Законодательство не стоит на месте, и вот с 1 июля 2017 года введены новые штрафы за несоблюдение требований Федерального закона «О персональных данных» от 27.07.2006 №152-ФЗ (далее - Закон №152). Что нужно сделать уже сегодня, чтобы избежать административную ответственность?

Кого могут наказать?

Согласно Закону №152-ФЗ, персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных - любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся физлицу, в том числе:
- ФИО (вместе и даже по отдельности);
- дата рождения;
- адрес;
- телефон;
- email;
- фотография;
- ссылка на персональный сайт;
- ссылка на профиль в социальных сетях.
Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта, имеющий форму обратной связи, или любой работодатель является оператором персональных данных, и как следствие, обязан соблюдать требования Закона №152, так как попадает под административную ответственность.
Следует также различать: если физическое лицо записывает контакты своих знакомых в блокнот, чтобы просто не забыть поздравить их с днем рождения - это не сбор персональных данных. Если то же лицо выступает в качестве ИП, оказывая частные услуги на дому, к примеру, делает маникюр, и ведет такую запись - это сбор персональных данных. У клиентов в этом случае надо спрашивать согласие на него и нести ответственность за разглашение, если таковое случится.

За что могут наказать?

Кто может наказать?

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. В настоящее время это Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (Постановление Правительства РФ от 16.03.2009 №228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»).
Плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года. Таким образом, если в указанный период в вашей компании она проводилась и в дальнейшем вы не допускали каких-либо нарушений, в ближайшее время ожидать проверки не стоит. Если же за последние 3 года инспекторы не были у вас в гостях, то самое время подготовиться к их визиту. Но никогда не стоит забывать о внеплановых проверках, по заявлению или жалобе физических лиц. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.
К сведению. Помимо Роскомнадзора проверить соблюдение работодателем требования законодательства в области персональных данных может Роструд. Положениями гл. 14 ТК РФ (наравне с Законом №152-ФЗ) определены требования к обработке персональных данных работников и гарантии их защиты. Инспекторы по труду наделены полномочиями по составлению протоколов об административных правонарушениях, в том числе предусмотренных ст. 5.27 КоАП РФ, в случаях нарушения трудового законодательства (пп. 16 ч. 2 ст. 28.3 КоАП РФ).
Федеральная служба по техническому и экспортному контролю (ФСТЭК) осуществляет надзор за техническими средствами обработки персональных данных за исключением криптографических средств. Кроме того, полномочиями по контролю за выполнением организационных и технических мер по обес-печению безопасности персональных данных при их обработке в информационных системах наделена ФСБ РФ.
Надзорными полномочиями в сфере персональных данных обладает прокуратура в силу статьи 1 Федерального закона «О прокуратуре РФ» от 17 января 1992 г. №2202-1.

Какие персональные данные вправе получить работодатель?

Согласно ч. 1 ст. 57 ТК РФ в трудовом договоре обязательно указываются фамилия, имя, отчество работника, сведения о документах, удостоверяющих его личность, ИНН. Это значит, что каждый работодатель, заключая трудовой договор, получает информацию, относящуюся к персональным данным. Такая информация содержится в документах, предъявляемых работником при приеме на работу:
- в паспорте;
- в военном билете (у военнообязанных);
- в свидетельстве о присвоении ИНН;
- в страховом пенсионном свидетельстве;
- в документах об образовании;
- в водительском удостоверении и документах на машину, если это требуется в связи с исполнением трудовой функции;
- в медицинской справке о прохождении медицинского осмотра (медицинской книжке), если это необходимо в связи с исполнением работником трудовой функции.
Вся эта информация относится к персональным данным, и ее можно получить только от сотрудника. Если персональные сведения возможно получить только от третьих лиц, то сначала уведомите об этом сотрудника и получите от него письменное согласие. При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и о последствиях отказа сотрудника дать согласие на их получение. Такой порядок предусмотрен в пункте 3 части 1 статьи 86 Трудового кодекса РФ.
Работодатель не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника, например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п. Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в пункте 4 час-ти 1 статьи 86 Трудового кодекса РФ и статье 10 Закона №152.
Получив персональные данные, работодатель обязуется их не распространять и не раскрывать треть-им лицам без согласия на то сотрудника (ст. 7 Закона №152-ФЗ).

К сведению:
Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Как обеспечить защиту персональных данных работодателю?

Рассмотрим, что нужно предпринять в хозяйстве в связи с защитой персональных данных сотрудников и других физлиц.
1. До начала обработки персональных данных сотрудников работодателю необходимо уведомить территориальный орган Роскомнадзора о намерении осуществить обработку. Исключение составляют случаи обработки персональных данных:
- обрабатываемых в соответствии с трудовым законодательством;
- сделанных сотрудниками общедоступными;
- полученных организацией в связи с заключением договора, стороной которого является сотрудник (при условии, что персональные данные не распространяются, а также не предоставляются третьим лицам без согласия сотрудника и используются работодателем исключительно для исполнения указанного договора и заключения иных договоров с сотрудником);
- относящихся к членам (участникам) общественного объединения или религиозной организации;
- включающих в себя только фамилии, имена и отчества сотрудников;
- необходимых в целях однократного пропуска сотрудника на территорию работодателя и в иных аналогичных целях;
- включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываемых без использования средств автоматизации в соответствии с законодательными актами, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
- обрабатываемых в случаях, предусмотренных законодательством России о транспортной безопасности.
Форма уведомления о намерении осуществлять обработку персональных данных, а также порядок ее заполнения утверждены приказом Роскомнадзора от 30 мая 2017 г. №94. Кроме того, подробный перечень сведений, которые должны быть указаны в уведомлении, приведен в части 3 статьи 22 Закона №152-ФЗ. Работодатель может направить уведомление в бумажном виде в адрес территориального органа Роскомнадзора или в электронном виде через портал персональных данных (ч. 3 ст. 22 Закона №152-ФЗ).
2. Закрепить порядок получения, обработки, передачи и хранения персональных данных в локальном акте организации. Например в положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального Закона №152-ФЗ).
Отсутствие в организации локального нормативного акта, устанавливающего порядок обработки персональных данных работников, является нарушением трудового законодательства и влечет административную ответственность по ст. 5.27 КоАП РФ (постановления Московского городского суда от 29.08.2011 №4а-1743/11, 4а-1742/11, ФАС МО от 27.11.2006 №КА-А40/11424-06 по делу №А40-17389/06-146-165, от 01.11.2006, 08.11.2006 №КА-А40/10787-06 по делу №А40-32068/06-96-156).
3. Назначить работника, ответственного за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Это может быть сотрудник отдела кадров, который взаимодействует с личными делами сотрудников. Он будет получать согласие работников на обработку персональных данных, вести карточки сотрудников и т.д.
4. Подготовить шаблон согласия на обработку персональных данных. Без него запрашивать личные сведения физлиц нельзя. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона №152-ФЗ):
- ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате и месте выдачи документа;
- наименование или ФИО и адрес работодателя, который получает согласие сотрудника;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие;
- наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
- срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись работника.
Не требуется согласие работника на передачу его персональных данных:
- третьим лицам в целях предупреждения угрозы жизни и здоровью работника;
- в налоговые органы;
- военные комиссариаты;
- по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем;
- по мотивированному запросу органов прокуратуры;
- по мотивированному требованию правоохранительных органов и органов безопасности;
- по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности;
- в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом;
- в случаях, связанных с исполнением работником должностных обязанностей, в том числе при направлении в командировку;
- для предоставления сведений в банк, обслуживающий банковские карты работников, при условии что в договоре о выпуске карт (коллективном договоре, локальном нормативном акте организации) содержится пункт о праве работодателя передавать
персональные данные работников либо работодатель действует на основании доверенности на представление интересов работников.
Во всех остальных случаях передача персональных данных производится с письменного согласия работника, из которого должно быть ясно, кому будут передаваться его персональные данные и с какой целью.
Кроме того, работодатель обязан предупредить лиц, получающих персональные данные, о том, что данные сведения могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что данное правило соблюдено.

Как работать с персональными данными на сайте?

Действия фактически аналогичны.
1. Подать уведомление об обработке персональных данных в Роскомнадзор.
2. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.
3. Сопроводить предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки персональных данных. Это может быть как пользовательское соглашение, согласие на обработку персональных данных, так и договор, политика конфиденциальности, так и часть оферты - название не столь принципиально.
4. Подготовить текст документа с условиями обработки персональных данных. (согласно ст. 9 Закона №152-ФЗ, описано выше).
5. Подготовить документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится
в п. 2 ст. 18.1 Федерального закона №152-ФЗ) и разместите его на сайте в свободном доступе.

Что еще поможет избежать нарушение закона?

1. Сообщить по запросу человека, какие у вас есть данные о нём, как и для чего они обрабатываются и кому вы их передавали.
2. Удалить данные по первому требованию лица, персональные данные которого хранятся в вашей базе.
3. Хранить базы данных в надёжном месте, защищать их от взлома и утечки (требования определены законодательством!).
4. Обучить сотрудников работе с персональными данными.
5. Не использовать документы других компаний без обработки. Их можно использовать в качестве шаблона, но список данных и цели использования персональных данных необходимо прописать свои. То, что требуется типографии для оформления заказа или интернет-магазину для доставки товара, не понадобится для e-mail рассылки. Запрос излишних данных может быть расценен как нарушение закона и стать поводом для штрафа.
6. И самое главное: лучше привлечь специалистов, которые проведут анализ деятельности компании, выявят все недостатки и нарушения, и помогут составить все необходимые документы, уведомят территориальный орган Роскомнадзора.

Материал подготовлен с помощью СПС Консультант Плюс.
Партнер рубрики «Аграрное право»

С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона "О персональных данных" от 27.07.2006 № 152-ФЗ. О том, как избежать штрафов при проверках Роскомнадзора, БУХ.1С рассказал эксперт по налогообложению Игорь Кармазин .

Штрафы за несоблюдение требований Федерального закона "О персональных данных" были повышены в соответствии с Федеральным законом от 07.02.2017 № 13-ФЗ. Новые штрафы по сравнению с действующими выросли в разы . Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей. При этом, если раньше в КоАП существовал только один, общий для всех случаев состав правонарушения в области персданных (ст.13.11 КоАП РФ), то теперь в данной статье появилось целых семь составов.

Чтобы избежать штрафов по 152-ФЗ , компаниям и ИП с 1 июля 2017 года следует внимательнее подходить к соблюдению требований закона о персональных данных.

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

1. С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона "О персональных данных".

2. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей.

3. Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. Закон не содержит конкретного перечня таких организаций.

4. Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре.

5. Обезопасить себя от штрафов можно, соблюдая 6 правил:

• исключить случаи нецелевого сбора и обработки данных;
• получать письменное согласие граждан на обработку их данных;
• знакомить граждан с политикой обработки персональных данных;
• отвечать на вопросы граждан о том, каким образом используются их персональные данные;
• выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении;
• обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д.

6. С 01.07.2017 начинает действовать упрощенный порядок привлечения к административной ответственности. Дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры.

Кого коснутся новые штрафы

Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. По закону они отнесены к операторам персональных данных и обязаны соблюдать законодательные ограничения.

Закон не содержит конкретного перечня таких организаций. Однако к ним можно отнести банки, страховые компании, операторов мобильной связи и интернета, медицинские организации, транспортные компании, учебные заведения и все те компании, при обращении в которые граждан просят указать личные данные или заполнить анкету.

Но и это еще не все. Закон распространяется на работодателей, получающих сведения от сотрудников как по трудовым договорам, так и по договорам гражданско-правового характера. Работодатели тоже являются операторами персональных данных с небольшой оговоркой. Если работодатель состоит с гражданином в трудовых или гражданско-правовых отношениях, ему не требуется уведомлять Роскомнадзор об обработке личной информации (ч. 2 ст. 22 Федерального закона № 152-ФЗ).

Также к операторам персональных данных относятся компании, имеющие собственные сайты с обратной формой связи и регистрацией пользователей, у которых запрашиваются личные сведения.

Как обезопасить себя от штрафов: 6 правил

1. Исключить случаи нецелевого сбора и обработки данных.

Под данное нарушение попадают и случаи сбора излишней информации о гражданах. Например, когда сайт для новостной рассылки по e-mail требует от посетителей предоставить, скажем, паспортные данные. Это считается обработкой данных не по назначению, поэтому исключите подобные случаи из практики работы своей компании и сайта.

Данные действия образуют состав правонарушения по ч. 1 ст. 13.11 КоАП РФ. Штраф для предпринимателей – от 5 до 10 тысяч рублей, а для организаций – от 30 до 50 тысяч рублей.

2. Получать письменное согласие граждан на обработку их данных.

Согласие граждан на обработку персональных данных, когда это требуется по закону, операторы получают в соответствии с ч. 4 ст. 9 Федерального закона № 152-ФЗ. Исключений из этого правила не так много. Например, не требуется письменного согласия при получении персональных данных в личных, семейных целях (ч. 2 ст. 1 Федерального закона № 152-ФЗ).

В большинстве же случаев дополнительно к основному договору стороны должны подписывать соглашение об обработке персональных данных. Это соглашение может включаться в текст основного договора, или выступать в качестве отдельного документа. Согласие должно поступить лично от гражданина. Без его ведома передавать данные нельзя.

Самый банальный пример злоупотреблений в этой части – когда, например, оператор мобильной связи передает контакты абонентов без их ведома сторонним компаниям, и на телефонные номера граждан начинает поступать всевозможный спам.

Если письменного соглашения на обработку данных у компании нет, на граждан (ИП) наложат штраф в размере от 3 до 5 тысяч рублей, на должностных лиц от 10 до 20 тысяч рублей, а на юрлиц – от 15 до 75 тысяч рублей (ч.2 ст.13.11 КоАП РФ). Судя по судебной практике, ИП первый раз штрафуют как физлиц, а если нарушение повторяется, то уже как должностных лиц - руководителей ИП, так как во втором случае штраф выше.

Последствия неполучения письменного согласия контролерам будут неважны, а важен будет сам факт наличия или отсутствия такого согласия в письменной форме.

3. Знакомить граждан с политикой обработки персональных данных.

Эта информация должна находиться в свободном доступе и с ней должен иметь возможность ознакомиться каждый. Например, сайты вывешивают информацию о порядке работы с персданными на отдельных своих страницах.

В противном случае наступит ответственность по ч. 3 ст. 13.11 КоАП РФ. ИП заплатят штраф в размере от 5 до 10 тысяч рублей, а организации в размере от 15 до 30 тысяч рублей.

4. Отвечать на вопросы граждан о том, каким образом используются их персональные данные .

На практике бывают случаи, когда данные «утекают» третьим лицам, и клиентам компании начинает поступать всевозможная реклама от магазинов, медицинских центров и кредитных организаций. В этом случае клиент может потребовать от оператора персональных данных предоставить информацию о том, как используются и хранятся его личные сведения.

За игнорирование обращений граждан операторы персданных несут ответственность по ч. 4 ст. 13.11 КоАП РФ. Штраф для ИП – от 10 до 15 тысяч рублей, а для юрлиц – от 20 до 40 тысяч рублей.

5. Выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении .

Это нужно делать в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Неисполнение этой обязанности грозит штрафом по ч. 5 ст. 13.11 КоАП РФ. Для ИП штраф составит от 10 до 20 тысяч рублей, для организаций – от 25 до 45 тысяч рублей.

6. Обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д .

Ответственность за необеспечение сохранности личных сведений установлена ч. 6 ст. 13.11 КоАП РФ. Для предпринимателей – от 10 до 20 тысяч рублей, для компаний – от 25 до 50 тысяч рублей.

Ответственность для государственных и муниципальных органов власти

Штрафная ответственность предусмотрена и для государственных и муниципальных органов власти (ч. 7 ст. 13.11 КоАП РФ).

В своих документах (протоколах, сводках, решениях и т.д.) они должны обезличивать персональные данные граждан, не допуская указания их места жительства и полных ФИО.

В противном случае придется заплатить штраф в размере от 3 до 6 тысяч рублей.

Регистрация операторов персональных данных в Роскомнадзоре

Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре. Для этого необходимо подать уведомление об обработке (о намерении осуществлять обработку) персональных данных (ч. 3 ст. 22 Федерального закона № 152-ФЗ).

После заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных ее следует отправить в информационную систему Уполномоченного органа по защите прав субъектов персональных данных. Затем заполненную форму нужно распечатать и заверить надлежащим образом, скрепив подписью и печатью организации, после чего направить в соответствующий территориальный орган Роскомнадзора по месту регистрации компании-оператора персональных данных.

Что делать сайтам

Что касается сайтов (а сейчас они есть практически у любой компании), то основная масса нарушений здесь связана именно с нецелевым сбором и использованием персональных данных (ч. 1 ст. 13.11 КоАП РФ).

Например, нередко в форме регистрации на сайте используются такие поля, как «дата рождения» и «телефон», а в форме профиля пользователя - «отчество», «дата рождения», «место жительства» (страна, область/край, город).

Следует понимать, что для регистрации пользователя на большинстве сетевых ресурсов не требуется знать такие данные, как телефон и место жительства/регистрации пользователя. Из формы регистрации эти сведения следует убрать.

А из формы личного профиля лучше убрать такие сведения, как «профессия», «www-страница», Skype (или другой мессенджер) и «дата рождения».

Посторонним лицам (а ваша компания и является таким лицом) знать эту информацию ни к чему. Форма подписки на новости сайта должна собирать информацию только об e-mail пользователей. Форма регистрации может собирать имя, фамилию, e-mail и пол пользователя.

Сбор лишней информации при проверке могут посчитать нарушением.

Выполнение вышеописанных правил и знание закона позволят избежать ответственности за его нарушение. При этом следует учитывать одно немаловажное обстоятельство. Если раньше закон о персональных данных обходил вашу компанию стороной и никакой ответственности за его нарушение вы не несли, то с 1 июля все может измениться кардинальным образом.

Дело в том, что с этой даты начинает действовать упрощенный порядок привлечения к административной ответственности. Раньше дела в этой сфере возбуждала прокуратура (ст. 28.1 КоАП РФ). По новым же правилам (п. 58 ч. 2 ст. 28.3 КоАП РФ) дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры. На практике это означает, что количество штрафов и доведенных до суда дел может значительно увеличиться, и уйти от ответственности станет значительно сложнее.

В этой статье мы понятно и доступно (ну, по возможности) попытаемся объяснить, как жить обычному онлайн бизнесу в эпоху ФЗ N 152 “О персональных данных”. Точнее расскажем, как от него защищаться.

Итак, для начала следует запомнить, что ФИО, телефон, почта, адрес и прочие данные, характеризующие конкретного человека, являются персональными . А получение их, даже в результате телефонного разговора, является их обработкой . Таким образом, под новый прекрасный закон попадает деятельность абсолютно любого коммерческого web-сайта. Ура, товарищи.

Чего бояться?

С 01 июля 2017 года в статье 13.11 КоАП РФ появились новые составы нарушений законодательства в области персональных данных (было 1, стало 7).
Размер штрафов увеличился с 10 000 рублей до 290 000 рублей. Максимальный размер штрафов грозит тем, кто нарушил абсолютно все требования по п. 1 - 6 ст. 13.11 КоАП РФ. Это довольно сложно, но об этом ниже.

Кого будут штрафовать?

Штрафовать будут операторов, то есть тех, кто персональные данные обрабатывает, в том числе собирает. Простой запрос имени и номера телефона (или e-mail) уже является обработкой.
Роскомнадзору для подтверждения, что вы обрабатываете персональные данные, будет достаточно увидеть на вашем сайте форму обратной связи, подписки на рассылку или возможность зарегистрироваться в личном кабинете. В этих случаях вы подпадаете под действие закона, и в отношении вас возможно проведение проверки на соблюдение законодательства в области персональных данных.
Поэтому мы и сделали Защитника от ФЗ N 152.

Мы клиенты Callibri.ru, как быть легальным?

Защитник от ФЗ 152 - система формирования документов, чтобы и ваш, и наш бизнес работали в полном соответствии с требованиями ФЗ N 152.

Вот что необходимо сделать:

Так это выглядит:

Важно!

Это все? Теперь я не прилипну на 290 т.р.?

Не совсем. Защитник работает только в том случае, если:

• способы сбора данных не отличаются от тех, что вы выбрали в настройках;
• цели сбора данных не отличаются от тех, что вы выбрали в настройках;
• вы не используете для сбора и обработки другие сервисы, кроме Callibri.ru.

Во всех остальных случаях у вас могут быть проблемы. О них ниже.

У меня используются другие сервисы, которые собирают персональные данные. Как быть легальным?

Удалить все к чертям. Мы не можем нести ответственность за соответствие других сервисов требованиями ФЗ N 152 «О персональных данных». Хорошо, что в нашем портфеле есть все необходимое: коллтрекинг, обратный звонок, онлайн звонок, заявка и онлайн консультант.
Подключить Callibri

Но если вы очень хотите использовать другие сервисы и/или ваши цели и/или способы обработки персональных данных отличаются от предложенных Callibri.ru, то вам придется привлечь внешних консультантов для разработки своих документов в отношении обработки персональных данных, внедрить их и ждать проверки Роскомнадзора и штрафов по ее результатам. А это до 290 т.р.

От чего именно спасет Защитник?

Во-первых, ваш сайт будет соответствовать всем требованиям законодательства (п. 2 ч. 2 ст. 5, ч. 1, ч. 2 ст. 18.1 ФЗ N 152 «О персональных данных»). Это значительно снижает риск инициации проверки и повышает вашу надежность в глазах клиентов. Во-вторых, у Роскомнадзора не будет оснований:

• Оштрафовать вас на сумму до 30 000 руб. за непредоставление неограниченного доступа к Политике (ч. 3 ст. 13.11 КоАП РФ).
  Например: Оштрафовать за отсутствие на сайте Политики.
• Оштрафовать вас на сумму до 50 000 руб. за обработку персональных данных, которая несовместима с целями сбора.
  Например: осуществляете доставку товара и запрашиваете скан паспорта, когда для доставки вам было бы достаточно просто ФИО и адреса.

А вы уведомите за нас про нас Роскомнадзор?

Нет, не уведомим. В этом нет необходимости. Слава богу. Пока что.

Почему это не надо уведомлять Роскомнадзор?

Согласно ч. 2 ст. 22 ФЗ N 152 оператор вправе осуществлять обработку персональных данных без уведомления Роскомнадзора в некоторых случаях. Все не будем перечислять, но ключевой из них:
Полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
Т.е. если персданные, которые вы собираете и обрабатываете

• не предоставляются третьим лицам без согласия субъекта персональных данных;
• используются исключительно для исполнения договора, в связи с заключением которого они получены, и заключения договоров с субъектом персональных данных;

Уведомлять Роскомнадзор не обязательно!

А многие говорят, что надо…

Закон спорный, есть много мнений, трактовок и спекуляций недобросовестных юристов на этой теме. А судебной практики пока нет. Поэтому запомните: глобально у вас есть 3 варианта

1. Быть полностью нелегальным. Тут нам говорить не о чем. Риски гораздо выше, чем описаны в этой статье;
2. Работать легально, благодаря документам от Callibri. Но не уведомлять Роскомнадзор;
3. Работать легально и уведомить Роскомнадзор и появиться в реестре операторов персональных данных.

Мы рекомендуем 2-й вариант, т.к. в этом случае ваши затраты времени и сил составят 30 минут (на чтение этой статьи, заполнение анкеты и подписание приказа). А максимальный штраф, если Роскомнадзору что-то не понравится (то есть за отсутствие уведомления), будет 5 тысяч рублей (для юридических лиц).
В 3-м варианте вам и сил и денег понадобится больше, а вероятность плановой проверки существенно вырастет.
Поэтому мы считаем, что большинству бизнесов нашего конструктора защиты от ФЗ N 152 будет достаточно.

Надо предупреждать всех посетителей про обработку Cookie файлов?

Тут как всегда, два юриста - три мнения. Наши юристы считают, что сама по себе информация из cookie-файлов не является персональными данными, в отрыве от прочей информации о пользователе. Ходят слухи, что и Роскомнадзор пока не обращает на это внимание. Все же, если вы хотите полностью застраховаться, попросите разработчиков вашего сайта добавить всплывающее окно с примерно таким текстом: “Согласен на обработку cookies” (с кнопочкой “Ок”).

Вебвизор видит персональные данные. Что делать?

Не стоит беспокоиться! Согласно рекомендациям Яндекса , мы защитили все поля, в которых могут быть указаны персональные данные, специальным классом. Благодаря этой фишке, вебвизор не будет видеть перс.данные пользователей, которые они вбивают в формы на сайте.

Словарик

А еще мы решили указать все термины, чтобы у вас совсем не осталось вопросов.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе: его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, e-mail, номер телефона, другая идентификационная информация (см. ФЗ-152, ст.3, 10, 11).

В настоящий момент перечень персональных данных не является закрытым, если вы сомневаетесь, являются ли данные персональными, обратитесь к юристам за разъяснениями.

Обработка персональных данных - это любое действие или совокупность действий, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление доступа), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор - юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Отношение Операторов персональных данных к требованиям законодательства разнообразно. Кто-то предпочитает ничего не делать, не подавать уведомление об обработке ПДн в Роскомнадзор и надеяться, что вопросы контроля обработки ПДн его не коснутся. Кто-то отдает вопросы защиты информации полностью на откуп сторонним организациям. Кто-то находит шаблонные комплекты организационно-распорядительных документов в общедоступных источниках, корректирует их, распечатывает и на этом останавливается. Каждый из этих подходов имеет свои недостатки.

Бездействие Оператора не спасает его от плановых или внеплановых (например, организованных по жалобе субъекта ПДн) проверок контролирующих органов. На фоне новостей о постоянно растущих штрафах за нарушения требований обработки ПДн такой подход выглядит малопривлекательным.

При полной передаче вопросов защиты информации на аутсорсинг появляется риск значительно переплатить. Это часто выливается в покупку дорогостоящих средств защиты информации с избыточной и не всегда востребованной функциональностью. Кроме того, созданная и внедренная система защиты без поддержки пользователей и администраторов Оператора в какой-то момент перестает быть актуальной. Ведь система защиты — это не только реализация технических мер и средств, а еще и организационные мероприятия, направленные на выработку сотрудниками Оператора норм и правил корректного отношения к защищаемой информации.

Шаблонные комплекты из сети позволяют создать лишь видимость защиты информации, при этом информационные системы фактически остаются уязвимы и подвержены угрозам.

Мы предлагаем синтетическую концепцию, когда уполномоченное лицо Оператора самостоятельно проходит определенные шаги построения системы защиты. А на этапе технической реализации системы защиты возможно привлечение специализированных организаций.

Такой подход позволяет уполномоченным лицам Оператора лучше понять существующие процессы обработки информации, включить в работу всех заинтересованных лиц и в результате получить эффективную систему защиты информации. Рассмотрим подход подробнее.

Нормативная база

Каждый оператор, приступая к работе, задается вопросом — с чего начать? Определимся с нормативной базой, на которую будем опираться.

1. Приказ Федеральной службы безопасности Российской Федерации от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

Разберем порядок действий на отдельно взятой информационной системе.

ГИС или не ГИС

Сначала необходимо понять, относится ли рассматриваемая система к государственным информационным системам (ГИС) или нет. От этого будет зависеть подход к защите. Как определить, ГИС перед нами или нет, описано в отдельной .

Актуальные угрозы ИБ

Необходимо определить, какие угрозы ИБ актуальны для рассматриваемой информационной системы. Определение актуальных угроз производится в соответствии с «Методикой определения актуальных угроз безопасности персональных данных». В общем случае алгоритм выглядит так:

1. По совокупности ответов на ряд первичных вопросов делается вывод об исходной защищенности информационной системы.
2. Формируется перечень рассматриваемых угроз на основании «Базовой модели угроз безопасности персональных данных» и Банка данных угроз безопасности информации (см. выше). Для каждой угрозы экспертным путем определяется вероятность реализации.
3. На основании вероятности реализации и уровня исходной защищенности определяется коэффициент реализуемости для каждой угрозы.
4. Для каждой угрозы экспертным путем определяется показатель опасности для ИС и Оператора.
5. На основании показателей реализуемости и опасности делается вывод об актуальности для каждой угрозы. Формируется перечень актуальных угроз.

Уровень защищенности ИСПДн

Необходимо определить, к какому типу относятся актуальные угрозы. Существуют три типа угроз:

• связанные с наличием недекларированных возможностей в системном программном обеспечении;
• связанные с наличием недекларированных возможностей в прикладном программном обеспечении;
• не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении.

Рассматриваем каждую угрозу в отдельности. Определяем, к какому максимальному типу они относятся.

Следующим шагом необходимо определить категорию обрабатываемых данных. Существуют следующие категории персональных данных:

• специальные;
• биометрические;
• общедоступные;
• иные.

В одной ИС могут обрабатываться несколько категорий персональных данных. Подробное определение категорий дано в № 152-ФЗ.

Необходимо определить объем обрабатываемых ПДн. Здесь возможны 3 вариации:

• до 100 тысяч;
• более 100 тысяч;
• ПДн сотрудников Оператора (без привязки по объему).

На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119.

Для Определения УЗ можно воспользоваться специальной таблицей:

Класс ГИС

Если рассматриваемая система относится к ГИС, необходимо определить ее класс в соответствии с приказом ФСТЭК № 17 от 11.02.2013.

Для этого определяются дополнительные к предыдущему разделу показатели:

1. Масштаб ГИС. Может быть федеральным, региональным и объектовым. Критерии определения зафиксированы в приказе ФСТЭК №17.
2. Уровень значимости информации — определяется степенью возможного ущерба Оператора от нарушения конфиденциальности, целостности или доступности информации. Имеет три значения по убыванию значимости — УЗ1, УЗ2, УЗ3. Определяется экспертным путем. Критерии определения зафиксированы в приказе ФСТЭК № 17.

На основании уровня значимости и масштаба ИС делается вывод о классе ГИС.

Базовый набор мер

После определения уровня защищенности и класса (для ГИС) нужно перейти к формированию общего перечня требований и мер, которые необходимо обеспечить в ИС.

Для ИСПДн требования формируются в соответствии с определенным уровнем защищенности на основании № 152-ФЗ, постановления Правительства № 1119, приказа ФСБ РФ № 378 и приказа ФСТЭК № 21.

Для ГИС, помимо требований, необходимых для ИСПДн, дополнительно добавляются требования приказа ФСТЭК № 17.

В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС. Назовем его базовый набор мер.

Адаптированный набор мер

Следующим шагом является анализ полученного базового набора мер и его актуализация. То есть удаление из него всех мер, несвойственных рассматриваемой информационной системе. Например, удаляем меру «Защита беспроводных сетей», если беспроводные технологии в ИС не применяются. В итоге получаем адаптированный базовый набор мер .

Дополненный набор мер

Исследуем адаптированный базовый набор мер и соотносим его с перечнем актуальных угроз ИБ. В случае если ни одна мера не закрывает отдельную актуальную угрозу, дополняем набор дополнительными мерами. В результате все актуальные угрозы должны быть закрыты мерами ИБ из набора мер. На выходе получаем дополненный адаптированный базовый набор мер .

Система защиты информации

В соответствии с полученным набором мер осуществляется выбор технических средств защиты или организационных мероприятий, направленных на выполнение мер. Происходит формирование проекта системы защиты информации.

Для ИСПДн сертифицированные средства защиты информации применяются для закрытия актуальных угроз ИБ.

Для ГИС применяются только сертифицированные средства защиты информации.

Реализуется внедрение системы защиты по созданному проекту. Внедряются организационные меры и технические средства защиты. Разрабатываются политики, положения, инструкции, которые внедряются в процессы обработки информации. Устанавливаются, настраиваются и вводятся в эксплуатацию средства защиты информации. На этом этапе привлекаются специализированные организации, оказывающие соответствующие услуги. При самостоятельном внедрении ознакомьтесь с типичными ошибками при построении СЗПДН .

Аттестация

После введения системы защиты в эксплуатацию проводится оценка соответствия принятых мер требованиям законодательства.

Для ИСПДн оценка соответствия в форме аттестации не обязательна. Достаточным является проведение испытаний на соответствие требованиям безопасности с выдачей заключения. Испытания могут быть проведены оператором как самостоятельно, так и с привлечением специализированных организаций.

Для ГИС оценка соответствия в форме аттестации является обязательной процедурой. Для аттестации по требованиям безопасности информации необходимо привлечение специализированной организации, уполномоченной на данную деятельность.

Что в итоге

В результате данного подхода получаем систему защиты информации. Как видим, привлечение специализированных организаций происходит только на заключительных этапах. Данный подход позволяет сэкономить организациям значительные средства, так как основную часть работ они выполняют самостоятельно.

Кроме того, последовательно выполняя шаги, уполномоченные лица Операторов напрямую участвуют в работе по защите ИС, что должно положительно сказаться на эффективности полученной системы защиты информации.

А что потом?

Система защиты информации внедрена и принята в эксплуатацию. Можно ли успокоиться и забыть о ней? Конечно нет. Мир информационных систем и технологий очень изменчив. Технологии развиваются и совершенствуются, изменяются информационные системы. Возможно, через какое-то время угрозы ИБ, которые не были актуальны при проектировании системы защиты, станут актуальны. Для поддержания системы защиты информации в рабочем состоянии рекомендуем проводить аудит информационной безопасности не реже одного раза в год, привлекая для этого специалистов — либо собственными силами.

Удачи на пути создания собственной эффективной системы защиты информации.

Станислав Шиляев , руководитель проектов по информационной безопасности компании «СКБ Контур»

Процесс анализа и обработки данных персонального характера играет важнейшую роль в любом цивилизованном государстве. В Российской Федерации данная процедура регламентируется законодательно - в 152-ФЗ "О персональных данных". Именно этот нормативный акт будет разобран в статье.

Основные термины

В законе № 152-ФЗ "О персональных данных" применяется ряд терминов. Первое и самое важное понятие - это, конечно же, «персональные данные». Согласно 152-ФЗ, это информация, которая косвенно или прямо относится к определенному физическому лицу. Обрабатыванием персональных данных занимается оператор - муниципальный или государственный орган, а иногда просто физическое лицо. Сам процесс обработки данных заключается в совершении совокупности операций, целью которых является сбор, систематизация, анализ и хранение персональной информации о каждом гражданине России.

Персональные данные могут быть переданы определенному кругу лиц, а порой и вовсе подлежать уничтожению или обезличиванию.

Общие положения ФЗ

Для чего создан № 152-ФЗ "О персональных данных"? В статье 2 говорится про цель закона. Это обеспечение защиты свобод и прав человека при обработке его персональных данных.

Что может регулировать представленный закон? Согласно статье 1, это любые отношения, связанные с процедурами обработки данных граждан России. Данный процесс осуществляется федеральными государственными инстанциями и властными органами субъектов РФ. Органы проводят систематизацию информации о пользователях, задают специальные алгоритмы поиска и фиксируют информацию о носителях данных. Но какие отношения не должны регулировать органы, занимающиеся персональной обработкой информации о гражданах?

Вот на что указывает закон:

• Организация процессов хранения, учета и систематизации документации Архивного российского фонда и прочих инстанций, связанных с архивной работой.
• Обработка персональных данных физическими лицами для семейных или бытовых нужд, если при этом происходит нарушение прав прочих субъектов персональной информации.

На каких принципах выстраивается и функционирует процесс обработки информации о гражданах? Об этом рассказано в статье 5.

О принципах и условиях обработки данных

На каких принципах базируется процедура обработки персональной информации о гражданах России? Статья 5 № 152-ФЗ "О персональных данных" гласит о законности и справедливой основе, об ограничении конкретными и законными целями. Так, недопустимой считается обработка данных, несовместимая с целями закона. То же самое касается процесса обработки, имеющего противоположные цели и задачи.

Содержание обрабатываемой информации должно строго соответствовать заявленным целям, которые согласованы с законом. Должна быть обеспечена точность и полнота персональной информации. Оператор обязан качественно исполнять свои трудовые функции. Хранение данных допускается только в той форме, что позволила бы точно и быстро определять субъекта системы персональной информации.

Ст. 6 № 152-ФЗ "О персональных данных" закрепляет ряд условий обработки персональной информации. Так, допускается процесс обработки лишь в следующих случаях:

• Обработка и анализ производятся с письменного согласия субъекта персональных данных (статья 9 № 152-ФЗ "О персональных данных").
• Осуществляется для достижения определенных целей, заявленных в законе.
• Обработка необходима для защиты здоровья и жизни граждан.

Еще одним принципом осуществления обработки информации остается наличие специальных категорий, о которых будет рассказано далее.

О категориях персональных данных

В статье 10 рассматриваемого нормативного акта приведены основные категории данных, подлежащих обработке. Пункт 1 статьи говорит про политические, религиозные или философские убеждения, про состояние здоровья, национальную и расовую принадлежность. Все это выделяется в систему особых категорий, сбор которых не допускается на постоянной основе.

Существует лишь небольшой перечень случаев, когда обработка представленных видов информации допустима. Сюда следует отнести:

• случаи, когда сам субъект обработки дал свое письменное согласие на предоставление информации особой категории;
• когда особые персональные данные субъектов уже общедоступны;
• когда это необходимо для защиты жизни, здоровья и интересов субъекта;
• когда обработка подобного рода информации осуществляется в целях медицинского или профилактического характера;
• в иных случаях, установленных Федеральным законом.

Сам субъект персональной информации обладает рядом прав.

О правах субъекта

Какими правами, согласно главе 3 рассматриваемого нормативного акта, обладают субъекты персональных данных? В статье 14 говорится о правах граждан на доступ к их персональной информации. Каким образом это возможно осуществить? Закон гласит о праве требовать от операторов уточнения тех или иных данных. Статья 15 закрепляет нормы, согласно которым существует возможность использовать свои персональные данные для продвижения и рекламирования определенных услуг, товаров, продукции и т. д. Политическая агитация также пополняет этот ряд.

В статье 16 говорится о праве субъектов не допускать автоматическую обработку информации, а в статье 17 - о возможности обжаловать действия оператора. К слову, именно оператор является основным звеном во всей процедуре обработки данных. Это должностное лицо обладает рядом обязанностей, о которых будет рассказано далее.

Обязанности операторов

18 ст. 152-ФЗ "О персональных данных" (с изменениями от 01.07.2017) закрепляет основные функции операторов в области сбора персональной информации. Оператор должен предоставлять субъекту информации следующие данные:

• цель обработки данных;
• правовая основа обработки;
• наименование оператора и его адрес;
• источники приобретения информации.

Оператор обязан принимать ряд мер по обеспечению безопасности персональной информации, по устранению нарушений закона, уточнению, блокировке и ликвидации персональной информации в отдельных установленных законом случаях. Таким образом, № 152-ФЗ "О персональных данных" от 27.07.2006 является наиболее исчерпывающим источником в области сбора информации о российских гражданах.

Обеспечение безопасности обработки информации

Отдельно стоит рассказать про обязанности операторов в области обеспечения безопасности персональной информации.

Вот что закрепляет статья 19 № 152-ФЗ "О персональных данных":

• нарушение закона или любые иные угрозы безопасности данных должны быстро и качественно определяться и пресекаться операторами;
• операторы должны применять ряд организационно-технических средств по обеспечению безопасности данных;
• операторы обязаны оценивать и анализировать применяемые процедуры по обеспечению безопасности;
• учет машин, являющихся носителями информации, а также качественный контроль над ними входят в обязанности работников по обработке данных;
• обязанность по восстановлению доступа к персональным данным, которые обрабатываются в информационной системе.

Не менее важен и контроль со стороны государства, о котором будет рассказано далее.

О государственном контроле обработки данных

Информация персонального характера должна охраняться и анализироваться отдельными государственными органами Российской Федерации. Что именно здесь стоит выделить? В статье 19 Федерального закона № 152-ФЗ "О персональных данных" (с комментариями от 2017 года) говорится про обязанности российского Правительства.

В частности, здесь стоит отметить:

• установление требований к защите данных персонального характера;
• закрепление специальных уровней защищенности персональной информации, которые зависят от степени угроз;
• установление требований к носителям информации.

В статье 23 говорится про уполномоченный орган, коим является Правительство РФ. Здесь закрепляются основные права органа:

• запрос информации у юридических и физических лиц для осуществления своих полномочий;
• требование от оператора отдельных видов документации;
• осуществление проверок в отношении сведений, которые содержатся в специальных информационных базах.

В статье 24 устанавливается норма, в соответствии с которой нарушители рассматриваемого закона будут подвержены ответственности.