Рубрика Консультации. Новые требования по защите персональных данных. Как обезопасить бизнес от штрафов?

С 1 июля 2017 года ужесточены требования к должностным лицам, индивидуальным предпринимателям (ИП) и организациям по защите персональных данных.

Во-первых, вступил в силу ряд положений Федерального закона №152-ФЗ «О персональных данных», скорректировавших предыдущую редакцию документа.

Во-вторых, Федеральным законом от 07.02.2017 №13-ФЗ «О внесении изменений в КоАП», значительно увеличен размер административной ответственности за несоблюдение положений новой редакции 152-ФЗ.

Если ранее максимально возможный административный штраф составлял 10 тыс. руб. для организаций, то теперь должностных лиц и ИП могут оштрафовать на сумму до 20 тыс. руб., организации – на сумму до 75тыс. руб.

При этом до 1 июля 2017 года в КоАП существовал только один, общий для всех случаев состав правонарушения в области персональных данных (ст.13.11 КоАП РФ). Теперь же в данной статье появилось семь различных составов нарушений:

1. Обработка персональных данных в «иных» целях

• на должностных лиц – 5 до 10 тыс. руб.;
• на юридических лиц – от 30 до 50 тыс. руб.

2. Обработка персональных данных без согласия

• на должностных лиц (директора, кадровика) – 10 до 20 тыс. руб.;
• на юридических лиц – от 15 до 75 тыс. руб.

3. Доступ к политике по обработке персональных данных

Согласно п. 2 ст. 18.1 152-ФЗ, оператор, осуществляющий сбор персональных данных в Интернете (например, через Интернет-сайт) обязан публиковать в открытом доступе документ, определяющий его политику в отношении персданных.

• на должностных лиц (директора, главбуха) – 3 до 6 тыс. руб.;
• на ИП – от 5 до 10 тыс. руб.;
• на организации – от 15 до 30 тыс. руб.

4. Невыполнение обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его данных (сокрытие информации)

на должностных лиц (директора, кадровика, бухгалтера) – 4 до 6 тыс. руб.;

на ИП – от 10 до 15 тыс. руб.;

на организации – от 20 до 40 тыс. руб.

5. Невыполнение требований субъекта персональных данных по уточнению, блокировке или уничтожению данных

• на должностных лиц (директора, кадровика, бухгалтера) – 4 до 10 тыс. руб.;
• на ИП – от 10 до 20 тыс. руб.;
• на организации – от 25 до 45 тыс. руб.

6. Необеспечение при обработке персональных данных без использования средств автоматизации обязанности по сохранности данных

• на должностных лиц (руководителя) – 4 до 10 тыс. руб.;
• на ИП – от 10 до 20 тыс. руб.;
• на организации – от 25 до 45 тыс. руб.

7. Невыполнение должностными лицами государственного или муниципального органа обязанностей по обезличиванию персональных данных либо нарушение требований к процессу

В случае наличия нескольких нарушений штрафы суммируются.

Примечательно, что с 1 июля 2017 года дела по статье 13.11 КоАП будут вправе возбуждать должностные лица Роскомнадзора (ранее таким правом обладал исключительно прокурор), следовательно, процедура привлечения к ответственности становится проще.

Помимо административной, предусмотрена и уголовная ответственность, которая может наступить за следующие незаконные действия:

• сбор или распространение сведений о частной жизни, составляющих личную или семейную тайну, без согласия субъекта;
• распространение сведений о субъекте в публичном выступлении, публично демонстрирующемся произведении или СМИ.

В этих случаях грозит как минимум штраф до 200 тыс. руб. (или в размере доходов осужденного за период до 18 месяцев), как максимум – лишение свободы на срок до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до з лет.

Выше перечисленные действия, совершенные с использованием служебного положения, караются штрафом от 100 до 300 тыс. руб. (или в размере доходов осужденного за период от 1 до 2 лет) до лишения свободы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет (ст. 137 УК РФ).

Чтобы избежать штрафов и прочих неблагоприятных последствий по 152-ФЗ, эксперты АКГ «ДЕЛОВОЙ ПРОФИЛЬ» рекомендуют должностным лицам, ИП и организациям внимательно подойти к соблюдению требований Федерального закона.

Во-первых, всем организациям, отнесенным в рамках Федерального закона к операторам персональных данных, необходимо зарегистрироваться в Роскомнадзоре, подав уведомление о намерении осуществлять обработку персональных данных (ч. 3 ст. 22 Федерального закона № 152-ФЗ).

Во-вторых, стоит проверить свою деятельность по следующему списку:

1. Возможное наличие «нецелевого» сбора и обработки данных – в большей степени это касается Интернет-сайтов, располагающих возможностями подписок или личными кабинетами пользователей;
2. Наличие письменных согласий на обработку персональных данных – как допсоглашений к договорам с сотрудниками;
3. Предоставление свободного доступа к политике в области персональных данных, например, на Интернет-сайте и др.

Специалисты в области правового и кадрового консалтинга Группы «ДЕЛОВОЙ ПРОФИЛЬ» готовы оказать экспертную поддержку Вам и Вашему бизнесу, дав профессиональные разъяснения всем вопросам, касающимся изменений законодательства о защите персональных данных.