Прокуратура
Ставропольского края
29 Ноября 2017

Ужесточена ответственность за нарушение законодательства о защите персональных данных

Федеральным законом от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» ужесточена административная ответственность за нарушение законодательства о защите персональных данных и дифференцирован состав административных правонарушений. С 1 июля 2017 года ответственность за несоблюдение правил о персональных данных, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», возросла в несколько раз. Максимальный размер штрафа для юридических лиц вырос с 10 000 до 75 000 руб., а порог минимально возможного штрафа - с 5 000 до 15 000 руб. Также законодатель ввел дифференциацию составов административных правонарушений в области персональных данных с учетом ущерба, причиненного нарушением.

Кроме того, полномочия по возбуждению дел данной категории предоставлены органам Роскомнадзора, в то время как ранее такими полномочиями обладал только прокурор. Рассматривать дела данной категории  по-прежнему будут суды.

Новая редакция ст. 13.11 Ко АП РФ предусматривает семь различных составов административного правонарушения в области защиты персональных данных вместо одного общего состава, предусмотренного предыдущей редакцией.

Самый высокий штраф предусмотрен за обработку персональных данных без письменного согласия субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, либо в случае, если обработка персональных данных происходит с нарушением установленных законодательством РФ требований к составу сведений, включаемых в письменное согласие субъекта персональных данных на обработку его персональных данных.

Под персональными данными, обработкой персональных данных и оператором понимается следующее. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Таким образом, на работодателя (юридическое лицо или индивидуального предпринимателя), получившего персональные данные работника в свое распоряжение, в соответствии с требованиями Федеральным законом от 27.07.2006 № 152-ФЗ возлагаются обязанности по защите и обеспечению сохранности персональных данных работников.

В силу ч. 1 ст. 18.1 вышеуказанного Закона каждый оператор должен самостоятельно определить состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Законом. К таким мерам могут в частности относиться: издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

Итак, положение о персональных данных - это документ, наличие которого необходимо в силу законодательства. Его отсутствие может стать основанием для наложения штрафа по ч. 3 ст. 13.11 КоАП РФ.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации, или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

К категории персональных данных относятся, к примеру, такие сведения, как фамилия, имя, отчество; дата и место рождения; адрес (место регистрации); семейное, социальное и имущественное положение; образование, профессия; доходы, имущество и имущественные обязательства.

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; цель обработки персональных данных;

перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

подпись субъекта персональных данных.

С учетом изложенного, оператору целесообразно разработать и утвердить в качестве приложения к положению о персональных данных бланк согласия работника на обработку и передачу таких данных.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных либо персональные данные сделаны общедоступными субъектом персональных данных.

Персональные данные работников, как правило, содержатся в следующих документах: в паспорте или ином документе, удостоверяющем личность; трудовой книжке; документах о воинском учете, образовании, составе семьи; справке о доходах с предыдущего места работы; анкете, заполняемой при трудоустройстве; личной карточке работника (форма Т-2); свидетельствах о заключении брака, рождении ребенка; медицинских справках и др.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.




Нюрнбергский процесс 20 НОЯБРЯ 1945 - 1 ОКТЯБРЯ 1946
Главный процесс человечества.
Обращение из прошлого к будущему.