Персональные данные ИП что к ним относится?
Pravohelp21.ru

Юридический портал

Персональные данные ИП что к ним относится?

Данные индивидуальных предпринимателей

Статью подготовил директор по развитию предпринимательства и конкуренции ОАО “Акса” Корчагин Юлиан Андриянович. Связаться с автором

Вернуться назад на Индивидуальный предприниматель

Персональные данные являют собой какую-либо личную информацию гражданина, которая хранится на носителе – бумажном или электронном. Защита таких персональных данных предписывается законом 152-ФЗ, который и регулирует порядок сохранности тайны персональных данных в предусмотренных случаях. Закон прямо указывает на то, что персональные данные – собственность гражданина и использовать их можно исключительно с его согласия. Отсюда вытекает положение, что любое лицо, предоставившее свои данные кому-либо, вправе знать, каким образом они хранятся, используются, распределяются. Они могут дополняться и уточняться на протяжении всего хранения только лицом, предоставившим их или же с его согласия.

Персональные данные индивидуального предпринимателя представлены следующей информацией:

– состояние здоровья и семейные (личные) отношения с другими лицами;

– принадлежащая гражданину интеллектуальная собственность;

– источник полученной прибыли и финансовое положение лица в целом;

– обстоятельство рождения либо же усыновления;

– деятельность, считающаяся коммерческой тайной;

– участие в судебных разбирательствах;

– прочая информация, разглашение которой может составлять угрозу жизни, имуществу, здоровью граждан.

При приёме на работу сотрудников, ИП, как работодатель должен руководствоваться Трудовым кодексом относительно хранения и неразглашения персональных данных наёмного сотрудника. Конкретно этот вопрос описывает закон о персональных данных за номером 152-ФЗ. Согласно ТК, получаемая работодателем при оформлении сотрудника информация и является персональной. Именно её получение, распоряжение и хранение должно непременно соответствовать нормам трудового законодательства.

Личные данные наёмный работник предоставляет, как правило, самостоятельно. Но бывают ситуации, когда необходимые сведения имеется возможность получить только у некой третьей стороны. В таком случае от работника заранее требуется подписанное им письменное согласие на сбор данных. В таком согласии обязательно указываются конкретные данные лица, подлежащие обработке и цель их использования. Это предусмотрено текстом статьи 86, содержащейся в Трудовом кодексе РФ.

Персональные данные индивидуального предпринимателя – это такие же данные физического лица. Помимо этого, таковыми являются ещё и сведения, которые содержатся в трудовых книжках, медицинских полисах, дипломах и свидетельствах, пенсионном документе, воинском билете и прочем. Внутриорганизационными документами, содержащие личные сведения, не подлежащие разглашению, считаются трудовые договоры, приказы о приёме на работу и увольнении, изменениях условий и оплаты труда, распоряжения о поощрениях и премированиях.

В случае разглашения тайны персональных данных ответственность несёт сотрудник, совершивший данное правонарушение. Такая ответственность может выражаться в административной, дисциплинарной, и даже уголовной наказуемости. Основную ответственность по сохранности данных несёт руководитель.

Если ИП выступает в роли работодателя, то и сохранность данных своих работников он обеспечивает самостоятельно. Если же ИП занимает должность работника предприятия, который по роду деятельности имеет дело с конфиденциальными данными прочих сотрудников, то он в такой же мере несёт ответственность согласно должностной инструкции.

Персональные данные индивидуального предпринимателя содержаться также в ЕГРИП – Едином государственном реестре индивидуальных предпринимателей. Ответственность за сохранность предоставленных ИП личных данных несёт налоговый орган. Также некоторые данные ИП могут быть общедоступными на законных основаниях. Такие сведения содержат справочники, телефонные книги, энциклопедии, документы органов государственного местного самоуправления и прочих государственных органов.

При создании общедоступных сведений об ИП, которые раскрывают его ФИО, адрес, сведения о хозяйственной деятельности обязательно необходимо получение согласия в письменном виде предпринимателя. Помимо этого, ИП вправе требовать указания ссылки на свою личность при публикации предоставленных конфиденциальных данных.

Регистрация ИП
Регистрация ИП онлайн
Партнерство
Предпринимательская деятельность
Предпринимательская культура
Предпринимательская среда
Предпринимательская тайна

ИП без права на тайну персональных данных

В настоящее время все прогрессивное человечество всерьез обеспокоено проблемой утечки конфиденциальной информации, воровства персональных данных и защиты личных сведений от несанкционированного доступа. Над решением данных проблем бьются тысячи компаний по всему миру. На создание новейших систем охраны секретных сведений тратятся миллионы долларов и огромные административные ресурсы. Все лишь только с одной целью – не допустить различных злобных хакеров и прочих иностранных шпионов к данным, составляющим охраняемую законом тайну.

Нужно ли говорить о том, что все старания зачастую оказываются аховыми, и громких скандалов, связанных с утечкой секретной информации, избежать по-прежнему не удается. Это в мире. В России же дела обстоят немного альтернативным образом. Нет, безусловно, отечественный закон тоже охраняет личные данные граждан. Существуют даже специальные перечни информации, составляющие тайну за семью печатями. Наши IT-компании, подобно своим иностранным коллегам, строят современные и технологичные средства защиты секретной информации от посторонних глаз и неустанно совершенствуют и дополняют свои программные продукты.

В общем, с первого взгляда все чинно и благородно, но есть одно НО. Несмотря на все вышеперечисленное благолепие в части защиты конфиденциальных сведений, с персональными данными граждан любой желающий сейчас вполне легально может ознакомиться в открытом доступе в интернете. Причем не где-нибудь, а на официальных сайтах контролирующих органов!

В частности, в последнее время контролирующие органы в силу действия норм закона о защите прав юридических лиц и ИП при осуществлении государственного контроля, призванного в общем-то защищать интересы предпринимателей (что хорошо), взяли моду публиковать на своих сайтах персональные данные этих самых предпринимателей (что не очень хорошо). Спор о правомерности таких действий продолжается уже не один месяц и единой позиции по данному вопросу пока что еще нет. Контролеры утверждают, что так делать можно и даже нужно, предприниматели же жалуются на нарушение своих конституционных прав и интересов.

Однако, недавно опубликован документ (постановление мирового судьи участка № 166 Курганинского района Краснодарского края по делу № 5-198/2014 года), в котором правомерность позиции предпринимателей подтвердили не только прокуроры (кстати, в сводных планах проверок прокуратуры личные данные ИП скрываются), но и суд.

Весело и прекрасно, ну, разумеется, для ИП, в данном документе буквально все. От сути судебного разбирательства и процессуальных “вывертов”, с помощью которых незадачливому чиновнику “шили” административку вплоть до юридической техники, используемой при создании самого документа. Документ демонстрирует одновременно и несогласованность отечественного законодательства, и хаотичность действий правоохранителей и то, что понести ответственность можно даже и за выполнение своих должностных обязанностей.

Вкратце суть дела такова. Женщиной-чиновницей на официальном сайте администрации сельского поселения был размещен план проверок по муниципальному земельному контролю на 2014 год. В числе всех прочих сведений, фактически оказавшихся в публичном доступе, были указаны также и адреса места жительства индивидуальных предпринимателей, в отношении которых планировалось проведение проверок. Собственно, именно указанное обстоятельство и послужило основанием для возбуждения в отношении женщины административного дела и привлечения ее к ответственности по всей строгости закона. В результате чиновница была оштрафована с замечательной формулировкой – “вина подтверждается постановлением о возбуждении дела об административном правонарушении”.

Конечно, предпринимателя в этой ситуации можно понять, ведь в опубликованном на сайте контролирующего органа плане были указаны адрес его места жительства. При этом по закону о персональных данных операторы и иные лица, получившие доступ к таким данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

В свою очередь данные о месте жительства в совокупности со сведениями о фамилии, имени, отчестве позволяют неопределенному кругу лиц идентифицировать личность гражданина, а размещение в свободном доступе на официальном сайте информации о месте жительства индивидуальных предпринимателей, подлежащих проверке, является распространением этих данных, что в свою очередь является нарушением действующего законодательства.

С другой стороны, можно понять и чиновника. В ежегодных планах проведения плановых проверок должны указываться следующие сведения: наименования юридических лиц, фамилии, имена, отчества индивидуальных предпринимателей, деятельность которых подлежит плановым проверкам, место регистрации юрлица и ИП.

Причем место регистрации ИП совпадает с его местом жительства, которое контролирующие органы и указывают в планах проверок. Согласно же Правилам подготовки органами государственного контроля (надзора) и органами муниципального контроля ежегодных планов проведения плановых проверок юридических лиц и индивидуальных предпринимателей, утвержденных Постановлением Правительства РФ от 30.06.2010 № 489, ежегодные планы размещаются на официальных сайтах органов в сети Интернет. Собственно, куда и попадает впоследствии полная информация об ИП и его месте жительства.

В общем, понять и простить можно и ИП, имеющих право на сохранность своих личных данных, и сотрудников контролирующих органов, действующих по велению должностных инструкций, и прокурора, призванного служить и защищать, и даже судью. Всех можно понять. Волнует другое – когда наши законотворцы научатся, наконец, четко и недвусмысленно составлять нормативные акты и перестанут смешить народ?

Ответ юридической службы РОО на вопрос об обработке индивидуальными предпринимателями персональных данных

Добрый день. Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Коми в адрес ИП Вещагина Л.Г. направлено письмо, в котором они извещают, что ими выявлены признаки деятельности, предполагающих обработку ПИ Вещагиной Л.Г. персональных данных. ИП Вещагина оказывает услуги по оценочной деятельности. Вопрос – является ли ИП Вещагина Л.Г. действительно оператором, осуществляющим обработку данных. Если да, то в какой форме мы должны принимать согласие на обработку персональных данных? Где это должно быть отражено: в задании на оценку, в отдельном приложении к договору? Расскажите подробнее о наших действиях в рамках ФЗ № 152-ФЗ “О персональных данных”. Вышеуказанное управление просит их известить о моем намерении осуществлять обработку персональных данных. Я могу отказаться или надо что-то оформлять в рамках указанного ФЗ №152-ФЗ?

В соответствии со статьей 4 Федерального закона от 29.07.1998 № 135-ФЗ “Об оценочной деятельности в Российской Федерации” (135-ФЗ), оценщик – член СРОО может осуществлять оценочную деятельность самостоятельно, занимаясь частной практикой, а также на основании трудового договора между оценщиком и юридическим лицом, которое соответствует условиям статьи 15.1 135-ФЗ, т.е. оценочной компанией. Такая форма как оценщик – индивидуальный предприниматель (ИП) 135-ФЗ не предусмотрена, соответственно, оценщик, занимаясь оценочной деятельностью в таком качестве не подтверждает свой оценочный стаж. Именно поэтому комментарий вопросов, связанных с работой ИП, не входит в компетенцию саморегулируемой организации оценщиков.

В то же время, руководствуясь нормами Федерального закона от 27.07.2006 № 152-ФЗ “О персональных данных” (далее – 152-ФЗ), сообщаем следующее.

В соответствии с п. 2 ст. 3 152-ФЗ, оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 152-ФЗ). Такой информацией являются фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иные сведения, относящиеся к субъекту персональных данных.

Обработкой персональных данных признаются любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации. К таким действиям относятся, в частности, сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (п. 3 ст. 3 152-ФЗ).

Учитывая вышеизложенное, является ли ИП оператором персональных данных, зависит не от его вида деятельности, а от того осуществляет ли он сбор, запись, систематизацию, накопление, хранение, использование, передачу и т.д. персональных данных.

Для решения вопроса о том, является ли конкретное лицо оператором персональных данных, необходимо принимать во внимание все обстоятельства, поскольку данный вопрос является вопросом факта.

Представляется, что именно определение цели обработки является основным квалифицирующим признаком оператора персональных данных. Определение состава персональных данных и конкретных способов их обработки, включая используемые программно-аппаратные средства, нередко требует наличия специальной квалификации, в связи с чем данные элементы могут по факту определяться привлеченными оператором лицами. Однако предоставление оператору информации о них, а также последующее продолжение его взаимоотношений с таким привлеченным лицом могут рассматриваться как согласие с указанными действиями и проявление контрольных функций в отношении таких действий. Таким образом, в указанных случаях лицо будет признаваться оператором персональных данных даже несмотря на то, что отдельные аспекты обработки данных были определены иным лицом.

Типичными примерами операторов персональных данных являются организации, которые осуществляют обработку данных своих работников (и) или клиентов – физических лиц; лица, которые осуществляют сбор и анализ общедоступных данных в сети Интернет; государственные органы и учреждения, которые обрабатывают персональные данные граждан в процессе предоставления государственных услуг; онлайн-сервисы, которые предусматривают регистрацию пользователей и (или) собирают данные о них в процессе использования такого сервиса.

По сути, оператором персональных данных является любое лицо, которое работает с персональными данными физических лиц.

Следует отметить, что до начала обработки персональных данных оператор обязан представить в уполномоченный орган уведомление о намерении осуществлять такую обработку (ч. 1 ст. 22 152-ФЗ).

Не требуется представление уведомления

Без уведомления уполномоченного органа может производиться обработка следующих персональных данных (ч. 2 ст. 22 152-ФЗ):

1) обрабатываемых в соответствии с трудовым законодательством (п. 1 ч. 2 ст. 22 152-ФЗ).

На практике это основание является одним из самых распространенных исключений, позволяющим не подавать уведомление. Однако работодателям следует учитывать, что под него подпадают не все персональные данные работников, а только те, обработка которых осуществляется в соответствии с трудовым законодательством. На практике встречаются случаи обработки персональных данных работников в объемах (категориях) и целях, не предусмотренных трудовым законодательством, например обработки сведений об имущественном положении, о судимости (за исключением случаев, указанных в ст. ст. 65, 349.1 ТК РФ). Названное исключение не распространяется на персональные данные уволенных сотрудников (кроме случаев, предусмотренных трудовым законодательством, например ст. 64.1 ТК РФ); членов семей сотрудников, их детей (персональные данные которых могут иметься у работодателя, например, в связи с уплатой алиментов или предоставлением налоговых вычетов по НДФЛ). В указанных случаях операторы обязаны подавать уведомление, если отсутствуют иные основания для обработки персональных данных без его подачи (например, обработка персональных данных без использования средств автоматизации).

Согласно позиции Четвертого арбитражного апелляционного суда, при обработке персональных данных по данному основанию не нужно подавать уведомление независимо от того, осуществляется она автоматизировано или нет (Постановление от 07.02.2018 № 04АП-127/2018 по делу № А19-17054/2017).

Указанное основание распространяется также на деятельность по подбору персонала. Это связано с тем, что трудовое законодательство регулируется не только Трудовым кодексом РФ, но и иными нормативными актами. Так, Федеральным законом от 19.04.1991 № 1032-1 “О занятости населения в Российской Федерации” предусмотрено, что работодатели содействуют политике занятости, в частности, путем трудоустройства.

Исходя из этого работодатель вправе без уведомления обрабатывать персональные данные кандидатов на должности, сохранять их резюме, формируя как бумажную, так и электронную базу соискателей, если имеется их письменное согласие;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных. Это условие применяется, если персональные данные не распространяются и не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных (п. 2 ч. 2 ст. 22 152-ФЗ).

Указанное основание также является одним из распространенных случаев, при котором уведомление об обработке персональных данных не представляется. Следует иметь в виду, что для обработки персональных данных без представления уведомления по этому основанию должны одновременно соблюдаться все перечисленные условия:

– персональные данные не должны распространяться;

– они не должны предоставляться третьим лицам без согласия субъекта персональных данных;

– персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены, и заключения договоров с субъектом персональных данных.

При обработке персональных данных по данному основанию не нужно подавать уведомление независимо от того, осуществляется она с использованием средств автоматизации или без них.

Иное использование персональных данных влечет за собой необходимость представить в уполномоченный орган уведомление;

3) относящихся к членам (участникам) общественного объединения или религиозной организации, которые обрабатываются таким объединением (религиозной организацией), действующим в соответствии с законодательством РФ, в целях, предусмотренных учредительными документами. Это условие применяется, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 152-ФЗ);

4) сделанных субъектом персональных данных общедоступными (п. 4 ч. 2 ст. 152-ФЗ);

5) включающих только фамилии, имена и отчества субъектов персональных данных (п. 5 ч. 2 ст. 152-ФЗ);

6) необходимых для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или аналогичных целей (п. 6 ч. 2 ст. 152-ФЗ);

7) включенных в информационные системы персональных данных, имеющих в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (п. 7 ч. 2 ст. 22 152-ФЗ);

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных (п. 8 ч. 2 ст. 22 152-ФЗ).

9) обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, для обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства (п. 9 ч. 2 ст. 152-ФЗ).

Что такое персональные данные

Понятие персональных данных и правовое регулирование

Защите личной информации посвящен закон «О персональных данных» от 27.07.2006 № 152-ФЗ. В п. 1 ст. 3 закреплено определение термина.

Персональные данные — это любые сведения, которые прямо или косвенно относятся к определенному или определяемому физическому лицу, иначе говоря, субъекту персональных данных.

Однако в законе не конкретизируется, какая именно информация может быть отнесена к личной. Нет ответа и на один из самых распространенных вопросов: являются ли ФИО персональными данными?

Частично конкретизируют расплывчатое определение Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Роскомнадзора от 30.05.2017 № 94.

На основании п. 2.5 указанного документа к личным данным относятся:

  • имя, отчество и фамилия гражданина;
  • дата его рождения (число, месяц и год);
  • место рождения;
  • адрес регистрации или место фактического проживания;
  • сведения о семейном положении и детях;
  • социальное положение;
  • данные об имуществе;
  • размер и источники дохода;
  • сведения об оконченных учебных заведениях;
  • профессия и занимаемая должность.

При этом Роскомнадзор приводит только примерный перечень, указывая, что любые другие сведения, относящиеся к субъекту, также являются персональными.

Иные персональные данные

Помимо перечисленных в Методических рекомендациях упоминаются еще два вида информации, относящейся к личной, а именно:

  1. Специальные категории личных данных, в том числе расовая принадлежность и национальность, политическая позиция, религиозные убеждения, философские взгляды, состояние здоровья и интимной жизни человека.
  2. Биометрические сведения, которые характеризуют человека с биологической или физиологической точки зрения. К таковым, например, можно отнести отпечатки пальцев, сетчатку глаза и т. п.

Особенности отнесения некоторой информации к личной

Поскольку ни в одном нормативном документе не фигурирует полный перечень персональных сведений о человеке, важно определить критерии, по которым можно понять, является информация персональной или нет.

Основной критерий закреплен в уже упомянутом п. 1 ст. 3 закона № 152-ФЗ. Таковой является информация, если по ней можно сделать вывод, какому физическому лицу она принадлежит.

Кроме того, законом (п. 9 ст. 3 закона № 152-ФЗ) введено такое понятие, как обезличивание личных сведений. Это совершение с личной информацией таких действий, после которых невозможно будет установить, к какому лицу она относится. Соответственно, персональные данные — это любые сведения, которые могут прямо или косвенно указать на человека, которому они принадлежат.

В этой связи рассмотрим подробнее вопрос об отнесении к личным сведениям некоторых видов данных.

Номер телефона

Чтобы понять, является ли номер телефона персональными данными, обратимся к закону «О связи» от 07.07.2003 № 126-ФЗ. На основании п. 1 ст. 53 этого закона Ф. И. О. и абонентские номера гражданина — это информация ограниченного доступа. Такие сведения охраняются законодательством, в том числе законодательством о персональных данных.

Более того, норма прямо указывает, что предоставление любых сведений, позволяющих идентифицировать пользователя, без согласия самого абонента запрещено.

Таким образом, можно сделать вывод, что номер телефона, принадлежащий физическому лицу, — это косвенная информация о конкретном человеке, соответственно, в силу п. 1 ст. 3 закона № 152 и с учетом положений п. 1 ст. 53 закона № 126 телефонный номер можно отнести к персональным данным в случае, если по номеру можно определить его принадлежность. Разумеется, по набору чисел сделать это нельзя. Соответственно, если нет совокупности данных, например номера телефона и имени, нельзя говорить о том, что номер телефона —это персональные сведения.

Электронная почта

Ответ на вопрос, является ли электронная почта персональными данными, менее очевиден, поскольку на законодательном уровне он не регламентируется. Исходя из общих положений, при отсутствии иных сведений о лице, которому принадлежит e-mail, электронный адрес не относится к персональным данным.

Но необходимо учитывать и сам адрес, который может включать возраст, имя, дату рождения, место рождения и прочие сведения о владельце (например, ivanivanov1986@moskva.ru). В этом случае электронная почта относится к личным данным.

Как правило, личная информация собирается в совокупности. Например, при регистрации на каком-то сайте пользователь вводит не только адрес электронной почты, но и имя. В данном случае совокупность информации позволяет идентифицировать человека, соответственно, собираемые сведения однозначно можно отнести к персональным данным.

ИНН, СНИЛС, паспортные данные

В отношении перечисленных сведений ответ очевиден: они подлежат защите в соответствии с законодательством о персональных данных, поскольку прямо относятся к конкретным лицам. Такой вывод подтверждается и судебной практикой, например апелляционным определением Московского городского суда от 20.10.2014 по делу № 33-35747.

Номера ИНН, СНИЛС и паспортные данные однозначно позволяют идентифицировать конкретного человека.

Итоги

Таким образом, хотя закон и дает определение персональных данных, но не приводит их исчерпывающий перечень, что вызывает много вопросов как у субъектов персональных данных, так и у операторов. Тем не менее законодательство содержит критерий, позволяющий определить, относится ли конкретная информация к личной. Этим критерием является возможность идентифицировать личность лица, к которому такие сведения относятся.

Персональные данные – 2018: как избежать штрафов

Письмо-предупреждение Роскомнадзора о нарушении положений Федерального закона от 27.07.2006 № 152-ФЗ к вам не придет, если вы берете согласие на обработку персональных данных, правильно составили Политику обработки персональных данных и предусмотрели другие важные детали.

Что изменилось с 1 июля 2017 года

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы

Основание Размер штрафа
Физлица Должностные лица Юрлица ИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн предупреждение или штраф — от 1000 до 3000 руб. предупреждение или штраф — от 5000 до
10 000 руб.
предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб. от 10 000 до 20 000 руб. от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДн от 700 до 1500 руб. от 3000 до 6000 руб. от 15 000 до 30 000 руб. от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработке предупреждение или штраф — от 1000 до 2000 руб. предупреждение или штраф — от 4000 до 6000 руб. предупреждение или штраф — от 20 000 до 40 000 руб. предупреждение или штраф — от 10 000 до 15 000 руб.
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки) предупреждение или наложение штрафа в размере от 1000 до 2000 руб. предупреждение или штраф — от 4000 до
10 000 руб.
предупреждение или штраф — от 25 000 до 45 000 руб. предупреждение или штраф — от 10 000 до 20 000 руб.
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования от 700 до 2000 руб. от 4000 до
10 000 руб.
от 25 000 до 50 000 руб. от 10 000 до 20 000 руб.
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн предупреждение или наложение административного штрафа — от 3000 до 6000 руб.

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данныелюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данныхлюбое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан.

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально. На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft. Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн.

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн . Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

Читать еще:  Как платится УСН для ООО?
Ссылка на основную публикацию
Adblock
detector