Проверка персональных данных Роскомнадзором в 2022 году

Сегодня практически любая компания осуществляет работу с персональными данными. Обычно для подобной обработки необходимо согласие в письменном виде.

Некоторые работодатели еще недавно игнорировали правила по обработке персональных данных сотрудников, поскольку штрафные санкции за подобные нарушения были небольшими.

Но с недавних пор все изменилось, и теперь за нарушение законодательных норм организация может понести убытки в виде денежного штрафа в несколько сотен тысяч рублей. 

Согласно закону о защите персональных данных, который вступил в силу в 2022 году, данные гражданина без наличия его согласия распространять запрещено.

Не разрешается передавать сведения человека, даже если он самостоятельно разместил их в сети интернет (пункт 1 статьи 10.1 ФЗ-№ 152).

В частности, в настоящее время введено определение «персональные данные, разрешенные для распространения» и утверждено, как именно эту информацию можно применять.

Данными, не запрещенными к распространению, являются сведения, доступ к которым дан личным согласием гражданина для неограниченного круга лиц.

Вплоть до 1 марта прошлого года в согласии человека на обработку его данные не было необходимости, если он их разместил в сети по своему усмотрению.

Однако, бездействие гражданин не означает, что он согласен на распространение личной информации (пункт 5, 8-9 статьи 10.1 ФЗ-№152).

Изменения в правилах работы с персональными данными сотрудников в 2022 году

В 2022 году произошли законодательные изменения, которыми было утверждено, что согласие на обработку данных, разрешенных гражданином к передаче, необходимо оформлять отдельно от иных видов согласий.

То есть стандартного документа от работника уже недостаточно, для этого необходимо отдельное согласие, даже в том случае, если человек указал в стандартном документе, что он не против передачи его сведений другим лицам. 

Случаи, когда необходимо отдельное согласие физического лица:

  1. Организация занимается распространением данных неограниченному кругу лиц.
  2. Организация занимается передачей информации третьим лицам.

К примеру, если компания намерена разместить данные сотрудника на своем сайте, то ей необходимо получить у человека отдельное согласие на передачу такой информации.

Оформление согласия в 2022 году

Законом не определено специальных правил для оформления отдельного согласия на обработку личных сведений. Однако в данном документе необходимо прописать, какие именно данные человек не согласен передавать и куда, а какие из них согласен. Когда ситуация относительно согласия сотрудника не ясна, то его личные данные лучше не подвергать распространению (часть 4 статьи 10.1 ФЗ-№ 152).

Закон утверждает требования относительно содержания согласия на обработку данных человека, на которые дано его разрешение (Приказ Роскомнадзора № 18). 

Согласие должно быть составлено письменно и содержать:

  • данные физического лица, дающего согласие, то есть фамилия, имя, отчество, личный телефон, адрес и электронную почту;
  • данные организации, которая получает информацию о гражданине – ее наименование, юридический адрес, ЕГРЮЛ, ОГРН, ИНН;
  • цель для обработки сведений о физическом лице, к примеру, публикация данных на личном портале осуществляется для роста продаж и увеличения доверия клиентов;
  • группы и список данных, то есть человек обязан перечислить, какую именно информацию он разрешает или не разрешает обрабатывать;
  • период действия данного согласия, то есть временной интервал, когда действует настоящее согласие, дата начала и окончания;
  • название ресурса, где человек разрешает размещать личные данные с указанием конкретного раздела в случае, если сведения будут подвержены публикации.

С 1 июля 2021 года согласие на обработку личных данных физические лица могут направить посредством информационной системы Роскомнадзора. 

Прекращение распространения персональных данных в 2022 году

Согласно обновлению законодательства, в текущем году гражданин вправе в любой момент выдвинуть требование о прекращении обработки личных сведений, разрешение на которое было выдано им ранее (пункт 12 статьи 10.1 ФЗ-№152). В подобных ситуациях организация обязана прекратить распространение персональных данных немедленно, а действие согласия с этого момента прекращается.

Отказ гражданина должен быть оформлен в письменном виде, с указанием своих личных данных и списка той информации, передача которой должна быть прекращена.

Когда в оформлении отдельного согласия нет необходимости

Согласно общему порядку, передача и обработка личных сведений физического лица должно производиться исключительно с его согласия (пункт 1 часть 1 статьи 6 ФЗ-№152).

В 2022 году согласие работников на обработку личных сведений можно не брать в случае, если организация занимается обработкой этих данных и это прописано в трудовом договоре (пункт 5 часть 6 ФЗ-№152).

Работодателям необходимы данные сотрудников для начисления заработной платы, ведения кадровой документации и других видов отчетности.

Кроме того, разрешение на передачу личных данных сотрудников не требуется при передаче сведений в ФНС, ПФР, ФСС, военный комиссариат, судебным приставам, в прокуратуру и иные государственные ведомства.

Также можно направлять личную информацию сотрудников в финансовые учреждения для оформления зарплатных карт, если в нормативном акте об оплате труда прописано получение зарплаты на банковскую карту и факт согласия сотрудника.

Положение о персданных в 2022 году

Положение об обработки личных сведений сотрудников является внутренним документом, закрепляющим порядок, согласно которому производится хранение и распространение данных работников. Такой документ должен присутствовать у любой компании. 

Обработка сведений сотрудников разрешается с их согласия в письменном виде, кроме ситуаций, когда данный документ не требуется (статья 9 ФЗ-№152). Стоит отметить, что данное согласие не заменяет локального акта организации о перс. данных работников. Следовательно, положение о защите персональных данных сотрудников должно оформляться без их личного согласия.

Проверка правильности использования порядка взаимодействия с персональными данными граждан организации могут осуществить с помощью специальных чек-листов, которые размещены на портале Роскомнадзора в виде проверочных таблиц.

Порядок составления положения о персональных данных сотрудников в 2022 году

Законодательно не предусматривается определенной формы и содержания о работе с перс. данными сотрудников, поэтому следует придерживаться следующих пунктов:

  • Общие положения с указанием предмета утверждения, регулируемых аспектов и начала действия.
  • Указание всей информации, которую должен предоставить сотрудник для обработки личных сведений с указанием конкретных сроков предоставления данных.
  • Фиксирование периода хранения перс. данных работников и способы их защиты. Указание перечня лиц, имеющих доступ к этой информации и правила предоставленного доступа.
  • Предмет применения персональных данных и рамки их применения.
  • Указание правил, согласно которым возможно направлять информацию сотрудников по запросам ведомств, юридических и физических лиц.
  • Закрепление гарантии конфиденциальности перс. данных и их сохранность для работников с указанием их законных прав на случай неправомерного использования информации.

Нанимателю разрешается указывать другие положения в локальных документах организации, например, меры ответственности за нарушения порядка применения информации.

Работодатель не имеет права:

  1. Разглашать персональные данные сотрудника третьим лицам без наличия согласия работника в письменном виде, кроме ситуаций, когда данное действие необходимо во избежание угрозы здоровью и жизни человека.
  2. Передавать личные сведения сотрудника в коммерческих целях без его согласия в письменном виде.
  3. Направлять запросы о состоянии здоровья сотрудника, если это не предусмотрено родом профессиональной деятельности.
  4. Принимать и обрабатывать сведения сотрудника о его членстве в различных общественных организациях.

Наниматель обязан:

  1. В ходе принятия каких-либо решений, касающихся интересов сотрудника, работодатель обязан основываться на перс. данных работника, которые получено только путем автоматической обработки и получения в электронном виде.
  2. Выдавать доступ к личной информации сотрудников исключительно лицам, имеющим соответствующие полномочия, и только к тем сведениям, которые нужны для осуществления конкретной деятельности.
  3. При передаче персональных данных сотрудников предупреждать лиц, принимающих эту информацию, о применении этих данных исключительно в целях, в рамках которых информация предоставлена.

За неправомерные действия относительно использования информации личного характера законодательно предусматриваются разные типы ответственности, как для юридических, так и физических лиц.

Кроме того, в 2022 году произошло ужесточение административной ответственности, и сейчас утверждено семь составов неправомерных действий вместо действующего ранее одного, а денежный штраф достигает 75 тысяч рублей (статья 13.11 КоАП РФ).

Читайте также:  Календарь бухгалтера на 28 августа 2022 г

Штрафы за персональные данные в 2022 году — за что штрафуют и на сколько

С 27 марта 2021 года вступили в силу новые штрафные санкции за нарушения в области персональных данных в соответствии с Федеральным законом от 24.02.2021 г. №19-ФЗ. Суммы штрафов увеличены в 2 раза и более. Кроме этого, по некоторым статьям введено увеличенное наказание за повторное нарушение.

Также увеличился и срок давности привлечения к административной ответственности за нарушения в области персональных данных. Вместо трех месяцев теперь он составляет один год.

Административная ответственность по статье 13.11 на 2022 год предусматривает дифференциацию в зависимости от последствий нарушения. Так ответственность для юридического лица предусматривает наложение штрафа в размере от 30 тысяч до 6 миллионов рублей, а при повторном нарушении — до 18 миллионов рублей.

Максимальный совокупный штраф для должностного лица составляет 336 тысяч рублей, а при повторном нарушении может превышать 1 миллион рублей.

Статья 13.11 Кодекса об административных правонарушениях РФ

КоАП РФ не возлагает на организации, осуществляющие обработку персональных данных, дополнительных обязанностей и не изменяет содержание существующих требований, которые предусмотрены законодательством в области персональных данных (152-ФЗ).

Стоит отметить, что КоАП наделяет должностных лиц органа, осуществляющего функции по контролю и надзору в области персональных данных, которым является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), полномочиями по возбуждению дел об административных правонарушениях.

Представляем вашему вниманию сводную таблицу штрафов за нарушения законодательства в области персональных данных (в редакции, действующей с 27.03.2021):

Статья Содержание статьи КоАП Сумма штрафа, тыс.руб Физ. лицо Должн. лицо ИП Юр. лицо
13.11 ч.1 Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния 2-6 10-20 60-100
13.11 ч.1.1 Повторное совершение административного правонарушения, предусмотренного частью 1 настоящей статьи 4-12 20-50 50-100 100-300
13.11 ч.2 Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных 6-10 20-40 30-150
13.11 ч.2.1 Повторное совершение административного правонарушения, предусмотренного частью 2 настоящей статьи 10-20 40-100 100-300 300-500
13.11 ч.3 Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных 1,5-3 6-12 10-20 30-60
13.11 ч.4 Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных 2-4 8-12 20-30 40-80
13.11 ч.5 Невыполнение оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки 2-4 8-20 20-40 50-90
13.11 ч.5.1 Повторное совершение административного правонарушения, предусмотренного частью 5 настоящей статьи 12-30 30-50 50-100 300-500
13.11 ч.6 Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния 1,5-4 8-20 20-40 50-100
13.11 ч.7 Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных 6-12
13.11 ч.8 Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством РФ в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ 30-50 100-200 1-6 млн
13.11 ч.9 Повторное совершение административного правонарушения, предусмотренного частью 8 настоящей статьи 50-100 500-800 6-18 млн

Статья актуализирована с учетом изменений статьи 13.11 Кодекса об административных правонарушениях в соответствии с Федеральным законом от 24 февраля 2021 г. № 19-ФЗ.

Деанонимизация россиян: с марта 2022 года государство будет знать о вас вообще все

А вы знали, что уже с 1 марта 2022 года государство будет знать абсолютно все о том, как мы пользуемся интернетом? Начиная с наших устройств вплоть до операционной системы, оборудования и ip-адреса, заканчивая тем, какие видео мы смотрим и какие тексты читаем по секундам.  

Редакция ivbg.ru рассказывает, что произойдет 1 марта 2022 года, как государство собирается получать наши данные, и будет ли это означать всеобщую деанонимизацию россиян в интернете?

Что произойдет 1 марта 2022 года?

Как сообщает ТАСС, еще в июне Госдума приняла закон о едином измерителе аудитории в интернете. Соответствующее постановление опубликовано в ноябре 2021 года.

Согласно постановлению, с 1 марта 2022 года в рамках централизованной системы исследования аудитории российского интернета сайты должны начать передавать уполномоченной организации наши данные.

Нас, как пользователей интернета, могут заинтересовать и неприятно удивить почти все пункты исследования. Вот лишь некоторые примеры-цитаты из постановления о наших данных, которые будет собирать государство:

  • данные о типе пользовательского оборудования, используемого для доступа к информационному ресурсу;
  • сведения о каждом факте доступа пользователя к информационному ресурсу с указанием точного времени;
  • данные об используемом браузере;
  • наименование системного программного обеспечения (операционной системы) оборудования и его версия;
  • динамический сетевой адрес оборудования в формате IPv4 или IPv6.

В постановлении приведен полный перечень данных, которые будут предоставлять владельцы информационных ресурсов, и правила, по которым эти сведения будут собирать.

Зачем государству эти данные?

Официальное объяснение содержится в пояснительной записке(нажав на ссылку, вы скачаете пояснительную записку в формате .doc, так работает правительственный сайт).

Согласно пояснительной записке, государство хочет иметь доступ к достоверным и конкретным данным, а также возможность сравнивать аудитории интернета и телевидения по актуальным метрикам. Например, подобные, хотя и менее масштабные исследования по заказу государства проводит «Медиаскоп».

По словам автора законопроекта, депутата Госдумы от фракции «Единая Россия» Антона Горелкина, систематизировать такие данные заинтересованы и сами участники рынков телевидения и интернета, чтобы предоставлять более качественные услуги. Также исследования позволят решить дополнительные задачи, стоящие перед индустрией и государством – контролировать распространение профессионального видеоконтента в интернете и бороться с пиратством.

Однако в тексте постановления перечислены и данные (например, информация об IP-адресе пользователя, признанная Роскомнадзором персональными данными), к которым ни у каких игроков рынка никогда не должно быть доступа. Кроме того, некоторые данные могут составлять коммерческую тайну, потому что затрагивают размещение рекламы на сайте.

Изучать будут посетителей всех сайтов?

Согласно постановлению о ведении реестра исследуемых ресурсов, под действие закона подпадают «сайты в информационно-телекоммуникационной сети «Интернет» (далее — сеть «Интернет»), и (или) страницы сайтов в сети «Интернет», и (или) информационные системы, и (или) программы для электронных вычислительных машин, используемые для распространения продукции средств массовой информации».

То есть под действие закона могут попасть telegram-каналы, новостные сайты, онлайн-кинотеатры, сайты телеканалов и пр. Реестр информационных ресурсов сформирует Роскомнадзор.

Некоторые СМИ передают, что исследование затронет только сайты с уникальной суточной аудиторий от 500 тысяч человек и более. В этом случае под действие закона не попадут многие информационные ресурсы. Например, ivbg.ru не подпадет. Эта информация уточняется.

Сайт может отказаться от передачи данных?

Не может.

Читайте также:  Очередной московский банк лишился лицензии

Закон предусматривает обязанность владельца информационного ресурса установить себе счетчик или «иным образом» предоставить необходимые данные. Наказание за отказ от сотрудничества – начиная от невозможности ставить рекламу на сайт, заканчивая изъятием ссылок сайта из поисковой выдачи.

Будет ли это всеобщей деанонимизацией россиян в интернете?

Согласно постановлению, нет.

Передаваемые уполномоченной организации сведения, например, IP-адрес и техника пользователя, должны быть обезличены. Также закон запрещает организации, которая будет проводить исследование, использовать полученные данные для чего-то, кроме самих исследований.

Однако если «иной способ» передачи данных от сайта подразумевает установку стороннего счетчика, например, рекомендованного Роскомнадзором, то получаемые данные могут быть не обезличенными, и владелец сайта даже не узнает это.

Защитит ли от сбора данных VPN?

Если речь идет, например, о VPN-плагине, то он может скрыть только IP-адрес. Всю остальную информацию передаст наш браузер. Это: используемая операционная система, установленные плагины (да, государство узнает, что вы пользуетесь VPN-плагином), часовой пояс, язык, разрешение дисплея и пр.

Надежно защитит от такого Tor. Но и он не поможет, если вы зарегистрируетесь при входе на сайт. В таком случае вам дадут идентификационный номер и по нему будут отслеживать и передавать данные о посещении конкретных материалов и прочих действиях.

Собранные для исследований данные будут опубликованы общедоступных источниках?

Нет, это нарушение закона о защите персональных данных.

Однако ежегодно будут публиковаться отчеты о проведенных исследованиях. В них наверняка будут те или иные обезличенные, сводные данные.

Редакция ivbg.ru следит за развитием событий.

Усиленная защита: контроль за использованием персональных данных могут ужесточить — Газета.Ru

Сенаторы и депутаты Госдумы выступили с инициативой, которая направлена на усиление защиты персональных данных граждан, а также блокировку их передачи за границу при необходимости.

Соответствующий законопроект уже рассматривает парламент.

Основным нововведением может стать введение обязанности операторов принимать меры по защите персональных данных, в то время как раньше они носили рекомендательный характер.

Кроме того, будут созданы инструменты, которые позволят при этом минимизировать риски нарушения прав граждан, и повысят эффективность всей системы защиты персональных данных. Законопроект призван наладить ситуацию в этом направлении, и в случае его принятия, требования к операторам персональных данных значительно изменятся и станут обязательными для каждого.

Законопроект уже одобрил экспертный совет «Единой России».

«Мы считаем, что принятие этого законопроекта серьезно усилит уровень защищенности персональных данных россиян, усилит защищенность конституционного права на неприкосновенность частной жизни и снизит возможности для различных злоупотреблений, преступлений и правонарушений.

Дополнительных расходов федерального и иных бюджетов, разумеется, инициатива не повлечет», — отметил председатель комитета Госдумы по информации Александр Хинштейн, следует из информации на официальном сайте «Единой России».

С тем, что существующие меры в должной степени не обеспечивают защиту персональных данных и частной жизни граждан, соглашаются многие эксперты.

Высокий спрос

Персональные данные всегда пользуются спросом, так как использовать их можно в самых разных целях, начиная маркетингом и заканчивая преступлениями: заполучив такие данные, злоумышленники могут воровать деньги со счетов, шантажировать, оформлять кредиты и многое другое. Персональные данные в чужих руках — настоящее оружие.

По статистике, число крупных утечек только увеличивается. Так, летом прошлого года на продажу на хакерском форуме выставили базу с 1,3 млн копий паспортов клиентов компании Oriflame. Тогда в компании предположили, что данные утекли в результате хакерской атаки.

В феврале этого года в результате «недобросовестных действий одного из сотрудников» компании, в сеть несанкционированно попали данные пользователей сервиса «Яндекс.

Еда» — в открытом доступе оказались номера телефонов, адреса, истории заказов клиентов из России, Белоруссии и Казахстана. Также недавно хакеры совершили атаку на Wildberries, но в этой ситуации факт, были ли затронуты чьи-то персональные данные, остается неизвестным.

Причины таких утечек, как правило, одни и те же — ошибки или умышленные действия сотрудников, атаки хакеров и беспечность при хранении данных.

«Россия всегда показывала, что обладает такой [в отношении персональных данных] вальяжностью.

Соответственно, в критической ситуации это проявляется», — отмечает IT и финтех-эксперт Сергей Вильянов, комментируя рост утечек персональных данных.

Он обращает внимание на тот факт, что все данные хранятся в системах, которые создают и настраивают конкретные люди, и они далеко не всегда ответственны и адекватны.

Руководитель агентства Content Review Сергей Половников считает случай с «Яндекс.Едой» ярким примером, когда виновата безответственность при обращении с персональными данными, которая при этом не была толком наказана.

«Обычно зарубежные компании после подобных эксцессов очень долго не могут прийти в себя и им грозят в таких случаях штрафы на сотни миллионов долларов. А у нас «ну утекло и утекло, вот вам 10% скидка на следующий заказ», — замечает эксперт.

Подобное отношение к персональным данным именно у крупных российских IT-компаний носит системный характер, и с этим почти никто ничего не делает, говорит Половников.

«У нас персональные данные не стоят практически ничего. Их можно приобрести в каком угодно объеме, ими можно воспользоваться, например, благодаря развитым цифровым услугам банков.

Достаточно взломать базу данных каршеринга, что не афишировалось никогда, но происходило неоднократно, чтобы получить фотографии пользователей с их паспортами, а этого зачастую достаточно для того же оформления кредита в какой-нибудь микрофинансовой организации», — рассказывает эксперт.

Набор инструментов

Все эти ситуации доказывают, что действующая в России система защиты персональных данных не очень эффективна. Поэтому новый законопроект включает в себя целый ряд инструментов, который поможет свести к минимуму риски, связанные с распространением персональных данных.

Во-первых, операторы должны будут в течение суток уведомлять об инцидентах с персональными данными ФСБ и Роскомнадзор, чтобы действия злоумышленников можно было пресекать уже на начальном этапе.

Во-вторых, перечень информации, которую представляют в Роскомнадзор в качестве уведомления об обработке персональных данных, будет расширен и привязан к цели обработки, чтобы объективнее оценивать соответствие деятельности оператора уже на предварительном этапе подачи уведомления.

В-третьих, операторы должны будут предоставлять в Роскомнадзор сведения о целях и составе обрабатываемых данных. Например, в какие страны они передаются, по каким договорам, потому что сейчас персональные данные россиян передаются за границу без учета того, что они могут попасть к злоумышленникам из недружественных стран.

Это уже вопрос госбезопасности, поскольку утекшие данные могут включать в себя номера паспортов, сведения об авиаперелетах, недвижимости, принадлежности к Вооруженным силам или правоохранительным органам и прочие.

«Из личного дела и проблемы отдельно взятого гражданина они превратились в вопрос государственной важности и проблему национальной безопасности», — согласилась в беседе с «Известиями» зампред комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александра Савельева. В связи с этим авторы инициативы, в частности, предлагают в некоторых случаях блокировать передачу персональных данных россиян за рубеж.

Помимо прочего, один из наиболее важных моментов нового законопроекта состоит в том, что ему будет присвоен экстерриториальный статус, то есть подчиняться его параметрам будут обязаны и зарубежные компании, работа которых так или иначе связана с персональными данными российских граждан. Аналогичная практика применяется в США и ЕС — их государственные органы могут проверять то, как иностранные операторы обращаются с персональными данными их граждан.

В совокупности все аспекты закона, в случае его принятия, выведут контроль над защитой персональных данных на принципиально новый уровень. При этом сами операторы будут в большей степени заинтересованы в том, чтобы повысить качество работы с персональными данными россиян через инвестиции в обучение персонала, имеющего доступ к ним, и в соответствующее оборудование.

Сам законопроект уже поддержали эксперты в области защиты персональных данных. По мнению многих из них, новые меры и общая унификация подходов к выстраиванию системы защиты такой чувствительной информации исправят нынешнюю ситуацию в этой области.

Так, Сергей Половинков отмечает, что сейчас зарубежные компании в рамках этого вопроса делают все, чтобы не доводить дело до суда и платят щедрые компенсации клиентам в случае каких-либо утечек или нарушений в отношении использования персональных данных.

Новый механизм ответственности в России приведет отечественную практику к аналогичному отношению к таким проблемам и в нашей стране.

«Дух этого законопроекта я хорошо представляю, и действительно с персональными данными надо что-то делать», — резюмирует он.

Персональные данные и требования Роскомнадзора. Что нужно знать, чтобы зарегистрироваться в реестре операторов — Право на vc.ru

{«id»:279591,»gtm»:null}

Сегодня буквально каждый из нас заполняет в любых учреждениях разрешение на обработку персональных данных. Эта обязанность введена 152 Законом Об обработке персональных данных (далее — ПД). И если владельцы сайтов прекрасно осведомлены об особенностях, то и обычным людям будет полезно понимать, почему им бесконечно навязывают везде и всюду заполнение этих надоевших бумажек.

Читайте также:  Пени повысили, но не для всех

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. К ней относят имя, фамилию и все те данные, которые позволяют идентифицировать человека.

Например, как знают владельцы сайтов, по ID в Метрике невозможно установить личность человека. А вот отсутствие политики обработки ПД или политики конфиденциальности под формой обратной связи может повлечь штраф до 75 000 руб.

и выше.

За неверную обработку ПД и тем более их утечку, что случается довольно часто, КоАП предусматривает до 18 000 000 руб. штрафа – ст. 13.11.

И оператор, то есть любое лицо, в том числе и физическое, которое владеет ПД, обязано пройти регистрацию в Реестре операторов персональных данных еще до начала сбора этих данных. За отсутствие регистрации штраф относительно небольшой. Для физлиц – от 100 руб. до 300 руб.

Для юрлиц – от 3000 руб. до 5000 руб. – ст. 19.7 КоАП. Регистрацией занимается Роскомнадзор. Он проверяет все документы и принимает решение о внесении в реестр.

Когда не требуется предварительное уведомление Роскомнадзора

· Если речь идет о трудоустройстве. И в этом случае работодатель обязан уведомить нового работника под роспись о порядке обработки его ПД, а также получить его согласие

· Если данные нигде не распространяются и не передаются третьим лицам (договоры ГПХ и пр.)

· Религиозные организации также могут не регистрироваться в РКН

· Если человек разрешил их распространение или сам их разместил для ознакомления неопределенному кругу лиц

· Если данные включают только ФИО

· Если заполняются данные только для прохода на объект (оформление стандартного пропуска)

· Если речь идет о системах хранения данных, созданных в целях госбезопасности

· Если обработка данных осуществляется без использования средств автоматизации (например, для разового посещения библиотеки или архива)

· Если речь идет о персональных данных пассажиров в транспортной сфере.

Роскомнадзор разработал методические рекомендации для операторов, которые намереваются пройти регистрацию.

Уведомление должно включать следующие сведения:

· Правоустанавливающие данные для юрлиц или госорганов: ИНН, ОГРН, адрес, наименование филиалов, лицензии и пр. Физлицам необходимо предоставить адрес оператора, ИНН и паспорт

· Необходимо указать цели обработки ПД, категории и субъектов (лиц, чьи ПД будут собираться)

· Правовое обоснование обработки (для чего собираются)

· Вид обработки (автоматизированная или неавтоматизированная, с передачей по сети или нет)

· Описание мер защиты (хранение паролей или документов)

· Указание должностных лиц, ответственных за хранение и обработку, с указанием их ФИО, телефонов и адресов

· Сведения о месте нахождения базы данных

· Сведения о трансграничности передачи, если таковая имеется

Будьте внимательны и избегайте штрафов. С уважением к людям и законам, ваш Юрист24.

{«contentId»:279591,»count»:0,»isReposted»:false,»gtm»:null}

{«id»:279591,»gtm»:null}

Проверка компании в реестре операторов персональных данных Роскомнадзора

У каждого гражданина есть персональные данные, которые идентифицируют его среди миллионов россиян. Благодаря личным сведениям, государство ведет оптимизированный учет населения в сферах налогообложения, здравоохранения, трудоустройства и других.

Кроме органов власти, информацией о нас владеют коммерческие и финансовые организации. Все эти пользователи должны быть внесены Роскомнадзором в реестр операторов персональных данных.

Иначе хранение и использование личных сведений о гражданах подпадает под незаконное деяние, предусматривающее административную ответственность.

Персональные данные (ПД) — это личностные сведения, принадлежащие физическому лицу. Они могут быть прямыми и косвенными, а их объем (перечень) зависит от возраста человека. Например, у ребенка дошкольного возраста ПД совсем мало, а у пожилого человека, владеющего движимым и недвижимым имуществом — много. Вот перечень основных, общедоступных и специальных, персональных данных:

  • ФИО;
  • место/дата рождения;
  • серия/номер паспорта;
  • страховой номер СНИЛС;
  • регистрация места жительства постоянная/временная;
  • информация о судимостях (действующие/погашенные);
  • биометрия (биологические и физиологические характеристики);
  • фото или видео различного характера, любой давности;
  • сведения о детях, родственниках, семейном положении;
  • информация о величине зарплаты, оценка качеств и навыков;
  • номер телефона, e-mail, аккаунты в социальных сетях или мессенджерах;
  • специальные ПД (расовая принадлежность, национальность, политические или религиозные взгляды, философские убеждения, состояние здоровья, интимная жизнь).

Оператор — это управляющий чем-либо. В случае использования личных сведений гражданина, оператором ПД становится любое должностное, юридическое или физическое лицо. Например, ГИБДД, ФССП, ИФНС, банки, ТСЖ, интернет-магазин, салон-парикмахерская, ваши родственники и друзья, но только в случае обработки информации или ее передачи третьим лицам (ч. 2 ст. 3 № 152-ФЗ «О персональных данных»).

Однако писать заявление в реестр операторов персональных данных и становиться его резидентом из-за передачи номера телефона или адреса электронной почты своего друга знакомому не стоит. База существует для тех, кто ведет обработку, автоматизацию, распространение, блокирование и уничтожение личных сведений граждан.

Обязанности оператора при обработке персональных данных

Субъектам государственного и частного сектора, в чьи обязанности входит систематизация и оптимизация личностных сведений физических лиц, надлежит руководствоваться Федеральным законом № 152-ФЗ. Согласно ему, операторы обязаны:

  1. Вести разъяснительные беседы с гражданами и доходчиво им объяснять, для чего ПД будут использованы.
  2. Получать от физических лиц письменное согласие на обработку и использование личностных сведений.
  3. Опубликовывать правила использования и обработки ПД отдельно взятым оператором.
  4. Защищать личные сведения граждан от посягательств третьих лиц, а также запрещать использование и распространение информации другими субъектами.
  5. Уничтожать ПД по заявлению владельца, если они были обработаны с нарушениями, по мнению гражданина.

Это лишь краткий перечень обязанностей тех, кто входит в реестр операторов, осуществляющих обработку персональных данных.

Регистрация в Роскомнадзоре в качестве оператора персональных данных

Перед формированием клиентской базы будущий оператор обязан оповестить уполномоченный орган о намерении использовать ПД физических лиц в определенных целях. Но не все должны уведомлять Роскомнадзор. Существует категория субъектов, которые не обязаны писать заявление в РКН о включении в реестр операторов персональных данных. К ним относятся:

  1. Работодатели.
  2. Исполнители или заказчики договорных отношений.
  3. Пользователи общедоступными персональными сведениями.
  4. Охранные предприятия, оформляющие однократные пропуска.
  5. Организации, хранящие сведения на бумажном носителе (не имеющие электронных баз данных).

Всем остальным, не вошедшим в перечень, надлежит в обязательном порядке пополнить список операторов персональных данных Роскомнадзора. За уклонение или нарушение ФЗ-152 предусмотрена административная ответственность по ст. 13.11 КоАП РФ:

  • обработка ПД без цели сбора: до 3000 руб. гражданам, до 10 000 руб. — должностным лицам, до 50 000 руб. — организациям.
  • обработка личностных данных без письменного согласия: до 5000 руб. гражданам, до 20 000 руб. — должностным лицам, до 75 000 руб. организациям.
  • отсутствие публикации с правилами оператора обработки ПД: гражданам — до 1000 руб., должностным лицам — до 6000 руб., ИП — до 10 000 руб., юрлицам — до 30 000 руб. По статистике Роскомнадзора, на март 2021 г. зарегистрировано 420 774 операторов персональных данных. У некоторых из них гарантированно есть сведения о вас.

Как получить информацию, является ли организация оператором, осуществляющим обработку персональных данных

Вы можете проверить любую организацию на предмет ее наличия в списке операторов РКН. Это можно сделать на сайте ведомства Роскомнадзор или прямо здесь. Для этого введите ИНН компании и ее название.

Роскомнадзор ведет реестр операторов персональных данных, формируемый из государственных органов власти, коммерческих компаний, индивидуальных предпринимателей и даже физических лиц. Сбор и обработка личных сведений регулируется Федеральным законом № 152-ФЗ.

За его нарушение операторы несут административную ответственность в виде штрафа. Вы можете проверить прямо здесь или на сайте РКН, состоит ли интересующее вас ведомство или организация в списке хранителей личных сведений, с правом их использования (оборота).

Ссылка на основную публикацию
Adblock
detector