Новые штрафы за нарушение законодательства в области ПДн с 01.07.2017


23.06.2017

С 1 июля 2017 года существенно ужесточена ответственность за нарушения при взаимодействии с персональными данными физических лиц. Это следует из положений Федерального закона от 07.02.2017 № 13-ФЗ. Новые поправки касаются всех, кто взаимодействует с персональными данными физических лиц, в том числе всех работодателей, которые связаны с обработкой данных своих сотрудников.

 

Кто является оператором персональных данных?

Под персональными данными можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу – п. 1 ст. 3 Федерального закона от 27 июля 2006 № 152-ФЗ.

Вы являетесь оператором персональных данных, если Вами запрашивается любым способом от физических лиц следующая информация в любом сочетании: фамилия, имя, отчество, дата и место рождения, место проживания, образование, ссылка на страницу в социальных сетях и т. д.  Фотография или видеозапись также относятся к персональным данным, если по ним можно идентифицировать человека. Исключением будут фото- и видеозаписи, которые сделаны на массовых и публичных мероприятиях.

 

Какая ответственность применяется за нарушения при взаимодействии с персональными данными?

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27 июля 2006 № 152-ФЗ). Разберем каждую из этих видов ответственности.

До 1 июля 2017 года возбуждать дела по административным делам, связанным с персональными данными был вправе исключительно прокурор. С 1 июля 2017 года участие прокурора будет необязательным. С указанной даты дела по статье 13.11 КоАП будут вправе возбуждать должностные лица Роскомнадзора. Такая поправка внесена комментируемым законом в п. 58 ч. 2 ст. 28.3 КоАП РФ. Соответственно, процедура привлечения к ответственности по делам о персональных данных становится проще.

Штрафы разделили по видам нарушений и увеличили в десятки раз. Например, если не разместить на сайте политику конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а компанию - на 30 тысяч рублей. При обработке персональных данных без согласия клиента штраф для юридического лица составит до 75 тысяч рублей. За нарушение неприкосновенности частной жизни  - штраф до 300 тысяч рублей + исправительные работы на срок до 240 часов + арест до 6-ти месяцев (УК, ст. 137).

 

Как правильно работать с персональными данными, чтобы не нарушить закон?

В первую очередь необходимо выяснить, внесена ли информация о Вашей организации в реестр операторов персональных данных. Для этого достаточно ввести в поиске название организации, ИНН и регистрационный номер. Если данное уведомление отсутствует, то нужно его подать (если уведомление не было подано – это повод  оштрафовать Вашу компанию). Если уведомление уже было подано, уточните его содержание. Большая часть штрафов выносится в связи с несоответствием уведомления действительности.

Далее необходимо сосредоточиться на документальном обеспечении и  информировании своих сотрудников. Обязательно собирайте со всех физических лиц согласие на обработку персональных данных.

Для формирования знания и навыков, необходимых для организации и обеспечения безопасности персональных данных, Учебный центр «ЦИБИТ» предлагает прослушать семинар по теме «Защита информационных систем обработки персональных данных». Данная программа рассчитана для всех, кто является оператором персональных данных.

 Семинар  раскрывает основные понятия и определения, нормативно-правовые акты в области защиты и обработки ПДн, требования к защите ПДн, корректные процессы обработки ПДн, ответственность организации и персонала за нарушение требований к защите и обработке ПДн.

По окончании семинара каждый слушатель получает сертификат, подтверждающий прохождение обучения.

Для руководителей и специалистов в области информационной безопасности разработана программа повышения квалификации "Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных". Программа курса согласована Службой по Техническому и Экспортному Контролю (ФСТЭК) России.

В курсе рассматриваются:

  • методы и процедуры выявления угроз безопасности персональных данных в информационных системах персональных данных и оценки степени их безопасности;
  • правовые и организационные моменты;
  • технические и программные средства защиты информации от НСД (несанкционированного доступа);
  • практическая отработка способов и порядка проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

По окончании обучения каждый слушатель получает Удостоверение о повышении квалификации установленного образца.