Что нужно знать об обработке и хранении персональных данных в россии? правовое регулирование

Что значит обработка личной информации и каковы её цели?

Справка. На основании ст. 3 ФЗ № 152 от 27.07.2006, персональной является любая информация, которая прямо или косвенно касается конкретного физического лица.

К личным сведениям причисляются:

  • ФИО;
  • дата и место рождения человека;
  • его адрес;
  • уровень образования;
  • должность;
  • фото- и видеозаписи;
  • семейное положение;
  • родственники;
  • биографические факты;
  • подробности о судимости;
  • место работы;
  • финансовое состояние;
  • подтверждение службы в армии;
  • оценочные характеристики;
  • национальность;
  • раса;
  • религиозные взгляды;
  • состояние здоровья;
  • политические убеждения;
  • интимная жизнь;
  • биометрия;
  • прочие идентифицирующие личность факты.

Такая информация может содержаться в:

  • паспортах;
  • трудовых книжках;
  • военных билетах;
  • справках о составе семьи;
  • дипломах;
  • декларациях о доходах;
  • анкетах;
  • личных карточках;
  • свидетельствах о бракосочетании и метриках на детей;
  • медицинских картах.

Внимание. Обработка личной информации – это любые действия, которые производятся над ней.. Она проходит следующие этапы:

Она проходит следующие этапы:

  1. сбор;
  2. запись;
  3. систематизация;
  4. накопление;
  5. хранение;
  6. уточнение (обновление, изменение);
  7. извлечение;
  8. использование;
  9. передача;
  10. обезличивание;
  11. блокирование;
  12. уничтожение.

Автоматизированная обработка

Используется несколько способов обработки личной информации:

  • автоматизированный;
  • неавтоматизированный;
  • смешанный.

Автоматизированная обработка производится с применением средств автоматизации.

Правовое основание этой деятельности в России

В этой сфере следует руководствоваться нормами ФЗ № 152, № 149 и иными нормативными актами относительно защиты данных. Требования нормативных актов в сфере защиты личной информации затрагивают деятельность различных участников экономических процессов:

Важно. В последние годы полномочия Федеральной службы Роскомнадзор, на которую возложен надзор за соблюдением законодательства в этой сфере и контроль операторов, обрабатывающих личные сведения граждан, были расширены.

На какие категории разделяют персональные данные клиентов

Постановление № 1119 Правительства РФ гласит, что персональные данные граждан делятся на три группы, исходя из которых определяется степень их защиты:

  1. Религиозные, философские, политические взгляды, а также информация о личной и интимной жизни человека, сведения о гражданстве к специальной категории.
  2. Фото, отпечатки пальцев, рост, вес, другие физические параметры и биологические сведения относятся к биометрической категории.
  3. Персональные данные, выложенные самими гражданами в открытый доступ, например, анкеты в соцсетях, относятся к общей категории.

Остальные сведения, не входящие в три основные разряда, – это другие группы.

Подробнее

Существуют типы по количеству людей, данные которых хранятся одновременно:

  • менее 100 000 субъектов;
  • более 100 000 субъектов.

Исходя из принятых классификаций, определяется и необходимый уровень защиты личных данных.

Что такое дата центр при обработке личных сведений?

Сервер

Работа центра обработки данных обеспечивает высокое качество обработки информации на большой скорости, при этом не теряя деталей и сохраняя целостность этой информации

Производительность сервера – один из главных факторов, на которые обращает внимание компания

Кроме того, важными функциями ЦОДа как сервера считают:

  • возможность справляться с большими нагрузками в реальном времени;
  • высокая степень управляемости;
  • постоянный доступ;
  • перераспределение нагрузок с целью более оперативного решения бизнес-задач.

Как сервис

Компании, предоставляющие услуги дата-центров, предлагают широкий спектр основных и дополнительных услуг. В них входят аренда телекоммуникационных стоек, шкафов, выделенных серверов, колокейшн, виртуальный хостинг и возможность использования облачных платформ.

Важно! Центр должен иметь внешнюю охрану, обеспечивать контроль доступа и предоставлять гарантию надежности.

Кроме того, важным фактором работы ЦОД считаются устойчивые интернет каналы и наличие точек обмена трафиком. Электропитание должно быть не менее надежным, включать независимые вводы электричества и дизельные электростанции.

Благодаря вышеуказанным факторам, ЦОД как сервис можно считать высокоэффективным и надежным, имеющим отказоустойчивую инфраструктуру.

Преимущества хранения персональных данных в облаке

Современные облачные технологии позволяют безопасно хранить большой массив персональных данных, имея ряд важных преимуществ:

  • простая и доступная инфраструктура для хранения данных;
  • удобная эксплуатация инфраструктуры без дополнительного обеспечения электропитания, мер безопасности и т.п.;
  • быстрый и удобный доступ к информации, в том числе с мобильных устройств;
  • фиксированная стоимость объема или определенного места в облачном хранилище;
  • комплексный функционал без найма дорогих специалистов;
  • доступное подключение дополнительных способов обработки информации;
  • гибкое управление затратами на вычислительные инструменты;
  • доступное восстановление данных в случае, если была нарушена их целостность.

Уровни защиты персональных данных

При разделении защиты на уровни образуется четыре основных степени. Четвертая степень считается базовой защитой, для обеспечения безопасности которой требуется:

  1. Обезопасить от посторонних помещение, в котором содержится вся информация – дверь должна постоянно быть закрытой, доступ только у доверенных лиц. Установленное видеонаблюдение, график дежурства, разработка системы контроля за входящими и выходящими.
  2. Все носители, на которых содержится информация, должны быть спрятаны в сейфе и зашифрованы.
  3. Составление перечня лиц, имеющих доступ к информации – постоянный контроль за их деятельностью.

Все последующие уровни защиты использую базовые принципы, но при этом добавляют новые способы защиты:

  • На третьем – назначается ответственное за контроль лицо, которое будет отвечать за их сохранность.
  • На втором – доступ к просмотру электронного журнала контроля имеют только уполномоченные лица.
  • На первом – устанавливается сигнализация, происходит регистрация любых изменений, связанных с ПД.

Уровень подбирается исходя из количества охраняемой информации и ее категории.

Ответственность оператора персональных данных

Чаще всего компании, предоставляющие услугу обработки персональных данных, – это облачные сервис-провайдеры. Согласно законодательству Российской Федерации ограничений по использованию облачных технологий для сбора, хранения и последующей обработки персональных данных нет. Причем относится это ко всем облачным моделям: IaaS, SaaS, PaaS.

Кроме того, Закон не запрещает сотрудничать с иностранными компаниями, имеющими собственные или арендуемые серверы, при условии, что все они расположены на территории Российской Федерации, где и хранятся базы с персональными данными пользователей. В момент сбора личная информация пользователей также должна фиксироваться только на территории РФ. Всё это в обязательном порядке подтверждается соответствующими документами.

Обратите внимание, что наличие у оператора персональных данных аттестации ФСТЭК и ФСБ свидетельствует о том, что решение, которое он предлагает, соответствует требованиям 21 приказа ФСТЭК, в котором описаны организационные и технические меры по защите персональных данных, а также что оно прошло проверку аккредитованными органами по аттестации ФСТЭК. Оператор персональных данных должен всегда работать в рамках Федерального закона №152, иметь все необходимые ресурсы для обработки и хранения персональных данных, а также оказывать консультационную поддержку заказчику и помощь при подготовке необходимых документов и внутренних регламентов

Оператор персональных данных должен всегда работать в рамках Федерального закона №152, иметь все необходимые ресурсы для обработки и хранения персональных данных, а также оказывать консультационную поддержку заказчику и помощь при подготовке необходимых документов и внутренних регламентов.

Согласно Закону информационные системы, в которых обрабатываются персональные данные, можно передавать на аутсорсинг. Cервис-провайдер берет на себя всю техническую часть обработки персональных данных и разделяет юридическую ответственность оператора персональных данных.

Согласно ФЗ-152 оператор отвечает непосредственно перед субъектом персональных данных, поэтому каждый сервис-провайдер должен быть оператором персональных данных. При такой схеме работы сервис-провайдер безусловно несет ответственность за сохранность данных, но с заказчика (поставщика информационной системы), как первого оператора, никто ответственности также не снимает, поэтому нужно очень внимательно подходить к выбору делового партнера.

Приложения для эффективного управления командировками и авансовой отчетностью от Hamilton Apps являются облачными – это значит, что готовое решение предоставляется компании-клиенту в аренду.

Персональные данные всех пользователей приложений Hamilton Apps в лице сотрудников этих компаний хранятся и обрабатываются исключительно на территории Российской Федерации в соответствии с ФЗ № 152 «О персональных данных». 

Помните, что с 1 июля 2017 года хранить и обрабатывать личные данные граждан РФ на территории страны обязаны все операторы персональных данных.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ). Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись. При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ. Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных. Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения. Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия. Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Краткий чек-лист для безопасной работы с ПДн

Чтобы собирать, хранить и обрабатывать ПДн, нужно соблюдать 152-ФЗ:

  • Зарегистрироваться в Роскомнадзоре, как оператор.
  • Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать лишнее.
  • Отвечать на обращения субъектов и предоставляете всю информацию.
  • Собирать и хранить информацию только для достижения определенных целей в определенный срок.
  • Хранить и защищать ПДн по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
  • Уточнять, блокировать или уничтожать ПДн по заявлению субъектов или когда достигли целей.

В законе, постановлениях и других документах, связанных со 152-ФЗ, нет четких указаний или чек-листов, что делать в разных случаях, чтобы работать по закону. Поэтому у нас есть только примерные списки действий при работе с ПДн, которые можете использовать.

Общие правила

Очень важно соблюдать правила хранения, так как в противном случае халатность руководства может привести к нарушению конституционного права граждан на конфиденциальность персонифицированной информации. Статьей 87 ТК РФ установлено, что порядок хранения персональных данных работника должен быть разработан и утвержден работодателями

При этом они должны учитывать все требования, которые установлены ТК и другими федеральными законами. Основные сроки содержания документов, отражающих информацию о работниках, установлены Приказом Минкультуры 2010 года № 558.

Запомните:

  • Справки, докладные, служебные записки, копии приказов, выписки из приказов, заявления, не вошедшие в состав личных дел ХРАНЯТ 5 ЛЕТ.
  • Сводные расчетные ведомости, расчетные листы на выдачу заработной платы, пособий, гонораров, материальной помощи и др. выплат; доверенности на получение денежных сумм и товарно-материальных ценностей, в том числе аннулированные доверенности о получении заработной платы и других выплат ХРАНЯТ 75 ЛЕТ.
  • Анкеты, автобиографии, листки по учету кадров, заявления, рекомендательные письма лиц, не принятых на работу ХРАНЯТ 3 ГОДА.
  • Переписку по поводу перевода сотрудников ХРАНЯТ 3 ГОДА.
  • Командировочные удостоверения ХРАНЯТ 5 ЛЕТ.

С полным списком документов и сроками их хранения можно ознакомиться в Приложении к вышеназванному Приказу.

Как наказывают виновных в утечке конфиденциальной информации?

Способов множество, но важно, какой именно объем информации распространялся без ведома субъекта и какой ущерб это ему причинило. Максимальная известная компенсация за утерю персональных данных – 14 миллионов рублей, это было в 2018 году

Для обеспечения максимальной безопасности все российские компании обязаны хранить информацию на российских серверах. А за неправильное использование данных будут штрафовать:

  1. У компании нет четко разработанной политики работы с персональными данными – штраф от 3 до 6 тыс. для сотрудников, и от 15 до 30 тыс. для компаний.
  2. Информация раскрылась из-за халатности работника – штраф от 4 до 10 тыс. и от 25 до 50 тыс. соответственно.
  3. От 5 до 10 тыс. для сотрудников и от 30 до 50 тыс. для организации – если ведется неправильный или излишний сбор информации без последующей чистки ненужного.
  4. Отказ от удаления данных по требованию субъекта – от 4 до 10 тыс. и от 25 до 45 тыс. соответственно.
  5. При разглашении ПД путем передачи информации о размере зарплаты, передача данных о клиенте в другую фирму: от 10 до 20 тыс. и от 15 до 75 тыс. соответственно.

Помимо штрафов, сотрудника компании могут уволить. А в некоторых особо критичных ситуациях могут быть применены меры уголовного наказания: условные сроки и даже реальное заключение.

Получение согласия

Естественно, в работе правозащитных организаций иногда получить согласие человека невозможно. Например, при похищении человека или при применении пыток к заключенному. В законодательстве есть ряд исключений, которые позволяют обрабатывать персональные данные без согласия

Поэтому при работе с такими обращениями важно понимать, в какую категорию исключений они могут попасть (на случай, если к Вам после публикаций придет Роскомнадзор с проверкой). Но их немного:

Если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, и если получение согласия субъекта персональных данных невозможно. Как только угроза жизни или здоровью прекращается, обработка должна быть прекращена. При этом понять, когда, по мнению Роскомнадзора, угрозу можно считать прекращенной, например, при жалобах на пытки в СИЗО, не совсем ясно. Очевидно одно, что в течение короткого времени, данное исключение будет позволять работать с персональными данными, но если есть перспектива долгосрочной работы над обращением, лучше взять согласие.    

Если есть договор между организацией и лицом (например, родственником пропавшего), в котором бенефициаром (человеком, в пользу которого договор исполняется) является лицо, чьи персональные данные подлежат обработке. Это может быть договор оказания услуг (например, юридических, и например, на безвозмездной основе). Поэтому если получение согласие от субъекта персональных данных никак невозможно, то рекомендуем заключить подобный договор с родственником. В таком случае, Вам будет, что предъявить Роскомнадзору при внеплановой проверке.

Однако если Вы обрабатываете данные, которые относятся к категории «специальные персональные данные» (это данные относительно расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), то нужно обязательно брать согласие человека.

Правила хранения персональных данных

ТК РФ обязывает каждого работодателя разрабатывать правила использования и хранения данных о персонале на своем предприятии, учитывая требования федеральных законов.

Принятые соответствующие нормы и правила, могут содержаться в локальном акте фирмы о персональных данных. Чаще всего, таким документом становится Положение о защите персональных данных работников, но не запрещается включать данный раздел в Правила внутреннего распорядка.

Каждого сотрудника необходимо ознакомить с данным нормативным актом, поскольку ТК РФ прямо указывает на права работников участвовать в разработке мероприятий по обеспечению безопасности персональных данных.

Для сохранения конфиденциальности персональных данных составляется список должностных лиц, имеющих к ним доступ, и разрабатывается форма документа, к примеру, «Соглашение о неразглашении», которое подписывают не только рядовые работники-исполнители (специалист по кадровой работе, бухгалтеры и др.), но и руководители подразделений, генеральный директор предприятия.

Рекомендации по выполнению требований законодательства о персональных данных на сайтах

Если вы являетесь оператором по обработке персональных данных. 

1. До 1 июля 2017 года при заходе на ваш сайт посетитель должен увидеть уведомление, в котором будет ясно написано, что его персональные данные обрабатываются на данном сайте в целях его функционирования, и если он не согласен на обработку, то может покинуть сайт. Если посетитель это прочитал и не ушёл, значит, он согласен на обработку своих персональных данных.

2. Мы уже писали, что персональные данные надо хранить в России. Чтобы у вас не было проблем с российским законодательством, свой сайт лучше создать на территории РФ. Также узнайте у технической поддержки хостинг-провайдера или ЦОДа точный адрес расположения вашего сервера. Эта информация может понадобиться для проверок Роскомнадзора.

3. На вашем сайте должны быть указаны контактные данные для связи с администратором сайта. Укажите адрес электронной почты, по которому посетитель может обратиться с любым вопросом, в том числе и по обработке персональных данных, их изменению и удалению. 

4. Вам как владельцу сайта надо будет утвердить своим приказом Политику в отношении обработки персональных данных и разместить её в своем офисе или месте проживания, на своем сайте и в мобильном приложении своего сайта так, чтобы она была видна всем посетителям. Обычно она публикуется в нижней части сайта гиперссылкой на отдельную страничку. Но это не тот документ, с которым регистрирующийся посетитель соглашается при заполнении формы. Тот называется Соглашение об обработке персональных данных, и его также необходимо подготовить и опубликовать, чтобы при регистрации посетитель его видел. 

5. Давайте более подробно поговорим про размещение документа под названием «Согласие на обработку персональных данных». Под каждой формой ввода данных на сайте, а также и в мобильном приложении, необходимо будет разместить текст примерно такого содержания «Нажимая на кнопку ВВЕСТИ, я выражаю свое согласие на обработку своих персональных данных», где слова «согласие на обработку персональных данных» будут ссылкой на сам документ. 

6. Вам необходимо подать в Роскомнадзор уведомление об обработке персональных данных посредством заполнения этих форм. Все поля обязательны к заполнению

И, что важно, каждый раз, когда у вас что-то меняется (категории персональных данных, лицо, ведущее обработку персональных данных) необходимо повторно информировать об этом Роскомнадзор через эти формы. Роскомнадзор опубликовал образцы заполнения данных форм

7. Если вы не хотите больше обрабатывать персональные данные, то вам необходимо направить в территориальный орган Роскомнадзора заявление об исключении из Реестра операторов, осуществляющих обработку персональных данных. Это надо сделать в течение десяти рабочих дней после завершения обработки, вот пример такого заявления. Также такое заявление можно подать в электронном виде на сайте «Госуслуг». 

После подачи заявления персональные данные должны быть уничтожены. Порядок уничтожения персональных данных определяется оператором самостоятельно. Можно составить акт об уничтожении персональных данных или сделать запись в специальном журнале. 

8. Запросите у вашего ЦОД и хостера документы, дающие гарантию, что персональные данные находятся под защитой. Эти документы могут вам понадобиться при проверке.

9. Подготовьте документы, которые будут подтверждать, что вы сами принимаете меры по обеспечению безопасности персональных данных, осуществляете внутренний контроль и аудит, оцениваете вред, который может быть причинен в случае нарушений. Обязательно обозначьте уровень защищенности персональных данных и определите тип актуальных угроз. Подробнее здесь.

Кстати, на некоторых сайтах за вознаграждение можно заказать весь пакет необходимых документов.  

10. Помните, что у людей, персональные данные которых вы обрабатываете, есть право затребовать у вас информацию о том, какие именно их персональные данные, как, сколько по времени, кем и в каких целях используются и др. Разработайте заранее форму ответа. Необходимо отвечать в течение 30 дней. 

11. Подумайте, необходима ли вам вообще форма обратной связи с персональными данными на сайте. Может быть, не очень?

Свои вопросы по правилам хранения персональных данных вы можете задать юристу: legal4advice@gmail.com

Кроме того, вам необходимо подготовить набор документов, который вы будете хранить у себя, они регламентируют порядок работы с персональными данным. 

Основные правила

Основные правила хранения ПД утверждены .

В пункте 7 статьи 5 закона сказано, что хранение информации должно осуществляться в форме, не позволяющей определить субъекта (владельца) ведомостей более длительное время, чем того требуют цели конкретного информационного взаимодействия.

Также уточняется, что длительность хранения должна устанавливаться федеральным законом, договором или другими актами между субъектом и оператором сведений такого типа. Доступ к ведомостям должен быть максимально ограничен.

Работники подписывают документы о неразглашении, а также ведут учет всех сохраняемых данных, указывая:

  • Наименование, тип, емкость документа.
  • Местонахождение носителя.
  • Дата начала хранения (регистрации).
  • Ответственное за хранение лицо.

Внимание! Хранить персональные данные граждан, согласно , можно только на серверах, которые физически находятся на территории Российской Федерации.

На практике это означает, что, например, банки, постоянно работающие с конфиденциальными сведениями, должны иметь свои дата-центры в РФ или обратиться в дата-центры, предлагающие услуги ро размещению серверов.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст. 23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

  • штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
  • либо обязательными работами на срок от 120 до 180 часов;
  • либо исправительными работами на срок до одного года;
  • либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

  • штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
  • либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • либо арестом на срок от четырех до шести месяцев.

Хранение персональных данных на территории России

Может быть, помните, что начиная с лета 2014 года было много шума из-за принятия закона о персональных данных (№242-ФЗ)? Этот закон обязывает операторов персональных данных обеспечить запись, хранение (и прочие операции) персональных данных граждан РФ с использованием баз данных на территории РФ с 1 сентября 2015 года.  Это означает, что персональные данные наших соотечественников должны храниться на российской территории. Однако это не означает,  что за рубежом они не могут храниться вовсе. Согласно позиции Министерства связи, хранение данных за пределами РФ является возможным, если первоначальная обработка осуществлялась на территории РФ. Другими словами, можно иметь две базы данных – одна в России, а другая – за рубежом. При этом Роскомнадзор, скорее всего, не сможет проверить, насколько эти базы  идентичны.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий