтам, где штрафы можно просто поставить на поток.
Очевидно, что первая волна 2009–2012 годов, всколыхнувшая операторское сообщество, качнула маятник в другую сторону - от волнений тогда до равнодушия сейчас. Прошедшее время показало, что «выиграли» те, кто не готовился - категория 2. Они и время, и деньги сэкономили, и ничего им за это не было. Не обращать внимания, переждать, а потом оно само уляжется - тактика сработала.
И сейчас уже опытный бизнес, как будто бы поднаторевший на ниве ПДн, не воспринимает серьёзно нынешние изменения, поскольку «всё уже знаем, не пугайте, ничего за это не будет».
Но когда изменения в КоАП уже внесены, риски стали значительно выше.
Изменения в 152-ФЗ. Как стало сейчас, и почему риски операторов увеличились
Как я уже упомянул в начале статьи, буду говорить о примерах, актуальных для наиболее многочисленной группы операторов - тех, кто использует персональные данные частных лиц в целях продвижения товаров, работ и услуг. Это - бизнес, использующий CRM-проекты, программы лояльности, интернет-магазины, финансовые сервисы, такси, мобильные приложения и так далее.
Несмотря на десятилетнюю историю законодательства в сфере ПДн, читают закон и нормативные акты к нему очень плохо и воспринимать их не хотят. Поэтому изменения заслуживают более глубокого анализа, сравнения с самим законом и нормативкой в целом.
Терминологию упрощу, а штрафы приведены в отношении юридических лиц. Хотя в изменениях в КоАП ещё есть штрафы в отношении граждан, должностных лиц.
Теперь протоколы об административных правонарушениях будет составлять Роскомнадзор. Это ключевой регулятор в сфере ПДн, и он давно ждал изменений в КоАП. Потому что возбуждать дела через прокуратуру и в итоге выставлять штраф в 5–10 тысяч рублей очень муторно. А ускорить процесс, проведя всё самостоятельно, и выставить в десять раз больше - гораздо интереснее.
Интерес ведомства значим ещё и потому, что РКН желал увеличения штрафов, определяемых КоАП, до 500 тысяч рублей. Хорошо, что этого не случилось (пока), иначе риски бизнеса взлетели бы до небес. Но и увеличение от 5–10 тысяч рублей до 50–75 тысяч рублей, согласитесь, тоже неплохо.
Итак, КоАП с 1 июля 2017 года, статья 13.11. Семь пунктов, нас касаются первые шесть. Седьмой - про операторов, являющихся государственным или муниципальным органом, и это не про нашу тему.
Шесть пунктов
1. Обработка ПДн в случаях, не предусмотренных законодательством РФ, или обработка ПДн, несовместимых с целями обработки. Штраф от 30 до 50 тысяч рублей
В зоне риска:
Операторы, не указавшие цели обработки или указавшие их неграмотно. Встречается сплошь и рядом.
Операторы, собирающие данные, связь которых с целью обработки очень натянута или вообще необъяснима. Самый частый пример - сбор в анкетах программ лояльности паспортных данных. Это частое требование юристов, плохо читавших закон, и которое теперь может привести к штрафам.
Сюда же может быть отнесена принудительная регистрация в личном кабинете интернет-магазина при покупке. Если цель - продажа товара (доставка по указанному адресу), то запрашиваемая для регистрации информация (и сама регистрация) - избыточна и несовместима с целями.
2. Обработка ПДн без письменного согласия в случаях, когда оно должно быть по закону. Штраф от 15 до 75 тысяч рублей
Может показаться странным, но тут риск невелик. Дело в том, что перечень случаев, когда нужно письменное согласие (в терминах 152-ФЗ), ограничен, и продвижение товаров и услуг к нему не относится. А то, что многие называют сбором письменных согласий (в виде анкет), - это неверное понимание и трактовка законодательства. Недавно мне попалась на глаза одна из немногих разъяснительных статей по изменениям с 1 июля - и даже в экспертной статье неверно объясняются принципы письменного согласия. И вообще прелестно выглядит в другой статье рекомендация «получать письменное согласие у каждого подписчика на сайте».
3. Невыполнение оператором обязанности по обеспечению доступа к политике обработки ПДн. Штраф от 15 до 30 тысяч рублей
Вот здесь как раз группа риска огромна.
Любой сбор данных, относящихся к категориям ПДн в формах на сайтах, должен сопровождаться указаниями на политику обработки этих данных. То есть, программа минимум - на любом сайте необходимо реализовать такой документ. И совсем хорошо, когда из формы сбора данных дана ссылка на него. Отсутствие этого документа - повод для штрафа.
Вот примеры того, как обычно бывает:
Ни ссылок из анкет, ни самой политики обработки персональных данных в открытом доступе на сайтах этих интернет-магазинах нет. Кстати, за примерами далеко ходить не надо - это первые два магазина, где я пытался совершить нужную мне покупку. Это обычная ситуация, но получить с магазина от 30 до 50 тысяч рублей штрафа с 1 июля будет просто.
А вот так должно быть:
Годится, если на сайте просто где-то в футере есть ссылка на политику обработки данных или политику конфиденциальности. Пользовательское соглашение, в котором прописаны пункты о соответствии 152-ФЗ, тоже подходит.
4. Невыполнение оператором обязанности по предоставлению частному лицу информации об обработке его ПДн. Штраф от 20 до 40 тысяч рублей
Зона риска:
С одной стороны, сам порядок запроса субъектом информации об обработке его ПДн довольно сложен (он прописан в 152-ФЗ). И редкий субъект его выполнит
С другой, обязанность о предоставлении информации об обработке ПДн возникает при получении данных через третье лицо. Например, в партнёрских программах, различных кросс-промо, сменах подрядчиков в маркетинговых кампаниях и так далее.
В самом 152-ФЗ прописано, когда и как необходимо уведомлять субъекта.
5. Невыполнение в установленные сроки требования (частного лица, его представителя, уполномоченного органа) о блокировании-уничтожении-изменении ПДн. Штраф от 25 до 45 тысяч рублей
Зона риска:
Как упомянул выше, порядок запроса со стороны субъекта довольно сложен, поэтому таких запросов ещё очень мало. В этом смысле пункт оператору особо не угрожает
Будут ли при трактовке этого пункта сюда относить, например, отказ от email-рассылки или SMS, это вопрос...
Это заслуживает отдельного изучения. Формально никакого «упрощённого» порядка отзыва субъектом своего согласия на обработку данных законодательство не предусматривает. Но не рекомендовал бы пренебрегать остановкой коммуникаций с покупателем, если он попросил не беспокоить его. Кстати, в этом случае можно поиметь ещё и претензии ФАС в соответствии с законом «О рекламе».
6. Невыполнение обязанностей по хранению материальных носителей ПДн. Штраф от 25 до 50 тысяч рублей
Зона риска:
Если вы храните свои бумажные архивы (анкеты, договоры с частными лицами, заявки-запросы) очень долго, убедитесь, что это хранение обеспечивает конфиденциальность. Простой склад по соседству вряд ли подходит, должно быть что-то более безопасное. Либо проработайте с юристами механику перевода архива в электронный вид.
На всякий случай подчеркну, что выше упрощены трактовки и термины и даны самые быстрые и очевидные рекомендации. Этого достаточно, чтобы в целом понять состав изменений и их трактовать.
Если углубляться, то интересных выводов будет ещё много. Как минимум три-четыре пункта из приведённых заслуживают отдельного рассмотрения.
Может, так нам и надо?
Напоследок выскажу такую крамольную мысль. Может, она и странно прозвучит из уст представителя операторов, но скажу. Тем более, она впрямую следует из хронологии событий и моих тезисов «почему сообщество расслаблено».
Давайте честно признаемся - бизнес относится к персональным данным частных лиц довольно халатно. Большие компании стараются выстроить правильную политику работы с ними, но даже крупный бизнес ещё далеко не весь обратил внимание на качественные принципы работы с ПДн. А уж средний и малый - тем более. Многие даже не понимают, что данные покупателей - это ценность, и что нужно уважать права частного лица при работе с его данными. И что сам закон не про информационную безопасность, а про соблюдение прав.
По-прежнему имеют место сливы баз данных «налево», неправомерное использование данных (то самое «не соответствующее целям»). Покупателей раздражает чрезмерная коммуникативная активность бизнеса, тем более когда от неё не удаётся отказаться с первого раза.
Всё это - неверные принципы и неверные бизнес-процессы работы с данными. Непонимание и неверные коммуникационные стратегии как основа, и огульное использование данных как следствие.
Как знать, может быть, огромной массе операторского сообщества и нужна увесистая дубина в виде повышенного внимания надзорного органа и применения штрафов?
Грамотный маркетинговый подход к CRM и лояльности - это то, что называется permission-marketing (разрешительный маркетинг). Правильно выстроенные CRM-процессы и процессы обработки данных могут и должны дружить с законодательными требованиями (в случаях, когда эти требования ясны, конечно).
И необходимо обратить внимание ещё на один важный момент. При увеличении штрафов и ускорении возможного наказания можно найти позитивный момент в изменениях - конкретизацию состава нарушений. В предыдущей редакции была очень общая формулировка «Нарушение установленного законом порядка...» и она могла трактоваться весьма широко. Сейчас же семь (шесть, касающихся бизнеса) пунктов достаточно конкретизированы и понятны. Это, на мой взгляд, хороший шаг государства навстречу прозрачности законодательства в этой сфере.
Помните известное «не умеешь - научим, не хочешь - заставим».
Персональные данные работников есть у всех компаний. С 1 июля 2017 года применяются новые штрафы. Они больше прежних. Подскажем, как работать без нарушений.
С 1 июля 2017 года повышается ответственность за нарушения в работе с персональными данными. Изменения затронут всех без исключения работодателей, у которых в распоряжении есть личные сведения сотрудников и других физлиц.
Что относится к персональным данным в 2017 году
Под персональными данными понимается любая информация о физлице (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ). К таким сведениям, относятся фамилия, имя, отчество, пол, возраст, образование, место жительства физического лица и т.д.
А значит, все документы с персональными данными физлиц работодатель должен обрабатывать, хранить и уничтожать в соответствии с требованиями законодательства.
К таким документам относятся:
- трудовая книжка;
- паспорт или иной документ, удостоверяющий личность;
- страховое свидетельство обязательного пенсионного страхования;
- документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
- документы об образовании и (или) о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
- документы (справки) содержащие сведения о состоянии здоровья работника;
- документы (справки) содержащие сведения о возрасте или семейном положении работника.
июля
2017 года увеличатся штрафы за нарушения правил работы с персональными данными
Как обеспечить защиту персональных данных
Рассмотрим, что нужно предпринять в хозяйстве в связи с защитой персональных данных сотрудников и других физлиц. Всего пять шагов.
Шаг 1. Закрепите порядок получения, обработки, передачи и хранения персональных данных в локальном акте организации. Например в положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 № 152-ФЗ).
Шаг 2. Назначьте работника, ответственного за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Это может быть сотрудник отдела кадров, который взаимодействует с личными делами сотрудников. Он будет получать согласие работников на обработку персональных данных, вести карточки сотрудников и т.д.
Шаг 3. Подготовьте шаблон согласия на обработку персональных данных. Без него запрашивать личные сведения физлиц нельзя. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ):
- ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате и месте выдачи документа;
- наименование или ФИО и адрес работодателя, который получает согласие сотрудника;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие;
- наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
- срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись работника.
Образец согласия на обработку персональных данных
| Фамилия, имя, отчество (последнее - при наличии) субъекта персональных данных |
|
| Адрес места жительства _________________________________________________________ ______________________________________________________________________________ |
|
| Документ, удостоверяющий личность субъекта персональных данных, дата его выдачи и выдавший орган ________________________________________________________________ ______________________________________________________________________________ |
|
| СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ |
|
| Настоящим выражаю согласие на обработку моих персональных данных, предусмотренную частью 3 статьи 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ, в целях предоставления Федеральной службой по интеллектуальной собственности (Роспатент) в соответствии с Федеральным законом от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» государственной услуги по государственной регистрации изобретения и выдаче патента на изобретение, его дубликата. |
|
| ______________________________________________________________________________ (указывается название изобретения) |
|
| № заявки ______________________________________________________________________ (указывается при наличии регистрационного номера заявки) |
|
| Заявитель _____________________________________________________________________ |
|
| ______________________________________________________________________________ (указываются фамилия, имя, отчество (последнее - при наличии) и место жительства) |
|
| Мне известно, что предоставленные мною персональные данные, которые не являются необходимыми для предоставления указанной государственной услуги, будут подвергнуты обработке, предусмотренной Федеральным законом от 27 июля 2006 г. № 152-ФЗ, при этом публикация моих персональных данных будет произведена Роспатентом в соответствии с действующим законодательством. Мне известно, что настоящее согласие действует бессрочно. В случае отзыва согласия на обработку персональных данных Федеральная служба по интеллектуальной собственности вправе продолжить обработку персональных данных без моего согласия в соответствии с частью 2 статьи 9, пунктом 4 части 1 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ. |
|
| Подпись _______________________________________________ фамилия, имя, отчество (последнее - при наличии) | Дата _____________ |
Шаг 4. Предоставить по запросу физлица информацию, которая касается обработки его персональных данных (ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ). Среди таких сведений, например:
- подтверждение факта обработки персональных данных;
- цели обработки персональных данных;
- способы обработки персональных данных;
- наименование и адрес работодателя, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные по закону и т. д.
Как работать с персональными данными на сайте
Опубликуйте или иначе обеспечьте неограниченный доступ к документу, который определяет политику обработки персональных данных. Если хозяйство собирает персональные данные в интернете, этот шаг тоже нужно сделать (п. 2 ст. 18.1 Закона от 27 июля 2006 г. № 152-ФЗ).
Например, на некоторых сайтах пользователь указывает свои ФИО и e-mail при регистрации или отклике на вакансию. Тогда на сайте нужно разместить ссылки на документы:
- «Политика обработки персональных данных»;
- «Положение об обработке персональных данных» и т.п.
Сколько хранить персональные данные
Персональные данные нужно уничтожить через 30 дней с той даты получения согласия на обработку его персональных данных. Другой срок можно установить в договоре или соглашении с физлицом.
Если у хозяйства нет возможности уничтожить персональные данные в срок, сведения нужно заблокировать. После этого уничтожить личные сведения нужно не позднее, чем через шесть месяцев (ч. 6 ст. 21 Закона № 152-ФЗ).
Уничтожает персональные данные комиссия на основании приказа руководителя. Результат нужно оформить в виде акта о прекращении обработки персональных данных. Еще вариант - можно сделать запись об уничтожении в специальном журнале.
Кому грозят новые штрафы за нарушение работы с персональными данными
С 1 июля 2017 года расширится перечень оснований для привлечения работодателя к административной ответственности в области защиты персональных данных. Кроме того, увеличатся размеры штрафов (Федеральный закон от 7 февраля 2017 г. №13-ФЗ).
Раньше штраф был только один: от 500 руб. до 1000 руб. для директора и от 5000 руб. до 10 000 руб. для юрлица (ст. 13.11 КоАП РФ). Теперь будет шесть видов ответственности. За разные нарушения работодателей в сфере персональных данных проверяющие смогут применять несколько штрафов. Подробнее о видах нарушения и штрафах - в таблице.→00
Штрафы за нарушение правил работы с персональными данными
| Нарушение | |
| Незаконно обработали персональные данные либо обработали не по заявленной цели. Например, компания передала ФИО, телефоны, адреса юрлицу для рекламных рассылок. | Предупреждение или штраф: для физических лиц от 1000 до 3000 руб.; для руководителя или главбуха - от 5000 до 10 000 руб.; для юридических лиц - от 30 000 до 50 000 руб. |
| Обработали персональные данные без согласия физлица | для физических лиц - от 3000 до 5000 руб.; для руководителя или главбуха - от 10 000 до 20 000 руб.; для юридических лиц - от 15 000 до 75 000 руб. |
| Не разместили в свободном доступе документы о политике по обработке персональных данных | для физических лиц - от 700 до 1500 руб.; для директора или главбуха - от 3000 до 6000 руб.; для индивидуальных предпринимателей - от 5000 до 10 000 руб.; для юридических лиц - от 15 000 до 30 000 руб. |
| Не предоставили физлицу информацию, которая касается обработки его персональных данных | для физических лиц - от 1000 до 2000 руб.; для директора, кадровика или бухгалтера - от 4000 до 6000 руб.; для индивидуальных предпринимателей - 10 000 до 15 000 руб.; для юридических лиц - от 20 000 до 40 000 руб. |
| Не уничтожили или не заблокировали персональные данные | для граждан - от 1000 до 2000 руб.; для директора или главбуха - от 4000 до 10 000 руб.; для юридических лиц - 25 000 до 45 000 руб. |
| Собрали персональные данные работников только на бумаге и не вели никакой автоматизированной обработки, нет специальных программ для обработки | для физических лиц - от 700 до 2000 руб.; для руководителя или главбуха - от 4000 до 10 000 руб.; для индивидуальных предпринимателей - от 10 000 до 20 000 руб.; для юридических лиц - от 25 000 до 50 000 руб. |
Возможно, будет полезно почитать:
- Аббатство - это католический монастырь ;
- Самые распространенные расклады ;
- Быт и обычаи Обычаи и нравы 19 века ;
- К чему снятся жабы и лягушки: мужчине, девушке, женщине, беременной – толкования разных сонников ;
- Основные характеристики марса ;
- Должностная инструкция транспортного экспедитора ;
- Татаро-монгольское иго или история о том, как ложь стала правдой ;
- Журавль толкование сонника ;