Содержание

Закон о распространении личных данных

Ответственность за нарушение закона о персональных данных

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Таблица 1. «Виды ответственности за нарушение закона о персональных данных»

Вид ответственности

Нарушение

Санкция

Норма

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации

Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.

Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 3 тыс. руб.;
  • на должностных лиц – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 30 тыс. до 50 тыс. руб.

Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие

  • на граждан – от 3 тыс. до 5 тыс. руб.;
  • на должностных лиц – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 75 тыс. руб.

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных

Предупреждение или административный штраф:

  • на граждан – от 700 до 1 тыс. руб.;
  • на должностных лиц – от 3 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 30 тыс. руб.

Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 15 тыс. руб.;
  • на юридических лиц – от 20 тыс. до 40 тыс. руб.

Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 45 тыс. руб.

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них

  • на граждан – от 700 до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 50 тыс. руб.

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов

Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.

Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде

  • на граждан – от 100 до 300 руб.;
  • на должностных лиц – от 300 до 500 руб.;
  • на юридических лиц – от 3 тыс. до 5 тыс. руб.

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ

Ш траф до 200 тыс. руб., либо обязательные работы на срок до 360 ч асов , либо исправительны е работы на срок до одного года, либо принудительные работы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет или без такового ) , либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет )

То же деяние, совершенное с использованием служебного положения

Ш траф от 100 тыс. до 300 тыс. руб. , либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет или без такового ) , либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет )

Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий

Ш траф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительны е работ ы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет или без такового ), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет )

Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан

Ш траф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование

Ш траф до 200 тыс. руб. , либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительны е работ ы на срок до двух лет, либо лишение свободы на тот же срок

Причинение лицу убытков в результате нарушения правил обработки его персональных данных.

Под убытками при этом понимаются:

  • расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права;
  • утрата или повреждение его имущества;
  • неполученные доходы, которые лицо получило бы, не будь его право нарушено.

Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных

Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)

Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей

Иные нарушения в области персональных данных при их обработке

Ответственность за разглашение персональных данных по статье 137 УК РФ

Разглашение персональных данных 137 УК РФ при определенных условиях дает возможность признать основанием для привлечения человека к уголовной ответственности. В нашей статье будут рассмотрены условия возникновения этой ответственности, в том числе в отношении лиц, имевших в силу служебного положения доступ к таким данным и разгласивших их.

Что такое персональные данные

Закон «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — закон № 152-ФЗ) определяет персональные данные (далее — ПД) как всякую косвенно или напрямую относящуюся к физическому лицу (носителю ПД) информацию. Организации, индивидуальные предприниматели, государственные и муниципальные органы, а также прочие хозяйствующие субъекты в ходе своей деятельности получают и обрабатывают большой объем такой информации в отношении как своих работников, так и других граждан.

В частности, ими могут быть получены:

  • данные о личности человека (паспортные данные, сведения об образовании, трудовой деятельности, военной службе, финансовом и семейном положении, медицинские данные, биографические факты);
  • данные о родственниках человека;
  • прочие сведения, с помощью которых можно идентифицировать человека (переписка, сведения о полученных и отправленных сообщениях, телефонных контактах).

Получение ПД должно производиться по общему правилу с согласия субъекта ПД (за исключением некоторых случаев, перечисленных в ст. 6 закона № 152-ФЗ). Обрабатывать ПД (в том числе распространять) можно только в соответствии с принципами, определенными ст. 5 того же закона, — и только в законных и заранее установленных целях, на законной основе и т. д. В противном случае возможно привлечение нарушителей к ответственности, в том числе уголовной — по ст. 137 УК РФ.

Читать еще:  Ранний заезд в гостиницу закон

В организациях доступ к ПД обычно в силу служебных обязанностей имеют лишь руководители, сотрудники бухгалтерии, юридической и кадровой служб, а в государственных (особенно правоохранительных) и муниципальных органах он может быть и у множества рядовых сотрудников. Если такие работники будут использовать соответствующие ПД не по назначению, их может ожидать ответственность по ч. 2 или 3 ст. 137 УК РФ (наказание по которым гораздо строже, чем по ч. 1).

Разглашение персональных данных. Объект и предмет преступления

Уголовно наказуемое разглашение ПД посягает на отношения по обеспечению гарантированного конституцией РФ права на неприкосновенность частной жизни.

При этом разглашение ПД наказуемо по ч. 1 и 2 ст. 137 УК РФ лишь при условии, что эти данные соответствуют описанию предмета преступления, а именно:

  • являются сведениями о частной жизни;
  • относятся к семейной или личной тайне.

Определение понятия «частная жизнь» можно найти в судебной практике, согласно которой частной жизнью (в противовес общественной) признается жизнедеятельность индивида в сфере межличностных, семейных, интимных, бытовых отношений, неподконтрольных государству и обществу (определение КС РФ от 9.06.2005 № 248-О). Кроме того, в целях гражданско-правовой охраны частной жизни ст. 152.1 ГК РФ определяет, что информацией о ней являются сведения о личной и семейной жизни человека, его месте пребывания/жительства и происхождении.

Понятия «личная тайна» и «семейная тайна» являются оценочными. Наука уголовного права толкует их следующим образом:

  • к личной тайне следует относить любой факт биографии лица, который он не желает обнародовать (состояние здоровья, принадлежность к политическим движениям, род деятельности, материальное положение и т. д.);
  • семейная тайна отличается от личной по кругу носителей (сведения о внутрисемейных отношениях, образе жизни семьи, бытовых условиях и т. п.).

С 2013 года ст. 137 УК РФ дополнена ч. 3, предусматривающей особый предмет — данные, указывающие на личность потерпевшего по уголовному делу в возрасте до 16 лет, либо описание полученных таким потерпевшим моральных и физических страданий. Данные такого рода также относятся к ПД, так как по ним можно идентифицировать личность.

Разглашение каких персональных данных уголовно наказуемо (судебная практика)

Практика судов общей юрисдикции показывает, что понятие личной тайны трактуется предельно широко, в связи с чем привлечение к ответственности по ст. 137 УК РФ возможно за разглашение практически любых ПД. Отношение тех или иных сведений к личной или семейной тайне устанавливается на основании показаний потерпевшего.

Например, были признаны составляющими личную тайну:

  • Ф. И. О., адрес, паспортные данные, дата рождения, абонентский номер (постановление Стерлитамакского городского суда Республики Башкортостан от 19.04.2012 по делу № 1-249/12);
  • детализация телефонных соединений (приговор Соликамского городского суда Пермского края от 16.11.2011 по делу № 1-511/11);
  • сведения о перемещениях автомобиля (приговор мирового судьи СУ № 28 г. Самары от 25.02.2015 по делу № 1-6/2015).

Статья о распространении персональных данных, характеристика деяния

Объективная сторона преступления, рассматриваемого в ч. 1 и 2 ст. 137 УК РФ, описана альтернативно следующими действиями в отношении соответствующих сведений:

  1. Сбор.
  2. Распространение.
  3. Распространение специальным способом: в СМИ, публичном произведении или в выступлении.

Для привлечения к ответственности необходимо, чтобы эти действия совершались:

  • незаконно (с любым нарушением процедуры, установленной законодательством);
  • без согласия субъекта ПД.

Как правило, незаконному распространению ПД предшествует их сбор. Трактовка понятия «распространение» в уголовном законе более широкая, нежели в законе № 152-ФЗ. Так, согласно п. 5 ст. 3 закона № 152-ФЗ, распространением ПД является их раскрытие неопределенному кругу лиц. Для привлечения же к ответственности за разглашение ПД по ст. 137 УК РФ достаточно сообщить их хотя бы одному человеку.

Для привлечения к ответственности по ч. 1 и 2 ст. 137 УК РФ неважно, наступили ли в результате действий какие-либо последствия, т. е. преступление имеет формальный состав. В ч. 3 рассматриваемой статьи деяние описано особо: публичное распространение (в СМИ, информационных сетях, выступлении или произведении) сведений о подростке младше 16 лет, выступающем потерпевшим по уголовному делу.

При этом для привлечения к ответственности за такое деяние необходимы альтернативно описанные последствия, чье наступление обусловлено деянием (перечень открытый):

  • вред здоровью несовершеннолетнего;
  • психическое расстройство несовершеннолетнего;
  • другие тяжкие последствия (к ним можно отнести, например, суицид, совершенный несовершеннолетним потерпевшим).

Субъективные признаки разглашения персональных данных

Разглашение ПД совершается только умышленно, вид умысла — прямой. Это означает для ч. 1 и 2 ст. 137, что виновный понимает опасность своих действий (разглашения ПД) и имеет твердое намерение их совершить. Для ч. 3 же возможен и прямой, и косвенный умысел. Это означает, что появляется отношение к последствиям действий, осознание их неизбежности или возможности наступления.

Ответственность по ст. 137 УК РФ наступает с 16-летнего возраста, однако для привлечения к ответственности по ч. 2 указанной статьи необходим специальный признак — использование виновным для разглашения ПД своего служебного положения.

ВАЖНО! Признак использования служебного положения не означает, что совершить преступление может только должностное лицо (в том смысле, как оно понимается уголовным законом). Использовать служебные возможности может любой работник, имеющий в силу должности доступ к ПД, т. е. конкретное место службы значения не имеет.

Определяющим критерием при установлении последнего признака служит то, что совершить преступление человеку позволили именно служебные возможности. Например, это может быть сотрудник кадрового подразделения предприятия, обладающий в силу должностного положения информацией о сотрудниках, отнесенной к ПД (паспортные данные, семейное положение и т. п.).

Ответственность за разглашение персональных данных гражданина, виды и размеры наказаний

Лица, разгласившие ПД, могут быть подвергнуты только одному из наказаний, перечисленных в ст. 137 УК РФ, и только в указанных там пределах. Выбор конкретного вида и размера наказания осуществляется судом с учетом степени и характера опасности совершенного деяния, смягчающих и отягчающих обстоятельств, личности виновного и т. д. (ч. 3 ст. 60 УК РФ).

Для примера рассмотрим наказания, которые могут быть назначены за разглашение ПД с использованием служебного положения по ч. 2 ст. 137 УК РФ. Суд вправе назначить:

  1. Штраф. Может быть установлен как фиксированная сумма в пределах 100–300 тыс. руб., так и в размере зарплаты (или иного дохода) осужденного за период от 1 года до 2 лет.
  2. Запрет на занятие определенной деятельностью или занятие каких-либо должностей в течение 2–5 лет.
  3. Принудительные работы сроком до 4 лет. Они могут назначаться как самостоятельно, так и в сочетании с дополнительным наказанием, указанным в п. 2.
  4. Арест на срок до 6 месяцев (в настоящее время этот вид наказания не применяется).
  5. Лишение свободы сроком до 4 лет. Применяется только вместе одним из дополнительных наказаний, указанных в п. 2.

При этом срок дополнительного наказания в 3-м и 5-м случаях начинает течь только после отбытия основного (ч. 4 ст. 47 УК РФ).

Поскольку рассматриваемым преступлением нарушаются личные неимущественные права, потерпевший имеет полное право на предъявление требования о возмещении морального вреда (ст. 151 ГК РФ).

В заключение стоит отметить, что по ст. 137 УК РФ приговоров выносится довольно много, то есть статья действительно работает. При этом ответственность может наступить за разглашение практически любых ПД.

Разглашение персональных данных: закон и ответственность, запрет на распространение и сбор без согласия

Защита конфиденциальности информации является обязанностью государства. Именно поэтому принимаются правовые нормы в сфере неразглашения третьим лицам личной информации. Наказание в данной ситуации может быть в виде штрафов и иного рода лишений. Разберёмся подробнее с этим вопросом.

Что такое персональные данные и конфиденциальность

Для того чтобы разобраться с этими понятиями, необходимо обратиться к федеральному закону РФ «О персональных данных». Так, под персональными понимается данныме любого рода, относящаяся к личным сведениям о том или ином гражданине.

Статья 7 вышеупомянутого ФЗ раскрывает понятие конфиденциальности персональных данных. Под ней понимается такая защита личных сведений о человеке, при которой лица, получившие к ним доступ, не имеют право разглашать их кому-либо без согласия правообладателя.

Особое внимание стоит уделить самому федеральному закону. Он был принят 27.07.2006 года. Состоит нормативный правовой акт из преамбулы, глав и статей. Всего в законе 6 глав, последняя из которых посвящена заключительным и переходным положениям.

Какие персональные данные нельзя разглашать

Необходимо определить, распространение и раскрытие каких данных находится под запретом. К персональным данным гражданина можно отнести:

  1. Фамилия.
  2. Дата рождения.
  3. Отчество.
  4. Имя.
  5. Семейное положение.
  6. Имущественное положение.
  7. Паспортные данные.
  8. Доходы.
  9. Статус работника или безработного и др.

Именно эти сведения разглашению не подлежат. Единственным исключением, когда данные могут использоваться и обрабатываться, является согласие самого их правообладателя. Как правило, такое согласие оформляется в форме письменного документа, в котором излагается запрос от организации на право обрабатывать подобного рода информацию.

За разглашение персональных данных сторонним лицам предусмотрена ответственность в рамках российского законодательства.

Установит, какие сведения можно отнести к персональным и получить ответы на другие важнейшие вопросы в этой сфере можно обратившись к ФЗ «О защите персональных данных». Более конкретно об этом мы пишем ниже.

Субъективные признаки разглашения

Согласно нормам действующего федерального законодательства, разглашением могут считаться следующие действия правонарушителя: разглашение той или иной информации хотя бы одному лицу; опубликование ее в интернете или в средствах массовой информации; опубликование данных в газете; передача их другим лицам для последующего использования и др.

Нужно учитывать, что ответственность может наступить не только за разглашение, но и за другие незаконные действия с личной информацией. Сюда относится и ее сбор. Под сбором понимается получение личных данных гражданина без его согласия и без подписания им соответствующим образом. Незаконно собранная и в последующем использованная информация порождает более тяжкую ответственность, вплоть до привлечения по уголовной статье.

Читать еще:  Вывод из состава учредителей ООО пошаговая инструкция

Специфическими персональными сведениями являются тайны. Сюда относится, например, тайна усыновления. Такие личные данные гражданина распространению не подлежат.

В том случае, если такая информация кому-либо стала известна без согласия усыновителя, правонарушители могут быть привлечены к ответственности по уголовной статье.

Куда жаловаться на нарушение закона о персональных данных

Нарушение закона о персональных данных грозит ответственностью как по КОАП РФ (административная), так и по УК Ф (уголовная). Разглашение и использование данных без согласия гражданина должно быть вовремя пресечено. Для этого нужно определить, куда обращаться за защитой?

Первой инстанцией является полиция. Именно туда можно обратиться и сообщить о том, что данные незаконным образом используются и обрабатываются. Сотрудники полиции имеют право в рамках административного законодательства привлечь гражданина к ответственности.

Еще одной инстанцией является суд. В рамках судебного заседания можно не только привлечь нарушителей к уголовной ответственности, но и взыскать моральный и материальный вред, возникший вследствие разглашения.

Материалы в суд могут поступить после производства предварительного следствия от уполномоченных должностных лиц государственных органов. Гражданин и сам может стать инициатором судебного разбирательства. Для этого ему необходимо оформить исковое заявление и подать его по месту жительства ответчика.

Какую закон регламентирует ответственность за распространение персональных данных

Незаконное распространение персональных данных уже рассматривалось выше. Предусмотрено два вида ответственности:

Что касается распространения по административному законодательству, то в данной ситуации предусмотрена более мягкая ответственность в виде штрафа или же предупреждения. Уголовная ответственность предполагает наложение более строгих санкций и ограничений.

Помимо административного и уголовного взыскания законом предусмотрена дисциплинарная и гражданская ответственность. Дисциплинарная, в большинстве своем, влечет за собой возникновение таких негативных последствий, как увольнение.

Гражданская ответственность предполагает взыскание и возмещение причинённых убытков. Допускается также и возмещение причиненного морального вреда.

Административная ответственность за обработку персональных данных без согласия, штрафы

Это правонарушение влечет за собой административную ответственность. Это статья 13.11 КОАП РФ. В зависимости от того, кто именно является нарушителем, предусмотрен и различный размер штрафных санкций.

Если закон нарушил гражданин, то он обязан уплатить штраф в казну государства в размере до трех тысяч рублей.
Если это юридические лица – до пятидесяти тысяч рублей.
В случае, если нарушение закона исходило от должностного лица, то возникает обязательство уплаты штрафа в размере до десяти тысяч рублей.
Юридическим же лицам за нарушение закона о неразглашении придется уплатить до семидесяти пяти тысяч рублей.

Конкретного термина «распространение» в кодексе об административных правонарушениях нет, однако есть термины и понятия, косвенно затрагивающие незаконное распространение.

Непосредственное распространение личной информации раскрывается в рамках уголовного законодательства, о чем будет сказано ниже.

Уголовная ответственность за нарушение закона о персональных данных

Одной из основных статей, осуществляющих защиту персональных данных, является статья 137 УК РФ.
Она предусматривает ответственность (наказание) за нарушение неприкосновенности частной (личной) жизни, куда и входит незаконное собирание и распространение частных сведений.

Здесь может применяться ответственность в виде штрафа в размере до 200 тысяч рублей, а также иные меры ответственности, в том числе и исправительные, принудительные работы, арест или лишение свободы.

Еще одной статьей, защищающей персональные, частные сведения, является статья 140 УК.
Она регулирует правоотношения в сфере отказа в предоставлении уже собранных частных данных лица, когда такое предоставление обязательно в соответствие с законодательством. Здесь субъектом ответственности является должностное лицо. На него может быть возложен штраф в размере до двухсот тысяч рублей.

Таким образом, нельзя собирать и обрабатывать персональные данные гражданина без его согласия. Получение и передача таких сведений должна происходить в рамках законодательства РФ о защите персональных данных. Для правонарушителей незаконные действия грозят как административной, так и уголовной ответственностью.

Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) «О персональных данных»

О ПЕРСОНАЛЬНЫХ ДАННЫХ

8 июля 2006 года

14 июля 2006 года

Судебная практика и законодательство — 152-ФЗ О персональных данных

5.2. Не позднее чем за один день до дня голосования (пятница) избирательная комиссия субъекта Российской Федерации размещает на своем официальном сайте сведения из реестров избирателей, участников референдума, подавших заявления о включении в список избирателей, участников референдума по месту нахождения, с учетом требований Федерального закона «О персональных данных» в формате: имя, отчество и первая буква фамилии. Указанная информация также размещается на информационных стендах в помещениях для голосования соответствующих избирательных участков, участков референдума.

Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, 4243; 2016, N 27, ст. 4164; 2017, N 9, ст. 1276);

36. Персональное информирование участников НИС о состоянии их именных накопительных счетов осуществляется с учетом требований Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2009, N 48, ст. 5716; N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173; ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30 (ч. I), ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30 (ч. I), ст. 4217; ст. 4243; 2016, N 27 (ч. I), ст. 4164; 2017, N 9, ст. 1276).

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»).

Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

Читать еще:  23 статья закона о полиции текст

Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

Закон о персональных данных 152 ФЗ: как не нарушить

C 1 июля 2017 года вступил в силу закон «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» от 07.02.2017. Изменения коснулись статьи 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)», а также статей 28.3 и 28.4 КоАП РФ.

Ранее протоколами по таким делам занималась прокуратура, теперь их возбуждает Роскомнадзор. Причем РКН уже активно ведет проверки, начисляет штрафы по каждому пункту нарушений, а суммы возросли в десятки раз.

Если на сайте нет информации о политике конфиденциальности, индивидуального предпринимателя могут оштрафовать на сумму в 10 тысяч рублей, а компанию — на 30 тысяч. Если обработкой персональных данных будет заниматься новостной сайт без согласия своих подписчиков или интернет-магазин — без согласия клиентов, то руководителя компании или предпринимателя оштрафуют на сумму до 20 тысяч рублей, а юрлицо — до 75 тысяч рублей. Количество штрафов будет равно количеству нарушений, заплатить один раз за несколько ошибок не получится.

Кто виноват?

Согласно Федеральному закону « О персональных данных» — «персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.»

Ответственность за нарушение нового закона несут так называемые «операторы персональных данных».

Оператор персональных данных, согласно тому же закону — « государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных».

Все владельцы сайтов, на которых есть контактная форма — анкета, форма регистрации, обратной связи, подписки или просто кнопка заказа обратного звонка, запрашивающая имя и контактный номер телефона, являются операторами персональных данных и могут быть привлечены к ответственности за нарушения пунктов закона.

Вместе с тем, закон не распространяется на запись и сохранение любой личной информации, которую планируется использовать для личных или семейных нужд. Телефонная книга в смартфоне или список контактов в клиенте электронной почты не сделают вас оператором персональных данных. Но, если вы передадите эти данные лицу или организации, которая по закону, является оператором персональных данных или опубликуете сведения, это будет нарушением.

Что делать?

  1. Подготовьте публичные документы о правилах и условиях обработки персональных данных и разместите их на сайте так, чтобы они были доступны с любой страницы. Это может быть уведомление, пользовательское соглашение, правила продажи или политика в отношении обработки персональных данных. Важно не название, а содержание. Не копируйте документы других компаний без обработки. Их можно использовать в качестве шаблона, но список данных и цели их использования пропишите свои.

Данные, которые могут потребоваться интернет-магазину для доставки товара, не понадобятся для оформления подписки на информационном сайте. Почему это важно — см. следующий пункт.

Приведите в соответствие с публичным документом сами контактные формы. Запрашивать нужно только те персональные данные, которые нужны для работы с вашим ресурсом. Подпишите, зачем просите эти данные, чтобы пользователям было комфортно их оставлять.

Запрос излишних данных может быть расценен как нарушение закона и стать поводом для штрафа.

Реализуйте программное решение, которое гарантирует согласие пользователя на обработку персональных данных. Это может быть чек-бокс в форме регистрации, в котором нужно поставить галочку, или кнопка согласия с условиями использования, без активации которых человек не сможет отправить сообщение или оформить заказ.

В случае, если персональные данные не предполагается публиковать, а только использовать для обработки внутри компании, явным образом ограничьте передачу персональных данных без согласия на их обработку. Согласно закону, обязанность доказать, что пользователь добровольно оставил свои данные, возлагается на оператора.

Важно! Перед получением персональных данных, которые предполагается публиковать в общедоступных источниках или передавать третьим лицам, получите письменное согласие у каждого посетителя, клиента или подписчика на их обработку, хранение и распространение.
Обезопасьте базу данных. Подготовьте внутренние документы, регламентирующие правила обработки и хранения персональных данных, ответственности сотрудников, имеющих к ним доступ, назначьте лицо, ответственное за безопасность персональных данных и соблюдение правил работы с ними, определенных Федеральным законом N152.

Даже в том случае, если ваш сайт обслуживает другая компания или специалист на аутсорсе, штраф за нарушение закона будет выписан на компанию или ИП, которые указаны на сайте в качестве владельца и, следовательно, получателя персональных данных.

Отправьте, если сайт подпадает под требования Закона, уведомление в Роскомнадзор.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и не будут распространяться или использоваться иным образом;
  • у вас хранятся только ФИО клиента;
  • данные опубликованы в общем доступе самим человеком или кем-либо по его поручению.

Если уверены, что отправлять уведомление не нужно, оформите всю документацию так, чтобы это было понятно и возможным проверяющим. Укажите в пользовательском соглашении, что данные открыты с согласия пользователя, но помните, что доказывать это придется вам.

По закону операторы персональных данных должны уведомить Роскомнадзор. Это нужно сделать до начала обработки данных или вскоре после. Роскомнадзор внесёт информацию об операторе в Реестр операторов персональных данных.

Кроме того, вы обязаны сообщать по запросу пользователя, какие у вас есть данные о нём, как и для чего они обрабатываются и кому вы их передавали, а также удалять данные по первому требованию лица, персональные данные которого хранятся в вашей базе.

Подготовить документы, опубликовать политику и уведомить РКН бесплатно можно здесь.

Дополнено 04.07.2017:

Мы получили комментарий от сотрудника Роскомнадзора:

«При проверке важно, чтобы у вас на сайте можно было подтвердить согласие на сбор и обработку данных — поле для галочки или какая-то другая форма, публичный документ о целях сбора, порядке обработки персональных данных и обеспечении их безопасности, и ссылка на этот документ на форме, где собираются ПД. Персональными данными мы считаем любую информацию, которую человек оставил на сайте, даже если она недействительна — никнейм, неверный номер телефона и т. д. Штрафы уже были, в основном, за отсутствие документов с политикой в отношении персональных данных или за ошибки в них.»

Пример формы регистрации на сайте РИА Новости:

Форма регистрации на сайте

Как видим, подтверждения согласия пользователя на обработку ПД в виде чек-боксов или кнопок «согласен» нет. По ссылке можно перейти на страницу с политикой конфиденциальности, где указано, что пользователь дает это согласие, регистрируясь на сайте:

Согласие на обработку конфиденциальных данных на сайте

Другой пример сайта, где регистрационная форма обязывает пользователя вводить несколько типов персональных данных — Avito:

Форма регистрации

Есть текст, уведомляющий пользователя, что при регистрации он принимает условия пользовательского соглашения, и ссылка на него.

Текст соглашения не содержит информации об обработке персональных данных, кроме указания, что пользователь делает свои данные общедоступными, размещая объявление на сайте.

Текст соглашения

Политика в области обработки и безопасности персональных данных на Avito размещается в разделе «Безопасность», ссылка доступна с любой страницы сайта.

Универсального совета нет. Для каждого сайта в зависимости от рода занятий — своя форма, поэтому лучше проконсультироваться в Роскомнадзоре.

Ссылка на основную публикацию
Adblock
detector