Закон 152-ФЗ про персональні дані: як убезпечити бізнес від нових штрафів з 1 липня 2017
- Кого торкнуться нові штрафи
- Як убезпечити себе від штрафів: 6 правил
- Відповідальність для державних і муніципальних органів влади
- Що робити сайтам
З 1 липня 2017 року вводяться підвищені адміністративні штрафи за недотримання вимог Федерального закону "Про персональні дані" від 27.07.2006 № 152-ФЗ. Про те, як уникнути штрафів при перевірках Роскомнадзора, БУХ.1С розповів експерт з оподаткування Ігор Кармазін.
Штрафи за недотримання вимог Федерального закону "Про персональні дані" були підвищені відповідно до Федерального закону від 07.02.2017 № 13-ФЗ. Нові штрафи в порівнянні з діючими виросли в рази. Максимальний поріг штрафу для організацій підвищено до 75 неоподатковуваних мінімумів доходів громадян, максимальний штраф для підприємців збільшили до 20 тисяч рублів. При цьому, якщо раніше в КоАП існував тільки один, загальний для всіх випадків склад правопорушення в області персданних (ст.13.11 КоАП РФ), то тепер в даній статті з'явилося цілих сім складів.
Щоб уникнути штрафів за 152-ФЗ, компаніям та ВП з 1 липня 2017 року слід уважніше підходити до дотримання вимог закону про персональні дані.
Шпаргалка по статті від редакції БУХ.1С для тих, у кого немає часу
1. З 1 липня 2017 року вводяться підвищені адміністративні штрафи за недотримання вимог Федерального закону "Про персональні дані".
2. Нові штрафи в порівнянні з діючими виросли в рази. Максимальний поріг штрафу для організацій підвищено до 75 неоподатковуваних мінімумів доходів громадян, максимальний штраф для підприємців збільшили до 20 тисяч рублів.
3. Штрафи за нелегальну обробку персональних відомостей громадян стосуються всіх компаній і підприємців, які отримують паспортні дані росіян. Закон не містить конкретного переліку таких організацій.
4. Компанії, згідно із законом віднесені до операторів персональних даних, повинні бути зареєстровані в Роскомнадзоре.
5. Забезпечити себе від штрафів можна, дотримуючись 6 правил:
- виключити випадки нецільового збору і обробки даних;
- отримувати письмову згоду громадян на обробку їх даних;
- знайомити громадян з політикою обробки персональних даних;
- відповідати на запитання громадян про те, яким чином використовуються їхні персональні дані;
- виконувати вимоги громадян про уточнення персональних даних, їх блокування або знищення;
- забезпечувати збереження носіїв з персональними даними, крім їх відплив, псування, крадіжку, копіювання і т.д.
6. З 01.07.2017 починає діяти спрощений порядок притягнення до адміністративної відповідальності. Справи буде порушувати сам Роскомнадзор без участі співробітників прокуратури.
Кого торкнуться нові штрафи
Штрафи за нелегальну обробку персональних відомостей громадян стосуються всіх компаній і підприємців, які отримують паспортні дані росіян. Згідно із законом вони віднесені до операторів персональних даних і зобов'язані дотримуватися законодавчі обмеження.
Закон не містить конкретного переліку таких організацій. Однак до них можна віднести банки, страхові компанії, операторів мобільного зв'язку та інтернету, медичні організації, транспортні компанії, навчальні заклади і всі ті компанії, при зверненні в які громадян просять вказати особисті дані або заповнити анкету.
Але і це ще не все. Закон поширюється на роботодавців, які отримують відомості від співробітників як за трудовими договорами, так і за договорами цивільно-правового характеру. Роботодавці теж є операторами персональних даних з невеликим застереженням. Якщо роботодавець складається з громадянином в трудових або цивільно-правових відносинах, йому не потрібно повідомляти Роскомнадзор про обробку особистої інформації (ч. 2 ст. 22 Федерального закону № 152-ФЗ).
Також до операторів персональних даних належать компанії, що мають власні сайти зі зворотним формою зв'язку і реєстрацією користувачів, у яких запитуються особисті відомості.
Детальніше про те, хто може не подавати повідомлення в Роскомнадзор, читайте в статті "Кому не потрібно повідомляти Роскомнадзор про обробку персональних даних".
Як убезпечити себе від штрафів: 6 правил
1. Виключити випадки нецільового збору і обробки даних.
Під дане порушення потрапляють і випадки збору зайвої інформації про громадян. Наприклад, коли сайт для розсилки новин по e-mail вимагає від відвідувачів надати, скажімо, паспортні дані. Це вважається обробкою даних не за призначенням, тому виключіть подібні випадки з практики роботи своєї компанії і сайту.
Дані дії утворюють склад правопорушення за ч. 1 ст. 13.11 КоАП РФ. Штраф для підприємців - від 5 до 10 неоподатковуваних мінімумів доходів громадян, а для організацій - від 30 до 50 неоподатковуваних мінімумів доходів громадян.
2. Отримувати письмову згоду громадян на обробку їх даних.
Згода громадян на обробку персональних даних, коли це потрібно за законом, оператори отримують відповідно до ч. 4 ст. 9 Федерального закону № 152-ФЗ. Винятків з цього правила не так багато. Наприклад, не потрібно письмової згоди при отриманні персональних даних в особистих, сімейних цілях (ч. 2 ст. 1 Федерального закону № 152-ФЗ).
У більшості ж випадків додатково до основного договору сторони повинні підписувати угоду про обробку персональних даних. Ця угода може включатися в текст основного договору, або виступати в якості окремого документа. Згода має надійти особисто від громадянина. Без його відома передавати дані не можна.
Самий банальний приклад зловживань в цій частині - коли, наприклад, оператор мобільного зв'язку передає контакти абонентів без їх відома стороннім компаніям, і на телефонні номери громадян починає надходити всілякий спам.
Якщо письмової угоди на обробку даних у компанії немає, на громадян (ІП) накладуть штраф у розмірі від 3 до 5 неоподатковуваних мінімумів доходів громадян, на посадових осіб від 10 до 20 неоподатковуваних мінімумів доходів громадян, а на юросіб - від 15 до 75 неоподатковуваних мінімумів доходів громадян (ч.2 ст.13.11 КоАП РФ). Судячи з судової практики, IP перший раз штрафують як фізосіб, а якщо порушення повторюється, то вже як посадових осіб - керівників ІП, так як в другому випадку штраф вище.
Наслідки неотримання письмової згоди контролерам неважливі, а важливий буде сам факт наявності або відсутності такої згоди в письмовій формі.
3. Знайомити громадян з політикою обробки персональних даних.
Ця інформація повинна знаходитися у вільному доступі і з нею повинен мати можливість ознайомитися кожен. Наприклад, сайти вивішують інформацію про порядок роботи з персданнимі на окремих своїх сторінках.
В іншому випадку настане відповідальність за ч. 3 ст. 13.11 КоАП РФ. ІП заплатять штраф в розмірі від 5 до 10 неоподатковуваних мінімумів доходів громадян, а організації в розмірі від 15 до 30 неоподатковуваних мінімумів доходів громадян.
4. Відповідати на запитання громадян про те, яким чином використовуються їхні персональні дані.
На практиці бувають випадки, коли дані «витікають» третім особам, і клієнтам компанії починає надходити всіляка реклама від магазинів, медичних центрів і кредитних організацій. У цьому випадку клієнт може зажадати від оператора персональних даних надати інформацію про те, як використовуються і зберігаються його особисті відомості.
За ігнорування звернень громадян оператори персданних несуть відповідальність за ч. 4 ст. 13.11 КоАП РФ. Штраф для ІП - від 10 до 15 неоподатковуваних мінімумів доходів громадян, а для юросіб - від 20 до 40 неоподатковуваних мінімумів доходів громадян.
5. Виконувати вимоги громадян про уточнення персональних даних, їх блокування або знищення.
Це потрібно робити в випадках, коли персональні дані є неповними, застарілими, неточними, незаконно отриманими або не є необхідними для заявленої мети обробки.
Невиконання цього обов'язку загрожує штрафом за ч. 5 ст. 13.11 КоАП РФ. Для ІП штраф складе від 10 до 20 неоподатковуваних мінімумів доходів громадян, для організацій - від 25 до 45 неоподатковуваних мінімумів доходів громадян.
6. Забезпечувати збереження носіїв з персональними даними, крім їх відплив, псування, крадіжку, копіювання і т.д.
Відповідальність за незабезпечення збереження особистих відомостей встановлена ч. 6 ст. 13.11 КоАП РФ. Для підприємців - від 10 до 20 неоподатковуваних мінімумів доходів громадян, для компаній - від 25 до 50 неоподатковуваних мінімумів доходів громадян.
Відповідальність для державних і муніципальних органів влади
Штрафна відповідальність передбачена і для державних і муніципальних органів влади (ч. 7 ст. 13.11 КоАП РФ).
У своїх документах (протоколах, зведеннях, рішеннях і т.д.) вони повинні знеособлювати персональні дані громадян, не допускаючи зазначення їх місця проживання і повних ПІБ.
В іншому випадку доведеться заплатити штраф у розмірі від 3 до 6 тисяч рублів.
Реєстрація операторів персональних даних в Роскомнадзоре
Компанії, згідно із законом віднесені до операторів персональних даних, повинні бути зареєстровані в Роскомнадзоре. Для цього необхідно подати повідомлення про обробку (про намір здійснювати обробку) персональних даних (ч. 3 ст. 22 Федерального закону № 152-ФЗ).
Для подачі повідомлення про обробку персональних даних необхідно заповнити електронну форму на Порталі персональних даних Роскомнадзора . Електронна форма повідомлення про обробку персональних даних та порядок його заповнення також розміщені на Єдиному порталі державних і муніципальних послуг (функцій) .
Після заповнення форми повідомлення про обробку (про намір здійснювати обробку) персональних даних її слід відправити в інформаційну систему Уповноваженого органу із захисту прав суб'єктів персональних даних. Потім заповнену форму потрібно роздрукувати і завірити належним чином, скріпивши підписом і печаткою організації, після чого направити в відповідний територіальний орган Роскомнадзора за місцем реєстрації компанії-оператора персональних даних.
Що робити сайтам
Що стосується сайтів (а зараз вони є практично у будь-якої компанії), то основна маса порушень тут пов'язана саме з нецільовим збором та використанням персональних даних (ч. 1 ст. 13.11 КоАП РФ).
Наприклад, нерідко у формі реєстрації на сайті використовуються такі поля, як «дата народження» і «телефон», а в формі профілю користувача - «по батькові», «дата народження», «місце проживання» (країна, область / край, місто) .
Слід розуміти, що для реєстрації користувача на більшості мережевих ресурсів не потрібно знати такі дані, як телефон і місце проживання / реєстрації користувача. З форми реєстрації ці відомості слід прибрати.
А з форми особистого профілю краще прибрати такі відомості, як «професія», «www-сторінка», Skype (або інший месенджер) і «дата народження».
Стороннім особам (а ваша компанія і є такою особою) знати цю інформацію ні до чого. Форма підписки на новини сайту повинна збирати інформацію лише про e-mail користувачів. Форма реєстрації може збирати ім'я, прізвище, e-mail і стать користувача.
Збір зайвої інформації при перевірці можуть порахувати порушенням.
*****
Виконання вищеописаних правил і знання закону дозволять уникнути відповідальності за його порушення. При цьому слід враховувати одну важливу обставину. Якщо раніше закон про персональні дані обходив вашу компанію стороною і ніякої відповідальності за його порушення ви не несли, то з 1 липня все може змінитися кардинальним чином.
Справа в тому, що з цієї дати починає діяти спрощений порядок притягнення до адміністративної відповідальності. Раніше справи в цій сфері порушувала прокуратура (ст. 28.1 КоАП РФ). За новими ж правилами (п. 58 ч. 2 ст. 28.3 КоАП РФ) справи буде порушувати сам Роскомнадзор без участі співробітників прокуратури. На практиці це означає, що кількість штрафів і доведених до суду справ може значно збільшитися, і піти від відповідальності стане значно складніше.