Amenzi pentru datele personale pe an. Ce amendă se confruntă cu o companie pentru încălcarea legii datelor cu caracter personal?

Bună, dragă colegă!

Dacă aveți un site web, de la 1 iulie vă puteți confrunta cu amenzi de până la 300.000 de ruble. pur și simplu pentru că nu a marcat informațiile necesare.

În februarie 2017, au fost aduse modificări Legii federale 152 privind încălcările legii privind datele cu caracter personal.

Modificările intră în vigoare la 1 iulie 2017 și vor afecta toți cei care prelucrează și stochează orice date cu caracter personal pe site.

Sunteți operator de date cu caracter personal?

Ești dacă folosești următoarele instrumente:

• feedback (formular de feedback, comanda un apel invers, orice formular de cerere),
• utilizatori (înregistrare, autorizare, date rețelelor sociale),
• vânzări (date pentru livrare și comunicare cu clientul),
• marketing prin e-mail (abonament la știri, buletine informative, lead magnet).

Datele personale reprezintă orice informație despre utilizator prin care acesta poate fi identificat.

De exemplu, este imposibil să înțelegeți ce fel de persoană este o persoană după nume și autentificare. Dar prin autentificare și e-mail este deja posibil. De asemenea, puteți identifica un utilizator după pixelul de retargeting instalat pe site.

Prin urmare, sunteți operatorul datelor cu caracter personal dacă utilizatorii de pe site-ul dvs. lasă următoarele date în orice combinație:

• e-mail
• telefon
• adresa
• educație, stare civilă, nivel de venit,
• prăjitură
• Adresă IP și date despre locație

Ce sa faci cu site-ul?

1. Găzduirea și baza de date trebuie să fie situate în Rusia
   În ceea ce privește stocarea datelor cu caracter personal în Legea federală 152, nu totul este transparent și de înțeles, prin urmare, pentru a evita problemele, este mai bine să vă ghidați după cerința Legii federale 242 și să stocați datele pe teritoriul Federației Ruse.
2. Consimțământ pentru prelucrarea datelor cu caracter personal
   Sub fiecare formular, plasați textul „Făcând clic pe butonul, sunteți de acord cu prelucrarea datelor dumneavoastră cu caracter personal” și un link către document.
3. Puneți un link către politica de date cu caracter personal în subsol
   Este necesar să se întocmească documente privind lucrul cu datele personale (prin lege, aceste documente pot fi combinate într-unul singur).
4. Înregistrați-vă la Roskomnadzor
   Link de înregistrare http://pd.rkn.gov.ru/operators-registry/notification/form/.
5. Plasați informații pop-up pe site despre colectarea cookie-urilor.

În plus, aveți nevoie de:

1. Informați, la solicitarea unei persoane, ce date aveți despre aceasta, cum și de ce sunt prelucrate și cui le-ați transferat
2. Ștergeți datele folosite pentru trimitere prin poștă la cerere
3. Încheiați obligații de nedezvăluire cu angajații
4. Protejați-vă site-ul web și baza de date de hacking și scurgeri

De ce trebuie să vă înregistrați la Roskomnadzor?

Prin lege, operatorii de date cu caracter personal trebuie să notifice Roskomnadzor, iar acest lucru trebuie făcut înainte de începerea prelucrării datelor sau cel puțin înainte de 1 iulie 2017.

Notificarea nu poate fi transmisă dacă:

1. Sunt prelucrate doar datele angajaților.
2. Datele personale au fost obținute doar pentru executarea unui anumit contract cu o anumită persoană și nu vor fi utilizate în niciun fel, cu atât mai puțin difuzate.
3. Persoana însăși a publicat aceste date în domeniul public.
4. Ai doar numele complet al clientului.

Amenzi

Amenda nu depinde de tipul de încălcare. Pentru un antreprenor individual sau director - 1000 de ruble, pentru o persoană juridică - 10.000 de ruble.

Parchetul emite amenzi. Procedura este lungă, suma nu este mare, așa că nu au existat griji speciale în acest sens.

7 tipuri de încălcări, amendă totală de până la 295.000 de ruble.

• Fără politică de confidențialitate - amendă 10 mii de ruble. pentru antreprenorii individuali, 30 de mii de ruble. pentru o persoană juridică.
• Nu există consimțământ pentru prelucrarea datelor personale ale unui client al magazinului sau ale unui abonat la un curs de informare - o amendă de 20 de mii de ruble. pentru antreprenorii individuali, 75 de mii de ruble. pentru o persoană juridică.
• În formularul de feedback nu există nicio legătură cu prelucrarea datelor cu caracter personal, atunci amenda pentru o persoană juridică este de 50 de mii de ruble.
• Pentru refuzul de a clarifica sau șterge datele personale, o amendă de 20 de mii de ruble. pentru antreprenori individuali și 45 de mii de ruble. pentru o persoană juridică.

Roskomnadzor este responsabil pentru emiterea de amenzi, iar deciziile sunt luate rapid.

Înainte de a aplica o amendă, Roskomnadzor trimite o notificare de încălcare și o cerință de a furniza documente.

Chiar vor fi amendați?

După cum se spune, timpul va spune. Dar în acest moment, în regiunea Tambovo și Astrakhan, procuratura parcurge pur și simplu lista de site-uri și amenzi pentru formularele de feedback.

Poate că nu au altceva de făcut, poate că trezesc frica înainte ca legea să fie introdusă. Dar într-un fel sau altul, este mai bine să fii pregătit.

Bună ziua, dragi cititori! Mai recent, modificările aduse art. 13.11 din Codul de infracțiuni administrative al Federației Ruse, introdus prin Legea federală din 02.07.2017 nr. 13-FZ. Datele personale de la 1 iulie 2017 au devenit o bătaie de cap pentru unii, în timp ce alții nu au acordat atenție acestor schimbări. După cum se dovedește la analiza amendamentelor, a fost în zadar.

Legislația privind datele cu caracter personal este foarte complexă și neclară. Dar acum este absolut necesar să-l navigăm pentru a nu cădea sub o amendă mare.

Pentru a explica esența modificărilor pe scurt, amenzile au crescut cu mai multe ordine de mărime (până la 75 de mii de ruble pentru o încălcare) și puteți comite cu ușurință o infracțiune fără cunoașterea legii, fără să știți.

Prin urmare, să aruncăm o privire pas cu pas asupra modificărilor care au fost făcute și au intrat în vigoare, cărora mulți nu le acordă atenție.

În primul rând, să vorbim în general despre ce sunt datele personale.

Ce se aplică datelor cu caracter personal ale unei persoane

Relațiile care decurg cu privire la prelucrarea datelor cu caracter personal sunt reglementate de Legea federală din 27 iulie 2006 nr. 152-FZ „Cu privire la datele cu caracter personal”. Conceptul cheie în jurul căruia se învârte totul este conceptul de date personale în sine.

În conformitate cu paragraful 1 al art. 3 din prezenta lege este orice informație referitoare la o persoană fizică direct sau indirect identificată sau identificabilă (subiect al datelor cu caracter personal).

Din această definiție rezultă două concluzii importante:

1. Subiectul datelor cu caracter personal poate fi doar o persoană fizică. Informațiile despre o entitate juridică nu sunt și nu pot fi date personale.
2. Pentru ca informațiile despre o persoană să fie considerate date cu caracter personal, acestea trebuie să permită identificarea acestuia.

Totul este clar cu prima concluzie. Al doilea ridică o întrebare serioasă: în ce condiții informațiile referitoare la o persoană încep să fie considerate date cu caracter personal? Ce sunt datele personale conform legii?

Există două abordări pentru a răspunde la această întrebare:

1. Aceasta este doar informația din care se poate trage o concluzie fără ambiguitate că vorbim despre o anumită persoană.
2. Aceasta este orice informație care este relevantă pentru un individ și vă permite să-l distingeți de masa generală de oameni.

Dar acestea sunt abordări teoretice. Alegerea corectă este dificilă din cauza lipsei unei liste de exemple de posibile tipuri de date cu caracter personal din lege. Într-o anumită măsură, acest gol este umplut de practica judiciară.

De exemplu, Hotărârea Curții Supreme a Federației Ruse din 24 iunie 2015 nr. 18-APG15-7 prevede:

„...Această informație include numele de familie, prenumele, patronimul, anul, luna, data și locul nașterii, adresa, familia, starea socială, starea proprietății, educația, profesia, venitul și alte informații.”

Decizia de apel a Tribunalului Sankt Petersburg din 13 decembrie 2016 nr. 33-26115/2016 în dosarul nr. 2-3830/2016 repetă același lucru.

Informațiile pe care utilizatorii le lasă pe site-urile web pe care le vizitează pe Internet merită o atenție deosebită. O analiză a ultimei practici judiciare (în special, Rezoluția Curții a IX-a de Arbitraj de Apel nr. 09-AP-17574/2016 din 23 mai 2016 în dosarul nr. A40-14902/2016) ne permite să concluzionam că informația. despre adresa IP a utilizatorului, cookie-urile, informațiile despre locația geografică a dispozitivului utilizatorului etc. sunt de asemenea considerate date personale.

În general, instanțele aderă la prima abordare - datele personale includ doar acele informații din care se poate trage o concluzie fără ambiguitate că vorbim despre o anumită persoană.

De obicei, este o combinație de „nume” și altceva. De exemplu, un număr de telefon mobil. Sau adresa de e-mail. Sau aceleași cookie-uri și alte metadate.

Prin urmare, în cazul în care site-ul are pe care să îl completeze utilizatorii vreun formular, care conține câmpul „Nume”, atunci, împreună cu metadatele transmise (IP, cookie), toate aceste informații se vor referi la date personale, ceea ce înseamnă proprietarul acestui Resursa de internet este procesarea operatorului lor.

Pentru a spune foarte simplu, dacă aveți un formular de feedback pe site-ul dvs., atunci procesați date personale. Și dacă există un formular de abonament, ca al meu, cu atât mai mult.

Roskomnadzor consideră că datele personale sunt orice informație referitoare la o persoană. Această informație este anunțată chiar de departament. Faptul de identificare sau neidentificare a subiectului datelor cu caracter personal de către operator nu afectează statutul datelor ca fiind personale.

Scuza „Nu prelucrez date personale, doar le colectez” nu va funcționa.

La 1 iulie 2017, intră în vigoare Legea federală nr. 13-FZ din 02.07.2017 „Cu privire la modificările la Codul Federației Ruse privind contravențiile administrative” (denumită în continuare Legea federală nr. 13-FZ), care detaliază lista încălcărilor în domeniul datelor cu caracter personal și s-a majorat cuantumul răspunderii administrative pentru acestea. În acest sens, am decis să reamintim principalele prevederi ale Legii federale din 27 iulie 2006 nr. 152-FZ „Cu privire la datele cu caracter personal” (denumită în continuare Legea federală nr. 152-FZ) și cap. 14 din Codul Muncii al Federației Ruse, care reglementează regulile de prelucrare a datelor cu caracter personal ale angajaților și garanțiile de protecție a acestora.

Legea datelor cu caracter personal 2017

Datele cu caracter personal se referă la orice informație referitoare la o persoană directă sau indirectă identificată sau identificabilă (subiectul datelor cu caracter personal) (Articolul 3 din Legea federală nr. 152-FZ).

Potrivit paragrafului „a” al art. 2 din Convenția pentru protecția persoanelor cu privire la prelucrarea automată a datelor cu caracter personal (încheiată la Strasbourg la 28 ianuarie 1981), prin date cu caracter personal se înțelege orice informație despre o persoană fizică identificată sau identificabilă (persoana vizată).

În virtutea clauzei 3 a art. 3 din Legea federală nr. 152-FZ, orice acțiuni sau operațiuni cu date personale sunt considerate prelucrare a acestora. Astfel de acțiuni includ colectarea, înregistrarea, sistematizarea, acumularea, stocarea, clarificarea (actualizarea, modificarea), extragerea, utilizarea, transferul datelor cu caracter personal (distribuirea, furnizarea, accesul la acestea), depersonalizarea, blocarea, ștergerea, distrugerea datelor. Toate aceste acțiuni pot fi efectuate folosind instrumente de automatizare sau fără a le folosi.

Organizarea muncii cu date personale.

Potrivit părții 1 a art. 57 din Codul Muncii al Federației Ruse, contractul de muncă trebuie să indice numele de familie, numele, patronimul angajatului, informații despre documentele care dovedesc identitatea acestuia, TIN. Aceasta înseamnă că fiecare angajator, la încheierea unui contract de muncă, primește informații legate de datele personale. Astfel de informații sunt conținute în documentele prezentate de angajat atunci când aplică pentru un loc de muncă:

• în pașaport;
• pe legitimatie militara (pentru cei pasibili de serviciul militar);
• în certificatul de atribuire a TIN;
• în certificatul de asigurare de pensie;
• în documentele educaționale;
• pe permisul de conducere și documentele auto, dacă este necesar în legătură cu îndeplinirea unei funcții;
• într-un certificat medical care confirmă o examinare medicală (fișă medicală), dacă acest lucru este necesar în legătură cu îndeplinirea de către angajat a unei funcții.

Articolul 86 din Codul Muncii al Federației Ruse stabilește cerințe generale pe care angajatorul și reprezentanții săi trebuie să le respecte atunci când prelucrează datele cu caracter personal pentru a asigura drepturile și libertățile omului și ale cetățeanului:

• prelucrarea datelor cu caracter personal ale unui angajat poate fi efectuată exclusiv în scopul asigurării conformității cu legile și alte reglementări, asistarea angajaților în angajare, educație și avansare în carieră, asigurarea securității personale a angajaților, monitorizarea cantității și calității muncii prestate și asigurarea securității proprietății;
• atunci când se stabilește sfera și conținutul datelor cu caracter personal ale unui angajat care urmează să fie prelucrate, angajatorul trebuie să fie ghidat de Constituția Federației Ruse, Codul Muncii al Federației Ruse și alte legi federale;
• Toate datele personale ale angajatului ar trebui să fie obținute de la acesta. In cazul in care datele personale ale angajatului pot fi obtinute doar de la un tert, angajatul trebuie notificat in prealabil si trebuie obtinut acordul scris de la acesta. Angajatorul trebuie să informeze angajatul despre scopurile, sursele preconizate și metodele de obținere a datelor cu caracter personal, precum și natura datelor cu caracter personal care urmează a fi obținute și consecințele refuzului angajatului de a-și da acordul scris pentru a le primi;
• angajatorul nu are dreptul de a primi și prelucra informații despre angajat care, în conformitate cu legislația Federației Ruse în domeniul datelor cu caracter personal, aparține unor categorii speciale de date cu caracter personal, cu excepția cazurilor prevăzute de Codul Muncii. ale Federației Ruse și alte legi federale;
• angajatorul nu are dreptul de a primi și prelucra datele personale ale angajatului despre apartenența sa la asociații publice sau activitățile sale sindicale, cu excepția cazurilor stabilite de Codul Muncii al Federației Ruse sau de alte legi federale;
• atunci când ia decizii care afectează interesele unui angajat, angajatorul nu are dreptul de a se baza pe datele personale ale angajatului obținute numai ca urmare a prelucrării automate sau a primirii lor electronice;
• protecția datelor personale ale angajatului împotriva utilizării sau pierderii lor ilegale trebuie să fie asigurată de angajator pe cheltuiala acestuia, în modul stabilit de Codul Muncii al Federației Ruse și alte legi federale;
• angajații și reprezentanții acestora trebuie să fie familiarizați, la semnare, cu documentele angajatorului care stabilesc procedura de prelucrare a datelor cu caracter personal ale angajaților, precum și cu drepturile și obligațiile acestora în acest domeniu;
• angajații nu trebuie să renunțe la drepturile lor de a păstra și proteja secretele;
• angajatorii, angajații și reprezentanții acestora trebuie să elaboreze în comun măsuri pentru a proteja datele personale ale angajaților.

În conformitate cu clauza 2, partea 1, art. 18.1 din Legea federală nr. 152-FZ, fiecare organizație este obligată să emită un document care își definește politica cu privire la prelucrarea datelor cu caracter personal, un act local privind prelucrarea datelor cu caracter personal, precum și un act local care stabilește proceduri menite să prevină și identificarea încălcărilor legislației Federației Ruse, eliminarea consecințelor unor astfel de încălcări.

Lipsa într-o organizație a unui act normativ local de stabilire a procedurii de prelucrare a datelor cu caracter personal ale angajaților constituie o încălcare a legislației muncii și atrage răspunderea administrativă conform art. 5.27 Codul contravențiilor administrative al Federației Ruse (decrete ale Tribunalului orașului Moscova din 29 august 2011 nr. 4a-1743/11, 4a-1742/11, FAS MO din 27 noiembrie 2006 nr. KA-A40/11424- 06 în dosarul nr. A40-17389/06-146- 165, din data de 01.11.2006, 08.11.2006 nr. KA-A40/10787-06 în dosarul nr. A40-32068/06-96-156).

Angajatorul este obligat să asigure o procedură de stocare a datelor cu caracter personal care ar limita accesul neautorizat la acestea. Dreptul de acces la datele personale ale angajatului, în special, are:

• șeful organizației (angajator - antreprenor individual);
• supervizorul imediat al angajatului;
• Șef departament HR;
• angajații departamentului HR;
• personalul contabil.

Deoarece nu numai șeful unei organizații poate avea acces la datele cu caracter personal, responsabilitatea pentru dezvăluirea datelor cu caracter personal este asigurată și pentru angajații organizației. De exemplu, potrivit paragrafului „c” din partea 6 a art. 81 din Codul Muncii al Federației Ruse, un contract de muncă cu un angajat poate fi reziliat la inițiativa angajatorului în cazul dezvăluirii unui secret protejat legal (de stat, comercial, oficial sau de altă natură) care a devenit cunoscut de către angajat în legătură cu îndeplinirea sarcinilor sale de serviciu, inclusiv dezvăluirea datelor personale ale altui angajat.

Legea datelor cu caracter personal 2017 Notă:

Regulamentul privind specificul prelucrării datelor cu caracter personal efectuată fără utilizarea instrumentelor de automatizare a fost aprobat prin Decretul Guvernului Federației Ruse din 15 septembrie 2008 nr. 687 (denumit în continuare Regulamentul).

Conform clauzei 6 din Regulament, persoanele care prelucrează date cu caracter personal fără a utiliza instrumente de automatizare (inclusiv angajații organizației operatorului sau persoanele care efectuează o astfel de prelucrare în baza unui acord cu operatorul) trebuie să fie informate:

• despre faptul prelucrării lor de date cu caracter personal, a căror prelucrare este efectuată de către operator fără utilizarea instrumentelor de automatizare;
• despre categoriile de date cu caracter personal prelucrate;
• despre caracteristicile și regulile unei astfel de prelucrări stabilite prin actele juridice de reglementare ale autorităților executive federale, autorităților executive ale entităților constitutive ale Federației Ruse, precum și actele juridice locale ale organizației (dacă există).

Măsuri de asigurare a securității datelor cu caracter personal în timpul prelucrărilor efectuate fără utilizarea instrumentelor de automatizare		Prelucrarea datelor cu caracter personal fără utilizarea instrumentelor de automatizare trebuie efectuată în așa fel încât, pentru fiecare categorie de date cu caracter personal, să fie posibilă determinarea locațiilor de stocare a datelor cu caracter personal (suporturi tangibile) și stabilirea unei liste a persoanelor care prelucrează datele personale. date sau având acces la acestea
		Este necesar să se asigure stocarea separată a datelor cu caracter personal (suporturi tangibile), a căror prelucrare se efectuează în diverse scopuri
		La stocarea suporturilor fizice, trebuie respectate condițiile pentru a asigura siguranța datelor cu caracter personal și pentru a preveni accesul neautorizat la acestea. Lista măsurilor necesare pentru asigurarea unor astfel de condiții, procedura de adoptare a acestora, precum și lista persoanelor responsabile cu implementarea acestor măsuri se stabilesc de către operator.

Nota:

Toate documentele care conțin date personale ale angajaților, cum ar fi dosarele personale, dulapurile de dosare, jurnalele contabile, ar trebui să fie depozitate în dulapuri sau seifuri special echipate, care sunt încuiate și sigilate. Registrele de lucru ale angajaților ar trebui păstrate într-un seif separat de dosarele personale.

Înregistrarea consimțământului angajatului pentru transferul datelor sale personale.

În conformitate cu art. 88 din Codul Muncii al Federației Ruse, transferul datelor cu caracter personal ale unui angajat către o terță parte fără acordul scris al angajatului menționat nu este permis, cu excepția cazurilor prevăzute de lege. Să enumerăm imediat situațiile în care nu este necesar acordul angajatului pentru transferul datelor sale personale.

Consimțământul angajatului pentru transferul datelor sale personale nu este necesar	Norme juridice
Către terți pentru a preveni amenințarea vieții și sănătății unui angajat	Alineatul 2 art. 88 Codul Muncii al Federației Ruse, alin. 1 p. 4 Explicații despre Roskomnadzor
În FSS, Fondul de pensii în măsura prevăzută de lege	Alineatul 15, partea 2, art. 22 Codul Muncii al Federației Ruse, clauza 2 din art. 12 Legea federală din 16 iulie 1999 nr. 165-FZ, clauza 1, 2 art. 9, clauza 1, 2, 2.1, 3 art. 11, alin. 2 ore 2 linguri. 15 Legea federală din 04/01/1996 nr. 27-FZ, paragraful 2 al art. 14 Legea federală din 15 decembrie 2001 nr. 167-FZ, alin. 3 p. 4 Explicații despre Roskomnadzor
La organele fiscale	Subparagrafele 1, 2, 4 alin. 3 al art. 24 Codul Fiscal al Federației Ruse, alin. 5 p. 4 Explicații despre Roskomnadzor
La comisariatele militare	Alineatul 4, paragraful 1, art. 4 din Legea federală din 28 martie 1998 nr. 53-FZ, alin. „g” clauza 30, alineatele. „a” – „c”, „d”, „f” clauza 32 din Regulamentul privind înregistrarea militară, aprobat prin Decretul Guvernului Federației Ruse din 27 noiembrie 2006 nr. 719, alin. 5 p. 4 Explicații despre Roskomnadzor
La solicitarea sindicatelor în vederea monitorizării respectării legislației muncii de către angajator	Alineatul 5, partea 6, art. 370 Codul Muncii al Federației Ruse, clauza 1, art. 17, alin.1, art. 19 Legea federală din 12 ianuarie 1996 nr. 10-FZ, alin. 5 p. 4 Explicații despre Roskomnadzor
La cererea motivată a parchetului	Clauza 1 a art. 22 din Legea federală din 17 ianuarie 1992 nr. 2202-1, alin. 7 p. 4 Explicații despre Roskomnadzor
La cererea motivată a organelor de drept și de securitate	Articolul 6 din Legea federală din 29 iulie 2004 nr. 98-FZ, clauza 4, partea 1, art. 13 Legea federală din 02/07/2011 nr. 3-FZ, clauza „m”, partea 1, art. 13 Legea federală din 04/03/1995 nr. 40-FZ, alin. 7 p. 4 Explicații despre Roskomnadzor
La cererea inspectorilor de stat de muncă la desfășurarea activităților de supraveghere și control	Alineatul 3, partea 1, art. 357 Codul Muncii al Federației Ruse, alin. 7 p. 4 Explicații despre Roskomnadzor
Autorităților și organizațiilor care trebuie sesizate cu privire la un accident grav, inclusiv mortal	Alineatul 5 art. 228 Codul Muncii al Federației Ruse. Lista organismelor sesizate și termenele de transmitere a sesizărilor despre un accident sunt stabilite de art. 228.1 Codul Muncii al Federației Ruse
În cazurile legate de îndeplinirea sarcinilor oficiale de către un angajat, inclusiv atunci când sunt trimise într-o călătorie de afaceri	Părțile 5 – 5.2 art. 11 din Legea federală din 02/09/2007 nr. 16-FZ, clauza 19 din Regulile pentru furnizarea de servicii hoteliere în Federația Rusă, aprobate prin Decretul Guvernului Federației Ruse din 10/09/2015 Nr.1085, alin. 2 clauza 2 din Decretul Guvernului Federației Ruse nr. 1085, alin. 4 p. 4 Explicații despre Roskomnadzor
Pentru a furniza informații băncii care deservesc cardurile bancare ale angajaților, cu condiția ca acordul privind eliberarea cardurilor (contract colectiv, act de reglementare local al organizației) să conțină o clauză privind dreptul angajatorului de a transfera datele personale ale angajaților sau angajatorului acţionează în baza unei împuterniciri de reprezentare a intereselor salariaţilor	Punctul 10 p. 4 din Explicațiile lui Roskomnadzor

În toate celelalte cazuri, transferul datelor cu caracter personal se realizează cu acordul scris al angajatului, de la care trebuie să fie clar cui vor fi transferate datele sale personale și în ce scop.

În plus, angajatorul este obligat să avertizeze persoanele care primesc date cu caracter personal că aceste informații pot fi utilizate numai în scopurile pentru care au fost comunicate și să solicite acestor persoane să confirme că această regulă a fost respectată.

Controlul și supravegherea prelucrării datelor cu caracter personal.

Controlul și supravegherea prelucrării datelor cu caracter personal ale angajaților se realizează în conformitate cu capitolul. 5 din Legea federală nr. 152-FZ.

Nota:

Organismul autorizat pentru protecția drepturilor persoanelor vizate cu caracter personal, căruia i se încredințează asigurarea controlului și supravegherii privind respectarea prelucrării datelor cu caracter personal, este organul executiv federal care exercită funcțiile de control și supraveghere în domeniul tehnologiei informației. si comunicatii. În prezent, acesta este Serviciul Federal de Supraveghere în Sfera Comunicațiilor, Tehnologiilor Informaționale și Comunicațiilor de Masă (Roskomnadzor) (Rezoluția Guvernului Federației Ruse din 16 martie 2009 nr. 228 „Cu privire la Serviciul Federal de Supraveghere în Sferă de comunicații, tehnologii informaționale și comunicații de masă”).

Ținând cont de modificările aduse prin Legea federală nr. 16-FZ, din 1 martie 2017, activitățile Roskomnadzor în domeniul prelucrării datelor cu caracter personal sunt clasificate sub controlul și supravegherea statului. Acum Roskomnadzor protejează drepturile persoanelor vizate de date cu caracter personal - persoane fizice și va efectua inspecții ale organizațiilor și antreprenorilor (operatori de date cu caracter personal), precum și va controla prelucrarea datelor cu caracter personal de către alți operatori. Procedura de efectuare a inspecțiilor și a altor activități de control este stabilită de Guvernul Federației Ruse (Partea 1, 1.1, articolul 23 din Legea federală nr. 152-FZ).

Organismul autorizat pentru protecția drepturilor persoanelor vizate ia în considerare cererile din partea subiectului datelor cu caracter personal privind conformitatea conținutului datelor sale cu caracter personal și modalitățile de prelucrare a acestora cu scopurile prelucrării acestor date și ia o decizie adecvată.

Angajatorul trebuie să se familiarizeze cu prevederile Ordinului Ministerului Telecomunicațiilor și Comunicațiilor de Masă al Federației Ruse din 14 noiembrie 2011 nr. 312, care a aprobat Regulamentul administrativ pentru executarea de către acest serviciu a funcțiilor de exercitare a controlului de stat. (supravegherea) asupra prelucrării corecte a datelor cu caracter personal. Subiectele controlului sunt:

• documentează natura informațiilor în care sugerează sau permite includerea datelor cu caracter personal;
• sisteme de informare a datelor cu caracter personal;
• activitati de prelucrare.

Aducerea la răspundere administrativă pentru datele personale.

Potrivit art. 90 din Codul Muncii al Federației Ruse, persoanele vinovate de încălcarea prevederilor legislației Federației Ruse în domeniul datelor cu caracter personal la prelucrarea datelor cu caracter personal ale unui angajat sunt supuse răspunderii disciplinare și financiare în modul stabilit de Codul Muncii. a Federației Ruse și a altor legi federale, precum și la răspunderea civilă, administrativă și penală în modul prevăzut de legile federale.

Clauza 2 a art. 23 din Legea federală nr. 152-FZ stabilește că organismul autorizat pentru protecția drepturilor persoanelor vizate de date cu caracter personal are dreptul de a aduce la răspundere administrativă persoanele vinovate de încălcarea prevederilor prezentei legi. Cuantumul răspunderii administrative pentru încălcarea legii cu privire la datele cu caracter personal este prevăzut la art. 13.11 Codul contravențiilor administrative al Federației Ruse.

Legea federală nr. 13-FZ art. 13.11 din Codul contravențiilor administrative al Federației Ruse este prezentat într-o nouă ediție. În special, a fost detaliată lista încălcărilor în domeniul datelor cu caracter personal și a crescut cuantumul răspunderii administrative pentru acestea. Noua versiune a acestui articol se va aplica pe 1 iulie 2017.

Responsabilitatea pentru datele personale. Nota:

Înainte de modificările la art. 13.11 din Codul contravențiilor administrative al Federației Ruse prevede că încălcarea cerințelor cap. 14 din Codul Muncii al Federației Ruse, Legea federală nr. 152-FZ, Legea federală nr. 27-FZ și alte legi care definesc procedura de colectare, stocare, utilizare sau distribuire a informațiilor despre cetățeni (datele lor personale), implică o avertisment sau impunerea unei amenzi administrative:

• pentru funcționari - în valoare de 500 până la 1.000 de ruble;
• pentru persoanele juridice - în valoare de 5.000 până la 10.000 de ruble.

Începând cu 1 iulie 2017, este prevăzută următoarea răspundere administrativă pentru încălcările legii cu privire la datele cu caracter personal.

Tipul de încălcare	Cantitatea de amendă, frecați.
	Pentru persoane juridice	Pentru oficiali
Prelucrarea datelor cu caracter personal în cazurile neprevăzute de legislația Federației Ruse în domeniul datelor cu caracter personal sau prelucrarea acestora incompatibilă cu scopurile de colectare a datelor cu caracter personal, cu excepția cazurilor specificate mai jos, dacă aceste acțiuni nu conțin o infracțiune. ofensa	De la 30.000 la 50.000	De la 5.000 la 10.000
Prelucrarea datelor cu caracter personal fără acordul scris al subiectului datelor cu caracter personal pentru prelucrarea acestora în cazul în care un astfel de consimțământ trebuie obținut în conformitate cu legislația Federației Ruse în domeniul datelor cu caracter personal, dacă aceste acțiuni nu conțin o infracțiune.	De la 15.000 la 75.000	De la 10.000 la 20.000
Prelucrarea datelor cu caracter personal cu încălcarea cerințelor stabilite de legislația Federației Ruse în domeniul datelor cu caracter personal pentru compoziția informațiilor reflectate în consimțământul scris al subiectului datelor cu caracter personal pentru prelucrarea acestora	De la 15.000 la 75.000	De la 10.000 la 20.000
Neîndeplinirea obligației prevăzute de legislația Federației Ruse în domeniul datelor cu caracter personal de a publica un document care definește politica operatorului cu privire la prelucrarea datelor cu caracter personal sau informații despre cerințele implementate pentru protecția datelor cu caracter personal sau de a asigura în alt mod acces nerestricționat la acestea	De la 15.000 la 30.000	De la 3.000 la 6.000
Neîndeplinirea obligației prevăzute de legislația Federației Ruse în domeniul datelor cu caracter personal de a furniza subiectului datelor cu caracter personal informații cu privire la prelucrarea datelor sale cu caracter personal	De la 20.000 la 40.000	De la 4.000 la 6.000
Nerespectarea de către operator, în termenele stabilite de legislația Federației Ruse în domeniul datelor cu caracter personal, a cerințelor subiectului datelor cu caracter personal sau reprezentantului acestuia sau organismului autorizat pentru protecția drepturilor subiecților a datelor cu caracter personal pentru a clarifica datele cu caracter personal, a le bloca sau a le distruge dacă datele cu caracter personal sunt incomplete, depășite sau inexacte, obținute ilegal sau nu sunt necesare pentru scopul declarat al prelucrării	De la 25.000 la 45.000	De la 4.000 la 6.000
Nerespectarea de către operator, atunci când prelucrează date cu caracter personal fără utilizarea instrumentelor de automatizare, de a respecta condițiile care asigură, în conformitate cu legislația Federației Ruse în domeniul datelor cu caracter personal, siguranța datelor cu caracter personal la stocarea suporturilor materiale de datele cu caracter personal și excluderea accesului neautorizat la acestea, dacă acest lucru implică acces ilegal sau accidental la datele cu caracter personal, distrugerea, modificarea, blocarea, copierea, furnizarea, distribuirea sau alte acțiuni ilegale în legătură cu datele cu caracter personal, în absența semnelor unui infractiune penala	De la 25.000 la 50.000	De la 4.000 la 10.000
Neîndeplinirea de către un operator care este un organism de stat sau municipal a obligației de anonimizare a datelor cu caracter personal prevăzută de legislația Federației Ruse în domeniul datelor cu caracter personal sau nerespectarea cerințelor sau metodelor stabilite pentru anonimizarea acestora		De la 3.000 la 6.000

Răspunderea penală.

Răspunderea penală pentru încălcarea vieții private este stabilită în art. 137 din Codul penal al Federației Ruse.

Partea 2 a acestui articol prevede că colectarea sau difuzarea ilegală de informații despre viața privată a unei persoane, săvârșită de o persoană care folosește funcția sa oficială, se pedepsește:

• sau o amendă în valoare de la 100.000 la 300.000 de ruble. sau în cuantumul salariului (alte venituri ale persoanei condamnate) pe o perioadă de unu până la doi ani;
• sau privarea de dreptul de a ocupa anumite funcții sau de a desfășura anumite activități pe o perioadă de doi până la cinci ani;
• sau muncă forțată pe un termen de până la patru ani cu sau fără privarea de dreptul de a ocupa anumite funcții sau de a desfășura anumite activități pe un termen de până la cinci ani;
• sau arestare pe un termen de până la șase luni, închisoare pe un termen de până la patru ani cu privarea de dreptul de a ocupa anumite funcții sau de a desfășura anumite activități pe un termen de până la cinci ani.

Despăgubiri pentru prejudiciul moral.

Potrivit art. 24 din Legea federală nr. 152-FZ, persoanele vinovate de încălcarea cerințelor acestui document legal de reglementare poartă responsabilitatea conform prevederilor legislației Federației Ruse.

Prejudiciul moral cauzat subiectului datelor cu caracter personal ca urmare a încălcării drepturilor acestuia, a încălcării regulilor de prelucrare a datelor cu caracter personal stabilite de prezenta lege, precum și a cerințelor de protecție a datelor cu caracter personal, este supus despăgubirii în conformitate cu prevederile legislația Federației Ruse. Despăgubirea pentru prejudiciul moral se efectuează indiferent de compensarea pentru daune materiale și pierderi suferite de subiectul datelor cu caracter personal.

* * *

În concluzie, enumerăm principalele responsabilități ale unui angajator pe care trebuie să le îndeplinească atunci când lucrează cu date personale:

• elaborează și adoptă reglementări locale care reglementează procedura de stocare și utilizare a datelor cu caracter personal ale angajaților;
• desemnează o persoană responsabilă cu organizarea prelucrării datelor cu caracter personal;
• stabilirea unei liste a persoanelor care prelucrează date cu caracter personal sau care au acces la acestea;
• să stabilească o listă a locurilor de depozitare a documentației care este purtător de date cu caracter personal ale angajaților, precum și o listă a măsurilor necesare pentru asigurarea securității datelor cu caracter personal, procedura de adoptare a acestora;
• familiarizează angajații, împotriva semnăturii, cu reglementările privind organizarea muncii cu datele personale;
• ia consimțământul scris al angajaților pentru prelucrarea datelor cu caracter personal, care trebuie să fie specific și informat și să conțină exact informațiile la care angajații își dau consimțământul pentru prelucrare, precum și consimțământul pentru transferul datelor lor personale către terți indicând aceste persoane;
• trimiteți o notificare către Roskomnadzor cu privire la prelucrarea datelor cu caracter personal ale angajaților în cazurile prevăzute de legislația Federației Ruse.

Pentru nerespectarea acestor cerințe legale, angajatorul poate fi supus răspunderii administrative și, în unele cazuri, răspunderii penale.

Explicațiile de la Roskomnadzor „Probleme legate de prelucrarea datelor cu caracter personal ale angajaților, candidaților pentru posturi vacante, precum și persoanelor din rezerva de personal” au fost publicate pe site-ul http://www.rsoc.ru la 24 decembrie 2012.

Legea federală nr. 16-FZ din 22 februarie 2017 „Cu privire la modificările la capitolul 5 din Legea federală „Cu privire la datele cu caracter personal” și articolul 1 din Legea federală „Cu privire la protecția drepturilor persoanelor juridice și ale antreprenorilor individuali în exercițiu de control de stat (supraveghere) și control municipal.”

Reglementări administrative pentru executarea de către Serviciul Federal de Supraveghere a Comunicațiilor, Tehnologiilor Informaționale și Comunicațiilor de Masă a funcției de stat de exercitare a controlului de stat (supravegherea) asupra conformității prelucrării datelor cu caracter personal cu cerințele legislației Federației Ruse în domeniul datelor cu caracter personal, cu modificările ulterioare la 24 noiembrie 2014.

S. E. Nesterov,

De la 1 iulie 2017, răspunderea pentru încălcări la interacțiunea cu datele personale ale persoanelor fizice a fost înăsprită semnificativ. Aceasta rezultă din prevederile Legii federale din 02/07/2017 nr. 13-FZ). Modificările vor afecta toți angajatorii, fără excepție, care sunt implicați în prelucrarea datelor cu caracter personal ale angajaților și contractorilor individuali. Mai mult, putem spune că modificările se aplică aproape întregii comunități de afaceri care interacționează cu datele personale ale persoanelor fizice (de exemplu, proprietarii de site-uri web care colectează date personale ale vizitatorilor). Cum să vă pregătiți pentru schimbări? Vor crește amenzile? Cine va detecta încălcări în prelucrarea datelor cu caracter personal? Să ne dăm seama.

Date personale: informații speciale

Datele cu caracter personal ale angajaților reprezintă orice informație necesară angajatorului în legătură cu relațiile de muncă și referitoare la un anumit angajat (clauza 1, articolul 3 din Legea federală din 27 iulie 2006 nr. 152-FZ „Cu privire la datele cu caracter personal”).

Pentru un angajator (organizație sau întreprinzător individual), datele personale ale angajaților sunt cel mai adesea rezumate în cardurile și fișierele personale ale acestora. În același timp, aproape fiecare manager de resurse umane sau specialist în resurse umane știe că datele personale pot fi obținute doar personal de la angajați. Dacă informațiile personale pot fi obținute numai de la terți, atunci legislația rusă obligă să notifice angajatul despre acest lucru și să obțină consimțământul scris de la acesta (clauza 3 a părții 1 a articolului 86 din Codul Muncii al Federației Ruse).

Angajatorii nu au dreptul de a primi și prelucra date cu caracter personal care nu au legătură directă cu activitatea de muncă a unei persoane. Adică, este imposibil să colectezi informații, de exemplu, despre religia angajaților. La urma urmei, astfel de informații constituie un secret personal sau de familie și nu pot fi în niciun fel legate de îndeplinirea sarcinilor de serviciu (clauza 4 a părții 1 a articolului 86 din Codul Muncii al Federației Ruse).

După ce a primit date cu caracter personal, angajatorul, din cauza cerințelor legale, este obligat să nu le distribuie sau să le dezvăluie terților fără acordul angajatului (articolul 7 din Legea federală din 27 iulie 2006 nr. 152-FZ).

Datele cu caracter personal pot fi înțelese ca orice informație directă sau indirectă legată de o anumită persoană (subiect al datelor cu caracter personal) - paragraful 1 al articolului 3 din Legea federală din 27 iulie 2006 nr. 152-FZ. Exemple de astfel de informații pot fi numele de familie, prenumele, patronimul, data și locul nașterii, locul de reședință etc.

Cum este obligat un angajator să protejeze datele personale

Pentru a proteja și limita accesul la datele cu caracter personal, angajatorul trebuie să ofere un sistem modern și de înaltă calitate pentru protecția acestora. Cum să faci asta mai exact? Fiecare angajator decide această problemă în mod independent. În același timp, procedura de primire, prelucrare, transfer și stocare a datelor cu caracter personal trebuie să fie consacrată într-un act local al organizației, de exemplu în Regulamentul privind prelucrarea datelor cu caracter personal ale angajaților (articolul 8, 87 din Codul muncii). al Federației Ruse, clauza 2, partea 1, articolul 18.1 din Legea federală din 27 iulie 2006 nr. 152-FZ).

De asemenea, angajatorul trebuie să numească oficial un angajat care este responsabil pentru lucrul cu datele personale (Partea 5 a articolului 88 din Codul Muncii al Federației Ruse). Acesta ar putea fi, de exemplu, un angajat al departamentului de resurse umane care interacționează cu dosarele personale, obține consimțământul angajatului pentru procesare, păstrează cardurile de angajați etc.

Inspecțiile angajatorului cu privire la prelucrarea datelor cu caracter personal sunt efectuate de către departamentele Roskomnadzor. Ordinul nr. 312 al Ministerului Telecomunicațiilor și Comunicațiilor de Masă al Rusiei din 14 noiembrie 2011 a aprobat Regulamentul administrativ pentru executarea de către Roskomnadzor a funcțiilor pentru implementarea controlului (supravegherii) de stat.

Ce responsabilități se aplică angajatorilor

Pentru încălcarea procedurii de primire, prelucrare, stocare și protejare a datelor cu caracter personal ale angajaților, este prevăzută răspunderea disciplinară, materială, administrativă și penală (articolul 90 din Codul muncii al Federației Ruse, partea 1, articolul 24 din Legea federală a 27 iulie 2006 Nr. 152-FZ). Să ne uităm la fiecare dintre aceste tipuri de responsabilitate.

Responsabilitate disciplinară

Angajații care, din cauza relațiilor de muncă, sunt obligați să respecte regulile de lucru cu date cu caracter personal, dar le-au încălcat (articolul 192 din Codul Muncii al Federației Ruse) pot fi trași la răspundere pentru încălcări atunci când lucrează cu date personale. Adică, puteți trage la răspundere, de exemplu, managerul de resurse umane căruia i se încredințează munca relevantă. Pentru o abatere disciplinară de colectare, prelucrare și stocare a datelor cu caracter personal, angajatorul își poate pedepsi angajatul aplicând una dintre următoarele sancțiuni (Partea 1 a articolului 192 din Codul Muncii al Federației Ruse):

• comentariu;
• mustrare;
• concediere.

Responsabilitate financiară

Răspunderea financiară a unui angajat poate apărea dacă, în legătură cu o încălcare a regulilor de lucru cu datele personale ale organizației, este cauzată un prejudiciu real direct (articolul 238 din Codul Muncii al Federației Ruse). Să presupunem că angajatul responsabil al departamentului de resurse umane a comis o încălcare gravă - a distribuit datele personale ale angajaților pe internet. Lucrătorii, după ce au aflat despre acest lucru, au intentat un proces împotriva angajatorului, care a decis: „să plătească despăgubiri bănești lucrătorilor răniți - 50.000 de ruble fiecare”. Într-o astfel de situație, angajatorul are posibilitatea de a impune răspundere financiară limitată angajatului vinovat al departamentului de resurse umane în limitele câștigului său mediu lunar (articolul 241 din Codul Muncii al Federației Ruse). Recuperarea prejudiciului cauzat poate fi efectuată prin ordin al conducătorului în cel mult o lună de la data determinării definitive a cuantumului prejudiciului cauzat de salariat. Dacă termenul de lună a expirat, atunci daunele vor trebui recuperate prin instanță. Această procedură este prevăzută la articolul 248 din Codul Muncii al Federației Ruse.

Citeste si Cine ar trebui să desfășoare pregătire pentru apărare civilă și situații de urgență?

Cu răspundere financiară deplină, angajatul va trebui să despăgubească pe deplin organizația pentru întreaga sumă a prejudiciului suferit în legătură cu încălcările în domeniul datelor cu caracter personal (articolele 242 și 243 din Codul Muncii al Federației Ruse). Cu toate acestea, de regulă, angajaților responsabili cu prelucrarea datelor cu caracter personal nu li se acordă întreaga responsabilitate financiară.

Un angajator (de exemplu, o organizație comercială) aplică răspunderea disciplinară și financiară numai la discreția sa. Autoritățile de reglementare de stat (inclusiv Roskomnadzor) nu iau parte la acest proces.

Responsabilitate administrativă

Pentru încălcarea procedurii de colectare, stocare, utilizare sau distribuire a datelor cu caracter personal ale angajatorului și funcționarilor, autoritățile de reglementare pot impune răspundere administrativă sub formă de amenzi, care se pot ridica la:

• pentru funcționari (de exemplu, director general, contabil șef, ofițer de personal sau antreprenor individual): de la 500 la 1000 de ruble;
• pentru o organizație: de la 5.000 la 10.000 de ruble.

O amendă separată (independentă) pentru funcționari pentru dezvăluirea datelor cu caracter personal în legătură cu îndeplinirea îndatoririlor oficiale sau profesionale variază de la 4.000 la 5.000 de ruble. Astfel de sancțiuni sunt descrise în articolele 13.11 și 13.14 din Codul Federației Ruse privind infracțiunile administrative.

Răspunderea penală

Răspunderea penală a directorului, contabilului-șef sau a șefului departamentului de resurse umane al companiei sau a altei persoane responsabile de lucrul cu datele personale poate apărea pentru acțiuni ilegale:

• colectarea sau difuzarea de informații despre viața privată a unui angajat, constituind secretul său personal sau de familie, fără acordul acestuia;
• diseminarea de informații despre angajat într-un discurs public, munca afișată public sau mass-media.

Pentru astfel de încălcări privind prelucrarea datelor cu caracter personal sunt permise următoarele sancțiuni penale:

• o amendă de până la 200.000 de ruble (sau în cuantumul venitului persoanei condamnate pentru o perioadă de până la 18 luni);
• muncă obligatorie de până la 360 de ore;
• munca corecțională de până la un an;
• munca forțată pe un termen de până la doi ani cu sau fără privarea de dreptul de a ocupa anumite funcții sau de a se angaja în anumite activități pe un termen de până la trei ani;
• arestare până la patru luni;
• închisoare de până la doi ani cu privarea de dreptul de a ocupa anumite funcții sau de a exercita anumite activități pe un termen de până la trei ani.

Aceleași fapte săvârșite de o persoană care își folosește funcția oficială sunt pedepsite mai aspru:

• o amendă de la 100.000 la 300.000 de ruble. (sau în cuantumul veniturilor persoanei condamnate pe o perioadă de unul până la doi ani);
• privarea de dreptul de a ocupa anumite funcții sau de a se angaja în anumite activități pe o perioadă de doi până la cinci ani;
• munca forțată pe un termen de până la patru ani cu sau fără privarea de dreptul de a ocupa anumite funcții sau de a se angaja în anumite activități pe un termen de până la cinci ani;
• arestare pe un termen de la patru până la șase luni;
• închisoare pe un termen de până la patru ani cu privarea de dreptul de a ocupa anumite funcții sau de a se angaja în anumite activități pe un termen de până la cinci ani (articolul 137 din Codul penal al Federației Ruse).

Ce se va schimba de la 1 iulie 2017

Legea federală din 07.02. 2017 Nr. 13-FZ a extins lista motivelor de tragere la răspundere administrativă a angajatorului în domeniul protecției datelor cu caracter personal, precum și a crescut cuantumul amenzilor administrative. Această lege intră în vigoare la 1 iulie 2017. Să spunem imediat că responsabilitatea administrativă în domeniul datelor cu caracter personal a fost înăsprită semnificativ. În același timp, următorul lucru este important: în loc de singurul tip de răspundere administrativă descris la articolul 13.11 din Codul de infracțiuni administrative al Federației Ruse, vor apărea șapte. Astfel, se pot aplica diferite amenzi pentru diferite încălcări ale angajatorilor în domeniul datelor cu caracter personal. Dacă sunt detectate mai multe încălcări pentru diferite infracțiuni, atunci numărul amenzilor poate crește în mod corespunzător. Să explicăm mai detaliat noile infracțiuni.

Încălcarea 1: prelucrarea datelor cu caracter personal în „alte” scopuri

De la 1 iulie 2017, prelucrarea datelor cu caracter personal în cazurile neprevăzute de lege, sau prelucrarea datelor cu caracter personal incompatibile cu scopurile colectării datelor cu caracter personal constituie tipuri independente de încălcare administrativă (Partea 1 a articolului 13.11 din Codul administrativ). Infracțiuni ale Federației Ruse). Să dăm un exemplu: o organizație angajatoare colectează date personale ale angajaților și transferă aceste date către companii terțe în scopuri publicitare (se transferă numele complet, numerele de telefon, regiunile de reședință, nivelul veniturilor). Apoi firmele de publicitate încep să trimită diverse spam și oferte de publicitate către angajați prin telefon, e-mail și adrese de domiciliu. Dacă astfel de acțiuni ale angajatorului nu dezvăluie o infracțiune, atunci răspunderea administrativă poate fi aplicată. De la 1 iulie 2017, sancțiunile administrative pot fi următoarele:

• sau avertisment;
• sau amenzi.

Încălcarea 2: prelucrarea datelor cu caracter personal fără consimțământ

Prelucrarea datelor cu caracter personal de către angajator, ca regulă generală, este posibilă numai cu acordul scris al angajaților. Un astfel de consimțământ trebuie să includă următoarele informații (partea 4 a articolului 9 din Legea din 27 iulie 2006 nr. 152-FZ):

• Numele complet, adresa angajatului, detaliile pașaportului (alt document care dovedește identitatea acestuia), inclusiv informații despre data eliberării documentului și autoritatea emitentă;
• numele sau numele complet și adresa angajatorului (operatorului) care primește consimțământul angajatului;
• scopul prelucrării datelor cu caracter personal;
• lista datelor cu caracter personal pentru prelucrarea cărora este dat consimțământul;
• numele sau numele complet și adresa persoanei care prelucrează datele cu caracter personal în numele angajatorului, dacă prelucrarea va fi încredințată unei astfel de persoane;
• o listă a acțiunilor cu date cu caracter personal pentru care este dat consimțământul, o descriere generală a metodelor utilizate de angajator pentru prelucrarea datelor cu caracter personal;
• perioada în care consimțământul angajatului este valabil, precum și metoda retragerii acestuia, cu excepția cazului în care legea federală stabilește altfel;
• semnătura angajatului.

De la 1 iulie 2017, prelucrarea datelor cu caracter personal fără acordul scris al salariatului, sau în cazul în care consimțământul scris nu conține informațiile indicate mai sus, constituie o încălcare administrativă independentă prevăzută în Partea 2 a articolului 13.11 din Codul contravențional al Federația Rusă. Sunt posibile penalități pentru aceasta:

Încălcarea 3: acces la politica de prelucrare a datelor cu caracter personal

Operatorul de date cu caracter personal (de exemplu, un angajator sau un site web) este obligat să publice sau să ofere în alt mod acces nerestricționat la documentul care definește politica sa privind prelucrarea datelor cu caracter personal, la informații despre cerințele implementate pentru protecția datelor cu caracter personal. Un operator care colectează date cu caracter personal pe Internet (de exemplu, printr-un site web) este obligat să publice pe Internet un document care definește politica sa privind prelucrarea datelor cu caracter personal și informații despre cerințele implementate pentru protecția datelor cu caracter personal, precum și oferă posibilitatea de a accesa documentul specificat. Aceasta este prevăzută în paragraful 2 al articolului 18.1 din Legea din 27 iulie 2006 nr. 152-FZ.

Mulți utilizatori de internet se confruntă cu îndeplinirea acestei obligații în practică. Așadar, de exemplu, atunci când lăsați orice aplicație pe site-uri web și vă indicați numele complet și adresa de e-mail, puteți acorda atenție linkului către documente similare: „Politica de prelucrare a datelor cu caracter personal”, „Regulamente privind prelucrarea datelor cu caracter personal” , etc. Cu toate acestea, merită să recunoaștem că unele site-uri neglijează acest lucru și nu oferă niciun link. Și se dovedește că o persoană lasă o solicitare pe site, nu știe în ce scopuri site-ul colectează date personale.

Unii angajatori afișează, de asemenea, posturile disponibile pe site-urile lor web și invită candidații să completeze un formular „Despre mine”. În astfel de cazuri, site-ul web trebuie să ofere și acces la „Politica de prelucrare a datelor cu caracter personal”.

De la 1 iulie 2017, partea 3 a articolului 13.11 din Codul de infracțiuni administrative al Federației Ruse a identificat o infracțiune independentă - neîndeplinirea de către operator a obligației de a publica sau de a oferi acces nelimitat la un document cu o politică de prelucrare. a datelor cu caracter personal sau a informațiilor privind protecția acestora. Răspunderea conform acestui articol poate arăta ca un avertisment sau amenzi administrative:

Încălcarea 4: ascunderea informațiilor

Subiectul datelor cu caracter personal (adică persoana căreia îi aparțin aceste date) are dreptul de a primi informații cu privire la prelucrarea datelor sale cu caracter personal, inclusiv informații care conțin (Partea 7 a articolului 14 din Legea din 27 iulie 2006 nr. 152-FZ):

1. confirmarea faptului prelucrării datelor cu caracter personal de către operator;
2. temeiurile legale și scopurile prelucrării datelor cu caracter personal;
3. scopurile și metodele de prelucrare a datelor cu caracter personal utilizate de operator;
4. numele și locația operatorului, informații despre persoanele (cu excepția angajaților operatorului) care au acces la date cu caracter personal sau cărora le pot fi dezvăluite datele cu caracter personal pe baza unui acord cu operatorul sau pe baza legii federale;
5. datele cu caracter personal prelucrate referitoare la subiectul relevant al datelor cu caracter personal, sursa primirii acestora, cu excepția cazului în care legea federală prevede o procedură diferită de prezentare a acestor date;
6. termenii de prelucrare a datelor cu caracter personal, inclusiv perioadele de stocare a acestora;
7. procedura de exercitare de către subiectul datelor cu caracter personal a drepturilor prevăzute de prezenta lege federală;
8. informații despre transferurile transfrontaliere de date finalizate sau intenționate;
9. numele sau prenumele, prenumele, patronimul și adresa persoanei care prelucrează datele cu caracter personal în numele operatorului, dacă prelucrarea a fost sau va fi încredințată unei astfel de persoane;
10. alte informații prevăzute de Legea federală sau de alte legi federale.

De la 1 iulie 2017, răspunderea administrativă pentru încălcarea legislației în domeniul datelor cu caracter personal și prelucrarea acestora a fost întărită.

ATENŢIE!

În prezent, agențiile guvernamentale sunt foarte active în verificarea internetului amenzile sunt semnificative și sunt calculate în total pentru fiecare încălcare.

Studiați cu atenție acest articol sau folosiți serviciile noastre pentru a desfășura toate activitățile necesare.

Legea federală din 02.07.2017 N 13-FZ „Cu privire la modificările la Codul Federației Ruse privind contravențiile administrative”

În acest scop, noua ediție a articolului 13.11 din Codul contravențiilor administrative al Federației Ruse a extins lista de infracțiuni și, de asemenea, a crescut cuantumul amenzilor.

Astfel, în special, s-a stabilit responsabilitatea administrativă pentru:

Prelucrarea datelor cu caracter personal în cazurile neprevăzute de legislația în domeniul datelor cu caracter personal, sau prelucrarea datelor cu caracter personal incompatibile cu scopurile colectării datelor cu caracter personal, cu excepția cazului în care aceste acțiuni conțin o infracțiune (va atrage după sine un avertisment sau o amendă pentru cetățenii din suma de la 1.000 de ruble la 3.000 de ruble , pentru funcționari - de la 5.000 de ruble la 10.000 de ruble, pentru persoanele juridice - de la 30.000 de ruble la 50.000 de ruble);

Prelucrarea datelor cu caracter personal fără consimțământul scris al subiectului datelor cu caracter personal pentru prelucrarea datelor sale cu caracter personal în cazurile în care un astfel de consimțământ trebuie obținut în condițiile legii, dacă aceste acțiuni nu conțin o infracțiune sau prelucrarea datelor cu caracter personal cu încălcarea legislației stabilite în domeniul datelor cu caracter personal aceste cerințe pentru componența informațiilor incluse în acordul scris al subiectului datelor cu caracter personal la prelucrarea datelor sale cu caracter personal;

Neîndeplinirea de către operator a obligației prevăzute de legislația în domeniul datelor cu caracter personal de a publica sau de a oferi în alt mod acces nerestricționat la un document care definește politica operatorului în ceea ce privește prelucrarea datelor cu caracter personal, sau informații despre cerințele implementate pentru protecția datelor cu caracter personal. date;

Neîndeplinirea de către operator a obligației prevăzute de legislația în domeniul datelor cu caracter personal de a furniza subiectului datelor cu caracter personal informații privind prelucrarea datelor sale cu caracter personal.

Întocmirea protocoalelor privind cauzele administrative din această categorie este responsabilitatea funcționarilor Roskomnadzor (anterior, cazurile din această categorie erau inițiate de procuror).

În versiunea anterioară a articolului 13.11 din Codul de infracțiuni administrative al Federației Ruse, răspunderea a fost stabilită numai pentru încălcarea procedurii de colectare, stocare, utilizare sau distribuire a informațiilor despre cetățeni (date cu caracter personal), care prevedea un avertisment sau impunere. a unei amenzi pentru cetățeni în valoare de la 300 de ruble la 500 de ruble, pentru funcționari - de la 500 de ruble la 1000 de ruble, pentru persoanele juridice - de la 5000 de ruble la 10000 de ruble.

Cum să respectați Legea privind datele cu caracter personal din 2017

Atenție proprietarilor de site-uri! De la 1 iulie, amenzile pentru încălcarea legii privind datele personale vor crește la 75 de mii de ruble (pentru o încălcare detectată).

Aveți un formular de contact pe site-ul dvs.?

Deci, cel mai probabil, acest lucru este valabil și pentru tine. Procurorii amendează deja companiile și instanțele le susțin. Pe lângă amenzile în favoarea statului pentru încălcarea regulilor de prelucrare a datelor cu caracter personal, se pot impune și despăgubiri pentru daune morale și alte răspunderi.

Reguli de securitate atunci când lucrați cu date personale

În februarie 2017 au fost aduse modificări la articolul 13.11 din Codul contravențional privind încălcările legii cu privire la datele cu caracter personal, care va intra în vigoare la 1 iulie. Inovațiile vor afecta pe toți cei care primesc, colectează, prelucrează sau stochează date cu caracter personal.

Amenzile au fost majorate de zece ori și sunt împărțite în funcție de tipul de încălcare. Deci, dacă o politică de confidențialitate nu este postată pe site, amenda pentru un antreprenor individual va fi de 10 mii de ruble, iar pentru o companie - 30 de mii. O amendă de până la 75 de mii de ruble va fi aplicată unei persoane juridice dacă site-ul web prelucrează datele personale ale unui client al unui magazin online sau ale unui abonat la o resursă de informații fără consimțământul acestuia (directorul unei companii sau un antreprenor individual va avea să plătească până la 20 mii).

etc. Dacă se înregistrează mai multe încălcări, vor fi și mai multe amenzi.

Ce să fac? Pune-ți site-urile în ordine urgent! Verificările au început deja

Acum, doar procuratura are dreptul de a emite protocoale privind încălcările, iar valoarea amenzii, indiferent de tipul de încălcare, este de 10 mii de ruble pentru o persoană juridică și 1000 de ruble pentru un antreprenor sau director individual. De la 1 iulie, Roskomnadzor va emite protocoale la tarife mai mari și, se pare, cu mai mult zel.

Cum afli dacă ești același operator de date cu caracter personal?

Datele cu caracter personal conform Legii federale „Cu privire la datele cu caracter personal” sunt orice date despre o persoană prin care aceasta poate fi identificată. În același timp, legea nu conține o listă de tipuri de astfel de date, așa că trebuie să pornim din logica generală a dreptului și a practicii și „urmăriți apele”. De exemplu, prin utilizarea unui nume de utilizator sau a unui utilizator este imposibil să înțelegeți ce fel de persoană este aceasta, dar după nume și număr de telefon sau nume complet și e-mail, puteți identifica deja o persoană într-un fel, ceea ce înseamnă că obținerea unei astfel de combinații poate fi deja definită ca colectarea și stocarea datelor cu caracter personal.

Deci, cel mai probabil, sunteți deja un operator de date cu caracter personal dacă primiți cumva de la oameni, de exemplu, următoarele informații (în orice combinație): nume, prenume, patronim, orice adresă fizică, e-mail, număr de telefon, data sau locul nașterii, fotografie, link către site-ul personal sau rețeaua socială, profesie, educație, nivel de venit, stare civilă etc.

În practică, asta înseamnă că toți proprietarii de site-uri care conțin conturi personale, formulare de feedback, abonament sau înregistrare, chestionare etc., într-un cuvânt, formulare completabile în care vizitatorul trebuie să-și lase datele, sunt operatori de date personale. Chiar dacă site-ul are doar butoanele acum populare pentru a comanda un apel înapoi (utilizatorul lasă un nume și un număr de telefon) sau pentru a trimite un mesaj (nume și adresă de e-mail), aceasta poate fi, de asemenea, calificată drept prelucrare de date cu caracter personal.

Înregistrările din agenda mea telefonică sunt considerate și colectarea și stocarea datelor personale?

Nu. Datele pe care le stocați în scopuri personale și familiale nu sunt acoperite de această lege. Dar dacă transferați aceste date unei persoane sau organizații care, conform prezentei legi, este operatorul datelor cu caracter personal sau publicați informațiile, aceasta va fi considerată o încălcare.

Cum să lucrezi cu datele personale fără a încălca legea?

Trebuie respectate și respectate cel puțin următoarele 10 reguli:

• publicați în domeniul public toate informațiile despre principiile dumneavoastră de interacțiune și lucru cu datele personale ale clienților și vizitatorilor întreprinderii sau resursei dumneavoastră;
• solicitați doar datele necesare pentru fiecare scop specific. De exemplu, nu puteți solicita date de pașaport sau adresa de domiciliu pentru trimiterea de e-mailuri;
• Înainte de a primi date cu caracter personal care se intenționează a fi publicate în surse accesibile publicului, obțineți acordul scris de la fiecare vizitator, client sau abonat pentru prelucrarea, stocarea și distribuirea acestora. În cazul în care datele nu sunt publicate, dar sunt utilizate exclusiv pentru prelucrare în cadrul companiei, este necesar să se limiteze în mod explicit posibilitatea de a vă transfera datele cu caracter personal fără consimțământul pentru prelucrarea acestora;
• utilizați datele numai în acele scopuri despre care ați avertizat persoana și care sunt specificate în documentele publicate de dumneavoastră cu privire la prelucrarea datelor cu caracter personal;
• informați, la solicitarea unei persoane, ce date aveți despre aceasta, cum și de ce sunt prelucrate și cui le-ați transferat;
• ștergeți datele la prima solicitare a persoanei ale cărei date personale sunt stocate în baza dumneavoastră de date;
• stocați bazele de date într-un loc sigur, protejați-le de hacking și scurgeri (cerințele sunt stabilite de lege!);
• numiți o persoană responsabilă pentru asigurarea securității datelor cu caracter personal și a respectării anumitor reguli ale Legii Federale N152 pentru lucrul cu datele cu caracter personal;
• instruirea angajaților să lucreze cu date personale;
• înregistrează-te la Roskomnadzor.

Potrivit Legii, obligația de a furniza dovada obținerii consimțământului datelor cu caracter personal vizate la prelucrarea datelor sale cu caracter personal sau dovada existenței temeiurilor specificate în Lege revine operatorului.

De ce ar trebui să se înregistreze proprietarul site-ului?

Prin lege, operatorii de date cu caracter personal trebuie să notifice Roskomnadzor. Mai mult, acest lucru trebuie făcut înainte de începerea prelucrării datelor sau la scurt timp după începerea acestei activități. Roskomnadzor va introduce informații despre operator în Registrul operatorilor de date cu caracter personal.

Notificarea nu poate fi transmisă dacă:

• Sunt prelucrate doar datele angajaților;
• datele cu caracter personal au fost obținute numai pentru executarea unui anumit contract cu o anumită persoană și nu vor fi distribuite sau utilizate în niciun alt mod;
• Stocați doar numele complet al clientului;
• datele sunt publicate în domeniul public de către persoana însăși sau de către cineva în numele acesteia.

Ce se întâmplă dacă site-ul dvs. conține formulare și vă permite să primiți informații personale?

Dacă site-ul dvs. web face posibilă primirea de date cu caracter personal și nu ați îndeplinit încă condițiile enumerate mai sus, atunci o încălcare poate fi deja înregistrată și puteți fi amendat. Chiar dacă site-ul dvs. este întreținut de o altă companie sau de un specialist externalizat, amenda va fi aplicată companiei sau antreprenorului individual care figurează pe site ca proprietar și, prin urmare, destinatarul datelor cu caracter personal.

Cum să evitați posibilele probleme (program minim necesar):
1) Pregătește documente publice și plasează-le pe site astfel încât să fie accesibile din orice pagină a site-ului tău. Acesta poate fi o notificare, un acord de utilizare, reguli de vânzare sau o politică privind prelucrarea datelor cu caracter personal.
Indiferent de denumirea acestui document, acesta trebuie să conțină regulile și condițiile de prelucrare a datelor cu caracter personal.

2) Nu utilizați documente de la alte companii fără procesare. Acestea pot fi folosite ca șablon, dar trebuie să specificați propria listă de date și scopurile utilizării datelor cu caracter personal. Ceea ce are nevoie o tipografie pentru a plasa o comandă sau un magazin online pentru a livra mărfuri nu va fi necesar pentru distribuirea prin e-mail. Solicitarea de date inutile poate fi considerată o încălcare a legii și poate duce la o amendă.

3) Implementarea unei soluții software care să garanteze o determinare fără ambiguitate că o persoană a fost de acord cu prelucrarea datelor cu caracter personal. Aceasta ar putea fi o casetă de selectare din formularul de înregistrare care trebuie bifată sau un buton pentru a fi de acord cu termenii de utilizare, fără a activa, pe care o persoană nu va putea trimite un mesaj sau plasa o comandă.
Pentru a fi în siguranță, puteți certifica capturi de ecran tipărite ale paginilor web cu formulare de la un notar, comentându-le cu textul însoțitor (de exemplu, „la momentul certificării, butoanele indicate pe acest tipărit funcționau conform funcționalității descrise în preambul și fără activarea acestora, trimiterea datelor a fost imposibilă din punct de vedere tehnic”).

4) Întocmește documente interne care reglementează regulile de stocare și prelucrare a datelor cu caracter personal, precum și responsabilitățile angajaților care au acces la acestea.

5) Trimiteți, dacă site-ul se încadrează în cerințele Legii, o notificare către Roskomnadzor. Dacă sunteți absolut sigur că nu este necesară trimiterea unei notificări, pregătiți toată documentația în așa fel încât să fie clar înțeleasă de eventualii inspectori. De exemplu, puteți indica în politica de lucru cu date cu caracter personal că acestea sunt utilizate doar pentru executarea unor contracte specifice, sau puteți înregistra în documentație că datele sunt deschise accesului public la cererea utilizatorului (dar rețineți că Legea atribuie operatorului responsabilitatea dovedirii acestui fapt).