Задайте вопрос эксперту-юристу БЕСПЛАТНО!
Закон 152-ФЗ о персональных данных или как обезопасить бизнес от новых штрафов
Анонимно
Информация о вас не будет разглашена
Закон 152-ФЗ о персональных данных или как обезопасить бизнес от новых штрафов
Быстро
Заполните форму, и уже через 5 минут с вами свяжется юрист
Закон 152-ФЗ о персональных данных или как обезопасить бизнес от новых штрафов
Бесплатно
Консультация юриста бесплатна

Закон 152-ФЗ о персональных данных или как обезопасить бизнес от новых штрафов

Закон 152-ФЗ о персональных данных или как обезопасить бизнес от новых штрафов 419 просмотров
Закон 152-ФЗ о персональных данных или как обезопасить бизнес от новых штрафов

С 1 июля 2017 года в действие были введены в несколько раз кратно повышенные административные штрафы за нарушение положений Федерального закона «О персональных данных».

Штрафные неустойки за несанкционированную обработку персональных сведений коснутся всех компаний и организаций любой формы собственности, которые получают информацию о паспортных данных граждан нашей страны. 

В связи с, развитием такой ситуации у многих обывателей вполне резонно возникает ряд следующих вопросов:

  • Буду ли я являться оператором персональных данных? 
  • На какие организации распространяется действие закона о персональной информации? 
  • Какую информацию нужно предоставить в Роскомнадзор, чтобы не были наложены штрафные санкции? 
  • Как собственникам сайтов избежать штрафных взысканий?

 

Чтобы иметь полное представление, а также дать ответы на поставленные вопросы, рассмотрим детально все важные аспекты этого законопроекта. 

Основные понятия 

Прежде всего, стоит знать, что закон 152-ФЗ дает четкое определение следующим понятиям:

  1. Персональными данными (ПД) является любой вид информации, относящейся к человеку, который является субъектом ПД.
  2. Оператор – организация, осуществляющая обработку персональных данных, а также определяет цели и состав ПД. 

Стоит отметить, что оператором могут являться:

  • × государственные структуры;
  • × муниципальные образования;
  • × индивидуальный предприниматель;
  • × юридическое лицо;
  • × физическое лицо.

Важный момент! К операторам также относятся организации, имеющие собственные сайты, на которых находится форма обратной связи и регистрация пользователей, использующие запрос личной информации!

  1. Процессинг персональных данных представляет собой совокупность следующих действий, которые совершаются с использованием средств автоматизации:
  • × сбор;
  • × запись;
  • × систематизация информации;
  • × изменение и уточнение;
  • × использование;
  • × блокировка информации;
  • × уничтожение личных данных пользователя. 

Исходя из этих понятий, вполне логично сделать вывод, что персональные данные – это любая информация о физическом лице, с помощью которой человека можно идентифицировать. 

Итак, в перечень персональных данных входят:

  • фамилия, имя, отчество;
  • дата рождения;
  • адрес проживания;
  • телефонные контакты;
  • адрес электронной почты;
  • личная фотография пользователя;
  • ссылка на профиль в социальных сетях;
  • ссылка на персональный сайт.

Кто попадает под действие закона? 

В первую очередь стоит знать, что закон 152-ФЗ касается тех операторов персональных данных, деятельность которых связана со следующими сферами хозяйствования:

  • бюджетные организации;
  • сфера образования;
  • фармакология и медицина;
  • гостиничное дело;
  • банковские финансы;
  • кредитование;
  • телекоммуникационные системы;
  • реклама;
  • онлайн ритейл. 

Отдельной строкой стоит упомянуть тот факт, что деятельность операторов ПД в указанных сферах четко контролирует Роскомнадзор, иначе говоря, компании должны предоставлять полную отчетность главному регулятору в этой сфере.

Факторы, позволяющие не уведомлять Роскомнадзор

Предоставлять информацию главному регулятору не требуется в том случае, если персональные данные:

  • являются общедоступными;
  • содержат исключительно Ф.И.О субъекта ПД;
  • получены оператором при оформлении договорных отношений, при этом могут распространяться исключительно по согласию субъекта;
  • субъекта и оператора связывают трудовые отношения;
  • включены в государственные и муниципальные автоматизированные системы информации;
  • проходят обработку без применения средств автоматизации. 

Указанные аспекты относятся как к физическим, так и юридическим лицам.

Что требует законодательство? 

Согласно закону 152-ФЗ все требования заключаются в следующих важных аспектах:

  • подготовка пакета организационных и распорядительных документов;
  • организация всех рабочих процессов, связанных с процессингом персональных данных в соответствии с действующим законодательством;
  • реализация и выполнение технической защиты персональных данных в автоматизированных информационных системах;
  • обязательное хранение электронных баз персональных данных исключительно на территории нашего государства.

Порядок выполнения законодательных требований

Привести всю деятельность в соответствие закону «О персональных данных» смело можно выполнить следующими способами:

Самостоятельное выполнение законодательства.

Этот путь подразумевает, в первую очередь, знание закона 152-ФЗ и других подзаконных актов в совершенстве.

Стоит также понимать, что на овладение законодательством и техническими аспектами описания информационных систем ПД может уйти до двух месяцев, однако это не гарантирует, что в документации не будет допущена ошибка.

Исполнение требований при помощи специалистов в области юриспруденции.

Это наиболее оптимальный способ при подготовке пакета документов по персональным данным. 

Однако в юридической компании первоначально стоит уточнить, настолько широки познания в сфере информационной безопасности ее сотрудников, а также нужно узнать о том, какой перечень документов они будут разрабатывать.

Выполнение требований законодательства, используя услуги интегратора

Как правило, услугами системных интеграторов в большинстве случаев пользуются большие государственные организации и крупные компании разных форм собственности.

Несомненным преимуществом этого способа является высокий уровень оказания услуг по информационной безопасности, которые оформляют всю документацию под ключ. 

Однако стоит взять во внимание тот факт, что услуги интегратора имеют высокую стоимость, при этом срок реализации проекта займет слишком много времени.

«Ожидать критического развития ситуации».

Это действенный способ лишь в том случае, когда в краткосрочной перспективе будут отсутствовать любые затраты. Но также при этом стоит понимать, что рано или поздно требования закона нужно будет все равно выполнять. И лучше это выполнить пораньше, пока законодательные требования окончательно не ужесточились.

Использование автоматизированных сервисов подготовки документации

Применение этого способа подготовки документов по персональным данным несет в себе ряд следующих несомненных преимуществ:

  • × доступность и простота обывателям, не владеющим полным комплексом знаний в сфере информационной безопасности;
  • × быстрая подготовка нужного пакета документов;
  • × консультирование специалистами по информационной безопасности;
  • × довольно приемлемая цена.

Однако стоит понимать, что этот способ не станет эффективным для крупных государственных компаний, так как будет внедрена неполноценная система защиты персональных данных. 

Документация о персонализации данных. 

Чтобы успешно пройти проверку Роскомнадзора на предмет соответствия документации по персональным данным требованиям законодательства, нужно предварительно подготовить следующий пакет документов:

  • перечень персональных данных, которые находятся в обработке;
  • список должностей, имеющих право доступа к обрабатыванию ПД;
  • обязательство о запрете разглашения персональных данных;
  • соглашение на процессинг ПД;
  • перечисление информационных систем ПД;
  • средства, применяемые для защиты личной информации клиентов;
  • положение по обработке личных данных в организации;
  • моделирование угроз безопасности персональных данных;
  • положение об учете, хранении и уничтожении носителей ПД;
  • регламент, ограничивающий допуск третьих лиц к обработке персональных данных;
  • положение о классификации информационных систем ПД;
  • политика организации в отношении защиты персональных данных. 

Стоит понимать, что каждый из предоставленных регулятору документов, четко выполняет конкретные требования закона 152-ФЗ. 

Информация для владельцев сайтов. 

Чтобы избежать получения штрафных неустоек, согласно закону 152-ФЗ, разработчикам и владельцам сайтов стоит уделить особое внимание ряду следующих немаловажных аспектов:

  • если сайт содержит позиции для сбора ПД, то обязательно нужно под этим полем установить окошко с галочкой для подтверждения следующего предложения: «я согласен с обработкой моих персональных данных».
  • указанное предложение должно быть подтверждено ссылкой на документ, в котором будут прописаны все условия обработки персональных данных.
  • подготовить документ с четко обозначенными условиями процессинга ПД, при этом обязательно должны быть указанны следующие информационные аспекты:
  • × ФИО человека, являющегося субъектом ПД;
  • × серия и номер документа, подтверждающего его личность;
  • × сведения о дате выдачи этого документа, а также информация о государственном органе, выдавшем это удостоверение;
  • × адрес фактического проживания субъекта ПД;
  • × ФИО и адрес оператора, получающего право на обрабатывание личных данных;
  • × обязательно указать цели, ради которых происходит обработка ПД;
  • × перечень данных личной информации, на процессинг которых дает согласие субъект;
  • × действия с ПД, на обрабатывание которых дано согласие;
  • × срок, на период которого заключено соглашение с субъектом персональных данных;
  • × личная подпись субъекта ПД.
  • оформить надлежащим образом положение, имеющее название «политика в отношении обработки персональных данных».
  • отправить уведомление регулятору об обработке персональных данных субъекта. 

Как не получить штраф?

Чтобы обезопасить себя от выплаты неустоек, каждому оператору ПД стоит взять во внимание ряд следующих очень важных рекомендаций:

Упредить случаи несанкционированной обработки персональных данных и их сбора

В перечень нарушений этого типа попадают случаи сбора лишней информации о гражданах.

Например, присылая клиенту по электронной почте новостные рассылки одновременно требует предоставить достоверные паспортные данные. 

В этом случае будет считаться, что сбор персональных данных происходит неправомерно, а для нарушения подобного типа предусмотрены следующие виды штрафов:

  • × индивидуальному предпринимателю может быть предъявлена пеня в размере от 5 до 10 тыс. руб.;
  • × для организаций и юридических лиц – 30–50 тыс. руб.

Ознакомить человека с правилами процессинга личных данных 

Указанная информация должна быть всегда доступна посетителям сайта. 

В случае несоблюдения этого требования непременно последуют следующие штрафные санкции:

  • × для коммерсантов пеня составит 5–10 тыс. руб.;
  • × крупные компании будут оштрафованы на сумму от 15 до 30 тыс. руб.

Разрешение на обрабатывание персональных данных

При составлении договора параллельно оформляется приложение, в котором четко определено согласие гражданина на передачу своих личных данных. 

Без разрешения человека передавать его личные данные другой стороне категорически воспрещается. Если нарушено соглашение процессинга ПД, то на оператора могут быть наложены следующие размеры штрафных неустоек:

  • × мелкий коммерсант – 3–5 тыс. руб.;
  • × должностное лицо, нарушившее условия договора – 10–15 тыс. руб.;
  • × юридическое лицо, нарушившее это условие, выплачивает пеню в размере от 15 до 75 тыс. руб.

Выполнение требований гражданина об уточнении личных данных

Когда предоставлена личная информация в неполном объеме, или ее нужно дополнить и изменить, то оператор должен осуществить эту процедуру в обязательном порядке. 

Нарушение этого требования повлечет за собой следующие взыскания:

  • × частный антрепренер заплатит от 10 до 20 тыс. руб.;
  • × для юридического лица размер неустойки составит от 25 до 45 тыс. руб.

Полное информирование гражданина об использовании личных данных

Иногда возникает такая ситуация, когда предоставленная личная информация передается «случайно» третьим лицам, в результате чего гражданину на электронную почту начинает поступать всевозможные рекламные продукты непонятно от кого. 

Если игнорируются обращения граждан по этому вопросу, то с оператора будут взысканы следующие размеры штрафных неустоек:

  • × индивидуальный предприниматель – от 10 до 20 тыс. руб.;
  • × государственные организации и крупные компании – 25–45 тыс. руб. 

И в заключение хочется отметить еще один немаловажный факт: если немногим ранее закон обходил вашу компанию стороной, то с принятием новой редакции все кардинально изменилось, при этом штрафы возросли кратно. 

Так что приведите свою деятельность, касающуюся персональных данных пользователей, в соответствие с действующим законодательством!



Задайте вопрос эксперту-юристу БЕСПЛАТНО!
Закон 152-ФЗ о персональных данных или как обезопасить бизнес от новых штрафов
Анонимно
Информация о вас не будет разглашена
Закон 152-ФЗ о персональных данных или как обезопасить бизнес от новых штрафов
Быстро
Заполните форму, и уже через 5 минут с вами свяжется юрист
Закон 152-ФЗ о персональных данных или как обезопасить бизнес от новых штрафов
Бесплатно
Консультация юриста бесплатна

Закон 152-ФЗ о персональных данных или как обезопасить бизнес от новых штрафов