Штрафы за персональные данные с 27 марта 2021 года: новые, за разглашение, распространение (обработку, использование) без согласия (разрешения), работу с нарушениями, Роскомнадзор, закон, КоАП

Штрафы за персональные данные с 27 марта 2021 года: новые, за разглашение, распространение (обработку, использование) без согласия (разрешения), работу с нарушениями, Роскомнадзор, закон, КоАП

В марте начали действовать изменения в законе о персональных данных (ПД). Правила стали жестче, а штрафы больше. Предприниматели и юристы рассказывают, как это изменит бизнес.

Как изменился закон о персональных данных 2021

  • Появились персональные данные, разрешенные для распространения. Это новый термин, до этого использовали понятие «общедоступные персональные данные». Например, чтобы опубликовать на сайте отзыв довольного клиента, придется получить дополнительное согласие. Раньше было достаточно согласия на обработку, но теперь так нельзя.
  • Нельзя распространять данные из открытых источников. Допустим, человек в соцсетях указал фамилию, имя, номер телефона, e-mail. Согласно изменениям в законе, эту информацию нельзя использовать без разрешения субъекта.
  • Необходимо обезличить ПД. Раньше так делали только бюджетные организации, использовали не ФИО, а номер. Теперь все хранят персональные данные в обезличенном виде.
  • 3 дня на прекращение распространения. Например, у кадрового агентства есть банк резюме для клиентов. Хозяин резюме имеет право потребовать, чтобы анкету не показывали другим. Для этого он напишет заявление, а эйчары обязаны убрать информацию из базы в течение 3 дней. До этого резюме можно было взять на сайте поиска работы и спокойно предлагать клиентам. Теперь для этого придется взять согласие работника.
  • Новые правила приема на работу. Кадровики подписывают с новыми работниками соглашение об обработке и распространении данных. Иначе не получится передать информацию даже в банк для оформления зарплатной карты или написать имя сотрудника на сайте компании.
  • Передавать информацию без согласия можно только в определенных случаях. Например, в компанию пришли силовики и сказали, что нужны данные человека, который находится в розыске. Для этого согласие не понадобится.

Сооснователь компании «Б-152» Максим Лагутин считает, что закон не доработан, и непонятно, как будет действовать на практике. Но основные изменения можно выделить:

«Основная суть нововведений в том, чтобы человек мог лучше управлять распространением своих персональных данных. Если раньше опубликованные и публичные данные аккаунтов в социальных сетях можно было спокойно собирать и обрабатывать, прикрываясь соответствующей статьей 152-ФЗ «О персональных данных» (хотя еще с 2018 года Роскомнадзор требовал наличие договора с социальной сетью у компании или отдельного согласия на обработку общедоступных данных), то теперь и публикация в общем доступе и использование только с отдельного согласия. При этом человек может поставить условия (какие захочет) на то, как можно, а как нельзя использовать его публичные данные, и в любой момент может сделать их недоступными для распространения»

Новые поправки вводят и штрафы за обработку данных без согласия:

  • 6-10 тысяч рублей для граждан;
  • 20-40 тысяч рублей для должностных лиц и ИП;
  • 30-150 тысяч для организаций.

При повторном нарушении суммы увеличиваются почти в 2 раза.

Почему закон изменили

Жизнь и бизнес переходят в электронное пространство, там теперь располагаются базы с данными пользователей и клиентов. Мошенники постоянно воруют эту информацию. Мемом стали звонки службы безопасности зеленого банка из тюрьмы, но это не всегда смешно. По данным Центробанка в 2020 году кибермошенники украли у россиян 10 миллиардов рублей, а это на 52,2% больше, чем в 2019 году.

Информацию воруют, берут из открытых источников или покупают у операторов через сотрудников. Поэтому государство решило ужесточить закон о персональных данных в 2021 году.

Главный юрист PR-агентства 2L Александр Штыров считает изменения в законе обоснованными:

«В области обработки персональных данных назрела необходимость большей защиты субъекта ПД. Каждый день происходят утечки, поэтому сегодня данные о человеке находят в открытом доступе в сети, причем не всегда ясно, появились они санкционировано, есть ли согласие субъекта, соответствуют ли они действительности. Закон о персональных данных 2021 даст право требовать удаления своих ПД с любого ресурса без необходимости доказывать незаконность получения, неактуальность данных, несоответствие их действительности»

Скорее всего, изменения в законе — это один из этапов ужесточения контроля за личными данными граждан. Одно дело, если телефон человека получает компания, чтобы предложить услуги, и совсем другое, когда номер в руках преступников.

Что делать бизнесу, чтобы не получить штраф

Некоторые юристы отмечают, что в закон о персональных данных 2021 содержит много расплывчатых формулировок. Но есть рекомендации, позволяющие избежать претензий от контролирующих органов:

  • Оформить новые соглашения. Закон не имеет обратной силы, но лучше сделать новые соглашения с сотрудниками и контрагентами. В документе стоит прописать, какую информацию можно передавать, а какую нет.
  • Назначить ответственных за работу с ПД. Обычно это кадровые сотрудники, но некоторые выбирают бухгалтера или руководителя.
  • Разработать документы и локальные акты. Это правила, которые прописывают работу, охрану, условия хранения и передачи ПД, а также цель использования.
  • Рассказать сотрудникам о законе. Все работники должны знать, что не имеют права передавать ПД клиентов без согласия. Кроме этого, они узнают, что и их собственные данные тоже не уйдут на сторону.
  • Уведомить Роскомнадзор. Любая компания, которая использует персональные данные, становится оператором ПД. Нужно сообщить в РКН, что бизнес использует данные клиентов или партнеров. Летом начнет работу Информационная система ведомства для регулирования этих процессов.

Уведомлять службу не придется, если:

  • действует трудовой договор;
  • ПД нужны для оформления договора;
  • ПД используются для разового пропуска;
  • в данных только фамилия, имя и отчество;
  • ПД обрабатывают без автоматизированных сервисов.

Если говорить про документы, то нужна форма для согласия о передаче данных. Управляющий директор консультационной группы «ТИМ» Виктор Миронов подчеркивает, что единой формы сегодня нет:

«В июле 2021 года планируют запустить единую информационную систему от РКН. Этот сервис будет регулировать распространение ПД. Пока системы нет и неизвестно, как она будет работать. Поэтому каждый оператор разрабатывает свою форму согласия. Необязательно в письменном виде. По закону допускаются любые варианты, которые подтвердят согласие. Но лучше сделать письменную форму, чтобы избежать сложных ситуаций. Главное, чтобы в бланке была информация, которую требует указать Роскомнадзор»

Кроме этого, предприниматели обеспечивают защиту от кибермошенников. Директор онлайн-бухгалтерии «Небо» Артем Туровец считает, что новый закон не сильно изменит работу бизнеса:

«Я бы не сказал, что бизнес должен сильно готовиться. Да, нужно обложить себя документами, чтобы у Роскомнадзора не было претензий, но это не трудно. А в целом вопрос хранения персональных данных — это больше не про закон, а про репутацию. В нашем сервисе десятки тысяч пользователей, и мы на уровне архитектуры сервиса ведем работу по защите. Мы регулярно видим атаки и попытки взлома, поэтому и без закона действуем. Также бизнес должен построить процессы внутри компании, чтобы доступ к ПД был у минимума сотрудников, и они несли за это ответственность»

Эксперт в области информационной безопасности и CEO компании AtreIdea Сергей Белов считает, что предприниматели столкнуться с некоторыми затратами:

«Дополнительные затраты бизнеса связаны с анализом и модификацией пользовательских соглашений, трудовых договоров и прочих документов, в рамках которых человек дает согласие на обработку персональных данных. При этом обязательная письменная форма согласия отсутствует, что определенно упростит задачу, например, для различных социальных сетей. Затрат может потребовать работа с заявлениями об отзыве согласия на распространение персональных данных. В рамках закона также увеличивается размер штрафов при первом и повторных нарушениях, но суммы далеки от зарубежных практик и едва ли нанесут значимый ущерб»

Как изменения в законе повлияют на работу бизнеса

Пока получается картина, что предпринимателям придется сделать упор на работу с документами. Потому что под действие закона попадают типовые ситуации, когда используются персональные данные:

  • Взаимодействие с банками. Отправка данных для оформления зарплаты или других выплат.
  • ЧОП. Для оформления пропуска на территорию предприятия или офисного здания.
  • Медицинские центры и страховые компании. Осмотры или диспансеризация сотрудников, ОМС.
  • Образовательные учреждения. Учеба или повышение квалификации сотрудников.
  • Туристическая сфера. При покупке билетов и бронировании проживания в командировках.
Читайте также:  Дистанционная работа, 2021, ТК РФ, определение по Трудовому кодексу, что это такое, организация, виды, комбинированная, временная, место работы

Наверное, больше всего проблем появится в рекламных и маркетинговых акциях. Например, компания получила от партнеров базу мобильных номеров для обзвона. По новым правилам, люди из базы должны дать согласие на это. Поэтому они могут потребовать, чтобы им не звонили и перестали давать контакты на сторону. В принципе они могут пожаловаться и в контролирующие органы.

Сергей Белов считает, что в ближайшее время правила продвижения бизнеса поменяются:

«Ужесточение правил приведет к повышению издержек при работе с персональными данными клиентов и внесет дополнительные ограничения в рекламные возможности. В последующие несколько лет с большой вероятностью мы увидим сокращение рынка рекламных оповещений с помощью e-mail, SMS, звонков. Бизнес станет бережнее работать с клиентами»

С этим согласен и Александр Штыров:

«Необходимо привыкнуть подписывать согласия на обработку ПД. Любая рекламная кампания, маркетинговое мероприятие должны проводится с учетом требований. Поэтому нужно предусмотреть максимальные возможности в форме согласия. Это залог отсутствия штрафов. Кроме того, стоит помнить, что при обращении клиента с требованием удалить персональные данные, лучше сделать это сразу, чтобы не получить штраф»

Закон о персональных данных 2021 не принесет радикальных изменений для бизнеса, но теперь придется аккуратнее работать с любыми данными клиентов и сотрудников.

Специалисты рекомендуют привести в порядок документы и переписать соглашения. 

Штрафы за персональные данные в 2021 году — за что штрафуют и на сколько

С 27 марта 2021 года вступили в силу новые штрафные санкции за нарушения в области персональных данных в соответствии с Федеральным законом от 24 февраля 2021 г. № 19-ФЗ. Суммы штрафов увеличены в 2 раза и более. Кроме этого, по некоторым статьям введено увеличенное наказание за повторное нарушение.

Также увеличился и срок давности привлечения к административной ответственности за нарушения в области персональных данных. Вместо трех месяцев теперь он составляет один год.

Административная ответственность по статье 13.11 предусматривает дифференциацию в зависимости от последствий нарушения. Так ответственность для юридического лица предусматривает наложение штрафа в размере от 30 тысяч до 6 миллионов рублей, а при повторном нарушении — до 18 миллионов рублей.

Максимальный совокупный штраф для должностного лица составляет 336 тысяч рублей, а при повторном нарушении может превышать 1 миллион рублей.

Статья 13.11 Кодекса об административных правонарушениях РФ

КоАП РФ не возлагает на организации, осуществляющие обработку персональных данных, дополнительных обязанностей и не изменяет содержание существующих требований, которые предусмотрены законодательством в области персональных данных (152-ФЗ).

Стоит отметить, что КоАП наделяет должностных лиц органа, осуществляющего функции по контролю и надзору в области персональных данных, которым является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), полномочиями по возбуждению дел об административных правонарушениях.

Представляем вашему вниманию сводную таблицу штрафов за нарушения законодательства в области персональных данных (в редакции, действующей с 27.03.2021):

Статья Содержание статьи КоАП Сумма штрафа, тыс.руб Физ. лицо Должн. лицо ИП Юр. лицо
13.11 ч.1 Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния 2-6 10-20 60-100
13.11 ч.1.1 Повторное совершение административного правонарушения, предусмотренного частью 1 настоящей статьи 4-12 20-50 50-100 100-300
13.11 ч.2 Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных 6-10 20-40 30-150
13.11 ч.2.1 Повторное совершение административного правонарушения, предусмотренного частью 2 настоящей статьи 10-20 40-100 100-300 300-500
13.11 ч.3 Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных 1,5-3 6-12 10-20 30-60
13.11 ч.4 Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных 2-4 8-12 20-30 40-80
13.11 ч.5 Невыполнение оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки 2-4 8-20 20-40 50-90
13.11 ч.5.1 Повторное совершение административного правонарушения, предусмотренного частью 5 настоящей статьи 12-30 30-50 50-100 300-500
13.11 ч.6 Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния 1,5-4 8-20 20-40 50-100
13.11 ч.7 Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных 6-12
13.11 ч.8 Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством РФ в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ 30-50 100-200 1-6 млн
13.11 ч.9 Повторное совершение административного правонарушения, предусмотренного частью 8 настоящей статьи 50-100 500-800 6-18 млн

Статья актуализирована с учетом изменений статьи 13.11 Кодекса об административных правонарушениях в соответствии с Федеральным законом от 24 февраля 2021 г. № 19-ФЗ.

Ответственность за разглашение персональных данных в 2021 году

22 декабря

12056

#CNT# data-template-html-inactive=В избранное #CNT#>

За нарушения при обработке личных сведений можно лишиться денег, должности, а в отдельных ситуациях и свободы. Сохраните в закладках нашу таблицу проступков и наказаний, чтобы уберечь себя от неприятностей с законом.

  • Уголовная — в зависимости от тяжести нарушения суд может назначить разные наказания: от крупных штрафов до лишения свободы, причем, чтобы ответить по статье, достаточно рассказать чужую личную информацию всего одному человеку.
  • Административная — суд предпишет заплатить штраф или ограничится предупреждением.
  • Гражданско-правовая — необходимо будет возместить материальный или моральный ущерб
  • Дисциплинарная — предполагает замечание или выговор, иногда дело может дойти до увольнения.
Нарушение Возможные наказания Норма закона
  • Сбор или распространение данных, которые составляют личную или семейную тайну человека, без его согласия.
  • Обнародование таких данных.

Стоит понимать, что у понятий «личная тайна» и «семейная тайна» нет конкретных определений.
Суды трактуют их довольно широко, а потому есть риск ответить перед законом за раскрытие практически любых личных сведений о другом человеке.
В целом, личной тайной считается все, что человек, хотел бы скрыть: болезнь, религиозные убеждения, уровень обеспеченности и т.д.
Например, одной компании пришлось отвечать перед судом за раскрытие перемещений автомобиля, а другой — за детализацию мобильных расходов клиента.
Понятие семейной тайны немного конкретнее: это информация об отношениях с родственниками, социально-бытовых условиях жизни и т.д.

  • штраф
  • обязательные, исправительные, принудительные работы
  • лишение права вести профессиональную или другую деятельность
  • арест, лишение свободы
137 статья УК РФ, ч. 1
С использованием служебного положения — 137 ст, ч 2
  • Незаконное обнародование информации о потерпевшем, которому нет 16 лет, если эта информация:
  • касается уголовного дела.
  • раскрывает его страдания, полученный вред и подобные последствия, связанные с преступлением.

Городская газета опубликовала статью о девочке-подростке, указав её ФИО и номер школы. При этом ни девочка, ни ее родители согласия на обнародование таких личных данных газете не давали. РКН вынес редактору письменное предупреждение, однако она на него не отреагировала, и в газете появилось еще несколько статей с личной информацией героев, не достигших 16 лет.
В результате суд постановил закрыть газету.

  • штраф
  • лишение права вести профессиональную или другую деятельность
  • принудительные работы
  • арест, лишение свободы
137 статья УК РФ, ч. 3
Чиновник неправомерно отказался предоставить человеку документы, затрагивающие его права и свободы, либо предоставил ему неполную или заведомо ложную информацию — при условии, что эти действия нанесли вред правам и законным интересам граждан.
Чиновник также будет наказан за:

  • уклонение от выдачи документов (например, он заявит, что нужных человеку данных нет, хотя они есть);
  • бездействие (например, проигнорирует письменный запрос).
  • штраф
  • лишение права вести профессиональную или другую деятельность
140 статья УК РФ
Неправомерный доступ к компьютерной информации, которая охраняется законом, если это вызвало ее уничтожение, блокирование, изменение или копирование.
Под неправомерным доступом здесь подразумевают любое взаимодействие с данными (включая просто ознакомление), на которое нет разрешения собственника или другого законного пользователя.
  • штраф
  • исправительные, принудительные работы
  • ограничение свободы
  • лишение свободы
272 статья УК РФ, ч. 1
ущерб от 1 млн. руб — 272 статья, ч 2
Описанные в 1 и 2 частях статьи правонарушения, если они были совершены:

  • группой лиц по предварительному сговору;
  • организованной группой;
  • с использованием служебного положения.
  • штраф
  • ограничение свободы
  • принудительные работы
  • лишение свободы
272 статья УК РФ, ч. 3
Правонарушения, описанные в 1, 2 и 3 частях статьи, если они вызвали тяжкие последствия или угрозу их наступления (к таким случаям относят, например, смерть, существенный вред здоровью). лишение свободы до 7 лет 272 статья УК РФ, ч. 4

Уголовной ответственностью за разглашение персональных данных грозит, например, не слишком популярная, но встречающаяся практика публикации черного списка сотрудников. Даже в случае указания только ФИО проблемных работников, без, например, их контактов, это уже будет считаться незаконным обнародованием личной информации.

Нарушение Что грозит Норма закона
  • Отказ предоставить гражданину (в том числе адвокату) или организации сведений, которые федеральные законы предписывают предоставлять.
  • Предоставление позднее положенного срока.
  • Предоставление заведомо недостоверных данных.
штраф 5-10 тыс. руб. Статья 5.39 КоАП РФ
  • Обработка личных сведений в случаях, не предусмотренных законами о ПД.
  • Обработка личных сведений, которая не отвечает целям сбора ПД, заявленным оператором. Исключение — ситуации, оговоренные 2 частью статьи, если эти действия не включают уголовно наказуемого деяния.

Салон красоты собирал телефоны клиентов, поясняя, что будет напоминать о грядущих визитах к мастерам или сообщать об их отмене. А помимо этого начал рассылать рекламные смс, хотя клиенты соответствующую бумагу не подписывали.
Салон привлекли к административной ответственности за нарушение обработки персональных данных.

Статья 13.11 КоАП РФ, ч. 1
  • Обработнка личной информации без письменного согласия человека в тех случаях, когда его требует законодательство, если эти действия не содержат уголовно наказуемого деяния.
  • Письменное согласие на обработку есть, но оператор собирает не только те сведения, что в этом согласии перечислены.

Частная клиника заводила амбулаторные карточки пациентов и вносила в свою базу их ФИО, телефоны и адреса. При этом подписать согласие на обработку ПД клиентам не предлагалось.
Суд назначил директору клиники штраф.

  • штраф от 3 до 75 тыс. руб.
Статья 13.11 КоАП РФ, ч. 2
Непредоставление в открытом доступе документа, разъясняющего политику в отношении обработки и защиты личной информации.
Владельцу форума пришлось заплатить штраф, так как он не разместил на сайте информацию о деталях работы с личной информацией — адресах электронной почты, которые собирал.
Статья 13.11 КоАП РФ, ч. 3
Непредоставление человеку сведений, касающихся обработки его личной информации. штраф от 1 до 40 тыс. руб Статья 13.11 КоАП РФ, ч. 4
Оператор не уточнил, не заблокировал или не удалил в оговоренный законом срок личностные данные, которые устарели, оказались неточными, были получены незаконно или не отвечали заявленным оператором целям.
Потребовать проделать все перечисленные действия имеет право как сам человек, чьи ПД оказались в распоряжении оператора, так и его представитель или уполномоченный орган по защите прав субъектов персональных данных.
Статья 13.11 КоАП РФ, ч. 5
Оператор недостаточно надежно хранил ПД на материальных носителях, и информация попала к третьим лицам — неважно, целенаправленно они ее получили или случайно.
Получив информацию, третья сторона ее уничтожила, как-то изменила, скопировала или провела еще какие-то операции, но при отсутствии признаков уголовно наказуемых действий
штраф от 700 рублей  до 50 тыс. руб. Статья 13.11 КоАП РФ, ч. 6
Орган управления не обезличил ПД вопреки закону или не применил для этого установленные законом методы.
Например, визовые центры присваивают каждому подающему на визу идентификационный номер. Такой номер не принадлежит к разряду персональной информации и обезличивает человека: по номеру невозможно установить конкретную личность.
Статья 13.11 КоАП РФ, ч. 7
Оператор не сообщил вовремя или совсем не сообщил положенные законом данные госоргану или чиновнику.
За сообщение ложных или неполных данных также придется ответить в суде.
В Федеральную антимонопольную службу пожаловался мужчина: ему приходила рекламная рассылка от кафе, хотя он не давал на это согласия. ФАС запросила у оператора сотовой связи данные абонента, от которого шла рассылка. Компания отказалась, сославшись на закон о персональных данных.
Однако суд постановил, что ФАС имеет право запрашивать сведения об абоненте, поскольку ситуация с рекламной рассылкой входит в сферу ее деятельности.
Статья 19.7 КоАП РФ
Важно! С декабря 2019 года изменена статья 13.11 КоАП. Теперь отдельное наказание предусмотрено тем, кто хранит персональные данные на серверах вне территории России. Штрафы внушительные: до 6 миллионов рублей за первое нарушение и до 18 миллионов рублей — за повторное.
Нарушение Что грозит Норма закона
Оператор нарушил правила обработки личной информации, из-за чего человек понес материальные потери.
Это могут быть:

  • затраты на восстановление нарушенных прав потеря;
  • порча имущества;
  • упущенная выгода.
Полное возмещение убытков, если только меньший объем выплат не установлен законом или договором.
Если виновник как-то нажился на чужой личной информации, ее владелец вправе потребовать в дополнение упущенную выгоду в размере не меньшем, чем полученные нарушителем доходы.
Статья 15 Гражданского кодекса
Оператор нарушил правила обработки личностных сведений, что повлекло для человека моральный вред.
Мужчина обратился в суд: банк засыпал его смс и звонками с требованиями погасить задолженность по кредиту. Деньги он действительно брал, но уже давно выплатил. Однако до сотрудников банка это донести не удавалось.
Суд запретил банку обрабатывать ПД истца и постановил выплатить ему 15 тыс. руб. моральной компенсации.
Компенсация морального вреда Статья 24 Закона «О персональных данных»
Нарушение Что грозит Норма закона
Сотрудник придал огласке личную информацию другого сотрудника, которые он выяснил в ходе работы.
Менеджер банка, проверяя платежеспособность заявителя на кредит, позвонил к нему на работу. Руководитель не должен давать информацию о размере зарплаты подчиненного без его письменного согласия и официального письма из банка.
Увольнение Статья 81, пункт 6, подпункт «в» Трудового кодекса
Работник допустил какие-либо другие нарушения при работе с личной информацией.
Рекрутер передала резюме неподошедшего соискателя коллеге из другой компании. У нее было согласие человека на обработку его личных сведений, но не на передачу кому-то еще. Поэтому рекрутеру сделали выговор.
Замечание или выговор Статья 90 и статья 192 ТК РФ

Если вы работодатель, и ваш подчиненный нарушил правила конфиденциальности, учитывайте, что и вы должны играть значительную роль в недопущении подобных ситуаций. В частности, важно:

  • защитить личные сведения сотрудников и клиентов от стороннего доступа (в том числе внутри организации);
  • прописать в трудовом договоре ответственность сотрудника за нарушение принципов конфиденциальности;
  • донести до всех сотрудников правила и принципы работы с ПД, которые установлены законом и применяются в организации.
Всё равно остались вопросы? Или хочется больше разборов реальных ситуаций из практики? Делимся практическим опытом и даем новейшую информацию в авторском курсе о персональных данных. Вам не придется самостоятельно изучать законы и разбирать нагромождения юридических формулировок. Мы уже сделали это за вас и упаковали в простые и понятные принципы.

 

За нарушение в работе с персональными данными могут оштрафовать на 18 000 000 рублей

Штрафы за нарушение законодательства о персональных данных выросли в два раза. Самые жестокие штрафы предусмотрены за хранение персональных данных российских граждан за рубежом. За такое нарушение минимальный штраф для организации теперь составляет 1 миллион рублей.

Ответственность за нарушения законодательства о персональных данных установлена статьей 13.11 КоАП РФ. В нее с 27 марта 2021 года Федеральным законом от 24.02.2021 № 19-ФЗ внесены поправки, увеличившие штрафы в 2 раза и добавившие два новых штрафа за повторные нарушения.

Максимальная сумма штрафа для организации может составить 18 000 000 рублей. Так будут «карать» на хранение данных российских граждан на территории иностранных государств.

Установлен также двухмесячный срок давности для вынесения постановления по делу об административном правонарушении в виде нарушения законодательства в области персональных данных, в соответствии с обновляемой ч. 1 ст. 4.5 КоАП РФ.

На сколько оштрафуют за нарушения в работе с персональными данными

Штрафы за нарушение закона о персональных данных. Таблица

Нарушение Размер штрафа
Гражданину Должностному лицу ИП Юридическому лицу
Обработка данных в случаях, непредусмотренных законом или обработка несовместимая с целями сбора от 1 000 до 3 000 рублей В первый раз может быть предупреждение от 5 000 до 10 000 рублей В первый раз может быть предупреждение от 30 000 до 50 000 рублей В первый раз может быть предупреждение
Повторное нарушение в обработке персональных данных от 4 000 до 12 000 рублей от 20 000 до 50 000рублей от 50 000 до 100 000 рублей от 100 000 до 300 000 рублей
Сбор и обработка персональных данных без согласия владельца, сбор данных в большем объеме, чем разрешено от 6 000 до 10 000 рублей от 20 000 до 40 000 рублей от 30 000 до 150 000 рублей
Повторное нарушение по обработке данных без согласия от 10 0000 до 20 000 рублей от 40 000 до 100 000 рублей от 100 000 до 300 000 рублей Штраф от 300 000 до 500 000 рублей
Непредставление доступа к документу, в котором изложена политика оператора в отношении персданных от 1 500 до 3 000 рублей от 6 000 до 12 000 рублей от 10 000 до 20 000 рублей от 30 000 до 60 000 рублей
Не предоставление информации об обработке владельцу персональных данных от 2 000 до 4 000 рублей от 8 000 до 12 000 рублей от 20 000 до 30 000 рублей от 40 000 до 80 000 рублей
Не выполнение требования владельца данных об удалении, исправлении, блокировке его данных от 2 000 до 4 000 рублей от 8 000 до 20 000 рублей от 20 000 до 40 000 рублей от 50 000 до 90 000 рублей
Повторное не выполнение требования владельца данных об удалении, исправлении, блокировке его данных от 20 000 до 30 000 рублей от 30 000 до 50 000 рублей от 50 000 до 10 000 рублей от 300 000 до 500 000 рублей
Необеспечение сохранности данных, их утечка, копирование, взлом и распространение в неправомерных целях от 1 500 до 4 000 рублей от 8 000 до 12 000 рублей от 20 000 до 40 000 рублей от 50 000 до 100 000 рублей
Не обезличивание персональных данных (для государственных и муниципальных органов) от 6 000 до 12 000 рублей
Хранение данных граждан России за пределами РФ от 30 000 до 50 000 рублей Штраф от 100 000 до 200 000 рублей От 1 000 000 до 6 000 000 рублей
Повторное нарушение по хранению данных граждан России за пределами РФ от 50 000 до 100 000 рублей от 500 000 до 800 000 рублей от 6 000 000 до 18 000 000 рублей

Эта таблица рассылалась нашим подписчикам в группе ВКонтакте. Присоединяйтесь к нашей группе и Вы. Там много интересного. Наша группа называется Бухгалтерия.ру – все для бухгалтера.

Новое согласие на обработку персональных данных — 2021

Практически каждая организация так или иначе работает с персональными данными. В большинстве случаев на такую обработку требуется отдельное письменное согласие.

Еще несколько лет назад, когда штрафы за нарушение законодательных норм о личной информации не были столь велики, многие игнорировали правила обработки персданных.

Однако недавно прошла новая волна повышения штрафов за неправильную обработку личных данных, поэтому ошибка может стоить организации сотен тысяч рублей. Работникам также будет полезно знать, нужно ли на работе предоставлять согласие на обработку личной информации.

В данной статье мы расскажем о требованиях к согласию на обработку персданных, рассмотрим последние изменения по данному вопросу и потенциальные штрафы. Также вы сможете скачать образцы согласия, которые разработали специалисты сайта «Время Бухгалтера».

Обязательно ли согласие на обработку персональных данных

Обработкой личных данных законодатель считает любые действия, которые вы проводите с ними. А персональные данные — это всевозможные сведения о гражданах.

Таким образом, даже если вы, например, всего лишь получаете паспортные реквизиты своих клиентов или создаете базу их телефонных номеров, вы обрабатываете личную информацию и признаетесь их оператором. Это значит, что вы обязаны под риском ответственности соблюдать требования, которые предъявляются к обработке личной информации.

Так, вы должны определить цель обработки и строго ей следовать, при необходимости получать согласие на обработку и уведомлять о ней Роскомнадзор, а также принимать меры по защите информации.

По общему правилу обрабатывать персональные данные гражданина можно лишь с его согласия (п. 1 ч. 1 ст. 6 закона о персональных данных). Причем субъект данных имеет право в любой момент такое согласие отозвать (тогда продолжать обрабатывать данные можно лишь в строго установленных законом случаях).

Согласие на действие с личными данными должно быть конкретным, информированным и сознательным. Обязанность доказать наличие такого согласия или обстоятельств, в силу которых это согласие не требуется, возлагается на оператора.

Из данной нормы видно, что действует презумпция отсутствия согласия у гражданина, поэтому разрешение не должно быть устным.

Самыми распространенными ситуациями, когда потребуется согласие на обработку персданных, это сбор данных (заявок) клиентов и прием новых сотрудников на работу (это включает в себя даже этап рассмотрения резюме, ведь там содержатся персональные данные).

Не требуется согласие на обработку персональных данных физического лица в случаях, приведенных в пп. 2—11 ч. 1 ст. 6 закона о персональных данных.

Так, согласие не потребуется, если обработка необходима:
1) для заключения договора по инициативе гражданина или договора, по которому он будет выгодоприобретателем или поручителем.

Например, если физическое лицо арендует у вас помещение или квартиру;
2) для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является гражданин.

Так, не требуется дополнительное согласие, если гражданин заказал доставку на дом, а его адрес необходимо уточнить;
3) для осуществления и выполнения функций, полномочий и обязанностей, которые возложены на вас законодательством. Например, если магазин уточняет у клиента адрес его электронной почты, чтобы направить ему электронный кассовый чек согласно закону № 54-ФЗ;

4) для осуществления прав и законных интересов либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы гражданина. Например, охранник может записывать данные посетителей бизнес-центра, не получая от них дополнительное письменное согласие.

Leave a Comment

Ваш адрес email не будет опубликован. Обязательные поля помечены *