Получил контакт клиента – заплати штраф Роскомнадзору!!!

С 1 июля 2017 года вступят в действие поправки в закон №152-ФЗ «О персональных данных» и коснутся всех лиц (операторов), кто собирает, обрабатывает и хранит любые персональные данные. Чтобы понять кого коснутся новые поправки, разберем основные понятия закона.

1.       Персональные данные (ПД) и оператор ПД

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Например, по логину нельзя понять кем именно является человек, а по имени и телефону можно.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

 Получается оператором ПД является, любое лицо, которое каким-то образом получает от любых людей такую информацию в любом сочетании:

  • ФИО,
  • адрес,
  • дату и место рождения,
  • электронную почту, телефон,
  • профессию, сведения о доходах,
  • семейное положение или вероисповедание,
  • ссылку на персональный сайт или социальные сети.

Это сайты, на которых есть:

  • формы запросов с ФИО и телефоном,
  • анкеты,
  • личные кабинеты,
  • формы обратной связи,
  • формы подписки,
  • формы для покупки чего – либо,
  • формы для размещения объявлений.

2.       Как работать с персональными данными

 

1. Получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение ПД.

 Оператор ПД должен опубликовать документ, определяющий его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД публиковать в открытом доступе информацию обо всём, что касается ПД клиентов и посетителей.

 Для этого нужно исправить сайт, так чтобы можно было четко понять, что человек дал согласие на обработку ПД. Реализация решения может быть в виде кнопки «согласен» в форме регистрации или предупреждение при оформлении заказа.

 

2. Запрашивать только те данные, которые нужны для конкретной цели.

Например, нельзя просить паспортные данные для подписки на рассылку по электронной почте.

 

3. Использовать данные только для тех целей, которые указаны в документах и о которых, человека предупредили.

 

4. Удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях.

 

5. Хранить базы данных в надежном месте, защищать их от взлома и утечки.

Подготовьте внутренние документы о хранении персональных данных и ответственности сотрудников, которые с ними работают.

 

6. Зарегистрироваться в Роскомнадзоре.

 В соответствии с п.1 ст. 22 152-ФЗ операторы ПД должны уведомить Роскомнадзор.

 Сделать это необходимо до начала обработки ПД. Ссылка на форму уведомления

 на сайте Роскомнадзора.

 http://pd.rkn.gov.ru/operators-registry/notification/form/

 

3.       Кто может не подавать уведомление в Роскомнадзор

Уведомление можно не подавать, если ПД отвечают требованиям п.2 ст. 22 152-ФЗ:

  • обрабатываемых в соответствии с трудовым законодательством,
  • полученных оператором в связи с заключением договора, стороной которого является субъект ПД, если ПД не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПД и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД,
  • относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что ПД не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов ПД,
  • сделанных субъектом ПД общедоступными,
  • включающих в себя только фамилии, имена и отчества субъектов ПД,
  • необходимых в целях однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях,
  • включенных в информационные системы ПД, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка,
  • обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности ПД при их обработке и к соблюдению прав субъектов ПД,
  • обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

 4.       О штрафах

С 1 июля вступают в силу изменения внесенные в ст. 13.11 КоАП РФ, в которой установлена административная ответственность за нарушение законодательства в области ПД.

За какие действия оператора ПД могут привлечь к ответственности:

1. Незаконная и нецелевая обработка персональных данных

Санкция ч. 1 ст. 13.11 КоАП РФ предусматривает предупреждение или наложение административного штрафа на граждан в размере от 1000 до 3000 рублей, на должностных лиц - от 5000 до 10000 рублей, на юридических лиц - от 30000 до 50000 рублей.

2. Отсутствие письменного согласия субъекта персональных данных

Отсутствие письменного согласия субъекта персональных данных в случаях, когда это необходимо, влечет наложение административного штрафа на граждан в размере от 3000 до 5000 рублей, на должностных лиц - от 10000 до 20000 рублей, на юридических лиц - от 15000 до 75000 рублей.

3. Ограничение доступа к документу, определяющему политику оператора в области защиты персональных данных

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПД, или сведениям о реализуемых требованиях к защите ПД влечет предупреждение или наложение административного штрафа на граждан в размере от 700 до 1500 рублей; на должностных лиц - от 3000 до 6000 рублей; на ИП - от 5000 до 10000 рублей; на юридических лиц - от 15000 до 30000 рублей (ч. 3 ст. 13.11 КоАП РФ).

4. Нарушение права субъекта персональных данных на получении информации, касающейся обработки его персональных данных

Часть 4 ст. 13.11 КоАП РФ устанавливает административную ответственность за невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных в виде предупреждения или наложения административного штрафа на граждан в размере от 1000 до 2000 рублей, на должностных лиц – от 4000 до 6000 рублей, на ИП - от 10000 до 15000 рублей, на юридических лиц - от 20000 до 40000 рублей.

5. Нарушение порядка уточнения, блокирования или уничтожения персональных данных

 Невыполнение оператором требования субъекта персональных данных (его представителя) либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, грозит наказанием в виде предупреждения или наложения административного штрафа на граждан в размере от 1000 до 2000 рублей, на должностных лиц - от 4000 до 10000 рублей, на ИП - от 10000 до 20000 рублей, на юридических лиц - от 25000 до 45000 рублей (ч. 5 ст. 13.11 КоАП РФ).

6. Несанкционированный доступ к персональным данным

 Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния влечет наложение административного штрафа на граждан в размере от 700 до 2000 рублей, на должностных лиц - от 4000 до 10000 рублей, на ИП - от 10000 до 25000 рублей, на юридических лиц - от 25000 до 50000 рублей.

7. Непринятие мер по обезличиванию персональных данных

В соответствии с ч. 7 ст. 13.11 КоАП РФ устанавливает административную ответственность для государственных или муниципальных органов (специальный субъект) за неисполнение ими обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных, что влечет предупреждение или наложение административного штрафа на должностных лиц в размере от 3000 до 6000 рублей.

 

            И еще…

В случае совершения лицом двух и более административных правонарушений за каждое из них в силу ч. 1 ст. 4.4 КоАП РФ назначается наказание, предусмотренное санкцией соответствующей статьи КоАП РФ, даже если дела об этих правонарушениях рассматриваются одновременно. Получается, что протокол будет составлен по каждому административному правонарушению и платить придется за каждое нарушение.