Главная-Онлайн заявка на кредит-Охрана персональных данных 152 фз. Что нового в законе о защите персональных данных

Охрана персональных данных 152 фз. Что нового в законе о защите персональных данных

Алексей Кондратов
Сооснователь и руководитель юридического отдела сервиса сайт, специалист в области защиты персоальных данных, юридического сопровождения стартапов и судебной защиты бизнеса.

Образование: юридический факультет Поморского государственного университета. Ранее работал на позиции CEO в компании «Иски Онлайн».

С 1 июля 2017 года вступили в силу изменения в российском Кодексе Административных правонарушений. Увеличились размеры взысканий за нарушения по закону №152-ФЗ «О защите персональных данных», изменились некоторые формулировки. Новые правила заставили многих владельцев сайтов забеспокоиться о том, насколько их ресурсы соответствуют нормам закона. Пробуем разобраться.

Начнем с небольшой вводной информации. 152-ФЗ – первый в России современный закон о персональных данных. Он начал разрабатываться в 2000 году и вступил в силу 27 июля 2006 года. Основным положением закона стало обязательное согласие человека на обработку информации о нем в любых целях. Во время разработки 152-ФЗ были введены два новых термина, которыми закон оперирует до сих пор – субъект персональных данных и оператор персональных данных. Легко догадаться, что субъект – человек, личность которого можно установить, используя определенную информацию. Оператором же может стать как физическое, так и юридическое лицо, которое имеет доступ к личным данным субъекта. Последнее определение крайне важно для нас, поэтому остановимся на нем подробнее.

Кто по закону 152-ФЗ считается оператором персональных данных?

Органы государственной власти и муниципального управления, суды, образовательные и медицинские учреждения, работодатели, любые компании и организации, предоставляющие персональные услуги: банки, юридические фирмы, операторы мобильной связи, строительные компании, интернет-ресурсы – всё это операторы персональных данных, поскольку они в разной мере имеют доступ к личной информации людей.

Какие персональные данные пользователей могут быть на вашем сайте?

Чаще всего под персональными данными (ПДн) понимаются:

  • фамилия,
  • возраст,
  • место рождения,
  • фото,
  • адрес проживания,
  • номер телефона.

Также к персональным данным относятся сведения:

  • о семейном положении,
  • религиозных, философских и политических взглядах,
  • интимной жизни,
  • состоянии здоровья.

Обезличенные персональные данные и автоматически собираемая информация:

  • e-mail,
  • IP-адрес,
  • геолокация,
  • файлы cookie.

Какие есть формы сбора персональных данных на сайте?

  • Форма регистрации.
  • Форма заказа.
  • Форма обратной связи.
  • Кнопка «Заказать обратный звонок».
  • Форма подписки на e-mail рассылку.

Размеры штрафов после изменений 1 июля 2017 года

Номер статьи

Возможные нарушения

Размер штрафа

ч.1 ст.13.11 КоАП
  • Запрос сканов документов у посетителей сайта.
  • SMS- и e-mail рассылка без согласия клиента.
  • Любая дезинформация пользователей относительно цели ввода данных в форму на сайте.

Для физ. лиц - до 3 т.р.

Для юр. лиц - до 50 т.р.

ст.13.11 КоАП
  • Обработка, сбор и хранение любых ПДн, в том числе IP-адресов и cookie, без электронной подписи пользователей.
  • Отсутствие на сайте документов «Политика конфиденциальности» и «Пользовательское соглашение».
  • Несоответствие документов требованиям закона, которое может возникнуть из-за ошибок при составлении.
  • Отсутствие дисклеймера при первом посещении сайта пользователем.

Для физ. лиц - до 5 т.р.

Для юр. лиц - до 75 т.р.

ч. 3 ст.13.11 КоАП
  • Отсутствие свободного доступа к Политике конфиденциальности для каждого посетителя сайта.

Для физ. лиц - до 1.5 т.р.

Для ИП - до 10 т.р.

Для юр. лиц - до 30 т.р.

ч. 4 ст.13.11 КоАП
  • Отказ, игнорирование или ложь в ответ на требование пользователя предоставить полную информацию о том, как хранят и обрабатывают его персональные данные.

Для физ. лиц - до 2 т.р.

Для ИП - до 15 т.р.

Для юр. лиц - до 40 т.р.

ч. 5 ст.13.11 КоАП
  • Отказ удалить ПДн из публичного доступа по желанию пользователя.
  • Другие действия, нарушающие право субъекта отозвать согласие на обработку ПДн.

Для физ. лиц - до 2 т.р.

Для ИП - до 20 т.р.

Для юр. лиц - до 45 т.р.

ч. 6 ст.13.11 КоАП
  • Хакерская атака, взлом базы данных третьими лицами, распространение ПДн пользователей.

Для физ. лиц - до 2 т.р.

Для ИП - до 20 т.р.

Для юр. лиц - до 50 т.р.

При совершении уголовного преступления к штрафу прибавляются дополнительные меры взыскания, в том числе блокировка ресурса и арест нарушителя.

Как это работает?

Чтобы выявить нарушения, Роскомнадзор проводит плановые, внеплановые (по заявлениям граждан) и документарные (с запросом документов) проверки сайтов. Например, в ходе проверки в 2016 году «Тамбовскую городскую юридическую компанию» оштрафовали за размещение формы обратной связи без сопроводительных документов, а зимой 2017 года за подобные нарушения были оштрафованы несколько астраханских сайтов.

Как избежать штрафа и блокировки сайта: 5 шагов

  1. Перенесите базы данных на российские сервера. Это требование закона N149-ФЗ «Об информации, информационных технологиях и о защите информации». Нарушение закона может привести к блокировке ресурса – так, например, прекратила свою деятельность на территории России деловая социальная сеть LinkedIn.
  2. Составьте два документа – «Политику обработки персональных данных» и «Пользовательское соглашение». Обратите внимание, что публичная оферта заменяет документ о политике конфиденциальности. Крайне важно, чтобы документы не содержали в себе фактических и юридических ошибок. Лучше всего доверить эту работу профессиональному юристу. В 9 статье закона указано, что виртуальный документ равнозначен документу на бумажном носителе, поэтому никаких физических документов не потребуется.
  3. Подключите форму с согласием на обработку ПДн и обязательным чекбоксом ко всем полям сбора персональных данных на сайте.
  4. Убедитесь, что страница с «Политикой обработки персональных данных» доступна для прочтения каждому пользователю сайта.
  5. Отправьте бумажное и электронное уведомление в Роскомнадзор по установленной форме – ее можно найти на сайте Роскомнадзора. В соответствии со 22 статьей закона этот пункт является обязательным.

Если вы сомневаетесь в своей юридической компетенции или просто не хотите тратить много времени на формальности, есть более простое и практичное решение проблемы – сервис . Это простое, дешевое и быстрое решение для Вашего сайта и бизнеса.

Среди наших предложений, Вы, наверняка, сможете подобрать удобное Вам. Если Вы не хотите затягивать с решением проблемы, то можете уже сейчас. Возникающие юридические вопросы можно задать по телефону нашей службы поддержки 8 800 100 43 45 или ниже в форме комментариев.

В этой статье мы понятно и доступно (ну, по возможности) попытаемся объяснить, как жить обычному онлайн бизнесу в эпоху ФЗ N 152 “О персональных данных”. Точнее расскажем, как от него защищаться.

Итак, для начала следует запомнить, что ФИО, телефон, почта, адрес и прочие данные, характеризующие конкретного человека, являются персональными . А получение их, даже в результате телефонного разговора, является их обработкой . Таким образом, под новый прекрасный закон попадает деятельность абсолютно любого коммерческого web-сайта. Ура, товарищи.

Чего бояться?

С 01 июля 2017 года в статье 13.11 КоАП РФ появились новые составы нарушений законодательства в области персональных данных (было 1, стало 7).
Размер штрафов увеличился с 10 000 рублей до 290 000 рублей. Максимальный размер штрафов грозит тем, кто нарушил абсолютно все требования по п. 1 - 6 ст. 13.11 КоАП РФ. Это довольно сложно, но об этом ниже.

Кого будут штрафовать?

Штрафовать будут операторов, то есть тех, кто персональные данные обрабатывает, в том числе собирает. Простой запрос имени и номера телефона (или e-mail) уже является обработкой.
Роскомнадзору для подтверждения, что вы обрабатываете персональные данные, будет достаточно увидеть на вашем сайте форму обратной связи, подписки на рассылку или возможность зарегистрироваться в личном кабинете. В этих случаях вы подпадаете под действие закона, и в отношении вас возможно проведение проверки на соблюдение законодательства в области персональных данных.
Поэтому мы и сделали Защитника от ФЗ N 152.

Мы клиенты Callibri.ru, как быть легальным?

Защитник от ФЗ 152 - система формирования документов, чтобы и ваш, и наш бизнес работали в полном соответствии с требованиями ФЗ N 152.

Вот что необходимо сделать:

Так это выглядит:

Важно!

Это все? Теперь я не прилипну на 290 т.р.?

Не совсем. Защитник работает только в том случае, если:

  • способы сбора данных не отличаются от тех, что вы выбрали в настройках;
  • цели сбора данных не отличаются от тех, что вы выбрали в настройках;
  • вы не используете для сбора и обработки другие сервисы, кроме Callibri.ru.

Во всех остальных случаях у вас могут быть проблемы. О них ниже.

У меня используются другие сервисы, которые собирают персональные данные. Как быть легальным?

Удалить все к чертям. Мы не можем нести ответственность за соответствие других сервисов требованиями ФЗ N 152 «О персональных данных». Хорошо, что в нашем портфеле есть все необходимое: коллтрекинг, обратный звонок, онлайн звонок, заявка и онлайн консультант.
Подключить Callibri

Но если вы очень хотите использовать другие сервисы и/или ваши цели и/или способы обработки персональных данных отличаются от предложенных Callibri.ru, то вам придется привлечь внешних консультантов для разработки своих документов в отношении обработки персональных данных, внедрить их и ждать проверки Роскомнадзора и штрафов по ее результатам. А это до 290 т.р.

От чего именно спасет Защитник?

Во-первых, ваш сайт будет соответствовать всем требованиям законодательства (п. 2 ч. 2 ст. 5, ч. 1, ч. 2 ст. 18.1 ФЗ N 152 «О персональных данных»). Это значительно снижает риск инициации проверки и повышает вашу надежность в глазах клиентов. Во-вторых, у Роскомнадзора не будет оснований:

  • Оштрафовать вас на сумму до 30 000 руб. за непредоставление неограниченного доступа к Политике (ч. 3 ст. 13.11 КоАП РФ).
    Например: Оштрафовать за отсутствие на сайте Политики.
  • Оштрафовать вас на сумму до 50 000 руб. за обработку персональных данных, которая несовместима с целями сбора.
    Например: осуществляете доставку товара и запрашиваете скан паспорта, когда для доставки вам было бы достаточно просто ФИО и адреса.

А вы уведомите за нас про нас Роскомнадзор?

Нет, не уведомим. В этом нет необходимости. Слава богу. Пока что.

Почему это не надо уведомлять Роскомнадзор?

Согласно ч. 2 ст. 22 ФЗ N 152 оператор вправе осуществлять обработку персональных данных без уведомления Роскомнадзора в некоторых случаях. Все не будем перечислять, но ключевой из них:
Полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
Т.е. если персданные, которые вы собираете и обрабатываете

  • не предоставляются третьим лицам без согласия субъекта персональных данных;
  • используются исключительно для исполнения договора, в связи с заключением которого они получены, и заключения договоров с субъектом персональных данных;

Уведомлять Роскомнадзор не обязательно!

А многие говорят, что надо…

Закон спорный, есть много мнений, трактовок и спекуляций недобросовестных юристов на этой теме. А судебной практики пока нет. Поэтому запомните: глобально у вас есть 3 варианта

  1. Быть полностью нелегальным. Тут нам говорить не о чем. Риски гораздо выше, чем описаны в этой статье;
  2. Работать легально, благодаря документам от Callibri. Но не уведомлять Роскомнадзор;
  3. Работать легально и уведомить Роскомнадзор и появиться в реестре операторов персональных данных.

Мы рекомендуем 2-й вариант, т.к. в этом случае ваши затраты времени и сил составят 30 минут (на чтение этой статьи, заполнение анкеты и подписание приказа). А максимальный штраф, если Роскомнадзору что-то не понравится (то есть за отсутствие уведомления), будет 5 тысяч рублей (для юридических лиц).
В 3-м варианте вам и сил и денег понадобится больше, а вероятность плановой проверки существенно вырастет.
Поэтому мы считаем, что большинству бизнесов нашего конструктора защиты от ФЗ N 152 будет достаточно.

Надо предупреждать всех посетителей про обработку Cookie файлов?

Тут как всегда, два юриста - три мнения. Наши юристы считают, что сама по себе информация из cookie-файлов не является персональными данными, в отрыве от прочей информации о пользователе. Ходят слухи, что и Роскомнадзор пока не обращает на это внимание. Все же, если вы хотите полностью застраховаться, попросите разработчиков вашего сайта добавить всплывающее окно с примерно таким текстом: “Согласен на обработку cookies” (с кнопочкой “Ок”).

Вебвизор видит персональные данные. Что делать?

Не стоит беспокоиться! Согласно рекомендациям Яндекса , мы защитили все поля, в которых могут быть указаны персональные данные, специальным классом. Благодаря этой фишке, вебвизор не будет видеть перс.данные пользователей, которые они вбивают в формы на сайте.

Словарик

А еще мы решили указать все термины, чтобы у вас совсем не осталось вопросов.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе: его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, e-mail, номер телефона, другая идентификационная информация (см. ФЗ-152, ст.3, 10, 11).

В настоящий момент перечень персональных данных не является закрытым, если вы сомневаетесь, являются ли данные персональными, обратитесь к юристам за разъяснениями.

Обработка персональных данных - это любое действие или совокупность действий, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление доступа), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор - юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.


Судебная практика по статье 3 ФЗ от 27.07.2006 № 152-ФЗ

    Постановление от 27 декабря 2019 г.

    Верховный Суд Российской Федерации - Административное правонарушение

    Правонарушении, приводя доводы об их незаконности. Изучение материалов дела об административном правонарушении и доводов жалобы заявителя позволяет прийти к следующим выводам. В соответствии со статьей 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее также - Закон о персональных данных, нормы, цитируемые в настоящем постановлении, приведены в редакции, действующей на...

    Постановление от 3 сентября 2019 г. по делу № А56-47409/2019

    Тринадцатый арбитражный апелляционный суд (13 ААС)

    Лиц, участвующих в деле, поскольку они извещены надлежащим образом, а материалы дела и характер спора позволяют рассмотреть дело без их участия в соответствии с пунктом 3 статьи 156, пунктом 1 статьи 266 АПК РФ. Законность и обоснованность определения суда проверены в апелляционном порядке. В соответствии с пунктом 3 части 2 статьи 125 АПК...

    Решение № 12-788/2019 7-1848/2019/12-788/2019 от 3 сентября 2019 г. по делу № 12-788/2019

    Пермский краевой суд (Пермский край) - Административные правонарушения

    Осуществления прокурорского надзора информации, доступ к которой ограничен в соответствии с федеральными законами, в том числе осуществлять обработку персональных данных. В соответствии с пунктами 1, 3 статьи 3 ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); обработка персональных данных - любое...

    Решение № 12-232/2019 от 29 августа 2019 г. по делу № 12-232/2019

    Октябрьский районный суд г. Ижевска (Удмуртская Республика) - Административные правонарушения

    И содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным (ч. 1 ст. 1). В соответствии со ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ в целях настоящего Федерального закона используются следующие основные понятия: 1) персональные данные - любая информация, относящаяся к прямо...

    Решение № 2-3904/2019 2-3904/2019~М-966/2019 М-966/2019 от 26 августа 2019 г. по делу № 2-3904/2019

    Октябрьский районный суд г. Красноярска (Красноярский край) - Гражданские и административные

    Присоединении к соглашению комплексного банковского обслуживания, заключенный между истцом и ответчиком, взыскать с АО «РТК» штраф 20000 руб., проценты за каждый день просрочки в размере 3 % от 50000 руб., в размере ставки Центрального банка России до момента вынесения решения суда, признать факт распространения АО «РТК» сведений о персональных данных истца, в том числе...

    Решение № 12-553/2019 от 22 августа 2019 г. по делу № 12-553/2019

    Центральный районный суд г.Тулы (Тульская область) - Административные правонарушения

    Либо предоставление заведомо недостоверной информации, влечет наложение административного штрафа на должностных лиц в размере от пяти тысяч до десяти тысяч рублей. В соответствии с пунктом 3 части 1 статьи 28.1 Кодекса Российской Федерации об административных правонарушениях поводами к возбуждению дела об административном правонарушении являются сообщения и заявления физических и юридических лиц, а...

    Решение от 22 августа 2019 г. по делу № А08-4044/2019

    Арбитражный суд Белгородской области (АС Белгородской области)

    Не представила, в судебном заседании требования заявителя не признала, полагает, что арбитражный управляющий вправе запрашивать информацию исключительно в соответствии с положениями п. 1 ст. 20. 3 Федерального закона от 26.10.2002 N 127-ФЗ в отношении имущества, находящегося либо ранее находившегося в собственности должника. Таким образом, учитывая отсутствие сведений о регистрации спорных...

РОССИЙСКАЯ ФЕДЕРАЦИЯ
ФЕДЕРАЛЬНЫЙ ЗАКОН
О ПЕРСОНАЛЬНЫХ ДАННЫХ

(в ред. Федеральных законов от 25.11.2009 N 266-ФЗ,от 27.12.2009 N 363-ФЗ, от 28.06.2010 N 123-ФЗ, от 27.07.2010 N 204-ФЗ, от 27.07.2010 N 227-ФЗ, от 29.11.2010 N 313-ФЗ от 23.12.2010 N 359-ФЗ, от 04.06.2011 N 123-ФЗ, от 25.07.2011 N 261-ФЗ)

Глава 1. Общие положения

Статья 1. Сфера действия настоящего Федерального закона

  1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
  2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
    • обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
    • организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
    • утратил силу. - Федеральный закон от 25.07.2011 N 261-ФЗ;
    • обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
    • предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».

Статья 2. Цель настоящего Федерального закона

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

  • персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
  • распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Статья 4. Законодательство Российской Федерации в области персональных данных

  1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
  2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее - нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию.
  3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.
  4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

Глава 2. Принципы и условия обработки персональных данных

Статья 5. Принципы обработки персональных данных

  1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
  2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
  3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
  4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
  5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
  6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
  7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Статья 6. Условия обработки персональных данных

  1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
    • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
    • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
    • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);
    • обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;
    • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
    • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
    • обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
    • обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
    • обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
    • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
    • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
  2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
  3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
  4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
  5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

Сотрудничество с организациями немыслимо без заключения письменного соглашения сторон, т.е. без договора. Как часто вы заключали договор, последним пунктом которого вы соглашались на использование и хранение ваших личных данных в базе соответствующей организации?

Дорогие читатели! Статья рассказывает о типовых способах решения юридических вопросов, но каждый случай индивидуален. Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь к консультанту:

ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ .

Это быстро и БЕСПЛАТНО !

Если после подписания какого-либо договора или же после короткого сотрудничества, например, с кредитными организациями вам звонили из других фирм и предлагали свои услугу подобного характера, будьте уверены, что ваши персональные данные разглашены и ваши права нарушены.

Краткий обзор

Информация о гражданах РФ относится к персональным данным лиц и защищается одноименным законом. Кроме того, закон о персональных данных защищает все права и свободы человека, его интересы, связанные с личной информацией о нем в причинно-следственном отношении. Как информацию о вас защитить, чтобы сохранить и не нарушить ваши интересы, права и свободы.

Закон устанавливает и контролирует правила сбора личных данных, их обработки, хранения и возможной передачи. В нем можно найти информацию о случаях, в которых личная информация может передаваться, или когда личная информация не может быть получена, т.е. за лицом сохраняется право ее не разглашать.

ФЗ 152 полноправно действует с 23.01.2007 года. До этой даты персональные данные лиц были фактически не защищены, поскольку отсутствовал соответствующий закон, который бы устанавливал правила и контролировал их исполнение, связанных с получением, хранением и передачей личных данных.

В законе описываются права и обязанности операторов, которые принимают информацию о лицах и при необходимости передают в уполномоченные органы.

Существуют определенные требования к обработке персональных данных, их также можно найти в законе.

Любая информация, которая относится к персональным данным лица, может быть принятой и обработанной оператором только с согласия самого лица. Однако существуют случаи, когда разрешение субъекта не требуется. Данные исключения описываются в законе.

Ответственность за нарушение

Сохранность личных данных, правильный сбор информации, передача ее третьим лицам, а также уведомление самого лица о том, что сотрудник сохраняет ваши персональные данные, ведет ответственный в организации человек, это может быть сотрудник отдела кадров или же любой другой назначенный человек, в том числе оператор.

Если оператор (бухгалтер, сотрудник отдела кадров, банковский служащий или другое назначенное лицо) допустил утечку информацию, или же информация была случайно разглашена, ответственность за нее несет он, а не субъект данной информации.

Наказание за нарушение закона о персональных данных может быть в виде штрафа, наложенного на самого сотрудника, принимающего персональные данные, и (или) на организацию, в которой случилась утечка данных.

Штраф за разглашение информации возлагается на каждый случай утечки, а не единожды на лицо, допустившее данную оплошность. В среднем штраф составляет от 500 до 1000 руб. с оператора, или же от 5000 до 10 000 руб. с организации.

Одна годовая проверка документации может выявить огромное количество нарушений, каждое из которых будет оштрафовано и обойдется юридическому лицу немалой суммой из бюджета организации.

В соответствии с Кодексом об административных нарушениях, если у юридического лица отсутствует Положение о личных данных персонала или клиентов, то при нарушении трудового кодекса организация может быть привлечена к административной ответственности. В таком случае сумма единовременных штрафов будет намного больше.

Кроме того, работу фирмы могут приостановить до выяснения всех необходимых обстоятельств до 3 календарных месяцев.

Уполномоченным органом, контролирующим выполнение закона о персональных данных, является Роскомнадзор. Если предписания этого госоргана не выполняются, на предприятие может быть наложен штраф в размере 20000 руб. Игнорирование запроса Роскомнадзора о персональных данных обойдется организации в 5 000 руб.

Оператора, который был назначен ответственным за работу над личными данными, могут привлечь к административной ответственности, дисциплинарной, материальной, гражданско-правовой или даже к уголовной.

Основные положения закона о персональных данных с 1 января 2020 года с комментариями

ФЗ №152 в его новой редакции обязывает хранить все персональные данные, касающиеся граждан РФ, на серверах, которые находятся на территории России.

Операторы, работающие с личными данными граждан, должны вести соответствующие записи, собирать информацию и дополнять ее при необходимости только информацией, собранной на территории РФ и хранить ее тоже только на территории РФ.

Категорически нельзя использовать ту информацию, которая практически может находиться за пределами России, т.е. берется с источников, находящихся за пределами России. Даже используя сеть интернет, нельзя дополнять личные данные человека информацией с зарубежных сайтов, если эти сайты ведутся не на территории России.

При нарушении закона, Роскомнадзор может заблокировать ваш сайти или добавить его в свой черный список. Каждая ситуация нарушения рассматривается в индивидуальном порядке по решению суда. Удалить свои персональные данные, в случае обращения лицом и получения отказа от оператора, можно также при помощи судебного разбирательства.

В соответствии с данным законом, к персональным данным лица относится или может относиться абсолютно любая информация о лице как-либо с ним связанная. Последняя редакция закона пояснила этот момент гражданам, что к персональным данным относятся не только их полное имя, дата рождения и адрес по регистрации.

Персональные данные граждан относятся к типу информации конфиденциального характера. Любая организация, которая прямо или косвенно использует имена клиентов, реквизиты компаний, с которыми она работает, почтовый индекс кого-либо в своей переписке и т.д., должна позаботиться о полной сохранности этих данных, т.е. обеспечить систему защиты при помощи шифрования или других средств.

При отсутствии таковых компания рискует быть оштрафованной или закрытой до выяснения обстоятельств.

Кроме того, ФЗ №152 обязует операторов при использовании личных данных получить согласие лица на данную процедуру.

Способы обеспечения защиты личных данных компаниями, которых нет в законе 152:

  • построение дата-центров (мелкие организации не могут позволить себе данную процедуру в виду ее высокой стоимости реализации);
  • обезличивание личной информации (отделить данные от субъекта, при необходимости данные возвращаются на территорию РФ и объединяются с их владельцами);
  • скрывать месторасположение иностранного сервера, дублировать информацию о клиентах и отправлять на зарубежные серверы;

Видео: Зачем нужен

Когда применяется

Закон применяется с целью защиты лиц, когда осуществляется процесс обработки его персональных данных. Также закон применяется в тех случаях, когда может пострадать неприкосновенность вашей личной жизни, на которую вы имеете право, тайны личного характера или тайны вашей семьи.

ФЗ 152 не работает в случаях, когда персональные данные лица используются другими лицами исключительно в личных целях, т.е. без получения выгоды или с целью обогащения. Использование личных данных для архивных фондов также не является нарушением. Если информация о вас является составляющей государственной тайны, данный закон вас не защитит.

Что является персональными данными

Вся информация о вас, прямо или косвенно относящаяся к вам или вашей деятельности, в том числе ваше полное имя, дата рождения, место вашего проживания, все кредиты, оформленные вами когда-то, все ваши браки и прочее, относятся к персональным данным лица.

Какие отношения регулирует

Закон устанавливает правила работы между физическими лицами и юридическими, которые используют персональные данные граждан в своей работе. Задача закона предотвратить разглашение персональных данных лица, поскольку это может привести к нарушению прав, свобод и интересов граждан.

Практически, если вы даете свое согласие на обработку и хранение персональных данных какой-либо организации, например, банку, вы позволяете ему использовать эти данные только в работе, касающейся банковского дела конкретного банка, поскольку вы состоите с этой организацией только в отношениях займа или, например, кредита.

Имеет ли право банк передавать ваши персональные данные другим банкам – нет, подобное нарушение банком недопустимо в соответствии с ФЗ 152, и грозит уголовной ответственностью операторам и самому юридическому лицу.

Передача информации третьим лицам может осуществляться только при наличии письменного согласия лица.

В первую очередь, закон регулирует сам процесс обработки полученной информации. Она может быть получена государственными органами власти, муниципальными органами, а также частными предпринимателями, организациями или физическими лицами.

ФЗ 152 строго ограничивает права всех организаций, которые работают с персональными данными клиентов. Закон обязывает их устанавливать и использовать сложнейшие программы защиты их баз данных. Мелкие организации и фирмы не могут себе позволить подобную роскошь в виду ее высокой стоимостью.

Подписывая соглашение об использовании юридическим лицом ваших персональных данных, вы позволяете исключительно ему ваши данные хранить и применять только для своей работы, поскольку вас связывают определенные рабочие отношения. Разглашение личных данных может грозить вам нарушением прав и свобод, а организации немалым штрафом или же привлечением к уголовной ответственности.

Похожие публикации: