Москва
Кемерово

Ответственность за нарушение закона о персональных данных

сложность:  

С 1 июля 2017 года Роскомнадзор ужесточает ответственность за нарушения в  области хранения персональных данных. В силу вступают изменения в  статью 13.11 КоАП РФ.

Таким образом вам может грозить штраф до 250 000 рублей.

Пример из жизни:

Роскомнадзор выписал компании штраф за нарушение закона о персональных данных из-за формы обратной связи на сайте (стандартного состава «имя-тема-текст сообщения», причем имя является необязательным полем). Оспорить решение не удалось.

Речь идет о решении, принятом территориальным управлением Роскомнадзора в Тамбове. Специалисты РКН обнаружили, что «Тамбовская городская юридическая компания» разместила на сайте форму обратной связи. При этом документ политики о конфиденциальности персональных данных на сайте отсутствовал. Компанию оштрафовали.

Эти изменения актуальны для всех операторов персональных данных, то есть для всех кто собирает персональные данные через сайт.

К персональным данным относятся:

 ФИО; Номер телефона; Электронная почта; Информация о месте и дате рождения; Данные паспорта; СНИЛС; И прочее.

Штраф за утечку и разглашение персональных данных

Операторами персональных данных являются все сайты у которых есть форма заказа или подписки.

Способы получения персональных данных:

 Форма заявки на сайте; Форма подписки; Форма обратной связи; Форма заказа товаров; Любые другие формы куда вводятся персональные данные пользователя.

Как не нарваться на штраф за персональные данные

Ответственность за нарушение законодательства о персональных данных

Разместить политику конфиденциальности на своем сайте. Это правовой документ, подтверждающий право владельца сайта на сбор, обработку и хранение личных данных пользователей интернета. Данный документ можно разместить в подвале сайта. Разработку документа поручите юристу.Получить согласие на обработку персональных данных. На сайтах это реализуется включением в формы сбора персональных данных ссылки на политику конфиденциальности и соответствующего текста.Разместить на сайте документ «Политика в отношении обработки персональных данных».Уведомить Роскомнадзор о своем намерении осуществлять обработку персональных, после чего вас включат в реестр операторов персональных данных

Это не полный список всех действий, которые нужно осуществить. Если вы не выполните условия закона, к вам может обратиться Роскомнадзор и у вас будет всего 30 дней, чтобы собрать все документы и внести все изменения на свой сайт.

Вот весь перечень документов, которые может потребовать Роскомнадзор (внимание: список документов очень большой):

1. Общие сведения

1.1. Копия документа о назначении законного представителя Оператора, уполномоченного представлять интересы юридического лица при проведении проверки.

1.2. Справка о статусе Оператора как субъекта малого предпринимательства с указанием типа предприятия (малое предприятие, микропредприятие, иное).

1.3. Копия Устава юридического лица.

1.4. По каждому из видов деятельности Оператора, перечисленных в Уставе Общества указать:

– категории субъектов ПДн, ПДн которых обрабатываются;

– перечень обрабатываемые категории ПДн отдельно по каждой категории субъектов ПДн;

– цели обработки ПДн по каждой категории субъектов ПДн;

– информационную систему ПДн (далее – ИСПДн), в которой осуществляется обработка ПДн, отдельно по каждой категории субъектов ПДн;

– правовое основание обработки ПДн (согласие, договор, норма/статья/пункт закона или подзаконного акта, иное).

1.5. Справка о правовых основаниях осуществления обработки ПДн без подачи Уведомления об обработке ПДн с приложением подтверждающих документов (в случае непредставления Уведомления);

1.6. Документы, позволяющие установить адрес местонахождения, территориальное расположение зданий, сооружений, помещений, офисов и  т.п., принадлежащих Оператору либо арендуемых Оператором и сдаваемых в  субаренду другим лицам. Приложить копии договоров аренды со всеми приложениями в отношении адреса фактического осуществления деятельности, документы и схемы, позволяющие точно разграничить офисные помещения (рабочие места), используемые Оператором единолично и/или совместно с  субарендаторами.

1.7. Копия штатного расписания (действующего на момент проверки).

1.8. Справка, в соответствии со штатным расписанием, о структурных подразделениях, в которых Оператором организована обработка ПДн: их адрес местонахождения, этаж, № кабинета, контактная информация.

1.9. Копию документа о назначении ответственного за организацию обработки ПДн. Копия должностного регламента (должностные обязанности) или должностная инструкция ответственного за организацию обработки ПДн.

1.10. Копии документов, определяющих политику Оператора в отношении обработки ПДн;

1.11. Все изданные Оператором действующие локальные акты, отражающие следующие вопросы обработки ПДн (в случае издания общего документа указать соответствующий пункт, раздел и т.п.):

1) Цели обработки ПДн;

2) Правое основание обработки ПДн (согласие, договор, норма/статья/пункт закона или подзаконного акта);

3) Категории субъектов ПДн, чьи ПДн обрабатываются;

4) Категории ПДн по каждой категории субъектов ПДн соответственно;

5) Описание порядка, способов и методов обезличивания ПДн, для каких целей осуществляется обезличивание ПДн, в отношении каких субъектов ПДн и категорий ПДн осуществляется обезличивание;

6) Срок обработки ПДн субъектов ПДн (в электронной форме, на материальных носителях);

7) Срок хранения ПДн субъектов ПДн (в электронной форме, на материальных носителях);

8) Места хранения материальных носителей ПДн;

9) Условия уничтожения ПДн субъектов ПДн и порядок его осуществления (в электронной форме, на материальных носителях), копии актов об уничтожении ПДн;

10) Перечень лиц, имеющих доступ и непосредственно допущенных к  работе с ПДн субъектов ПДн (в электронной форме, на материальных носителях).

1.12. Копии локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

1.13. Копии документов, подтверждающих применение правовых, организационных и технических мер по обеспечению безопасности ПДн;

1.14. Копии документов, подтверждающих осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике оператора в отношении обработки ПДн, локальным актам оператора.

1.15 Копии документов, подтверждающих осуществление ознакомления работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

1.16. Типовые формы документов (анкеты, опросные листы и т.п.), характер информации в которых предполагает или допускает включение в них ПДн. Приказы, утверждающие указанные типовые формы.

1.17. Копии журналов (реестров, книг), содержащих ПДн, необходимых для однократного пропуска субъекта ПДн на территорию, на которой находится

Оператор.

1.18. Документы, подтверждающие принятие мер при обработке персональных данных по обеспечению в отношении каждой категории персональных данных возможности определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

1.19. Документы, подтверждающие принятие мер по обеспечению раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

1.20. Документы, подтверждающие принятие мер по соблюдению условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ при хранении материальных носителей. Представить установленный Оператором перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также представить перечень лиц, ответственных за реализацию указанных мер.

1.21. Документы, подтверждающие информирование лиц, осуществляющих обработку ПДн без использования средств автоматизации (сотрудников Оператора и (или) лиц, осуществляющих такую обработку по договору с  Оператором) о факте обработки ими ПДн, обработка которых осуществляется Оператором без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Оператора (при их наличии).

1.22. Копии подписанных письменных согласий субъектов ПДн (по одному по каждой категории субъектов ПДн) на обработку их ПДн, в том числе копии подписанных письменных согласий субъектов ПДн на обработку биометрических ПДн, специальных категорий ПДн, на принятие решений на основании исключительно автоматизированной обработки ПДн, на осуществление трансграничной передачи ПДн на территорию иностранного государства, не обеспечивающего адекватную защиту ПДн.

1.23. Материальные носители (заполненные анкеты, заявления, резюме и т.п.) содержащие ПДн, полученные от субъектов ПДн, отдельно для каждой категории субъектов.

1.24. Материальные носители (заполненные анкеты, заявления, резюме и т.п.), содержащие ПДн, полученные на законном основании (договор, закон и иное), отдельно для каждой категории субъектов.

1.25. Электронные носители (заполненные анкеты, реестры, заявления, резюме и т.п.), содержащие ПДн, полученные от субъектов или (и) на законном основании (договор, закон и иное), отдельно для каждой категории субъектов.

1.26. Сведения, подтверждающие правомерность обработки биометрических ПДн. Приложить подтверждающие документы.

1.27. Сведения, подтверждающие правомерность обработки специальных категорий ПДн. Приложить подтверждающие документы.

1.28. Сведения, подтверждающие правомерность принятия решений на основании исключительно автоматизированной обработки ПДн. Приложить подтверждающие документы.

1.29. Сведения, подтверждающие правомерность осуществления трансграничной передачи персональной данных. Приложить подтверждающие документы.

1.30. Сведения, подтверждающие правомерность осуществления обработки ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации. Приложить подтверждающие документы.

1.31. Справка о порядке получения Оператором согласия субъекта ПДн на предоставление доступа неограниченному кругу лиц к его ПДн в случае необходимости такого доступа.

1.32. Справка о порядке осуществлении обработки ПДн в случаях, необходимых для защиты жизни, здоровья или иных жизненно важных интересов субъектов ПДн.

1.33. Копии договоров, одной из сторон которых является субъект ПДн (работник, клиент и т.п.), по одному договору для каждой категории субъектов.

1.34. Копии всех договоров, заключенных с третьими лицами, касающихся поручения (поручение обработки другому лицу и обработка по поручению другого лица) на обработку ПДн, по одному договору для каждой категории субъектов.

1.35 Копии обращений от граждан (за два последних календарных года, включая текущий) по вопросам уточнения, удаления, уничтожения ПДн, рассмотренные Оператором. Копии ответов Оператора и принятые меры по обращениям граждан с приложением копий документов о принятых мерах.

2. Кадровый блок

2.1. Справка о порядке поиска и подбора персонала с приложением подтверждающих документов. В справке в отношении ПДн соискателей на замещение вакантных должностей указать: источник получения ПДн; правовое основание обработки; цель обработки; порядок получения, записи, использования хранения (место хранения, испдн); лиц имеющих доступ; порядок и условия уничтожения. Дополнительно указать лиц, которым осуществляется передача ПДн, а также поручение обработки ПДн, приложить копии договоров со всеми приложениями.

2.2. Форма согласия соискателя на замещение вакантной должности на обработку ПДн. Копию заполненной формы, содержащую ПДн соискателя.

2.3. Форма согласия посетителя офиса на обработку ПДн. Копию заполненной формы, содержащую ПДн посетителя.

2.4. Форма согласия работника Оператора на обработку ПДн. Копию заполненной формы, содержащую ПДн работника.

2.5 Форма согласия родственников работников на обработку ПДн. Копию заполненной формы, содержащую ПДн родственников работников.

2.6 Справка о составе документов, входящих в личное дело работника Оператора.

2.7 Справка о порядке передачи ПДн работников третьим лицам. С приложением подтверждающих документов.

2.8 Справка о порядке оформления зарплатного проекта с приложением следующих документов. Приложить Копию договора, заключенного с банком.

2.9. Справка об осуществлении медицинского страхования работников и их родственников с приложением копии договора.

2.10. Справка о порядке оформления и бронирования гостиничных номеров, проездных билетов и т.п. при командировании работников с  приложением подтверждающих документов.

2.11 Справка о сроках хранения личных дел уволенных работников Оператора до момента их передачи на архивное хранение, осуществляемое в  соответствии с законодательством об архивном деле в Российской Федерации (далее – архив), а также до момента поручения хранения личных дел третьему лицу. Указать состав документов работников, передаваемых в  архив (третьему лицу, осуществляющему хранение документов по поручению Оператора). Копии документов, устанавливающих порядок ведения (отнесение к архиву) архивного хранения в соответствии с законодательством об архивном деле в Российской Федерации (при наличии).

2.12. Копии договоров, заключенных с третьими лицами, касающихся поручения на обработку ПДн работников, родственников работников.

2.13. Справка о порядке обработки ПДн уволенных работников.

3. Информационные системы персональных данных

3.1. Перечень информационных систем ПДн, обрабатывающих ПДн всех категорий субъектов ПДн.

3.2 Сведения о местонахождении (адрес) баз данных информации Оператора, содержащих персональные данные граждан Российской Федерации. Описание информационных систем, с указанием наименования, версии ПО, разработчика ПО, места нахождения компонент.

3.3. Перечень субъектов ПДн, перечень групп субъектов ПДн, обрабатываемых в ИСПДн, если субъекты ПДн объединяются в группы.

3.4. Источники получения ПДн по каждой категории субъектов ПДн соответственно (сам субъект их предоставил или они получены другим законным путем).

3.5. перечень категорий ПДн субъектов ПДн обрабатываемых в ИСПДн.

3.6. Описание и назначение ИСПДн, в которой осуществляется обработка ПДн по каждой категории субъектов ПДн. Инструкция к ИСПДн, руководство пользователя и любые аналогичные документы по функционалу ИСПДн, порядку доступа, резервирования.

3.7. Перечень операций, действий, совершаемых с ПДн субъектов ПДн в ИСПДн.

3.8. Описание порядка обработки ПДн (пошаговое описание порядка ввода, сбора, загрузки, хранения, чтения, использования, передачи, доступа, распространения, изменения, удаления, уничтожения) в ИСПДн по каждой категории субъектов ПДн соответственно.

3.9. Информация о порядке резервного копирования информации, включая периодичность копирования, порядок и места хранения резервных копий и порядок уничтожения резервных копий.

3.10. Описание технологического и информационного сопровождения ИСПДн.

3.11. Копии договоров аренды серверных мощностей, используемых для размещения баз данных ПДн.

3.12. Копии документов подтверждающих наличие собственных серверных мощностей, на которых размещены базы данных ПДн;

3.13. Сведения и документы о лице (лицах) в ведении которого находятся обслуживание, администрирование, использование серверных мощностей, на которых размещены база данных ПДн абонентов.

3.14. Заверенную блок-схему обмена информации, содержащей ПДн субъектов ПДн, отражающую направления информационных потоков и  участников информационного обмена, с указанием наименования ИСПДн, адреса размещения базы данных и серверных мощностей.

4. Интернет-сервисы (Яндекс.Метрика, Google Analytics и т.п.), мобильные приложения.

4.1. Справка об используемых на сайтах Оператора интернет-сервисах, разработанных и принадлежащих Оператору, а также разработанных и принадлежащих сторонним организациям, с помощью которых обрабатываются данные о посетителях и пользователях сайтов Оператора, с  указанием назначения и функционала интернет-сервисов.

4.2. Приложить копии договоров, заключенных с указанными в п. 4.1 сторонними организациями и все изданные приложения к договорам.

4.3. Справка о функционале используемых интернет-сервисов в части, касающейся сбора данных о посетителях на сайтах и в мобильных приложениях Оператора, отдельно по каждому сервису.

4.4. Перечень данных о посетителях и зарегистрированных пользователях сайтов и мобильных приложений Оператора, получаемых при помощи указанных сервисов, отдельно по каждому сервису. Приложить подтверждающие документы.

4.5. Сведения о базах данных (их адрес, кому принадлежат) на которых хранятся данные, полученные с помощью интернет-сервисов, когда и  как уничтожаются данные.

4.6. Копии документов и локальных актов, изданных Оператором, по вопросам обработки ПДн пользователей мобильных программных приложений Оператора. Копии технической документации по функционалу мобильных приложений Оператора. Справку о содержании данных пользователей, обрабатываемых в мобильных приложениях Оператора для операционных систем iOS, Android, Windows, с указанием мест хранения данных, целей обработки, лиц, которым данные передаются, сроках обработки и хранения, порядка и условий уничтожения;

4.7. Копии договоров со всеми приложениями, заключенные с третьими лицами, на основании которых оказываются услуги рекламного характера, осуществляется передача данных посетителей, пользователей сайтов, клиентов (физических лиц) Оператора. Копии договоров, на основании которых осуществляется передача статистических обезличенных данных, полученных после агрегации и любой другой модификации (изменения) данных посетителей, пользователей сайтов, клиентов Оператора.

4.8. Перечень сайтов принадлежащих Оператору.

Под данными посетителей и зарегистрированных пользователей сайтов и  мобильных приложений Оператора понимаются все данные о посетителях, собираемые с помощью функционала указанных сервисов, а также те данные, которые сервисы сами собирают и обрабатывают на своих вычислительных мощностях, а именно: псевдоним пользователя, адрес пользователя или адрес устройства пользователя, посредством которого пользователь зашел на сайт Оператора, а также сведения о пользователе, включающие ip-адрес, поисковые запросы пользователя, интернет-адреса веб-страниц, посещаемых пользователем, тематику информации, размещённой на посещаемых пользователем интернет- ресурсах Оператора, идентификатор пользователя, преобразованный Оператором при помощи хеш-функции или других модификаций, географический адрес точки подключения пользователя к сети Интернет, информация, не позволяющая однозначно идентифицировать пользователя или конкретное физическое лицо, но обеспечивающая формирование достаточного для предоставления пользователю рекламной информации.

4.9 Документы, устанавливающие порядок резервного копирования информации, содержащей ПДн.

И напоследок, редакция статьи 13.11 КоАП РФ, которая вступит в силу после 1 июля 2017 года:

Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

1. Обработка персональных, несовместимая с целями сбора персональных данных

Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2  настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, — влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от тридцати тысяч до пятидесяти тысяч рублей.

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с  законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, — влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от пятнадцати тысяч до семидесяти пяти тысяч рублей.

3. Публикация документа, определяющего политику в отношении обработки персональных данных

Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных — влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц — от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от пятнадцати тысяч до тридцати тысяч рублей.

4. Предоставлние информации, касающейся обработки персональных данных

Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, — влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц — от двадцати тысяч до сорока тысяч рублей.

5. Невыполнение оператором действий по уточнению, блокированию и уничтожению персональных данных

Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, — влечет предупреждение или наложение административного штрафа на граждан в  размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до сорока пяти тысяч рублей.

6. Соблюдение условий сохранности персональных данных

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в  области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния — влечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до пятидесяти тысяч рублей.

7. Невыполнение обязанности по обезличиванию персональных данных

Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в  области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных — влечет предупреждение или наложение административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.

Если вы хотите избежать штрафов и у вас нет возможности заняться сбором всех необходимых документов, оставьте заявку на получение консультации и получите помощь в сборе всех требуемых документов и внесении изменений на вашем сайте.

Оцените пост:
1
Не очень

Читайте также

Читать весь блог
Бизнес теряет клиентов без HTTPS

Бизнес теряет клиентов без HTTPS: Яндекс и Google солидарны

C 2017 года международный поисковик Google помечает сайты без HTTPS как небезопасные. С 2019 для Яндекса это тоже важный параметр качества сайта. Какие проблемы ждут владельцев сайтов без HTTPS-протокола?

28 февраля 2019
Как регион влияет на продвижение сайта в Яндексе и Google

Как регион влияет на продвижение сайта в Яндексе и Google

«Сегодня – Кемерово, завтра Москва, затем Россия, а потом и вся Солнечная Система!»

07 июня 2016