Когда ввели закон о персональных данных

Закон о персональных данных 152 ФЗ: как не нарушить

C 1 июля 2017 года вступил в силу закон «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» от 07.02.2017. Изменения коснулись статьи 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)», а также статей 28.3 и 28.4 КоАП РФ.

Ранее протоколами по таким делам занималась прокуратура, теперь их возбуждает Роскомнадзор. Причем РКН уже активно ведет проверки, начисляет штрафы по каждому пункту нарушений, а суммы возросли в десятки раз.

Если на сайте нет информации о политике конфиденциальности, индивидуального предпринимателя могут оштрафовать на сумму в 10 тысяч рублей, а компанию — на 30 тысяч. Если обработкой персональных данных будет заниматься новостной сайт без согласия своих подписчиков или интернет-магазин — без согласия клиентов, то руководителя компании или предпринимателя оштрафуют на сумму до 20 тысяч рублей, а юрлицо — до 75 тысяч рублей. Количество штрафов будет равно количеству нарушений, заплатить один раз за несколько ошибок не получится.

Кто виноват?

Согласно Федеральному закону « О персональных данных» — «персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.»

Ответственность за нарушение нового закона несут так называемые « операторы персональных данных» .

Оператор персональных данных, согласно тому же закону — « государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.»

Все владельцы сайтов, на которых есть контактная форма — анкета, форма регистрации, обратной связи, подписки или просто кнопка заказа обратного звонка, запрашивающая имя и контактный номер телефона, являются операторами персональных данных и могут быть привлечены к ответственности за нарушения пунктов закона.

Вместе с тем, закон не распространяется на запись и сохранение любой личной информации, которую планируется использовать для личных или семейных нужд. Телефонная книга в смартфоне или список контактов в клиенте электронной почты не сделают вас оператором персональных данных. Но, если вы передадите эти данные лицу или организации, которая по закону, является оператором персональных данных или опубликуете сведения, это будет нарушением.

Что делать?

1. Подготовьте публичные документы о правилах и условиях обработки персональных данных и разместите их на сайте так, чтобы они были доступны с любой страницы. Это может быть уведомление, пользовательское соглашение, правила продажи или политика в отношении обработки персональных данных. Важно не название, а содержание. Не копируйте документы других компаний без обработки. Их можно использовать в качестве шаблона, но список данных и цели их использования пропишите свои.

Данные, которые могут потребоваться интернет-магазину для доставки товара, не понадобятся для оформления подписки на информационном сайте. Почему это важно — см. следующий пункт.

2. Приведите в соответствие с публичным документом сами контактные формы. Запрашивать нужно только те персональные данные, которые нужны для работы с вашим ресурсом. Подпишите, зачем просите эти данные, чтобы пользователям было комфортно их оставлять.

Запрос излишних данных может быть расценен как нарушение закона и стать поводом для штрафа.

3. Реализуйте программное решение, которое гарантирует согласие пользователя на обработку персональных данных. Это может быть чек-бокс в форме регистрации, в котором нужно поставить галочку, или кнопка согласия с условиями использования, без активации которых человек не сможет отправить сообщение или оформить заказ.

В случае, если персональные данные не предполагается публиковать, а только использовать для обработки внутри компании, явным образом ограничьте передачу персональных данных без согласия на их обработку. Согласно закону, обязанность доказать, что пользователь добровольно оставил свои данные, возлагается на оператора.

Важно! Перед получением персональных данных, которые предполагается публиковать в общедоступных источниках или передавать третьим лицам, получите письменное согласие у каждого посетителя, клиента или подписчика на их обработку, хранение и распространение.

4. Обезопасьте базу данных. Подготовьте внутренние документы, регламентирующие правила обработки и хранения персональных данных, ответственности сотрудников, имеющих к ним доступ, назначьте лицо, ответственное за безопасность персональных данных и соблюдение правил работы с ними, определенных Федеральным законом N152.

Даже в том случае, если ваш сайт обслуживает другая компания или специалист на аутсорсе, штраф за нарушение закона будет выписан на компанию или ИП, которые указаны на сайте в качестве владельца и, следовательно, получателя персональных данных.

5. Отправьте, если сайт подпадает под требования Закона, уведомление в Роскомнадзор.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и не будут распространяться или использоваться иным образом;
  • у вас хранятся только ФИО клиента;
  • данные опубликованы в общем доступе самим человеком или кем-либо по его поручению.
  • Если уверены, что отправлять уведомление не нужно, оформите всю документацию так, чтобы это было понятно и возможным проверяющим. Укажите в пользовательском соглашении, что данные открыты с согласия пользователя, но помните, что доказывать это придется вам.

    По закону операторы персональных данных должны уведомить Роскомнадзор. Это нужно сделать до начала обработки данных или вскоре после. Роскомнадзор внесёт информацию об операторе в Реестр операторов персональных данных.

    Кроме того, вы обязаны сообщать по запросу пользователя, какие у вас есть данные о нём, как и для чего они обрабатываются и кому вы их передавали, а также удалять данные по первому требованию лица, персональные данные которого хранятся в вашей базе.

    Подготовить документы, опубликовать политику и уведомить РКН бесплатно можно здесь.

    Дополнено 04.07.2017:

    Мы получили комментарий от сотрудника Роскомнадзора:

    «При проверке важно, чтобы у вас на сайте можно было подтвердить согласие на сбор и обработку данных — поле для галочки или какая-то другая форма, публичный документ о целях сбора, порядке обработки персональных данных и обеспечении их безопасности, и ссылка на этот документ на форме, где собираются ПД. Персональными данными мы считаем любую информацию, которую человек оставил на сайте, даже если она недействительна — никнейм, неверный номер телефона и т. д. Штрафы уже были, в основном, за отсутствие документов с политикой в отношении персональных данных или за ошибки в них.»

    Пример формы регистрации на сайте РИА Новости:

    Как видим, подтверждения согласия пользователя на обработку ПД в виде чек-боксов или кнопок «согласен» нет. По ссылке можно перейти на страницу с политикой конфиденциальности, где указано, что пользователь дает это согласие, регистрируясь на сайте:

    Другой пример сайта, где регистрационная форма обязывает пользователя вводить несколько типов персональных данных — Avito:

    Есть текст, уведомляющий пользователя, что при регистрации он принимает условия пользовательского соглашения, и ссылка на него.

    Текст соглашения не содержит информации об обработке персональных данных, кроме указания, что пользователь делает свои данные общедоступными, размещая объявление на сайте.

    Политика в области обработки и безопасности персональных данных на Avito размещается в разделе «Безопасность», ссылка доступна с любой страницы сайта.

    Универсального совета нет. Для каждого сайта в зависимости от рода занятий — своя форма, поэтому лучше проконсультироваться в Роскомнадзоре.

    pr-cy.ru

    Персональные данные: основные документы и новинки законодательства

    Мы продолжаем рассказывать о локально-нормативных актах организации, и здесь особое место занимает Положение о персональных данных. С 1 июля 2017 года ответственность за ошибки в сборе, хранении и обработке персональных данных ужесточается. Чтобы избежать штрафов, размер которых серьезно вырос, организация должна очень тщательно подойти к разработке Положения о персональных данных.

    Что такое персональные данные

    Согласно Федеральному закону № 152-ФЗ от 27.06.2006, персональными данными считается «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу». Под это понятие подпадают практически все сведения, которыми оперирует работодатель: дата рождения работника, семейное положение, образование, домашний адрес и пр. Эти данные хранятся в личных карточках, активно используются в трудовых договорах и контрактах, приказах, расчетных листках, платежных ведомостях, заявлениях и множестве иных документов.

    Получать личные данные работодатель может только из первых рук, то есть от самого человека. Если лично собрать информацию не удается, ее можно получить через третьих лиц, но с согласия самого сотрудника. При этом ему следует разъяснить, с какой целью собирается информация, как она будет использоваться и что случится, если сотрудник откажется дать свое согласие на сбор и обработку сведений о себе.

    Законодательство ограничивает перечень ситуаций, когда работодатель может собирать данные. В числе основных указаны:

  • сохранение жизни и здоровья подчиненных;
  • помощь в трудоустройстве и образовании;
  • содействие карьерному росту;
  • контроль за выполнением работником его трудовых функций;
  • охрана материальных ценностей;
  • соблюдение исполнения законов.
  • Ответственность за нарушения в работе с персональными данными

    С 1 июля 2017 года ответственность за ошибки в этой сфере серьезно возрастет. Перечень нарушений, за которые работодатель может быть привлечен к ответственности, значительно расширен, а кроме того, увеличены размеры штрафов. Такие изменения содержит Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Вместо одного вида административной ответственности, который предусматривала ст. 13.11, в КоАП РФ теперь семь видов, и для каждого — свои штрафы:

  • Использование персональных данных в не предусмотренных законодательством целях. Административное наказание — предупреждение или штраф: для физических лиц от 1 000 до 3 000 руб., для должностных лиц — от 5 000 до 10 000 руб., для юридических лиц — от 30 000 до 50 000 руб.
  • Обработка личных сведений без согласия работника. Сюда же относятся случаи, когда в подписанном сотрудником согласии нет перечня сведений, предусмотренных в ч. 4 ст. 9 закона № 152-ФЗ от 27.07.2006. Административное наказание — штрафы: для физических лиц — от 3 000 до 5 000 руб., для должностных лиц — от 10 000 до 20 000 руб., для юридических лиц — от 15 000 до 75 000 руб.
  • Нарушение режима доступа к политике организации по обработке персональных данных. Работодатель обязан опубликовать в общедоступных источниках документ, в котором обозначена его политика в сфере защиты личной информации работников. Это предусмотрено п. 2 ст. 18.1 закона от № 152-ФЗ 27.07.2006, а с 1 июля будет отдельным правонарушением, которое влечет за собой ответственность в виде предупреждения или штрафов: для физических лиц — от 700 до 1 500 руб., для должностных лиц — от 3 000 до 6 000 руб., для ИП — от 5 000 до 10 000 руб. и для юридических лиц — от 15 000 до 30 000 руб.
  • Сокрытие от работника информации о целях, сроках и способах сбора, хранения и обработки информации, о третьих лицах, которые будут работать с личными сведениями по поручению работодателя, и пр. В таких случаях работодатель получает предупреждение или выплачивает штраф: физические лица — от 1 000 до 2 000 руб., должностные лица — от 4 000 до 6 000 руб., ИП — от 10 000 до 15 000 руб., юридические лица — от 20 000 до 40 000 руб.
  • Отказ работодателя заблокировать или уничтожить персональные данные согласно ст. 21 закона № 152-ФЗ от 27.07.2006. Административная ответственность — предупреждение или штраф: для физических лиц — от 1 000 до 2 000 руб., для должностных лиц — от 4 000 до 10 000 руб., для ИП — от 10 000 до 20 000 руб., для юридических лиц — от 25 000 до 45 000 руб.
  • Отсутствие средств автоматизации для хранения персональных данных, хранение информации только в бумажном виде. Если такой работодатель допустил уничтожение, утечку, несанкционированное копирование и/или распространение личных данных сотрудника, на него налагается штраф: на физических лиц — от 700 до 2 000 руб., на должностных лиц — от 4 000 до 10 000 руб., на ИП — от 10 000 до 20 000 руб., на юридическое лицо — от 25 000 до 50 000 руб.
  • Несоблюдение или нарушение процедуры обезличивания данных сотрудниками государственных и муниципальных органов власти (Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»). Административная ответственность в таком случае грозит должностному лицу в виде предупреждения или штрафа от 3 000 до 6 000 руб.
  • Законодательство позволяет суммировать штрафы за разные нарушения, поэтому ошибки или небрежное отношение к сведениям о сотрудниках могут обойтись работодателю очень дорого. А кроме того, с 1 июля 2017 года возбуждать административные дела в части обращения с персональными данными разрешено без участия прокурора — инициировать их смогут должностные лица Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ).

    Соблюдать требования законодательства поможет правильно составленное Положение о персональных данных, которое должно закрепить нормы законодательства и конкретизировать их для организации.

    Как составить Положение о персональных данных

    Закон не оговаривает название, структуру и обязательное содержание документа, работодатель вправе сам определить, как будет выглядеть Положение. Разрабатывая документ, руководитель организации и специалисты кадровой службы должны опираться на указанный выше Федеральный закон № 152-ФЗ, а также на ст. 87 Трудового кодекса РФ.

    В Положении о персональных данных стоит отразить:

    1. Общие положения: цели и задачи организации в области защиты персональных данных, круг вопросов, которые регулирует Положение.
    2. Состав персональных данных: сведения, которые работодатель использует в рамках трудовых отношений с работником, перечень документов, в которых такие данные содержатся.
    3. Порядок сбора и обработки информации, включая способы и места хранения, меры защиты от несанкционированного распространения. Помимо прочего, здесь обязательно прописывается требование получать сведения только у самого человека или с его письменного согласия у третьих лиц. Бланк согласия можно оформить как приложение к Положению.
    4. Порядок передачи персональных данных как внутри организации, так и сторонним лицам и государственным органам. Здесь следует отразить законодательную норму передавать личную информацию о работнике третьим лицам только с его письменного согласия. Исключение — если это необходимо для защиты жизни и здоровья работника.
    5. Перечень сотрудников, имеющих доступ к персональным данным. Чаще всего это специалисты кадровой службы, бухгалтеры, руководители структурных подразделений и пр.
    6. Ответственность за разглашение личных данных сотрудников. В разделе стоит указать должности тех, кто несет ответственность за нарушение правил хранения, обработки и передачи персональных данных, а также виды ответственности, предусмотренные законодательством (об изменениях в этой сфере расскажем подробнее чуть ниже).

    Положение о защите персональных данных работника и шаблон согласия утверждает руководитель организации. Штамп с подписью, датой утверждения и номером протокола ставится на титульном листе документа. Чтобы ввести Положение в действие, руководитель выпускает отдельный приказ.

    С Положением о персональных данных должны быть ознакомлены все сотрудники под роспись. Для этого в организациях часто заводят отдельный журнал с перечнем работающих в компании сотрудников.

    Согласие на обработку персональных данных

    Это документ, в котором принимаемый на работу человек разрешает будущему работодателю получать необходимую информацию и использовать ее в рамках действующего законодательства.

    Согласие на обработку персональных данных оформляйте в программе Контур-Персонал

    Работодатель не имеет права собирать и использовать личную информацию работников без их письменного согласия. Исключение — данные из медицинских учреждений, касающиеся противопоказаний к определенному роду деятельности.

    Согласие должно включать в себя следующую информацию (ч. 4 ст. 9 закона № 152-ФЗ от 27.07.2006):

  • ФИО, адрес сотрудника, реквизиты паспорта (или другого удостоверяющего личность документа);
  • ФИО, адрес представителя сотрудника, реквизиты его паспорта (или другого удостоверяющего личность документа), реквизиты доверенности;
  • наименование или ФИО и адрес работодателя, получающего согласие носителя персональных данных;
  • перечень персональных данных, на обработку которых дается согласие;
  • цель обработки персональных данных;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание способов обработки этих сведений;
  • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом.
  • Документ подписывается работником после знакомства с Положением. Такое же согласие необходимо оформить, если человек разрешает третьим лицам предоставлять информацию о себе.

    Работодатель не имеет права принуждать потенциального сотрудника предоставлять о себе какие-либо сведения. Если претендент отказывается подписывать Согласие, организация может пересмотреть решение о приеме такого человека в штат. Отозвать свое согласие может и любой из работающих сотрудников организации (ч. 2 ст. 9 152-ФЗ).

    После того как работодатель получил согласие работника на обработку личной информации, он может поручить это третьему лицу, однако ответственность за сохранность сведений все равно лежит на работодателе.

    Сферы защиты персональных данных коснулись действительно масштабные изменения, и работодателю следует быть вдвойне внимательным как при составлении Положения, так и при работе с личной информацией по сотрудникам. Помните, чем подробнее и конкретнее прописано Положение о персональных данных, тем четче в организации будет выстроена работа на этом участке кадрового учета.

    kontur.ru

    Закон «О персональных данных»: кто и что защищает?

    С 1 января следующего года вступит в силу новый вариант закона о защите персональных данных. Согласно принятым в прошлом году изменениям, до этого времени операторы персональных данных должны привести свои системы обработки в соответствие с законом: защитить электронные базы от взломов, разграничить сферы действия сотрудников, чтобы доступ к личной информации имели строго определенные люди. Более того, каждая компания, решившая заниматься обработкой персональных данных (сбором, хранением, дальнейшей передачей), должна уведомить Роскомнадзор о своем намерении. Как это сделать — расскажет руководитель управления Роскомнадзора по Приморскому краю Андрей Губенко в ходе онлайн-конференции на сайте РИА PrimaMedia, которая пройдет с 8 по 10 июня.

    Поясним, 152-й Федеральный закон «О персональных данных» вступил в силу в 2007 году. Под персональными данными понимается имя и фамилия, адрес, номера счетов, телефонов и т.д. Подобную информацию запрашивают и хранят банки, управляющие компании, поликлиники, школы, и закон должен пресечь «утечку» этих данных к другим лицам. Надзор за исполнением в рамках закона обработки персональных данных возложен на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

    Вокруг закона о персональных данных до сих пор полыхают нешуточные споры. Что можно считать персональными данными и как их обрабатывать? Имеют ли банки право требовать сведения о родственниках клиента? Должны ли супермаркеты спрашивать у своих покупателей излишнюю информацию при оформлении дисконтной карты? Кто является оператором персональных данных и чем грозит непредоставление соответствующего уведомления в органы Роскомнадзора? На эти и другие вопросы читателей РИА PrimaMedia ответит в ходе интернет-конференции, которая пройдет с 8 по 10 июня, ответит руководитель Управления Роскомнадзора по Приморскому краю Андрей Губенко.

    primamedia.ru

    Закон о персональных данных №152-ФЗ

    Статьи по теме

    Основным руководством для работодателей в сфере работы с персональными данными является Федеральный закон о персональных данных №152-ФЗ от 27.07.2006. В нем закреплен порядок их применения, хранения и обеспечения конфиденциальности. Указанный нормативный акт обеспечивает сохранность данных служащих от нецелевого применения и передачи 3-им лицам.

    Понятия в законе персональных данных

    Персональные данные ФЗ №152 определяет, как любой вид сведений, относящихся к отдельному гражданину. В трудовой сфере она передается личностью, ею обладающей, нанимателю при заключении контракта. Трудящийся, согласно п.1 ст.3 Закона № 152 фз, выступает в качестве субъекта персональных данных.

    Исходя из текста ч.1 ст.85 ТК РФ к данному виду информации относятся:

    Новая ответственность за нарушения в персданных. За что и на сколько теперь будут штрафовать>>>

  • ФИО;
  • Данные о времени и месте рождения лица;
  • Пол;
  • Семейный статус;
  • Место проживания;
  • Образование, проф. знания и навыки;
  • Должность;
  • Получаемые заработки;
  • Наличие в собственности имущества, ценностей, вкладов и т.д.;
  • Склонности и привычки, в том числе негативные;
  • Личные и деловые качества;
  • Биографическая информация, в том числе, о предыдущей работе;
  • Физическое состояние организма человека;
  • Другие факты, дающие информацию о субъекте, установленные в Законе No 152 фз от 27.07.2006 о персональных данных и иных нормативных актах.
  • Указанная информация на предприятии содержится в ряде бумаг, используемых для кадрового учета. Среди них:

  • Бумаги, заполняемые работником при трудоустройстве;
  • Предоставленные оригиналы и копии документов;
  • Личные карточки NoТ-2;
  • Трудовые книжки и контракты;
  • Справки и выписки из госучреждений;
  • Приказы по фирме, связанные с кадровыми вопросами также рассматриваются в качестве таких бумаг, исходя из положений ФЗ о персональных данных.
  • Обработка персональных данных согласно закону

    Обработка указанной информации на фирме является комплексом действий, предназначенных для использования личных данных, полученных от служащих. Она предполагает несколько этапов: получение, сбережение, применение и удаление информации о служащих предприятия.

    Согласно Закону о персональных данных лицо, осуществляющее обработку, самостоятельно устанавливает цель их использования. При этом устанавливается комплекс мер, необходимых для работы со сведениями, исходя из специфики осуществляемой деятельности.

    Лицо, производящее сбор сведений, в соответствии с п.2 ст.3 Закона № 152 фз о персональных данных, является оператором. В сфере трудовых отношений в качестве него выступает работодатель.

    На оператора возлагается обязанность обеспечения необходимых организационных и технических мер, направленных на защиту личных сведений. Он должен создать условия исключающие возможность неправомерного доступа к информации.

    Посмотрите видео по теме:

    >

    Ответственный за организацию работы с персональными данными работников

    Наниматель, как оператор, не только определяет комплекс мер, направленных на обработку сведений, он еще и несет ответственность за выполнение требований по их защите. Для обеспечения их конфиденциальности на предприятии, руководитель создает необходимые условия и назначает ответственное лицо.

    Такое назначение оформляется путем издания приказа. Зачастую, на должность оператора назначают сотрудника отдела кадров, замдиректора или специалиста по работе с персоналом. Наниматель может ввести отдельную должность для лица, ответственного за организацию использования информации и соблюдение норм закона о защите персональных данных.

    В оформляемом приказе, помимо указания ответственного лица, может быть определен перечень лиц, имеющих право на использование сведений о служащих. Список может быть оформлен и в виде отдельной бумаги или как приложение к Положению.

    Положение о работе с персональными данными

    Наниматель, определяет порядок обработки информации, поступающей на фирму, исходя из специфики осуществляемой ею деятельности. Он должен быть зафиксирован и оформлен путем издания Положения.

    В ФЗ 152 о персональных данных с изменениями 2018 и комментариями содержится перечень требований, выдвигаемых к этому документу. В нем указаны и основные сведения, которые должны быть включены в Положение:

  • Общие положения. В этой части раскрывают цели оформления данного документа и сферы регулирования. Делают ссылки на нормативные акты, на основании которых было составлено данное положение. К примеру, ФЗ № 152 фз о защите персональных данных или ФЗ №79-ФЗ о госслужбе.
  • Основные термины. В этой части поясняются те понятия, которые используются в данном документе. К примеру, что подразумевается под персональными данными на данном предприятии, с учетом специфики его деятельности. Помимо этого, перечисляются документы, в которых содержится эта информация.
  • Порядок получения (сбора) данных. В этой части, наниматель должен указать обязательность получения письменного согласия служащих на обработку их данных и случаи, когда оно не требуется.
  • Применение информации. Уточняется, для каких целей полученные данные могут быть использованы.
  • Обработка информации. Должна содержать в себе условия, соблюдение которых обязательно при работе с персональными данными сотрудников.
  • Доступ к информации и её передача. В данной части очерчивается круг лиц имеющих доступ к личным данным служащих, а тоже порядок передачи сведений внутри фирмы и за её пределы.
  • Ответственность. В этой части должны быть отмечены лица, которые несут ответственность за соблюдение правил и требований, установленных Положением и ФЗ о защите персональных данных. Указываются меры воздействия за их нарушение.
  • Зарегистрируйтесь, чтобы скачать
    шаблон в MS Word

    Положение оформляется и подписывается руководителем фирмы, после чего издается приказ о введении его в действие. Положение относится к локальным нормативным актам, поэтому должно быть зарегистрировано в соответствующем журнале.

    Приказ о введении в действие Положения о персональных данных работников

    Согласование с профсоюзом

    При наличии на предприятии профсоюзной организации, Положение о персональных данных должно быть с ней согласовано. Для этого, в соответствии со ст.372 ТК РФ, проект документа направляется на рассмотрение выборному органу. Свое решение профсоюз должен оформить в письменном виде и направить руководителю предприятия в течение 5-ти дней после получения проекта.

    Выборный орган может утвердить Положение, не согласиться с предложенным вариантом документа или внести предложения по его корректированию. В последних двух случаях руководство предприятия может либо согласиться с мнением профсоюза, либо организовать доп. консультации с ним.

    Если в их процессе согласие между сторонами не будет достигнуто, то наниматель должен оформить протокол разногласий. После этого Положение о персональных данных в соответствии с законом № 152 ФЗ от 27.07.2006 может быть принято без учета мнения профсоюзной организации. Она со своей стороны, может обжаловать такое решение и инициировать процедуру коллективного спора, в порядке установленном гл.61 ТК РФ.

    Ознакомление служащих с Положением

    Если Положение было принято и введено в действие в установленном порядке, то наниматель должен ознакомить с ним всех сотрудников фирмы. Согласно п.8 ст.86 трудящимся следует предоставить информацию о порядке обработки данных, а то же их правах и обязанностях в данной сфере.

    Ознакомление может оформляться несколькими путями:

    • Как пункт трудового контракта;
    • В виде листа ознакомления с Положением в соответствии с федеральным законом о персональных данных;
    • Путем оформления специального журнала ознакомления с локальными актами фирмы.
    • Положение является разновидностью локальных документов фирмы. Поэтому в соответствии с требованиями современных норм, должно храниться на фирме постоянно. Бумаги, подтверждающие согласие служащих на обработку сведений о них, хранятся на предприятии 75 лет.

      Надзор за соблюдением закона о персональных данных 152 ФЗ

      Контроль и надзор за соблюдением требований современного законодательства в сфере обработки персональных сведений осуществляется госучреждениями. В тексте ст.23 Закона о персональных данных в последней редакции, отмечается, что соответствующими полномочиями наделяется федеральный орган исполнительной власти.

      Уполномоченный орган в процессе осуществления гос. контроля в данной сфере организует проверки физ. и юр. лиц, а также ИП. Проверки операторов персональных сведений могут проводиться как планово, так и внепланово по факту обращения граждан.

      Исходя и текста ч.3 ст.23 закона о персональных данных в ред. 2018 года уполномоченный орган имеет право:

    • Направлять запросы в фирмы, с целью получения сведений, необходимых для реализации полномочий данного госоргана;
    • Производить проверку данных, находящихся в обработке юр. и физ. лиц;
    • Требовать внесения изменений, блокировки или ликвидации недостоверных сведений или приобретенных в нарушение требований о защите персональных данных ФЗ 152;
    • Производить приостановку обработки информации, осуществляемой с нарушениями действующих правил;
    • Направлять исковые заявления или жалобы в госучреждения от имени субъектов персональных данных, чьи права были нарушены;
    • Привлекать к админ. ответственности лиц, виновных в нарушении ФЗ No152-ФЗ.
    • В случае если наниматель считает решение данного органа не соответствующим закону № 152 фз, то он имеет право обратиться с заявлением в суд.

      Уполномоченный орган имеет право направить материалы дела на рассмотрение в прокуратуру для привлечения виновных к уголовной ответственности. Это возможно в случае, если во время проверки были выявлены преступления регулируемые УК РФ.

      В приватном разговоре с инспекторами мы узнали, где они будут «копать», когда компанию нужно оштрафовать, а явного повода нет. Готовьтесь к тому, что искать будут, – планы по штрафам планируют повысить.

      Административная ответственность за несоблюдение закона о персданных

      Административная ответственность лиц, отвечающих за соблюдение норм закона о защите персональных данных в ред. 2017г., закреплена в ст.13.11, 13.14 КоАП РФ. В качестве мер воздействия применяются денежные взыскания различной величины. Дисквалификация в связи с нарушением правил обработки сведений о служащих не предусмотрена.

      Ст.13.11 КоАП РФ предполагает привлечение к ответственности лиц за нарушение ими правил получения, хранения и работы со сведениями о гражданах. За совершение указанного правонарушения на виновное лицо может быть наложено взыскание в размере:

    • 500-1000 руб. – для должностных лиц;
    • 5000-10000 руб. – для юр. лиц.
    • Ст.13.14 КоАП РФ предполагает привлечение к ответственности за разглашение сведений, доступ к которым ограничен ФЗ о персональных данных 2018. За нарушение правил конфиденциальности на виновные лица налагается взыскание в размере 4000-5000 рублей.

      www.pro-personal.ru

      Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса

      Вот уже более девяти месяцев действует так называемый закон о локализации персональных данных (Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»; далее – Закон № 242-ФЗ). Он обязывает операторов обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных россиян с использованием баз данных, находящихся на территории России. Первоначально требования закона были недостаточно точно конкретизированы, в результате чего у представителей бизнеса возникло множество вопросов. Однако большую их часть удалось разрешить еще до вступления Закона № 242-ФЗ в силу. Оставалось ждать, как принятый закон будет реализовываться на практике. И теперь, чуть меньше года спустя, можно выделить ряд наиболее распространенных проблем, с которыми столкнулся бизнес в процессе его применения.

      Идентификация баз данных

      До 1 сентября 2015 года компании уведомляли Роскомнадзор о категории персональных данных, перечне действий с ними, целях их обработки, обеспечении безопасности и др. С указанной даты у них появилась еще одна обязанность – сообщать о месте нахождения базы данных информации, содержащей персональные данные россиян (п. 10.1 ч. 3 ст. 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Все эти сведения должны быть отражены в уведомлении, подаваемом в Роскомнадзор.

      Таким образом, теперь любой оператор персональных данных должен знать, какие именно информационные системы, содержащие базы данных, он использует и где они расположены.

      Наталья Иващенко, к.ю.н., руководитель межотраслевой группы юридической компании «Пепеляев Групп» :

      «До вступления в силу законодательного требования о локализации персональных данных Роскомнадзор на практике ограничивался документальной проверкой соблюдения требований Закона № 242-ФЗ. Поскольку требований к месту расположения персональных данных не предъявлялось, то компании сообщали о тех персональных данных, которые содержались во внутренних информационных системах, которые для них были очевидны (например, база данных сотрудников компании). После ужесточения регулирования компании начали задумываться о том, какие в принципе базы данных они используют, и в каком месте они расположены. Законодательные изменения послужили драйвером для инвентаризации используемых баз данных».

      Чтобы идентифицировать базу данных для ее переноса на российские серверы, следует провести аудит ее содержимого. Если обнаружено наличие персональных данных россиян: ФИО, дата рождения, паспортные данные и т. д., эту информацию необходимо локализовать. При этом, как отмечает руководитель группы разработки IT-компании «AT Consulting» Михаил Алексеев, перенести базу данных можно как полностью, так и частично (когда речь идет о переносе не всей информации, а только находящихся в этой базе персональных данных). «Первый вариант наиболее прост и удобен в реализации, а также более экономически оправдан. Со вторым могут возникнуть технические проблемы, поскольку приложениям в этом случае придется работать сразу с двумя базами данных, – добавляет он. – В документах локализуемая база данных должна быть однозначно определена своим IP, портом и именем».

      Если оператор не уведомит Роскомнадзор о тех базах данных, которые он использует при обработке персональных данных россиян, это может стать основанием для проверки со стороны регулятора. При этом, уточняет Наталья Иващенко, Роскомнадзор может не ограничиться лишь документальной проверкой, а провести опрос сотрудников, а на его основе осуществить проверку с использованием технических средств и выявить «незаявленные» базы данных. Это может повлечь за собой административную ответственность юридического лица в виде штрафа в размере до 10 тыс. руб. (ст. 13.11 КоАП РФ). При этом компания не освобождается от обязанности устранить выявленное нарушение.

      Для соблюдения требований закона Наталья Иващенко рекомендует предпринять следующие шаги:

    • Провести инвентаризацию всех информационных систем/баз данных и составить их список.
    • Определить место нахождения каждой информационной системы/базы данных. При этом стоит отметить, что далеко не все базы данных должны быть расположены в России. Обязательное требование о локализации персональных данных означает, что в России должен осуществляться именно первичный сбор таких данных. Обработка и хранение данных могут производится за рубежом.
    • Описать информационную систему/базу данных, содержащую сведения о конкретных видах персональных данных, которыми она оперирует. Каких-либо требований к подобному описанию законодательством и подзаконными нормативными актами не предусмотрено. На практике достаточно определить название информационной системы/базы данных, место ее расположения и сведения о видах (категориях) персональных данных.
    • Использование персональных данных материнской компанией за рубежом

      Многие иностранные холдинги сталкиваются с проблемой локализации, когда встает вопрос об использовании персональных данных россиян головной организацией, находящейся за пределами России. В данном случае важно понимать, какие именно действия осуществляются с персональными данными за рубежом. Как уточняет руководитель группы правовой защиты информации компании «Пепеляев Групп» Дмитрий Зыков, лишь «первоначальный» сбор персональных российских граждан за границей является нарушением закона (ч. 5 ст. 18 закона о персональных данных). Таким образом, соответствующая информация при этом обязательно должна быть локализована.

      А вот персональные данные россиян, собранные представительством или филиалом этой организации в России, а потом переданные зарубежной материнской компании, вполне могут использоваться для дальнейшей обработки, хранения и т. д.

      Передача персональных данных аутсорсинговой компании

      В последнее время услуги аутсорсинга становятся все более востребованными. Однако передавая провайдеру определенные функции, ему нередко дают и доступ к персональным данным. Переходит ли при этом к аутсорсеру обязанность по их локализации? Ведь, по общему правилу, ответственным лицом за соблюдение требований о защите персональных данных он не является. В этом случае также важно определить, каким образом будет использоваться полученная информация.

      Так, если компания-оператор персональных данных предоставляет аутсорсинговой организации только доступ к своим базам данных для выполнения определенных функций по договору (например, для осуществления рекламных рассылок), то в этом случае, подчеркивает Дмитрий Зыков, ответственность по защите персональных данных остается на самом заказчике. При этом он должен получить согласие субъекта персональных данных на использование сведений о нем третьими лицами по поручению.

      Если же компания передает свою базу данных организации-аутсорсеру (например, в целях оказания бухгалтерских услуг, ведения кадрового делопроизводства и др.), в договоре необходимо отдельно прописать, что провайдер аутсорсинговых услуг принимает на себя обязательство по применению мер защиты полученных персональных данных и обеспечению конфиденциальности информации. В таком случае аутсорсинговая организация становится оператором персональных данных, который обязан, в том числе, соблюдать требования закона о локализации соответствующих данных.

      www.garant.ru

    Смотрите так же:

    • Закон 152-оз Качканарский городской округ официальный сайт Отдел гор.хоз-ва Как по закону получить лес для строительства и ремонта дома? В соответствии с 30 статьей Лесного кодекса заготовка древесины для собственных нужд осуществляется на […]
    • Нарушение правил 18 Штрафы за нарушение Правил дорожного движения (по состоянию на 12 июля 2017 г.) Чтобы повысить грамотность на дороге, знать свои права и обязанности, увереннее чувствовать себя при встрече с сотрудником ГИБДД, вам пригодится ПАМЯТКА […]
    • Срок службы офицеров до пенсии Срок службы до минимальной пенсии Доброго вечера. На данный момент моя выслуга 10 лет календарными и 12,5 льготами. Сколько мне нужно служить до минимальной пенсии? И как выгоднее воспользоваться ипотечной суммой, в случае […]
    • Правила эксплуатации samsung Инструкция Samsung A5 (2017) На этой странице Вы найдете руководство пользователя для Samsung A5 (2017). Инструкция найдена в интернете, представлена в электронном виде. Скачайте ее на свой компьютер. Мы стараемся находить инструкции на […]
    • Возврат подоходного налога за обучение сумма Примеры расчета вычета В данном разделе мы приведем примеры расчета социального налогового вычета на обучение в разных ситуациях. Пример 1: Собственное обучение Условия получения вычета: В 2017 году Сидоров С.С. оплатил свое заочное […]
    • Закон оукена что он утверждает Закон Оукена (Okun's law) – это закон, согласно которому страна теряет от 2 до 3% фактического ВВП по отношению к потенциальному ВВП, когда фактический уровень безработицы увеличивается на 1% по сравнению с ее естественным […]