КУПИТЬ  ЖУРНАЛЫ  

               

При использовании данного материала интерактивная ссылка на источник обязательна ©«Председатель ТСЖ»

Опубликовано в журнале "Председатель ТСЖ" №9  (119) 2017

С 1 июля 2017 г. ужесточена ответственность за нарушения при взаимодействии с персональными данными физлиц. Этому способствовал вновь принятый Федеральный закон от 07.02.2017 № 13-ФЗ. Изменения коснулись всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц, в том числе, и владельцев сайтов, которые собирают данные о каждом своем посетителе.

В данной статье мы попробуем разобраться, чего же ждать от проверяющих, какие штрафы грозят за нарушения в обработке персональных данных, что делать, какие меры локального характера предпринять.

Понятие персональных данных физлиц

Проверки работодателей по вопросам обработки ими персональных данных проводят подразделения Роскомнадзора. Данные полномочия предоставлены Роскомнадзору Приказом Минкомсвязи России от 14.11.2011 № 312.

Персональные данные – это любая, особая, информация, прямо или косвенно относящаяся к определенному физическому лицу (субъекту персональных данных) – п. 1 ст. 3 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных». Примерами такой информации может быть ФИО, дата и место рождения, место проживания, наличие льгот и т. д.

Персональные данные физлица – это согласно п. 1 ст. 3 Закона «О персональных данных» любая информация, необходимая:

  1. Работодателю – в связи с трудовыми отношениями (касается конкретного сотрудника).
  2. Предприятию (организации, учреждению) – в связи с договорными отношениями с индивидуальными предпринимателями или физлицами – исполнителями по договору подряда.
  3. Жилищному объединению (ТСЖ/ЖСК) – в отношениях с собственниками при начислении жилищно-коммунальных и других платежей (касается не только конкретного собственника, но и членов их семей).

Персональные данные допускается получать лично от конкретного физлица, которому принадлежат данные. Если персональные сведения возможно получить только от третьих лиц, то, к примеру, в трудовыхотношениях российское законодательство обязывает уведомить об этом работника и получить от него письменное согласие (п. 3 ч. 1 ст. 86 Трудового кодекса (далее ТК) РФ). К тому же, работодатели не вправе получать и обрабатывать персональные данные, которые не относятся напрямую к трудовой деятельности человека. То есть, собирать сведения, допустим, о вероисповедании сотрудников – нельзя. Ведь такая информация представляет из себя личную или семейную тайну и никак не может быть связана с выполнением трудовых обязанностей (п. 4 ч.1 ст.86 ТК РФ). Кроме того, получив персональные данные, работодатель в силу требований законодательства обязан их не распространять и не раскрывать третьим лицам без согласия работника (ст. 7 Закона «О персональных данных»).

Аналогичные действия необходимо соблюдать и жилищным объединениям (ТСЖ/ЖСК) в отношении тайны персональных данных собственников и членов их семей.

Как организации защищать персональные данные

В любой организации должен быть официально назначен работник, отвечающий за работу с персональными данными (в отношении работодателя это регулируется ч. 5 ст. 88 ТК РФ). Им может быть, например, работник отдела кадров, которые взаимодействует с личными делами, получает согласия работников на обработку, ведет карточки сотрудников и т.д. В жилищном объединении (ТСЖ/ЖСК) это может быть бухгалтер, производящий начисление жилищно-коммунальных платежей, либо управляющий или председатель правления. Все зависит от выбранной политики распределения обязанностей. С сотрудниками, допущенными к обработке персональных данных граждан, следует заключить дополнительный договор, регламентирующий именно этот процесс.

Порядок получения, обработки, передачи и хранения персональных данных должен быть закреплен в локальном акте организации, например, в Положении (Инструкции)по обработке персональных данных работников (ст. 8, ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона «О персональных данных»).(Пример такого Положения (Инструкции) в №4 (54) 2012 г. стр.30-35).

Ответственность за нарушения

За нарушение порядка получения, обработки, хранения и защиты персональных данных предусмотрена (ст. 90 ТК РФ, ч. 1 ст. 24 Закона «О персональных данных»):

- дисциплинарная;

- материальная;

- административная;

- уголовная ответственность.

Дисциплинарная ответственность. К дисциплинарной ответственности за нарушения при работе с персональными данными можно привлечь к ответственности работников, которые в силу трудовых отношений обязаны соблюдать правила работы с персональными данными, но нарушили их (ст. 192 ТК РФ). За дисциплинарный проступок сбора, обработки и хранения персональных данных работодатель может наказать работников, применив к ним одно из следующих взысканий (ч.1 ст. 192 ТК РФ):

  • замечание;
  • выговор;
  • увольнение.

Материальная ответственность. Материальная ответственность работника может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 238 ТК РФ). Предположим, что ответственный за обработку персональных данных работник допустил грубое нарушение – распространил персональные данные физлиц в сети Интернет. Последние, узнав об этом, подали на организацию в суд, который постановил: «выплатить пострадавшим физлицам денежную компенсацию каждому». В такой ситуации организация имеет возможность возложить на виновного сотрудника ограниченную материальную ответственность в пределах его среднего месячного заработка (ст. 241 ТК РФ). Взыскание причиненного ущерба можно осуществить по распоряжению руководителя не позднее одного месяца со дня окончательного установления размера причиненного сотрудником ущерба. Если месячный срок истек, то взыскать ущерб придется через суд. Такой порядок предусмотрен в ст. 248 ТК РФ.

При полной материальной ответственности сотрудник должен будет полностью возместить организации всю сумму ущерба, возникшего в связи с нарушениями в сфере персональных данных (ст. 242 и 243 ТК РФ). Однако, как правило, на работников, ответственных за обработку персональных данных полную материальную ответственность не возлагают.

Дисциплинарную и материальную ответственность организация применяет исключительно по своему усмотрению. Государственные контролирующие органы (в том числе, Роскомнадзор) в этом процессе участия не принимают.

Административная ответственность. За нарушение порядка сбора, хранения, использования или распространения персональных данных организацию и её должностных лиц контролирующие органы могут привлечь к административной ответственности в виде штрафов, которые могут составлять:

  • для должностных лиц: от 500 до 1000 руб.;
  • для организации: от 5000 до 10 000 руб.

Отдельный (самостоятельный) штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 руб. Такие меры ответственности описаны в статьях 13.11 и 13.14 КоАП РФ.

Уголовная ответственность. Уголовная ответственность для руководителя, главного бухгалтераили другого лица, ответственного за работу с персональными данными, может наступить за незаконные действия:

  • сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
  • распространение сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.

За такие нарушения в части обращения с персональными данными допускаются следующие меры уголовной ответственности:

  • штраф до 200 000 руб. (или в размере доходов осужденного за период до 18 месяцев);
  • обязательные работы на срок до 360 часов;
  • исправительные работы на срок до одного года;
  • принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
  • арест на срок до четырех месяцев;
  • лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются жестче:

  • штрафом от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
  • лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового;
  • арестом на срок от четырех до шести месяцев;
  • лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет (ст. 137 УК РФ).

Что изменилось с 1 июля 2017 г.

Федеральный закон от 07.02. 2017 № 13-ФЗ расширил перечень оснований для привлечения организации-работодателя к административной ответственности в области защиты персональных данных, а также увеличил размеры административных штрафов. Этот закон вступил в силу с 1 июля 2017 г. Во-первых, административная ответственность в сфере персональных данных существенно ужесточена. При этом важно следующее: вместо единственного вида административной ответственности, описанного в ст. 13.11 КоАП РФ, появилось семь. Таким образом, за различные нарушения работодателей в сфере персональных данных теперь применяются разные штрафы. Если нарушение по разным составам выявят несколько, то, соответственно, количество штрафов может увеличиваться.

Нарушение 1: обработка персональных данных в «иных» целях

Обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями сбора персональных данных – самостоятельные виды административного нарушения (ч. 1 ст. 13.11 КоАП РФ). Например: организация собирает персональные данные и передает эти данные сторонним компаниям в рекламных целях (передаются ФИО, телефоны, регионы проживания, уровень дохода). Потом рекламные фирмы начинают рассылать работникам на телефон, e-mail и домашние адреса различный спам и рекламные предложения. Если в таких действиях работодателя не будет выявлено уголовного состава преступления, то можно будет применить административную ответственность. С 1 июля 2017 г. за такие проступки предусмотрено наказание в виде предупреждения или штрафа:

на граждан – от 1000 до 3000 руб.;

на должностных лиц – от 5000 до 10000 руб.;

на юридических лиц – от 30000 до 50000 руб.

Нарушение 2: обработка персональных данных без согласия

Обработка персональных данных физлица – работника организации, по общему правилу, возможна только с его письменного согласия(ч.4 ст. 9 Закона «О персональных данных»).

С 1 июля 2017 г. обработка персональных данных без согласия работника в письменной форме, либо если письменное согласие не содержит обозначенных в ч.4 ст. 9 Закона «О персональных данных» сведений – это самостоятельное административное нарушение, предусмотренное в ч. 2 ст. 13.11 КоАП РФ. За него возможны штрафные санкции:

на граждан – от 3000 до 5000 руб.;

на должностных лиц – от 10000 до 200000 руб.;

на юридических лиц – от 15000 до 75000 руб.

Нарушение 3: доступ к политике по обработке персональных данных

Оператор персональных данных (например, работодатель или интернет-сайт) обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных в Интернете (например, через сайт), обязан опубликовать в Интернете документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу. Это предусмотрено п. 2 ст.18.1 Закона от 27 июля 2006 г. № 152-ФЗ.

С 1 июля 2017 г.согласно ч. 3 ст. 13.11 КоАП РФ невыполнение оператором обязанности по публикации или предоставлению неограниченного доступа к документу с политикой по обработке персональных данных или сведениями по их защите влечет ответственность по этой статье в виде предупреждения или административных штрафов:

на граждан – от 700 до 1500 руб.;

на должностных лиц – от 3000 до 6000 руб.;

на индивидуальных предпринимателей  - от 5000 до 10000

на организации – от 15000 до 30000 руб.

Нарушение 4: сокрытие информации

 

Субъект персональных данных (то есть, физлицо, кому принадлежат эти данные) имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей (ч. 7 ст. 14 Закона «О персональных данных»), а именно:

– подтверждение факта обработки персональных данных оператором;

– правовые основания и цели обработки персональных данных;

– цели и применяемые оператором способы обработки персональных данных;

– наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

– сроки обработки персональных данных, в том числе сроки их хранения;

– порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

– информацию об осуществленной или о предполагаемой трансграничной передаче данных;

– наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

– иные сведения, предусмотренные Федеральным законом или другими федеральными законами.

С 1 июля 2017 г. невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, является самостоятельным административным нарушением. Оно влечет предупреждение или наложение административных штрафов:

на граждан – от 1000 до 2000 руб.;

на должностных лиц – от 4000 до 6000 руб.;

на индивидуальных предпринимателей  - от 10000 до 15000

на организации – от 20000 до 40000 руб.

Нарушение 5: уточнения или блокировка

Статья 21 Закона «О персональных данных» предусматривает, что в ряде случаев оператор обязан уточнять, блокировать или уничтожать персональные данные физлиц.

С 1 июля 2017 г. введен новый вид административного нарушения – невыполнение оператором требования субъекта персональных данных или его представителя об уточнении, блокировке, уничтожении данных (если данные неполные, устаревшие, неточные, незаконно получены или не являются необходимыми для заявленной цели обработки). Такие действия с 1 июля 2017 г. влекут за собой предупреждение или наложение административных штрафов:

на граждан – от 1000 до 2000 руб.;

на должностных лиц – от 4000 до 10000 руб.;

на индивидуальных предпринимателей  - от 10000 до 20000

на организации – от 25000 до 45000 руб.

Нарушение 6: сохранность персональных данных

Многие работодатели собирают персональные данные работников только «на бумаге» и не ведут никакой автоматизированной обработки, не имеют специальных программ для обработки данных. С 1 июля 2017 г. законодатели определили для подобных операторов (в частности, работодателей) новый вид правонарушения за необеспечение оператором при обработке персональных данных без использования средств автоматизации обязанности по сохранности персональных данных при хранении их материальных носителей, если это привело к неправомерному или случайному доступу к персональным данным. А это, в свою очередь, послужило причиной их уничтожения, изменения, блокирования, копирования, предоставления, распространения либо иного неправомерного действия. Если это произошло, то административная ответственность наступает в виде административного штрафа:

на граждан – от 700 до 2000 руб.;

на должностных лиц – от 4000 до 10000 руб.;

на индивидуальных предпринимателей  - от 10000 до 20000

на организации – от 25000 до 50000 руб.

Нарушение 6: обезличивание

В исключительных случаях, предусмотренных законодательством, государственные и муниципальные органы должны обезличивать персональные данные, которые обрабатывают в своих информационных системах, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (подп. «з» п. 1 перечня, утвержденного постановлением Правительства РФ от 21 марта 2012 г. № 211). К таким случаям относится, например, необходимость государственных и муниципальных органов размещать в открытом доступе документы, содержащие персональные данные, допустим, обезличенные копии судебных актов (п. 3 ст. 15 Закона от 22 декабря 2008 г. № 262-ФЗ).

Под обезличиванием персональных данных можно понимать процесс, в результате которого становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному человеку (ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).

С 1 июля 2017 г. невыполнение должностными лицами государственного или муниципального органа – оператора персональных данных обязанностей по обезличиванию персональных данных либо за нарушение требований к этому процессу предусмотрено административное нарушение. Возможна ответственность в виде предупреждения или наложения административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.

Выводы по изменениям законодательства в области защиты персональных данных

Административные штрафы с 1 июля 2017 г. существенно увеличились. Установлены новые размеры штрафов в зависимости от вида совершенного правонарушения. Так, должностных лиц могут оштрафовать на сумму от 3000 до 20 000 руб., ИП – на сумму от 5000 до 20 000 руб., организации – на сумму от 15 000 до 75 000 руб. Причем привлекать в ответственности могут по разным составам правонарушений. То есть, за разные нарушения на одну организацию могут наложить несколько разных штрафов.

До 1 июля 2017 г. максимально возможный административный штраф составлял для организаций – 10 000 руб. И состав нарушения в ст.13.11 КоАП РФ был одним.

В части дисциплинарной, материальной и уголовной ответственности изменений нет.

До 1 июля 2017 г. возбуждать дела по административным делам, связанным с персональными данными, по ст. 13.11 КоАП РФ был вправе исключительно прокурор (ч. 1 ст. 28.4 КоАП РФ). С 1 июля 2017 г. участие прокурора стало необязательным. Теперь дела по ст. 13.11 КоАП вправе возбуждать должностные лица Роскомнадзора (п.58 ч. 2 ст.28.3 КоАП РФ). Таким образом, процедура привлечения к ответственности по делам о персональных данных упростилась.

Мероприятия по недопущению нарушений

Всем без исключения организациям следует пересмотреть свои существующие Положения (Инструкции) по защите персональных данных физических лиц, внести изменения, отвечающие требованиям действующего с 1 июля 2017 г. законодательства в этой области.

Также следует пересмотреть и дополнить договора с сотрудниками, отвечающими за обработку персональных данных.

Обеспечить неограниченный доступ к Положению (Инструкции) по защите персональных данных, для чего разместить в открытом доступе свои регламентирующие документы – на сайтах, если таковые имеются, в бумажном виде на информационных стендах.

P.S.

На страницах журнала уже освещались вопросы по корректной защите персональных данных граждан, в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» («Председатель ТСЖ №4 (54) 2012 «ПЕРСОНА или НЕКТО С ИНИЦИАЛАМИ?». В материале был приведен полный перечень документов (образцы) адаптированных автором для работы с персональными данными жителей и сотрудников ТСЖ(ЖСК).

Дизайн :
Яндекс.Метрика