Любая организация, занимающаяся работой с персональными данными (ПД) и их передачей, считается оператором ПД. Операторы ПД должны руководствоваться в своей деятельности законом РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года и другими правовыми нормами.

Оператор должен пройти регистрацию в Реестре операторов ПД в Роскомнадзоре на официальном сайте регулятора и указать, с какой целью он применяет собранные и запрашиваемые ПД. Если использование ПД служащих предусмотрено трудовым законодательством, то организация имеет право работать с ними без извещения Роскомнадзора.

Обязанностью оператора является принятие необходимых мер для защиты ПД от несанкционированного использования: фальсификации, копирования, удаления, блокировки, распространения и других противозаконных действий.

Регламентация содержания ПД, связанных с трудовой деятельностью

В ПД входят практически все сведения о человеке. Содержание ПД определяется самими операторами. Но имеют место случаи, когда их содержание четко регламентируется нормативно-правовыми актами, и отступление от этих требований является незаконным. На любом предприятии в форму учета кадров заносятся следующие сведения (персональные данные) о каждом работнике:

• ФИО;
• информация о дате рождения;
• гражданство;
• СНИЛС;
• индивидуальный налоговый номер;
• владение иностранными языками;
• полученное образование;
• приобретенные профессии, специальности;
• сведения о составе семьи;
• место проживания;
• контакты;
• отношение к военной обязанности;
• трудовая деятельность.

Защита персональных данных

Юридические и физические лица, работающие с ПД, обязаны организовать надлежащую защиту этих сведений. Предусматривается внутренняя и внешняя защита ПД на предприятии и в любой организации.

К внутренней защите ПД относятся такие действия:

• допуск к ПД работников только строго определенного внутренними документами круга лиц, которым эти сведения необходимы для выполнения своих обязанностей, предусмотренных для занимаемой должности;
• назначение ответственного служащего, который следит за выполнением правовых норм в области защиты ПД;
• создание списка документации, в которой содержатся ПД;
• выпуск регламентирующей документации по защите ПД для внутреннего пользования и контроль за соблюдением правил;
• ознакомление служащих, обрабатывающих персональные данные, с правовыми нормами по их защите и внутренними регламентирующими документами;
• периодическая проверка осведомленности служащих по этим вопросам и контролирование выполнения ими нормативных актов по защите конфиденциальных данных;
• рабочие места должны быть размещены таким образом, чтобы посторонние лица не могли видеть конфиденциальные сведения;
• создание препятствий для воздействия на техсредства, осуществляющие автоматизированную обработку ПД, в результате которого может нарушиться их работа;
• формирование списка лиц, имеющих право находиться в кабинетах с персональными данными;
• описание процедуры удаления неиспользуемой информации;
• своевременное выявление и устранение нарушений норм защиты ПД;
• проведение профилактических мероприятий по недопущению разглашения сотрудниками обрабатываемых личных данных.

Внешняя защита ПД предполагает следующие действия:

• пропускной режим;
• соблюдение установленных правил приема посетителей и их учета;
• использование приборов для охраны;
• программная защита данных.

Информационные системы персональных данных (ИСПД)

Информационные системы персональных данных – это функционирующий набор информационных, аппаратных и программных составляющих.

В состав ИСПД входят: 

• обрабатываемые ПД;
• технология работы с информацией средствами вычислительной техники;
• техсредства и приспособления (серверы, рабочие терминалы, сети передачи данных, принтеры, сканеры и т. п.);
• средства защиты информации.

Защитные мероприятия при работе в ИСПД

Чтобы уберечь персональные данные от несанкционированного распространения, необходимо выполнение следующих мероприятий по их защите:

• определение актуальных угроз безопасности;
• формирование моделей угроз;
• разработка систем защиты ПДн (СЗПДн);
• проверка работоспособности средств защиты информации (СЗИ);
• заключение о пригодности к эксплуатации;
• установка и ввод в эксплуатацию СЗИ;
• обучение сотрудников работе с СЗИ;
• контроль работы СЗИ;
• оформление техдокументации;
• определение круга сотрудников, допущенных к работе с ИСПД;
• при обнаружении нарушения условий хранения носителей ПД – проведение расследования и составление заключения;
• принятие мер по ликвидации последствий этих нарушений;
• обеспечение охраны помещений с оборудованием ИСПД и организация режима допуска;
• проведение мероприятий по недопустимости утечки информации по техническим каналам.

Защита ПД от несанкционированного доступа

Средствами защиты от несанкционированного доступа служат их подсистемы:

• управление доступом к ПД, регистрация и учет всех действий с этими данными;
• обеспечение целостности персональной информации;
• применение антивирусной защиты для сохранения ПД и предотвращения вирусных атак;
• создание межсетевого экрана;
• анализ защищенности и принятие мер по ее усилению;
• обнаружение вторжений, своевременная их локализация.

Подсистема управления доступом – это не входящие в ядро ОС средства их защиты, а также системы управления баз данных и других программ. К этим средствам защиты относятся специальные утилиты, производящие тестирование файловой системы, журналирование действий, сигнализацию о несанкционированном проникновении в систему.

Обеспечение целостности ПД осуществляется средствами самих ОС и систем управления базами данных. Базовой платформой построения ИСПД может выступать сетевая ОС Microsoft Windows Server (Standard Edition и Enterprise Edition), которая сертифицирована ФСТЭК России и ФСБ.

Для подсистемы антивирусной защиты можно использовать антивирусные средства Лаборатории Касперского, которые также имеют сертификат ФСБ. В зависимости от уровня защищенности ИСПД можно использовать межсетевые экраны третьего-четвертого уровня защиты.

Подсистема анализа защищенности осуществляет контроль настроек защиты ОС на рабочих терминалах и серверах. Она выдает отчет со сведениями об обнаруженных уязвимостях. По результатам сканирования принимаются меры по устранению выявленных недочетов.

Для подсистемы анализа можно использовать сетевой сканер безопасности Xspider фирмы Positive Technologies, сертифицированный ФСТЭК России. Для подсистемы обнаружения вторжений специалисты рекомендуют продукт Cisco Intrusion Detection System, сертифицированный ФСТЭК.

Перед началом ввода ИСПД в эксплуатацию необходимо провести ее аттестацию безопасности и получить Аттестат соответствия требованиям ФСТЭК России.

Аттестация ИСПД по требованиям безопасности информации выполняется до начала обработки информации, которая подлежит защите. Она официально подтверждает эффективность комплексных решений, применяемых в ИСПД мер и инструментов защиты информации

Как документально оформить защиту персональных данных

Исходя из практической целесообразности, можно издать следующие документы:

• положение о ПД;
• список служащих, работающих с персональными данными;
• приказ об утверждении работника, отвечающего за работу с персональными данными;
• положение о мерах по ЗПД;
• инструкцию о служебном расследовании фактов разглашения личных данных работников;
• инструктаж по ЗПД;
• журнал антивирусных проверок;
• журнал контроля использования ПД для служебной необходимости.

Передача персональных данных третьим лицам

Чтобы обеспечить соблюдение норм закона о получении согласия физического лица на обработку и передачу ПД, можно оформить коллективный договор со служащими, в котором перечислить всех третьих лиц с указанием наименований, адресов, срока использования данных. Все работники организации должны этот договор подписать.

Необходимо знать, что законодательство РФ предусматривает передачу персональных данных судебным органам и другим правоохранительным инстанциям без необходимости получения согласия на эти действия.

Время хранения персональных данных

С персональных данных конфиденциальность снимается через 75 лет, если происходит их обезличивание, или по требованию закона. Когда ПД больше не нужны оператору, они должны быть уничтожены на протяжении пяти лет или сданы в архив.

Обработка персональных данных без согласия субъекта: последствия и ответственность

Обработка персональных данных без согласия субъекта запрещена. Нарушителя этого правила могут привлечь к ответственности — дисциплинарной, административной, гражданской и даже уголовной.

Однако есть исключения: в ряде случаев работать с персональными данными можно даже тогда, когда их субъект своего согласия не давал.

В статье расскажем о видах ответственности, к которым может быть привлечен нарушитель, а также о том, когда получать согласие на обработку информации не требуется.

В соответствии со ст. 9 закона «О персональных…» от 27.07.2006 № 152-ФЗ субъект персональных данных самостоятельно принимает решение о предоставлении права на обработку и использование этой информации третьими лицами. Согласие оформляется в письменном виде (а если данные передаются через интернет, в электронном).

Персональные данные без штрафов Время прохождения около 5 мин. Пройти тест

Необходимость в предоставлении личной информации возникает постоянно: при медицинском осмотре в поликлинике, трудоустройстве на работу и даже оформлении заказа в интернет-магазине.

Сторона, получающая личные сведения, обязана:

• заручиться согласием их владельца на обработку и использование;
• обеспечивать конфиденциальность;
• хранить документ, подтверждающий, что владелец разрешил работать с ними.

ВАЖНО! Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В подобной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных.

Нарушение этих требований влечет за собой применение к оператору персональных данных мер ответственности.

Ответственность за нарушение законодательства

Согласно ч. 1 ст. 6 закона № 152 для обработки личных сведений необходимо получить согласие лица, которому они принадлежат. Использование персональных данных без согласия по общему правилу является нарушением закона и влечет за собой привлечение ответственного за их обработку к дисциплинарной, административной и даже уголовной ответственности (ч. 1 ст. 24 закона № 152).

Так, работодатель может объявить должностному лицу — работнику организации выговор за ненадлежащее исполнение им своих должностных обязанностей или уменьшить размер стимулирующей выплаты (премии), при условии что такой вид наказания предусмотрен действующим на предприятии коллективным договором или иным локальным документом.

Административная ответственность за обработку данных без согласия лица, которому они принадлежат, предусматривает наложение на нарушителя штрафа в размере (ч. 2 ст. 13.11 КоАП РФ):

• 6–10 тыс. руб. — на граждан;
• 20–40 тыс. руб. — на должностных лиц;
• 30–150 тыс. руб. — на юридических лиц.

ВНИМАНИЕ! С 27.03.2021 года выросли штрафы за нарушения при работе с персональными данными. Подробности см. здесь.

Уголовная ответственность наступает за незаконный сбор сведений о частной жизни человека (в том числе о личной или семейной тайне), а также за неправомерный доступ к компьютерной информации, содержащей такие сведения (ст. 137, 272 УК РФ).

Кроме того, субъект персональных данных может потребовать от нарушителя возмещения причиненного ему морального вреда (ч. 2 ст. 24 закона № 152).

За соблюдением законодательных требований в области личной информации следит Роскомнадзор.

Грамотно организовать работу с персональными данными работников вам поможет Путеводитель от КонсультантПлюс. Если у вас еще нет доступа к этой правовой системе, пробный доступ можно получить бесплатно.

Когда согласие на обработку персональных данных не требуется

В соответствии с ч. 1 ст. 6 закона № 152 не требуется согласие на обработку персональных данных в следующих случаях:

• если лицо является участником судебного разбирательства;
• если данные необходимы для исполнения госорганами своих полномочий в области предоставления государственных и муниципальных услуг, в том числе для регистрации гражданина на портале «Госуслуги»;
• для исполнения договора, выгодоприобретателем или поручителем по которому выступает лицо (или для заключения такого договора от его имени);
• если ситуация требует немедленных действий, необходимых для сохранения жизни и здоровья гражданина, а получить его согласие невозможно (например, человек находится без сознания);
• собранные личные данные будут использованы в целях проведения статистического или иного исследования, при условии что они будут обезличены;
• лицо ранее самостоятельно сделало свои данные доступными для неограниченного количества пользователей;
• данные должны быть раскрыты в соответствии с действующими законодательными требованиями;
• информация используется для журналистской, творческой или научной деятельности, а также для работы СМИ, при условии что это не нарушает права и законные интересы гражданина.

Итоги

Итак, обработка и распространение персональных данных без согласия их обладателя является нарушением законодательства, которое влечет за собой привлечение нарушителя к ответственности.

Однако возможны ситуации, когда законодатель освобождает лицо, уполномоченное на работу с личными данными, от обязанности по получению согласия на их обработку.

Например, если человек по состоянию здоровья попросту не может его представить.

Более полную информацию по теме вы можете найти в КонсультантПлюс. Пробный бесплатный доступ к системе на 2 дня.

Какие данные являются персональными: позиция суда

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр.

 Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах.

Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

«Классические» персональные данные

К «классическим» персональным данным относятся Ф.И.О. физического лица, ведь они позволяют его идентифицировать среди остальной массы людей, поэтому без согласия человека обработка таких персональных данных не допускается.

Банки не могут распространять платежные карты с открытыми данными клиентов, а управляющие компании рассылать в открытом виде платежные документы, поскольку в таком случае персональные данные людей не защищены от случайного к ним доступа со стороны третьих лиц (апелляционное определение Самарского областного суда от 17.10.2019 № 33-12118/2019).

Помимо Ф.И.О.

к числу персональных данных физического лица также относится и конкретный адрес его проживания, включающий город, улицу, номера дома и квартиры, а вот неполный адрес (без указания определенной квартиры) уже не позволяет установить конкретного субъекта персональных данных. В многоквартирном доме находится много квартир, поэтому такой общий адрес нельзя соотнести с конкретным человеком.

Типичным нарушением со стороны управляющей компании, под управлением которой находится жилой дом, является размещение на входной двери, ведущей в подъезд, на стендах и в иных местах, открытых для всеобщего доступа, информации о наличии задолженности по оплате электроэнергии и коммунальных платежей в отношении конкретных граждан с указанием номеров их квартир. Указанные сведения относятся к частной жизни конкретных лиц, поэтому их разглашение будет считаться нарушением, что дает пострадавшему лицу право требовать взыскания денежной компенсации морального вреда на основании ст. 151 ГК РФ (решение Московского районного суда г. Калининграда от 19.04.2017 по делу № 2-688/2017).

Некоторые особо восприимчивые граждане в такой ситуации могут вообще посчитать, что информация о наличии у них задолженности является оскорбительной и задевает их честь, достоинство и доброе имя.

Однако порочащий характер сведений должен выражаться в оскорбительных высказываниях, а не в фиксации долга.

Нарушение в данном случае состоит только в разглашении персональных данных (апелляционное определение Саратовского областного суда от 23.07.2019 по делу № 33-5366).

Здесь стоит отметить, что судебная практика по вопросу отнесения номеров квартир к числу персональных данных не является единообразной, есть примеры случаев, когда суды полагали возможным указание номеров квартир с информацией о наличии задолженности.

Суд указал, что не будет считаться нарушением размещение информации о наличии задолженности по оплате электроэнергии и коммунальных услуг с перечнем соответствующих квартир, но без указания таких персональных данных, как Ф.И.О. (апелляционное определение Свердловского областного суда от 19.09.2019 по делу № 33-15137/2019).

Жители многоквартирного дома, проживающие в конкретном подъезде, скорее всего, знают друг друга в лицо и по имени, поэтому хоть и не всегда, но в определенных случаях могут соотнести данные о номере квартиры со своими соседями, что позволяет рассматривать номер квартиры как персональные данные конкретных лиц.

При таких обстоятельствах можно сделать однозначный вывод: размещение информации о наличии задолженности на стенде подъезда многоквартирного дома с указанием конкретных номеров квартир может рассматриваться как нарушение законодательства о защите персональных данных.

Иным образом будет обстоять дело в случае, когда на информационном стенде вывешивается не объявление, а индивидуальное обращение к конкретному лицу по вопросу, представляющему определенную значимость.

Гражданин при входе в подъезд своего жилого дома неожиданно для себя увидел требовательную надпись о том, что ему надлежит вернуть аннулированную доверенность конкретному человеку.

Гражданин полагал, что вывешивание такого объявления нарушает требования законодательства по защите персональных данных.

Однако суд его требования не поддержал, отметив, что само по себе размещение информации не является обработкой персональных данных и не требует получения разрешения (апелляционное определение Волгоградского областного суда от 09.01.2019 по делу № 33-774/2019).

В состав персональных данных гражданина также входят год, дата, месяц и место его рождения, семейное и имущественное положение, уровень образования, размер доходов, а также иная информация, посредством которой можно идентифицировать конкретное физическое лицо.

В качестве персональных данных можно также рассматривать серию и номер паспорта гражданина, которые представляют собой уникальную комбинацию цифр, указываемых в основном документе, удостоверяющем его личность.

У другого гражданина реквизиты основного документа, удостоверяющего личность, будут другими, поэтому реквизиты паспорта также могут быть отнесены к числу персональных данных.

Персональные данные под вопросом

Профессию и образование, а также социальное положение в качестве персональных данных предлагает рассматривать Пермский краевой суд 1. По нашему мнению, профессию и образование нельзя считать персданными, поскольку сами по себе они могут быть относимы к большому количеству людей.

Как нам представляется, те или иные разрозненные сведения, рассматриваемые отдельно,…

Как ужесточились требования к работе с персональными данными в 2021 году

Изменения в Федеральный закон от 27.07.2006 № 152-ФЗ, который проясняет вопросы обработки, хранения и доступа к персональным данным (ПД), внес Федеральный закон от 30.12.2020 № 519-ФЗ.

Поправки решают проблему бесконтрольного использования персональных данных граждан третьими лицами.

В этой статье рассмотрим следующие вопросы:

Что изменилось в обработке персональных данных с 1 марта

Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

• Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.  
• Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
• В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Как прекратить передачу данных, разрешенных для распространения

Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта. 

Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию: 

• ФИО; 
• контактные данные;
• перечень персональных данных, обработку которых нужно прекратить. 

Указанные ПД могут обрабатываться только оператором, которому оно направлено.

Требования к обработке персональных данных

На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2017 году, когда Федеральный закон от 07.02.

2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП.

Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.

В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:

• организующие и (или) осуществляющие обработку ПД;
• определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД. 

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):

• ФИО 
• дата рождения
• адрес
• телефон
• электронный адрес
• фотография
• ссылка на персональный сайт
• ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.

За что и на какие суммы штрафуют в 2021 году

27 марта вступает в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.

Последний раз административную ответственность в этой сфере усиливали в 2017 году. Но с конца марта суммы штрафов не просто увеличатся в два раза.

Обратите внимание на следующие нововведения:

1.   За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалась такая санкция, как предупреждение.

2. До 27 марта 2021 года повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь будет выделяться, а штрафы по нему будут в несколько раз выше, чем за первичное нарушение.

Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 000 до 100 000 руб., а за повторное — от 100 000 до 300 000 руб.

3. Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то с 27 марта 2021 года будет увеличен до одного года.

Основание Размер штрафа

Обработка ПД в случаях, не предусмотренных законодательством и несовместимая с целями сбора ПД	Для физлиц: предупреждение или штраф — от 2 000 до 6 000 руб. Для должностных лиц: предупреждение или штраф — от 10 000 до 20 000 руб. Для юрлиц: предупреждение или штраф — от 60 000 до 100 000 руб. При повторном нарушении Для физлиц: от 4 000 до 12 000 руб.; Для должностных лиц: от 20 000 до 50 000 руб.; Для ИП: от 50 000 до 100 000 руб.; Для юрлиц: от 100 000 до 300 000 руб.
Обработка ПД без письменного согласия субъекта	Для физлиц: от 6 000 до 10 000 руб. Для должностных лиц: от 20 000 до 40 000 руб. Для юрлиц: от 30 000 до 150 000 руб. При повторном нарушении Для граждан: от 10 000 до 20 000 руб.; Для должностных лиц: от 40 000 до 100 000 руб.; Для ИП: от 100 000 до 300 000 руб.; Для юрлиц: от 300 000 до 500 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПД, или сведениям по защите ПД	Для физлиц: 1 500 до 3 000 руб. Для должностных лиц: от 6 000 до 12 000 руб. Для юрлиц: от 30 000 до 60 000 руб. Для ИП: от 10 000 до 20 000 руб.
Непредоставление субъекту ПД информации по их обработке	Для физлиц: предупреждение или штраф — от 2 000 до 4 000 руб. Для должностных лиц: предупреждение или штраф — от 8 000 до 12 000 руб. Для юрлиц: предупреждение или штраф — от 40 000 до 80 000 руб. Для ИП: предупреждение или штраф — от 20 000 до 30 000 руб.
Невыполнение требования субъекта ПД или его представителя об уточнении, блокировке, уничтожении (если ПД неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)	Для физлиц: предупреждение или наложение штрафа в размере от 2 000 до 4 000 руб. Для должностных лиц: предупреждение или штраф — от 8 000 до 20 000 руб. Для юрлиц: предупреждение или штраф — от 50 000 до 90 000 руб. Для ИП: предупреждение или штраф — от 20 000 до 40 000 руб. При повторном нарушении Для граждан: от 20 000 до 30 000 руб. Для должностных лиц: от 30 000 до 50 000 руб. Для ИП: от 50 000 до 100 000 руб. Для юрлиц: от 300 000 до 500 000 руб.
Неисполнение обязанности по сохранности ПД, что привело к неправомерному или случайному доступу к ПД и стало причиной их уничтожения, изменения, блокирования, копирования	Для физлиц: от 1 500 до 4 000 руб. Для должностных лиц: от 8 000 до 20 000 руб. Для юрлиц: от 50 000 до 100 000 руб. Для ИП: от 20 000 до 40 000 руб.
Невыполнение государственным или муниципальным органом обязанности по обезличиванию ПД; несоблюдение требований по обезличиванию ПД	Для должностных лиц: предупреждение или наложение административного штрафа — от 6 000 до 12 000 руб.

Такое правонарушение, как обработка ПД без получения согласия субъекта, предусматривает самые крупные штрафы для всех категорий операторов. Так, при повторном нарушении юрлицу придется заплатить штраф до 500 000 руб.

В связи с этим возникает много вопросов. Как уведомить Роскомнадзор об обработке персональных данных? Что делать владельцу сайта, чтобы избежать штрафов?  

Что делать владельцу сайта, чтобы избежать штрафов

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПД, то под каждую из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПД. Это может быть как пользовательское соглашение, согласие на обработку ПД, так и договор, политика конфиденциальности, часть оферты — название не столь принципиально. 

Например, на сайте Microsoft этот документ называется заявление о конфиденциальности.

Обратите внимание на то, что в нем есть пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas текст согласия на обработку ПД располагается прямо с формой регистрации, при этом ссылка ведет на политику конфиденциальности компании.   

Шаг 3. Подготовьте текст документа с условиями обработки ПД. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ): 

• ФИО, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование или ФИО и адрес оператора, получающего согласие субъекта ПД;
• цель обработки ПД;
• перечень ПД, на обработку которых субъект дает согласие;
• наименование или ФИО и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка будет поручена такому лицу;
• перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
• срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва (если иное не установлено законом);
• подпись субъекта ПД.

Если вы составляете пользовательское соглашение на основе чьего-то готового документа, корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте Политику в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите ее на сайте в свободном доступе. 

Шаг 5. Подайте уведомление об обработке ПД в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПД. Но лучше поздно, чем никогда. 

За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД. 

Случаи, когда уведомление Роскомнадзора не требуется

Уведомлять Роскомнадзор не нужно, если ПД:

• относятся к субъектам, которых связывают с оператором трудовые отношения;

• получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
• являются общедоступными;
• включают только ФИО субъектов ПД;
• нужны для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;
• включены в федеральные автоматизированные информационные системы ПД, государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;  
• обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

Конфиденциальность персональных данных: когда ее не нужно обеспечивать

В соответствии с ч. 2 ст. 22 Федерального закона № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

• в случае обезличивания ПД;
• в отношении общедоступных ПД;
• если данные включают только ФИО субъектов ПД;
• для однократного пропуска субъекта ПД на территорию, на которой находится оператор (или в иных аналогичных целях);
• если данные получены в связи с заключением договора, стороной которого является субъект ПД, если данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД;
• если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда не нужно получать согласие на обработку персональных данных

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях, когда обработка ПД:

• осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПД и круг субъектов, данные которых подлежат обработке, а также определяющего полномочия оператора;
• осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД;
• осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПД;
• необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия невозможно;
• необходима для доставки почтовых отправлений, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги, а также для рассмотрения претензий пользователей услугами связи;
• осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
• осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, ПД кандидатов на выборные государственные или муниципальные должности.

Что такое портал персональных данных

Сегодня все новости, аналитические материалы, важные документы, рекомендации по обработке персональных данных, реестр операторов и другую необходимую информацию можно найти на портале персональных данных. Ответственность за ресурс возложена на Роскомнадзор. 

Как еще планируют ужесточить обработку персональных данных 

Минцифры предложило еще больше усовершенствовать законодательство в сфере персональных данных и регламентировать политику обработки обезличенных данных. Необходимость таких мер связана с тем, что уже сейчас стали доступны технологии, позволяющие деобезличивать данные и определять по ним конкретного человека.

Министерство предлагает запретить операторам: 

• использовать какую-либо дополнительную информацию, с помощью которой можно определить принадлежность персональных данных конкретному субъекту;
• помимо обезличенных данных передавать третьим лицам информацию, позволяющую идентифицировать человека;
• деобезличивать данные, за исключением случаев, когда необходимо защитить жизнь или здоровье человека.

• Как уточнили в Минцифре, есть только одна причина, по которой обезличенные персональные данные можно использовать без согласия — в исследовательских и статистических целях.
• Более детальная информация об обработке персональных данных — в материалах наших экспертов:
• Пять базовых принципов закона о персональных данных, о которых нужно знать
• Как подготовиться к плановой проверке ФСБ по персональным данным?
• Проверка Роскомнадзора: как подготовиться и избежать штрафов 

Персональные данные в интернете: возможности и риски

Россиян спросили о том, как они оценивают использование своих персональных
данных в социальных сетях третьими лицами.

Почти две трети россиян (62%) пользуются социальными сетями с той или иной
периодичностью: 41% опрошенных заходят в соцсети ежедневно, 14% — несколько раз
в неделю, еще 4% — несколько раз в месяц. Молодежь (18-24 года) является самым
активным пользовательским кластером, среди них доля ежедневного пользования
составляет 82% (среди 60 лет+ — 15%).

Почти половина (47%) пользователей размещали в социальных сетях какую-либо
информацию о себе за последний год. Чаще всего пользователи социальных сетей
«лайкают» то, что им понравилось (85%).

Две трети опрошенных (67%) размещают
фотографии и видео на своих страничках в социальных сетях. Более половины
респондентов (56%) комментируют посты, фото и видео других пользователей.
Оставляют информацию о своих увлечениях и хобби 30% пользователей социальных
сетей.

Наконец, 23% участников опроса публикуют собственные тексты и посты в
социальных сетях.

В обществе доминирует мнение, что информация о пользователях используется
третьими лицами (55%), при этом только 18% пользователей социальных сетей в
высокой степени уверены в этом. Обратного мнения придерживаются 34%
респондентов (доля ответов «определенно не используется» — 14%).

Отношение к использованию данных в социальных сетях третьими лицами —
преимущественно негативное (55%). Отрицательно пользователи относятся и к
использованию данных операторами социальных сетей (60%). При этом каждый второй
(52%) считает, что использование персональных данных третьими лицами не несет
никакой угрозы.

Предоставление пользователям возможности разрешать или запрещать доступ
третьим лицам к той или иной личной информации рассматривается скорее как
формальная мера (77%), которая не может полностью обезопасить личные
данные.

Приоритетные задачи должны быть направлены на рост цифровой грамотности
через образовательные программы и инициативы для разных возрастных категорий
граждан и на создание сервисов для пользователя, позволяющих в один клик
проследить за всеми соглашениями об обработке личных данных, которые гражданин
дал различным компаниям

Владимир Месропян, руководитель Проектного офиса по реализации
национальной программы «Цифровая экономика» Аналитического центра при
Правительстве Российской Федерации

«В цифровой экономике появляется понятие «цифровой двойник». У каждого из
нас есть свой «двойник», и по этому поводу идет дискуссия о том, кому должны
принадлежать данные, которые мы выкладываем в социальные сети и на различные
ресурсы в интернете. Есть два мнения — опубликованные данные принадлежат самой
соцсети или являются общедоступными, т.е.

принадлежат всем, кто может их
достать и обработать.

Ответ на этот вопрос нужно дать при принятии
соответствующего законопроекта в национальной программе «Цифровая экономика
Российской Федерации», который в равной степени должен учитывать интересы как
граждан, так и бизнес-сообщества, — полагает руководитель Проектного офиса по
реализации национальной программы «Цифровая экономика» Аналитического центра
при Правительстве Российской Федерации Владимир Месропян. — И если
предприниматели хотят использовать данные для развития своих сервисов и
получения дополнительной прибыли, то люди заинтересованы в том, чтобы никакое
третье лицо не смогло использовать их личную информацию во вред. Таким образом,
приоритетные задачи должны быть направлены на рост цифровой грамотности через
образовательные программы и инициативы для разных возрастных категорий граждан
и на создание сервисов для пользователя, позволяющих в один клик проследить за
всеми соглашениями об обработке личных данных, которые гражданин дал различным
компаниям. В этом смысле Россия может опереться на европейский опыт и обратить
внимание на положения Общего регламента по защите данных, принятого в Европе
(GDPR)».

Сегодня чрезвычайно важно направить общественную и экспертную дискуссию на
обсуждение необходимых норм и институтов регулирования этой сферы,
гарантирующих защиту прав граждан, подкрепленную информационно-разъяснительной
кампанией по повышению цифровой грамотности

Кирилл Родин, руководитель практики информационной политики и
коммуникационных технологий ВЦИОМ

«Несмотря на то, что пользование интернетом приобрело фактически массовых
характер за исключением старших возрастных групп, для большинства населения
угроза столкновения в этой реальности с противоправными действиями в отношении
себя или близких пока в большинстве случаев носит гипотетический характер и в
значительной мере слабо рефлексируется. Принимая во внимание то факт, что
вместе с тем опрашиваемые высказывают достаточно высокий уровень тревожности
относительно возможного использования персональных данных, сегодня чрезвычайно
важно направить общественную и экспертную дискуссию на обсуждение необходимых
норм и институтов регулирования этой сферы, гарантирующих защиту прав граждан,
подкрепленную информационно-разъяснительной кампанией по повышению цифровой
грамотности», считает руководитель практики информационной политики и
коммуникационных технологий ВЦИОМ Кирилл Родин.

Инициативный опрос ВЦИОМ — «Спутник» проведен 24-25 сентября 2018 г. В
опросе приняли участие россияне в возрасте от 18 лет. Метод опроса — телефонное
интервью по стратифицированной двухосновной случайной выборке стационарных
и мобильных номеров объемом 3200 респондентов.

Shutterstock.com