Фз об отказе персональных данных. Соблюдаем закон о персональных данных: что надо учесть. Соблюдать требования обработки ПДн, а именно

Об изменениях закона по персональным данным рассказывают много, и мы решили присоединиться

Что происходит?

вводятся новые составы административных правонарушений за нарушения законодательства в области персональных данных (больше поводов вас поштрафовать немножечко),
упрощается процедура привлечения к административной ответственности за нарушения (вас становится легче штрафовать),
увеличиваются суммы штрафов (легче – и интереснее!).

Если раньше штраф был 10 000 рублей, то после 1 июля совокупный размер штрафов для юридических лиц может достигать 295 000 рублей. Вот теперь появляется экономический смысл заняться-таки этими несчастными персональными данными.

Кого могут оштрафовать?

Всех, кто обрабатывает персональные данные. А обработка персональных данных – это любые действия по сбору, хранению, записи, использованию, передаче персональных данных (п. 3 ст. 3 Федерального закона «О персональных данных» № 152-ФЗ).

Что относится к персональным данным?

Любая информация, позволяющая идентифицировать человека. В формулировке закона - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Такой информацией, например, являются:

фамилия, имя, отчество;
год, месяц, дата рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы;
e-mail, фотография, cookie, данные об IP-адресе, местоположении без указания фамилии и имени. Если cookie и IP-адреса стало неожиданностью, то можно посмотреть Решение Арбитражного суда г. Москвы от 11.03.16 г. по делу № А40-14902/2016 .

В конечном итоге, если вы сомневаетесь, относится ли что-то к персональным данным, на всякий случай лучше считать что относится.

Что делать если я - владелец сайта и получаю персональные данные?

Сайт должен соответствовал требованиям Закона.

1. Должно быть размещено согласие на обработку персональных данных, без одобрения которого, пользователь не может вам направлять данные.
2. Разместить на сайте в общем доступе ссылку на документ – политика организации по обработке персональных данных.
3. Все новые пользователи сайта должны быть предупреждены всплывающим на сайте сообщением о сборе данных пользователей (cookie, данные об IP-адресе и местоположении) с целью обеспечения работы сайта. Если пользователь не хочет эти данные предоставлять, он должен покинуть сайт или настроить свое программное обеспечение и/или оборудование таким образом, чтобы сайт эти данные не получал или по ним нельзя было определить пользователя.
4. Определить, должны ли вы подать уведомление об обработке персональных в Роскомнадзор. Из требования уведомлять Роскомнадзор есть исключения (об этом ниже, а также см. ч. 2 ст. 22 Закона).

Что по ответственности?

До 1 июля 2017 года возбуждать дела по административным делам, связанным с персональными данными был вправе исключительно прокурор, с 01 июля 2017 г. дела по статье 13.11 КоАП будут вправе возбуждать должностные лица Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ). Если до 1 июля 2017 года был один состав правонарушения (общее нарушение в сфере персональных данных), то сейчас их стало много:

Правонарушение	Административное наказание	Защита от риска
Обработка персональных данных в "иных" целях Обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями сбора персональных данных (ч. 1 ст. 13.11 КоАП РФ).	Предупреждение или штраф: на граждан - в размере от 1000 до 3000 руб.; на должностных лиц – 5000 до 10 000 руб.; на юридических лиц – от 30 000 до 50 000 руб.	Обрабатывать персональные данные только в указанных в согласии и политике целях и согласно ч. 1 ст. 3 Закона о персональных данных.
Обработка персональных данных без согласия Обработка персональных данных без согласия в письменной форме в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ (ч. 2 ст. 13.11 КоАП РФ).	Штраф: на граждан - в размере от 3000 до 5000 руб.; на должностных лиц (например, директор, кадровик или ИП) – от 10 000 до 20 000 руб.; на организации - от 15 000 до 75 000 руб.	Получить согласие на обработку. При этом согласие на обработку персональных данных должно включать в себя информацию, указанную в части 4 статьи 9 Закона № 152-ФЗ.
Непредоставление доступа к политике по обработке персональных данных Невыполнение операторомобязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных. (ч. 3 ст. 13.11 КоАП РФ).	Предупреждение или штраф: на граждан - от 700 до 1500 руб.; на должностных лиц (например, директора или главбуха) - от 3000 до 6000 руб.; на индивидуальных предпринимателей - от 5000 до 10 000 руб.; на организации - от 15 000 до 30 000 руб.	Опубликовать на сайте документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу.
Сокрытие информации от субъекта о собираемых о нем персональных данных Невыполнение оператором обязанности по предоставлению информации, касающейся обработки персональных данных, в том числе содержащей сведения, указанные в ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ) (ч. 4 ст. 13.11 КоАП РФ).	Предупреждение или штраф: на граждан – от 1000 до 2000 руб.; на должностных лиц (например, директора, кадровика или бухгалтера) - от 4000 до 6000 руб.; на индивидуальных предпринимателей – 10 000 до 15 000 руб.; на юридических лиц (организаций) – от 20 000 до 40 000 руб.	Предоставлять субъекту персональных данных информацию, касающуюся обработки его персональных данных, в сроки, установленные законом.
Невыполнение требований об уничтожении и блокировке персональных данных Невыполнение оператором требования об уточнении персональных данных, их блокировании или уничтожении (ч. 5 ст. 13.11 КоАП РФ).	Предупреждение или штраф: на граждан - от 1000 до 2000 руб.; на должностных лиц (например, директора, кадровика или главбуха) - от 4000 до 10 000 рублей; на ИП - от 10 000 до 20 000 рублей; на юридических лиц – 25 000 до 45 000 руб.	Выполнять требования об уточнении персональных данных, их блокировании или уничтожении, в сроки, установленные законом.
Несохранность персональных данных Необеспечение оператором сохранности персональных данных, если это привело к неправомерному или случайному доступу к персональным данным. А это, в свою очередь, послужило причиной их уничтожения, изменения, блокирования, копирования, предоставления, распространения либо иного неправомерного действия. (ч. 6 ст. 13.11 КоАП РФ).	Штраф: на граждан - 700 до 2000 руб.; на должностных лиц (например, руководителя) - от 4000 до 10 000 руб; на индивидуальных предпринимателей - от 10 000 до 20 000 руб; на организаций – от 25 000 до 50 000 руб.	Обеспечить хранение материальных носителей персональных данных, утвердить правила получения доступа к персональным данным.
Неуведомление Роскомнадзора об обработке данных Непредставление уведомления об обработке персональных данных в Роскомнадзор, его несвоевременное представление либо представление уведомления, содержащего неполные или недостоверные сведения (ст. 19.7 КоАП РФ).	Предупреждение или штраф: для граждан - от 100 до 300 руб.; для должностных лиц (в том числе индивидуальных предпринимателей - примечание к ст. 2.4 КоАП РФ) - от 300 до 500 руб. При этом согласно примечанию к ст. 2.4 КоАП РФ такими лицами являются руководители и иные работники организаций, выполняющие организационно-распорядительные или административно-хозяйственные функции; для юридических лиц - от 3000 до 5000 руб.	Если вы обрабатываете, храните персональные данные – вы оператор и должны уведомить Роскомнадзор (ч. 1 ст. 22, п. 2 ст. 3 Закона). Исключение: уведомлять Роскомнадзор не нужно (часть 2 статьи 22 Закона), если: Вы обрабатываете данные работника (п. 1 ч. 2 ст. 22 Закона). Если обработка включает только фамилии, имена и отчества субъектов персональных данных (п. 5 ч. 2 ст. 22 Закона).

Отсутствие обязанности уведомлять Роскомназдор не освобождает от обязанности получать согласия на обработку персональных данных и иметь политику обработки. Например, если у вас есть работники, то согласие на обработку персональных данных необходимо либо сделать отдельным документом, либо в самом трудовом договоре оставить строчку для подписи работника (Судебная практика считает, что если согласие на обработку персональных данных дано в трудовом договоре, но нет места для подписи работника, то согласие работника не было дано).

Важно помнить: политику, согласие на обработку нужно составлять с учетом того, какие данные вы обрабатываете и какими способами. Это значит, что недостаточно просто скачать в сети эти документы, а нужно переделать их под себя . Если документы не учитывают ваши процессы обработки - считайте что у вас этих документов нет.

И самое главное – насколько риск привлечения к ответственности реален?

Ответ здесь будет крайне расплывчатым. Учитывая новые полномочия Роскомнадзора, новые статьи в КоАП и их весомые суммы, риск привлечения к ответственности вырастет по сравнению с тем, как это было раньше. Но насколько? Практика покажет.

И последнее, что беспокоит из-за грядущих изменений: сейчас регистраторы доменных имен (особенно крупные) по адвокатскому запросу от имени правообладателя охотно выдают информацию об администраторе доменного имени (физическом лице), чье доменное имя или сайт на этом доменном имени, нарушает права этого правообладателя.

Что же будет после 1 июля непонятно. Если регистраторы перестанут выдавать информацию об администраторе-физическом лице (его ФИО, адрес), ссылаясь на необходимость сохранять персональные данные, то правообладатель окажется в затруднительной ситуации: он не сможет обратиться в суд, потому что не знает к кому предъявлять иск.

Правообладатель может обратиться с требованием к владельцу сайта (если его контакты есть на сайте, конечно), а не администратору домена, а потом судебному запросу узнать, кто администратор домена. Однако дальше арбитражный суд не будет рассматривать иск к администратору из-за несоблюдения претензионного порядка разрешения споров. Но соблюсти этот претензионный порядок правообладатель не мог, так как не знал, кому писать.

И получается что после нескольких месяцев судебного процесса, когда правообладатель узнает, кто администратор и направит тому претензию, размер ущерба для правообладателя может стать очень существенным.

Кроме того, в связи с разъяснениями Суда по интеллектуальным правам, некоторые претензии можно предъявить только администратору домена, но не владельцу сайта. Из этого следует, что правообладатель должен еще потратиться на суд с владельцем сайта, который так-то ему не нужен. Такой проблемы нет, если администратор домена – юридическое лицо, но администраторов-физических лиц очень много.

С 1 июля выросли штрафы за нарушение обработки личных данных работников, поэтому стоит навести порядок в документах и проинструктировать персонал. Подробнее о работе с персональными данными с 1 июля 2017 года - в этой статье.

Персональные данные - это любая информация, относящаяся к конкретному сотруднику. Например, Ф. И. О., дата и место рождения, место проживания и др. Работодатель - организация или ИП - в этом случае выступает оператором данных , которые ему становятся известны о сотруднике, и обязан хранить такие сведения в соответствии с установленным порядком.

Личные данные работодателю сообщают только сами работники. После такие сведения, как правило, обобщаются в личных карточках или делах. Если же персональные сведения можно получить от третьих лиц, то об этом следует уведомить работника и получить от него письменное согласие (п. 3 ч. 1 ст. 86 ТК РФ).

Работодатели не вправе получать и обрабатывать персональные данные, которые не относятся к трудовой деятельности, например сведения о личной или семейной жизни. А распространять и раскрывать персональные данные третьим лицам можно только с согласия работника (ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ).

С 1 июля 2017 года введены новые штрафы за нарушения требований обработки и защиты персональных данных. Поэтому следует навести порядок в документах и проинструктировать подчиненных, чтобы компания и лично главбух избежали штрафов.

Обработка персональных данных с 1 июля 2017 года

Основная задача работодателя - защита персональных данных сотрудников. Порядок получения, обработки, передачи и хранения персональных данных должен быть закреплен в локальном акте организации, например в Положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ).

В организации должен быть официально назначен сотрудник, отвечающий за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Это может быть, например, работник отдела кадров.

Организация должна принимать необходимые меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения. Меры безопасности при обработке персональных данных прописаны подробно в статье 19 закона № 152-ФЗ. Напомним о них.

Для обеспечения безопасности персональных необходимо своевременно определять угрозы безопасности при обработке, применять надежные средства защиты и оценивать эффективность защиты, принимать меры для предотвращения незаконного доступа к данным, установить правила доступа к данным, регистрировать и вести учет всех действий при работе с данными.

С 1 июля 2017 года расширен перечень оснований, по которым работодателя привлекут к административной ответственности , если выяснится, что нарушен порядок работы с данными. Изменения внес Федеральный закон от 07.02.2017 № 13-ФЗ. Расскажем о них подробнее.

Вместо одного вида административной ответственности, который был раньше. теперь статья 13.11 КоАП РФ предусматривает семь пунктов. Шесть из них касаются организаций и ИП. То есть за различные нарушения работодателей при работе с персональными данными можно будет применять разные штрафы.

Примеры ошибок обработки персональных данных с 1 июля 2017 года

Оставили документы с личными данными на столе . Штраф за это нарушение - 50 тыс. рублей на компанию, 10 тыс. рублей на главбуха (ч. 6 ст. 13.11 КоАП РФ). Оставлять документы работников на всеобщее обозрение нельзя. Информацией о сотруднике могут воспользоваться посторонние.

Надо разработать порядок работы с персональной информацией. Например, запретить оставлять на столе бумаги с личными данными и выносить их за пределы кабинета. А документы хранить в сейфе или шкафу, где доступ к ним будет ограничен.

Не выдали работнику документы с его данными . Сокрытие от человека его персональных данных - тоже нарушние. Штраф - 50 тыс. рублей на компанию, 5 тыс. рублей на главбуха (ст. 5.27 КоАП РФ).

Выдавайте работникам расчетные листки. Для этого теперь даже не надо тратиться на бумагу. Можно разослать листки на электронную почту либо сообщением на корпоративном сайте вашей организации. Сведения о стаже выдавайте в течение 5 календарных дней с момента, когда за ними обратится работник, а также в день увольнения.

Не обновили старые данные . Штраф составит 45 тыс. рублей на компанию, 10 тыс. рублей - на главбуха (ч. 5 ст. 13.11 КоАП РФ). Данные работника могут меняться, поэтому их надо обновлять по просьбе сотрудника. Например, сотрудница вышла замуж и сменила фамилию, адрес или реквизиты счета. Если компания не обновит информацию, то нарушит правила работы с данными.

Сразу вносите новые сведения в базу, если сотрудник принес документы. Так вам будет проще заполнять отчетность.

Разместили информацию на стенде . Штраф - 75 тыс. рублей на компанию, 20 тыс. рублей на главбуха (ч. 2 ст. 13.11 КоАП РФ). Личные данные можно раскрыть и случайно. Например, главбух разместил на стенде копию заявления сотрудника на имущественный вычет как образец. В документе личные реквизиты, поэтому это нарушение. Сотрудник не давал согласие, чтобы информация о нем стала общедоступной. Размещать информацию нельзя и на доске позора. Для этого необходимо запросить согласие работника.

Не разглашайте сведения о сотрудниках без согласия. Если нужно вывесить образец, используйте вымышленные сведения.

Передали имя, адрес или номер телефона сотрудника . Цена нарушения - 50 тыс. рублей на компанию, 10 тыс. рублей на главбуха (ч. 1 ст. 13.11 КоАП РФ). Информацию о сотрудниках запрещено передавать третьей стороне без согласия, например банкам или коллекторским агентствам. Чтобы передать информацию, запросите согласие работника.

Передавать информацию о сотруднике по просьбе другой организации или «физика» можно, только если работник выдал им доверенность на получение сведений. Согласие работника на обработку данных не требуется только в случаях, которые предусмотрены законом. Например, если работник покупает что-то у компании и хочет получить на почту или телефон электронный чек (письмо Минкомсвязи России от 07.07.2017 № П11-15054-ОГ).

С 01.07.2017 г. действуют изменения в ст. 13.11 КоАП РФ об административной ответственности за нарушение законодательства о персональных данных физлиц. Поскольку поправки касаются всех, кто использует персональные данные, рассмотрим эти новшества в нашей статье.

Обработка персональных данных – 2017

Персональные данные – это любая информация, прямо или косвенно относящаяся к конкретному физлицу (имя, адрес проживания, дата рождения, паспортные данные, номер телефона, фото, адрес электронной почты, и т.д.). Организация, госорган или физлицо, собирающее и обрабатывающее персональные данные, именуется оператором (Закон о персональных данных от 27.07.2006 № 152-ФЗ). К таковым относятся работодатели, а также все, кто получает личные данные от граждан – медучреждения, учебные заведения, интернет-магазины и т.д.

Для работодателя такие данные необходимы в связи с трудовыми отношениями. Получить их можно только лично от самого работника, а от третьих лиц - с его письменного согласия. Физлицо дает письменное согласие на обработку персональных данных. Бланк законодательством не утвержден, составить его можно самостоятельно, с учетом требований п. 4 ст. 9 закона № 152-ФЗ(п. 3 ч. 1 ст. 86 ТК РФ, п. 1 ст. 9 закона 152-ФЗ).

Согласие на обработку персональных данных (образец)

Недопустимо собирать и обрабатывать персональные данные работника, не относящиеся к его трудовой деятельности, например, об участии в общественных объединениях, вероисповедании, личной жизни и т.п. Это же касается и прочих операторов, которые запрашивают данные, не имеющие отношения к цели их обработки (например, указание паспортных данных в анкете об оценке работы сайта). Полученные данные не должны раскрываться третьим лицам или распространяться без согласия физлица (ст. 7 закона № 152-ФЗ).

Оператор обязан обеспечить данным надлежащую защиту, для чего закрепляет порядок их получения, обработки и хранения в Положении о персональных данных или ином внутреннем нормативном акте. В документе определяются необходимые меры, а также назначается ответственный за обработку. Доступ к таким данным должен разрешаться только уполномоченным на то лицам, причем они вправе получать только сведения, необходимые для осуществления конкретных функций (ст. 88 ТК РФ, ст. 18.1 закона № 152-ФЗ).

Положение о персональных данных либо иной документ о политике их обработки, находятся в открытом доступе и предъявляются по запросам уполномоченных органов - это касается и работодателей, и прочих операторов (ч. 2 и 4 ст. 18.1 закона № 152-ФЗ).

Персональные данные – 2017: новое в административной ответственности

Законом от 07.02.2017 № 13-ФЗ была принята новая редакция статьи 13.11 КоАП РФ. Если ранее статья содержала один единственный состав – нарушение ФЗ о персональных данных, теперь это целый перечень из семи оснований административной ответственности и, соответственно, разные штрафы. Вероятно, что при обнаружении нескольких нарушений у одного оператора, ему грозит несколько штрафов, а не один.

Также претерпели изменения статьи 28.3 и 28.4 КоАП РФ, упростив процесс привлечения операторов к ответственности: с 01.07.2017 г. протоколы о нарушениях закона 152-ФЗ о персональных данных составляют сотрудники Роскомнадзора, а не прокурор, как раньше. Срок для привлечения к ответственности остался прежним – 3 месяца.

За что теперь штрафуют

Итак, вот по каким основаниям теперь могут привлекаться к административной ответственности предприниматели и организации, обрабатывающие персональные данные:

Данные обрабатываются в случаях, не предусмотренных ФЗ о персональных данных либо их обработка несовместима с целями сбора (ч. 1 ст. 13.11 КоАП РФ) . Незаконное использование личных данных, если оно не влечет уголовной ответственности, грозит предупреждением, или штрафом: физлицам в 1000-3000 руб., должностным лицам – 5000-10 000 руб., организациям – 30 000-50 000 руб.
Обработка данных без письменного согласия, необходимого по закону (п. 2 ст. 13.11 КоАП РФ). Согласие на обработку должно содержать информацию, указанную в ч. 4 ст. 9 закона 152-ФЗ о персональных данных. Изменения 2017 г. предусматривают с 1 июля штраф за его отсутствие в следующем размере: для нарушителей физлиц – 3000-5000 руб., для должностных лиц – 10 000-20 000 руб., для организаций – 15 000-75 000 руб.
Отсутствие неограниченного доступа к политике оператора в области обработки персональных данных (п. 3 ст. 13.11 КоАП РФ). Обязанность обеспечения доступа установлена п. 2 ст. 18.1 закона 152-ФЗ о персональных данных. Невозможность ознакомиться с таким документом на бумаге либо на сайте, если данные собираются через интернет, обойдется операторам: в 700-1500 руб. - физлицам, 3000-6000 руб. – должностным лицам, 5000-10 000 руб. – ИП, 15 000-30 000 руб. – организациям, а в лучшем случае все обойдется предупреждением.
Непредоставление лицу информации, касающейся обработки его персональных данных (п. 4 ст. 13.11 КоАП РФ). Порядок запроса такой информации прописан в статье 14 закона 152-ФЗ. Изменения с 01.07.2017 следующие: за нарушение полагается предупреждение, либо штраф 1000-2000 руб. – физлицам, 4000-6000 руб. - должностным лицам, 10 000-15 000 руб. – ИП, 20000-40000 руб. – организациям.
Невыполнение в установленные сроки требования о блокировании, изменении или уничтожении персональных данных (п. 5 ст. 13.11 КоАП РФ) . Физлицо или его представитель могут заявить такие требования, если данные неполные, неточные, получены с нарушением закона, либо устарели, это установлено статьей 21 закона о персональных данных № 152-ФЗ. Нарушителей ждет предупреждение, или штраф: 1000-2000 руб. физлицам, 4000-10 000 руб. должностным лицам, 10 000-20 000 руб. – ИП, 25 000-45 000 руб. организациям.
Несоблюдение условий, обеспечивающих сохранность персональных данных при неавтоматизированной обработке (п. 6 ст. 13.11 КоАП РФ). Это касается «бумажных» данных, несанкционированный доступ к которым стал причиной их уничтожения, повреждения, незаконного распространения и т.п. Не обеспеченная защита персональных данных в 2017 г. влечет штраф 700-2000 руб. для граждан, 4000-10 000 руб. для должностных лиц, 10 000-20 000 руб. для ИП и 25 000-50 000 руб. для организаций.

Таковы изменения в защите персональных данных 2017 г., заработавшие с 1 июля. Как видим, составы правонарушений стали более конкретными, а штрафы для операторов заметно ужесточились.

Здравствуйте, дорогой коллега!

Если у вас есть сайт, то с 1-го июля вы можете попасть на штрафы до 300000 руб. просто за то, что не разметили нужную информацию.

В феврале 2017 года были внесены поправки в Федеральный закон 152 по поводу нарушений закона о персональных данных.

Поправки вступают в силу 1 июля 2017 года и коснутся всех, кто обрабатывает и хранит на сайте любые персональные данные.

Являетесь ли вы оператором персональных данных?

Являетесь, если используете следующие инструменты:

обратная связь (форма обратной связи, заказ обратного звонка, форма любой заявки),
пользователи (регистрация, авторизация, данные соц.сетей),
продажи (данные для доставки и связи с клиентом),
е-маил маркетинг (подписка на новости, рассылку, на лидмагнит).

Персональные данные - это любая информация о пользователе, по которой его можно идентифицировать.

Например, по имени и логину понять что за человек нельзя. А вот по логину и е-маилу уже можно. Также можно определить пользователя по установленному пикселю ретаргетинга на сайте.

Поэтому вы являетесь оператором персональных данных, если пользователи на вашем сайте оставляют в любом сочетании следующие данные:

е-маил
телефон
адрес
образование, семейное положение, уровень доходов,
cookie
данные об IP адресе и местоположении

Что делать с сайтом?

Хостинг и база данных должны располагаться на территории России
По хранению персональных данных в ФЗ 152 не все прозрачно и понятно, поэтому, чтобы не было проблем лучше руководствоваться требованием ФЗ-242 и хранить данные на территории РФ.
Согласие на обработку персональных данных
Под каждой формой разместить текст "Нажимая на кнопку, вы даете согласие на обработку своих персональных данных" и ссылка на документ.
Разместить в футере ссылку на политику работы с персональными данными
Необходимо подготовить документы по работе с персональными данными (по закону эти документы можно объединить в один).
Зарегистрироваться в Роскомнадзоре
Ссылка на регистрацию http://pd.rkn.gov.ru/operators-registry/notification/form/ .
Разместить на сайте всплывающую информацию о сборе cookies.

Кроме этого нужно:

Сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали
Удалять по первому требованию данные, которые используются для рассылки
Подписать с сотрудниками обязательства о неразглашении персональных данных
Защищать сайт и базу данных от взлома и утечки

Зачем нужна регистрация в Роскомнадзоре?

По закону операторы персональных данных должны уведомить Роскомнадзор, причем сделать это нужно до начала обработки данных или хотя бы до 1 июля 2017 г.

Уведомление можно не подавать если:

Обрабатываются только данные сотрудников.
Персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более распространяться.
Человек сам опубликовал эти данные в общем доступе.
У вас есть только ФИО клиента.

Штрафы

Штраф не зависит от вида нарушения. Для ИП или директора 1000 руб., для юр.лица - 10000 руб.

Выпиской штрафов занимается прокуратура. Процедура длительная, сумма не высокая, поэтому на этот счет не было особых переживаний.

7 видов нарушений, общий штраф до 295000 руб.

Нет политики конфиденциальности - штраф 10 тыс.руб. для ИП, 30 тыс.руб. для юр.лица.
Нет согласия на обработку персональных данных клиента магазина или подписчика на информационный курс - штраф 20 тыс.руб. для ИП, 75 тыс.руб. для юр.лица.
В форме обратной связи нет ссылки на обработку персональных данных, то штраф для юр.лица 50 тыс.руб.
За отказ в уточнении или удалении персональных данных штраф 20 тыс.руб. для ИП и 45 тыс.руб. для юр.лица.

Выпиской штрафов занимается Роскомнадзор, решение принимается быстро.

Перед наложением штрафа Роскомнадзор присылает уведомление о нарушении и требование предоставить документы.

Будут ли штрафовать на самом деле?

Как говорится, время покажет. Но на данный момент в Тамбовоской области и в Астрахани прокуратура идет просто по списку сайтов и штрафует за формы обратной связи.

Может быть им делать больше нечего, может нагнетают страха перед введением закона. Но так или иначе, лучше подготовиться.

Изменения в закон о персональных данных 2017 года были внесены не только с целью дополнения его новой информацией, но и для изменения степени ответственности операторов данных, допустивших нарушения в ходе обработки сведений такого рода. О том, что именно изменилось в законодательстве, расскажет вам наша статья.

ФЗ «О персональных данных» от 27.06.2006 № 152 с изменениями 2017 года

Действующее законодательство постоянно претерпевает изменения — и федеральный закон № 152 не стал исключением. В 2017 году в текст этого нормативного акта был внесен ряд изменений. Существенного влияния на существующий порядок работы с персональными данными (ПД) они не оказали, т. к. внесены были следующие дополнения:

Определяющие обязанность уполномоченных органов по осуществлению государственного контроля над деятельностью операторов ПД, выполняющих сбор, обработку и хранение таких данных (федеральный закон «О внесении…» от 22.02.2017 № 16).
Указывающие на необходимость обработки ПД объектов, находящихся под охраной государства, а также субъектов, находящихся под такой охраной, и членов их семей с учетом особенностей, установленных федеральным законом «О государственной…» от 27.05.1996 № 57 (федеральный закон «О внесении…» от 01.07.2017 № 148).
Устанавливающие обязанность лиц, ответственных за работу с ПД, содержащимися в информации о деятельности судов в РФ, руководствоваться в своей деятельности положениями федерального закона «Об обеспечении…» от 22.12.2008 № 262 (федеральный закон «О внесении…» от 29.07.2017 № 223).

Новый закон об ответственности за нарушения в сфере оборота персональных данных и их защиты

Перечисленные вышеизменения в законе о персональных данных 2017 года являются не единственным нововведением, которое коснулось операторов ПД. С 01.07.2017 в силу вступил федеральный закон «О внесении…» № 13 от 07.02.2017, внесший коррективы в ст. 13.11 КоАП РФ. Изменениями был расширен перечень оснований, позволяющих привлечь оператора ПД к административной ответственности, а также существенно увеличен размер налагаемого на него материального взыскания.

Не знаете свои права?

При этом к нарушениям в области работы с ПД по новому закону относятся:

обработка ПД в том случае, если таковое не предусмотрено законодательством;
отсутствие документально оформленного согласия субъекта ПД на обработку сведений, позволяющих его идентифицировать;
отсутствие у оператора ПД документа, содержащего политику по обработке ПД (или доступа к нему);
непредоставление лицу, являющемуся субъектом ПД, сведений о деятельности, направленной на обработку данных;
невыполнение требования субъекта ПД о внесении правок в ранее полученные оператором сведения, их блокировке или ликвидации;
нарушение процедуры обеспечения безопасности используемых оператором данных, ставшее причиной нарушения их конфиденциальности;
неисполнение требований по обезличиванию ПД.

Как видите, в 2017 году законодательство, регулирующее порядок и правила работы с ПД, действительно претерпело некоторые изменения. При этом коррективы были внесены как в ФЗ № 152, так и в действующий КоАП РФ, определяющий размер ответственности операторов ПД, допустивших нарушения при работе с такого рода информацией.