С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона "О персональных данных" от 27.07.2006 № 152-ФЗ. О том, как избежать штрафов при проверках Роскомнадзора, БУХ.1С рассказал эксперт по налогообложению Игорь Кармазин .

Штрафы за несоблюдение требований Федерального закона "О персональных данных" были повышены в соответствии с Федеральным законом от 07.02.2017 № 13-ФЗ. Новые штрафы по сравнению с действующими выросли в разы . Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей. При этом, если раньше в КоАП существовал только один, общий для всех случаев состав правонарушения в области персданных (ст.13.11 КоАП РФ), то теперь в данной статье появилось целых семь составов.

Чтобы избежать штрафов по 152-ФЗ , компаниям и ИП с 1 июля 2017 года следует внимательнее подходить к соблюдению требований закона о персональных данных.

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

1. С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона "О персональных данных".

2. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей.

3. Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. Закон не содержит конкретного перечня таких организаций.

4. Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре.

5. Обезопасить себя от штрафов можно, соблюдая 6 правил:

• исключить случаи нецелевого сбора и обработки данных;
• получать письменное согласие граждан на обработку их данных;
• знакомить граждан с политикой обработки персональных данных;
• отвечать на вопросы граждан о том, каким образом используются их персональные данные;
• выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении;
• обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д.

6. С 01.07.2017 начинает действовать упрощенный порядок привлечения к административной ответственности. Дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры.

Кого коснутся новые штрафы

Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. По закону они отнесены к операторам персональных данных и обязаны соблюдать законодательные ограничения.

Закон не содержит конкретного перечня таких организаций. Однако к ним можно отнести банки, страховые компании, операторов мобильной связи и интернета, медицинские организации, транспортные компании, учебные заведения и все те компании, при обращении в которые граждан просят указать личные данные или заполнить анкету.

Но и это еще не все. Закон распространяется на работодателей, получающих сведения от сотрудников как по трудовым договорам, так и по договорам гражданско-правового характера. Работодатели тоже являются операторами персональных данных с небольшой оговоркой. Если работодатель состоит с гражданином в трудовых или гражданско-правовых отношениях, ему не требуется уведомлять Роскомнадзор об обработке личной информации (ч. 2 ст. 22 Федерального закона № 152-ФЗ).

Также к операторам персональных данных относятся компании, имеющие собственные сайты с обратной формой связи и регистрацией пользователей, у которых запрашиваются личные сведения.

Как обезопасить себя от штрафов: 6 правил

1. Исключить случаи нецелевого сбора и обработки данных.

Под данное нарушение попадают и случаи сбора излишней информации о гражданах. Например, когда сайт для новостной рассылки по e-mail требует от посетителей предоставить, скажем, паспортные данные. Это считается обработкой данных не по назначению, поэтому исключите подобные случаи из практики работы своей компании и сайта.

Данные действия образуют состав правонарушения по ч. 1 ст. 13.11 КоАП РФ. Штраф для предпринимателей – от 5 до 10 тысяч рублей, а для организаций – от 30 до 50 тысяч рублей.

2. Получать письменное согласие граждан на обработку их данных.

Согласие граждан на обработку персональных данных, когда это требуется по закону, операторы получают в соответствии с ч. 4 ст. 9 Федерального закона № 152-ФЗ. Исключений из этого правила не так много. Например, не требуется письменного согласия при получении персональных данных в личных, семейных целях (ч. 2 ст. 1 Федерального закона № 152-ФЗ).

В большинстве же случаев дополнительно к основному договору стороны должны подписывать соглашение об обработке персональных данных. Это соглашение может включаться в текст основного договора, или выступать в качестве отдельного документа. Согласие должно поступить лично от гражданина. Без его ведома передавать данные нельзя.

Самый банальный пример злоупотреблений в этой части – когда, например, оператор мобильной связи передает контакты абонентов без их ведома сторонним компаниям, и на телефонные номера граждан начинает поступать всевозможный спам.

Если письменного соглашения на обработку данных у компании нет, на граждан (ИП) наложат штраф в размере от 3 до 5 тысяч рублей, на должностных лиц от 10 до 20 тысяч рублей, а на юрлиц – от 15 до 75 тысяч рублей (ч.2 ст.13.11 КоАП РФ). Судя по судебной практике, ИП первый раз штрафуют как физлиц, а если нарушение повторяется, то уже как должностных лиц - руководителей ИП, так как во втором случае штраф выше.

Последствия неполучения письменного согласия контролерам будут неважны, а важен будет сам факт наличия или отсутствия такого согласия в письменной форме.

3. Знакомить граждан с политикой обработки персональных данных.

Эта информация должна находиться в свободном доступе и с ней должен иметь возможность ознакомиться каждый. Например, сайты вывешивают информацию о порядке работы с персданными на отдельных своих страницах.

В противном случае наступит ответственность по ч. 3 ст. 13.11 КоАП РФ. ИП заплатят штраф в размере от 5 до 10 тысяч рублей, а организации в размере от 15 до 30 тысяч рублей.

4. Отвечать на вопросы граждан о том, каким образом используются их персональные данные .

На практике бывают случаи, когда данные «утекают» третьим лицам, и клиентам компании начинает поступать всевозможная реклама от магазинов, медицинских центров и кредитных организаций. В этом случае клиент может потребовать от оператора персональных данных предоставить информацию о том, как используются и хранятся его личные сведения.

За игнорирование обращений граждан операторы персданных несут ответственность по ч. 4 ст. 13.11 КоАП РФ. Штраф для ИП – от 10 до 15 тысяч рублей, а для юрлиц – от 20 до 40 тысяч рублей.

5. Выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении .

Это нужно делать в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Неисполнение этой обязанности грозит штрафом по ч. 5 ст. 13.11 КоАП РФ. Для ИП штраф составит от 10 до 20 тысяч рублей, для организаций – от 25 до 45 тысяч рублей.

6. Обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д .

Ответственность за необеспечение сохранности личных сведений установлена ч. 6 ст. 13.11 КоАП РФ. Для предпринимателей – от 10 до 20 тысяч рублей, для компаний – от 25 до 50 тысяч рублей.

Ответственность для государственных и муниципальных органов власти

Штрафная ответственность предусмотрена и для государственных и муниципальных органов власти (ч. 7 ст. 13.11 КоАП РФ).

В своих документах (протоколах, сводках, решениях и т.д.) они должны обезличивать персональные данные граждан, не допуская указания их места жительства и полных ФИО.

В противном случае придется заплатить штраф в размере от 3 до 6 тысяч рублей.

Регистрация операторов персональных данных в Роскомнадзоре

Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре. Для этого необходимо подать уведомление об обработке (о намерении осуществлять обработку) персональных данных (ч. 3 ст. 22 Федерального закона № 152-ФЗ).

После заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных ее следует отправить в информационную систему Уполномоченного органа по защите прав субъектов персональных данных. Затем заполненную форму нужно распечатать и заверить надлежащим образом, скрепив подписью и печатью организации, после чего направить в соответствующий территориальный орган Роскомнадзора по месту регистрации компании-оператора персональных данных.

Что делать сайтам

Что касается сайтов (а сейчас они есть практически у любой компании), то основная масса нарушений здесь связана именно с нецелевым сбором и использованием персональных данных (ч. 1 ст. 13.11 КоАП РФ).

Например, нередко в форме регистрации на сайте используются такие поля, как «дата рождения» и «телефон», а в форме профиля пользователя - «отчество», «дата рождения», «место жительства» (страна, область/край, город).

Следует понимать, что для регистрации пользователя на большинстве сетевых ресурсов не требуется знать такие данные, как телефон и место жительства/регистрации пользователя. Из формы регистрации эти сведения следует убрать.

А из формы личного профиля лучше убрать такие сведения, как «профессия», «www-страница», Skype (или другой мессенджер) и «дата рождения».

Посторонним лицам (а ваша компания и является таким лицом) знать эту информацию ни к чему. Форма подписки на новости сайта должна собирать информацию только об e-mail пользователей. Форма регистрации может собирать имя, фамилию, e-mail и пол пользователя.

Сбор лишней информации при проверке могут посчитать нарушением.

Выполнение вышеописанных правил и знание закона позволят избежать ответственности за его нарушение. При этом следует учитывать одно немаловажное обстоятельство. Если раньше закон о персональных данных обходил вашу компанию стороной и никакой ответственности за его нарушение вы не несли, то с 1 июля все может измениться кардинальным образом.

Дело в том, что с этой даты начинает действовать упрощенный порядок привлечения к административной ответственности. Раньше дела в этой сфере возбуждала прокуратура (ст. 28.1 КоАП РФ). По новым же правилам (п. 58 ч. 2 ст. 28.3 КоАП РФ) дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры. На практике это означает, что количество штрафов и доведенных до суда дел может значительно увеличиться, и уйти от ответственности станет значительно сложнее.

С 1 июля 2017 года вступили в силу поправки в статью 13.11 КоАП РФ, в соответствии с которыми были значительно повышены штрафы за нарушение законодательства в области персональных данных (ПД).

Делая покупки в интернет-магазинах, покупатели оставляют некоторые сведения о себе - ФИО, адрес доставки и другие контактные данные. Поэтому владельцам интернет-магазинов следует внимательно изучить данный вопрос и обеспечить исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при осуществлении торговли в сети интернет.

Подскажем, какая касса из нашего каталога подойдет под ваш бизнес.

Что относится к персональным данным физического лица, который является посетителем интернет-магазина

Персональные данные - это любая информация, которая прямо или косвенно относится к конкретному физическому лицу либо позволяет идентифицировать его (п. 1 ст. 3 Закона «О персональных данных» № 152-ФЗ).

В контексте организации работы интернет-магазина к персональным данным, в принципе, могут быть отнесены даже файлы Cookie – применяемые, в частности, для персонификации товарных предложений конкретным пользователям. Есть судебные прецеденты, подтверждающие отнесение таких файлов к персональным данным - например, Решение Арбитражного суда г. Москвы от 11.03.2016 года по делу № А40-14902/2016-84-126 11.

Персональные данные могут быть:

• обработаны;
• распространены;
• изменены;
• предоставлены тем или иным лицам (раскрыты);
• удалены.

Указанные действия совершает оператор персональных данных. Им может быть любое физлицо, организация либо государственный или муниципальный орган власти. В том числе, безусловно, и интернет-магазин - учрежденный физлицом (ИП) либо принадлежащий юридическому лицу.

Поэтому, становясь оператором персональных данных, интернет-магазин обязан соблюдать нормы Закона № 152-ФЗ. Но в каких случаях он приобретает такой статус?

Чтобы приобрести статус оператора персональных данных, хозяйствующему субъекту достаточно совершить любую процедуру, которая характеризует их обработку, в частности:

• сбор;
• запись;
• систематизацию;
• накопление;
• уточнение;
• применение;
• распространение.

То есть, осуществив хотя бы первую процедуру - сбор данных (на практике - получение от клиента через онлайн-форму) интернет-магазин становится оператором, и у него возникают обязательства по исполнению норм Закона № 152-ФЗ.

Отдельный сегмент правоотношений, в которых требуется соблюдение законодательства о персональных данных - взаимодействие интернет-магазина как работодателя и его наемных сотрудников (работающих как удаленно, так и в офлайновых подразделениях интернет-магазина). Однако, такие правоотношения, в целом, осуществляются в юрисдикции тех правовых норм, которые актуальны для взаимодействия работодателей и работников (удаленного или офлайнового) вне зависимости от вида осуществляемой ими деятельности.

В свою очередь, обмен данными именно между интернет-магазином и его клиентами образует отдельный и, фактически, уникальный - в части применения норм Закона № 152-ФЗ, сегмент правоотношений, в котором у хозяйствующего субъекта образуется широкий спектр прав и обязанностей в соответствии с законодательством.

Рассмотрим подробнее, какие именно обязательства должен выполнять интернет-магазин в связи с необходимостью исполнения норм Закона № 152-ФЗ.

Подпишись на наш канал в Яндекс Дзен - Онлайн-касса !
Получай первым горячие новости и лайфхаки!

Что нужно сделать интернет-магазину для соблюдения требований Федерального закона № 152-ФЗ

Главная обязанность любого оператора персональных данных (и интернет-магазин - не исключение) заключается в соблюдении порядка их обработки. Главное условие данного порядка - получение от субъекта персональных данных (то есть, покупателя) согласия на такую обработку.

Такое согласие может быть получено в любом достоверном виде (п. 1 ст. 9 Закона № 152-ФЗ). Но в предусмотренных законом случаях требуется такое согласие в письменном виде - то есть, на бумаге или с применением электронного документа, который заверен электронной подписью (п. 4 ст. 9 Закона № 152-ФЗ).

Покупка товаров в интернет-магазине прямо не отнесена законом к тем операциям, которые требуют письменного согласия субъекта персональных данных . Поэтому, получение такого согласия возможно, в принципе, в любом виде - который, однако, должен позволять однозначно удостоверить факт одобрения физлицом передачи персональных данных оператору.

Следующая обязанность оператора персональных данных - выполнение действий, направленных на реализацию законных прав субъектов персональных данных. В частности, речь идет о праве:

• на подтверждение факта получения ПД интернет-магазином и начала их обработки;
• на получение сведений о целях и способах обработки ПД;
• на ознакомление с лицами (исключая лиц, которые работают в штате оператора), которые участвуют в обработке ПД).

К числу иных важнейших обязанностей операторов персональных данных правомерно отнести соблюдение конфиденциальности данных. Если клиент интернет-магазина не дал согласия на распространение своих данных другим лицам, то хозяйствующий субъект не вправе этого делать - как и иным образом раскрывать персональные данные (ст. 7 Закона № 152-ФЗ). При этом, даже если согласие получено, то за действия третьих лиц, которые получили персональные данные клиента интернет-магазина, ответственность несет сам интернет-магазин (п. 5 ст. 6 Закона № 152-ФЗ).

Важный нюанс, характеризующий обработку персональных данных - обязанность оператора размещать данные на серверах, расположенных в России - если законом не определено иного (п. 5 ст. 18 Закона № 152-ФЗ). Российские интернет-магазины не попадают под исключения, и потому должны выполнять указанную норму закона.

Отдельный вопрос - необходимость оператора персональных данных подавать уведомление о том, что осуществляется их обработка, в Роскомнадзор - в соответствии с предписанием п. 1 ст. 22 Закона № 152-ФЗ. В общем случае такое уведомление подавать требуется. Но положениями п. 2 ст. 22 Закона № 152-ФЗ предусмотрен широкий спектр исключений из указанного правила.

В частности, подп. 2 п. 2 ст. 22 Закона № 152-ФЗ предусматривает, что уведомление вправе не подавать операторы при исполнении договора, заключенного с субъектом персональных данных и при условии неосуществления передачи персональных данных третьим лицам без согласия субъекта. Под такие критерии вполне попадает договор купли-продажи, заключаемым между магазином и покупателем. Поэтому, интернет-магазину в общем случае не нужно - при взаимодействии с заказчиками, подавать уведомления, о которых идет речь (но возможны и исключения из этого правила - далее в статье мы рассмотрим их).

Итак, основные обязанности оператора персональных данных сводятся:

• к получению согласия на их обработку;
• к обеспечению конфиденциальности ПД;
• к выполнению прочих требований законодательства (о размещении ПД на территории России, о выполнении запросов субъектов ПД, касающихся того, каким образом они используются).

Изучим подробнее, каким образом указанные обязанности могут быть технически выполнены интернет-магазином.

Онлайн-кассы для всех видов бизнеса! Доставка по всей России.

Оставьте заявку и получите консультацию в течение 5 минут.

Как получить согласие на обработку персональных данных через интернет

Итак, поскольку в отношении деятельности интернет-магазинов законом не установлено требований по письменному получению согласия на обработку персональных данных, такое согласие может быть получено любым достоверным способом. Но каким именно?

Варианты здесь возможны следующие:

1. Когда интернет-магазин запрашивает персональные данные через форму заказа.

В этом случае согласие на обработку данных может быть получено посредством задания условия, при котором отправка данных по заказу через форму возможна только при условии проставления галочки (или иного элемента формы, выполняющего аналогичную функцию) напротив строки, в которой написана формулировка наподобие «Даю согласие на обработку персональных данных, передаваемых оператору посредством настоящей формы».

В Согласии, как правило, отражаются:

• цель предоставления документа оператору (в случае с интернет магазином - для доставки товара и иных целей, определенных процедурой купли-продажи);
• перечень передаваемых оператору ПД;
• сроки и порядок хранения ПД;
• порядок передачи ПД тем или иным сторонним лицам (например, службе доставки товаров).

При этом, рядом с галочкой и ссылкой на Согласие следует прикрепить ссылку на особый документ, подробно разъясняющий порядок обработки интернет-магазином персональных данных в соответствии с Законом № 152-ФЗ - Политику конфиденциальности. Ее можно оформить как приложение к форме заказа. В описании ссылки должна присутствовать формулировка, которая может звучать как «С приложением к настоящей форме, в котором отражен порядок обработки персональных данных в соответствии с законодательством, ознакомлен».

Политика конфиденциальности - документ, который должен быть обязательно опубликован в общем доступе. Кроме того, она может рассматриваться как часть локальной нормативной базы организации, которая учреждает интернет-магазин. Сотрудники хозяйствующего субъекта, таким образом, должны быть обязаны следовать утвержденной Политике.

В состав Политики обычно входят:

• общие положения;
• формулировки, отражающие цели сбора хозяйствующим субъектом ПД;
• положения о юридических основаниях для сбора ПД;
• классификация используемых ПД, порядок и условия работы с ними;
• порядок обеспечения реализации субъектами ПД прав, установленных законом.

В Политике можно отразить:

• то, каким образом интернет-магазин обеспечивает права пользователей по запросу сведений об обработке ПД;
• то, каким образом организуется хранение данных (в данном случае могут быть приведены сведения, позволяющие установить факт размещения серверов с ПД покупателей в России).

1. Когда интернет-магазин запрашивает персональные данные через форму рекламной рассылки (подписки на тематические материалы с сайта - например, буклеты со скидками, промокодами).

Сбор персональных данных здесь возможно осуществить по аналогичной схеме - с применением галочки напротив пункта «Согласен», файлом Согласия и ссылкой на Политику конфиденциальности с формулировкой, отражающей факт прочтения Политики покупателем интернет-магазина.

В среде IT-специалистов и экспертов в области законодательства о персональных данных распространена точка зрения, по которой получение согласия человека на обработку персональных данных следует осуществлять в режиме, предполагающем установление «повышенной достоверности» его волеизъявления. Общераспространенная схема с применением галочки с Согласием и ссылки на Политику конфиденциальности рассматривается такими экспертами с критических позиций - и, надо сказать, небезосновательно, поскольку, по мнению экспертов:

• галочка может быть проставлена случайно;
• онлайн-форма может загрузиться с ошибкой - как вариант, без ссылки на Политику конфиденциальности, с отсутствием галочки или сопровождающих ее формулировок;
• случайно или намеренно пользователь может вписать в форму чужие персональные данные.

С учетом данных нюансов предлагается дополнить рассматриваемую систему - с сохранением ее основных элементов в виде галочки, Согласия и ссылки на Политику конфиденциальности, механизмом вторичного получения согласия. Вариантами организации такого механизма в случае с интернет-магазином могут быть:

1. Обязательная регистрация пользователя перед оформлением покупки.

Такая регистрация предполагает заполнение, фактически, той же формы с галочкой, Согласием и ссылкой на Политику конфиденциальности, при последующей отправке интернет-магазином на указанный пользователем e-mail письма с подтверждением регистрации (и одновременно для удостоверения факта предоставления согласия на обработку персональных данных и ознакомления с Политикой конфиденциальности).

В форме при этом предполагается указание логина и пароля, которые пользователь будет задействовать для последующего входа в свой аккаунт на сайте интернет-магазина.

Если пользователь не подтвердит регистрацию письмом, то согласие на обработку персональных данных не будет считаться полученным (но, вместе с тем, будет считаться, что пользователю предложено ознакомиться с Политикой конфиденциальности).

Рассматриваемый способ получения согласия на обработку данных с «повышенной достоверностью» может быть задействован магазином и в маркетинговых целях. Через персональный аккаунт покупателя его можно информировать о различных скидках и акциях, обмениваться с ним сообщениями и решать иные задачи, характерные для взаимодействия продавца и покупателя.

1. Подтверждение совершения отдельного заказа по e-mail (без обязательной регистрации аккаунта на сайте интернет-магазина).

Алгоритм такого подтверждения, в принципе, будет схож с тем, что характеризует процедуру регистрации аккаунта покупателя, за исключением применения логина и пароля пользователя. В данном случае подтверждение будет производиться, фактически, с единственной целью - получения согласия на обработку персональных данных и удостоверения факта ознакомления человека с предложением о прочтении Политики конфиденциальности.

Следующая масштабная задача интернет-магазина - обеспечение конфиденциальности персональных данных на практике.

1. Задай вопрос нашему специалисту в конце статьи.
2. Получи подробную консультацию и полное описание нюансов!
3. Или найди уже готовый ответ в комментариях наших читателей.

Как интернет-магазину обеспечить конфиденциальность ПД

В соответствии с п. 1 ст. 18.1 Закона № 152-ФЗ оператор персональных данных должен принимать меры, достаточные для исполнения обязанностей, предусмотренных законом. При этом, оператор определяет перечень соответствующих мер самостоятельно - если законом не предусмотрено иного.

Очевидно, что речь идет, прежде всего, о мерах, которые призваны обеспечивать конфиденциальность персональных данных - то есть:

• недопущение доступа к ним лиц, не имеющих разрешения к прочтению соответствующих ПД;
• недопущение несанкционированного использования, видоизменения, распространения ПД;
• обеспечение необходимой защиты ПД от различных кибер-угроз, видоизменения, распространения и совершения иных несанкционированных операций с ПД в силу технических сбоев.

Законом предлагаются следующие меры, направленные на решение указанных задач:

1. Назначение оператором, имеющим статус юридического лица, ответственного работника - который организует обработку ПД на предприятии.

1. Разработка оператором локальных нормативных актов, регулирующих порядок обработки ПД в соответствии с требованиями законодательства.

1. Применение технических средств для обеспечения защиты ПД.

1. Проведение внутреннего контроля процедур в рамках обработки ПД.

1. Проведение оценки вреда, который может быть нанесен субъектам ПД вследствие нарушений законодательства об обработке персональных данных и устранение последствий таких нарушений.

1. Проведение необходимой работы с сотрудниками на предмет повышения уровня их знаний в области защиты ПД.

По принципу правовой аналогии все указанные нормы применимы и в отношении индивидуальных предпринимателей, ведущих продажу онлайн. В том числе - если ИП работает самостоятельно, без привлечения работников. В потенциале у него, так или иначе, может появиться штат сотрудников, и к тому моменту у него должны быть действующие локальные нормативы, регулирующие порядок организации обработки персональных данных.

Следует знать, что в соответствии с п. 4 ст. 18.1 Закона № 152-ФЗ те документы, которые интернет-магазин должен издать в рамках исполнения указанных выше предписаний и рекомендаций, могут быть запрошены Роскомнадзором при проведении проверки хозяйствующего субъекта.

Так или иначе, меры, направленные на обеспечение оператором персональных данных исполнения требований закона (прежде всего, в части обеспечения конфиденциальности персональных данных) можно разделить на 2 группы:

• организационные (по сути, и в основе своей правовые);
• технические.

Организационные (правовые) меры касаются, главным образом, документальной регламентации применения указанных механизмов взаимодействия интернет-магазина (в лице владельца или его работников) с покупателем.

Отметим, что при реализации организационных и правовых мер предполагается разработка

договора купли-продажи (оферты) между магазином и покупателем, на основании которого согласие на обработку персональных данных оформляется в виде, отличном от письменного - с применением галочки в форме заказа и ссылки на Политику конфиденциальности.

Технические меры могут быть представлены в самом широком спектре - рассмотрим их подробнее.

Техническое сопровождение оборудования. Решим любые проблемы!

Оставьте заявку и получите консультацию в течение 5 минут.

В чем заключается техническая сторона обеспечения конфиденциальности ПД

Основной источник правовых норм, которым нужно следовать при решении технических задач по обеспечению конфиденциальности персональных данных - положения ст. 19 Закона № 152-ФЗ.

В ней сказано, в частности, что обеспечение безопасности персональных данных может быть осуществлено за счет:

1. Установления угроз безопасности данных в рамках их обработки с использованием информационных систем .

На практике, реализация такой меры подразумевает применение различных антивирусных и дополняющих их решений - которые предполагается внедрить в систему управления сайтом. Такие решения призваны вовремя обнаруживать попытки автоматического или осуществляемого хакерами вручную несанкционированного доступа к персональным данным, собираемым с помощью форм заказов на сайте или хранящимся на серверах, которые администрируются интернет-магазином.

1. Применением технических средств для повышения уровня защищенности персональных данных .

Речь идет, прежде всего, о различных инструментах шифрования данных - так, чтобы при получении доступа к ним они были представлены в виде, при котором их прочтение без последующей дешифровки невозможно при условии, что сама дешифровка должна санкционироваться интернет-магазином.

1. Применением технических средств для восстановления удаленных, поврежденных или несанкционированным образом видоизмененных персональных данных .

Здесь речь может идти о решениях, которые применяются в целях:

• дублирования персональных данных на случай их удаления с исходного носителя (повреждения либо видоизменения);
• собственно, восстановления удаленных (поврежденных либо видоизмененных) данных с имеющихся носителей.

1. Применением технических средств, позволяющих разграничить доступ (определить уровни доступа) к персональным данным в зависимости от статуса лица, которое имеет полномочия на обработку персональных данных .

Так, например, менеджер интернет-магазина может иметь доступ лишь к контактным данным покупателя (для того, чтобы связаться с ним в случае возникновения тех или иных вопросов), а менеджер по доставке - еще и к адресу. Либо - у первого могут быть полномочия лишь на прочтение контактов, а у второго - и на их изменение.

1. Применением систем контроля над лицами, производящими обработку персональных данных .

Действительно, одних лишь локальных регламентов для обеспечения конфиденциальности персональных данных мало - нужен механизм контроля их исполнения. Решения здесь могут задействоваться самые разные - от выборочного мониторинга действий конкретных работников интернет-магазина до внедрения инструментов сплошного анализа трафика на предмет несанкционированной передачи персональных данных.

То, насколько защищенной должна быть информационная система для обработки персональных данных, определяется исходя из потенциального вреда, который может быть нанесен системе в силу влияния типичных для нее угроз. Перечни таких угроз и требования к защищенности системы, соответствующие степени угроз, определены в Постановлении Правительства России от 01.11.2012 № 1119.

Рассмотрим их подробнее.

Насколько защищенным должен быть интернет-магазин для безопасной обработки ПД

Владельцу интернет-магазина для того, чтобы определить, какие конкретно меры нужны для обеспечения необходимого уровня защиты персональных данных, следует воспользоваться таблицей по Приложению к Составу и содержанию организационных и технических мер, который утвержден приказом № 21.

Отметим, что данный перечень касается, прежде всего, все тех же кадровых нюансов организации работы интернет-магазина. Но даже если его владелец - ИП, работающий без штата работников, то ему, в частности, для обеспечения защиты персональных данных покупателей хотя бы на 1 уровне, придется:

• применять средства идентификации и аутентификации пользователей;
• управлять учетными записями пользователей;
• контролировать доступ к серверу, на котором располагаются ПД;
• использовать антивирус;
• выявлять инциденты, связанные с несанкционированным доступом к ПД.

Безусловно, значительную часть такой работы ИП (и юрлицу, конечно, тоже) имеет смысл делегировать стороннему партнеру - например, владельцу хостинга, на котором размещен сайт интернет-магазина. Но передача таких полномочий должна быть правильно закреплена юридически - с применением детально проработанных соглашений, которые грамотно разграничивают ответственность интернет-магазина и его партнера, обеспечивающего защиту персональных данных покупателей в соответствии с законодательством.

На практике многие из современных CMS-систем управления сайтами имеют необходимый функционал для обеспечения соответствия работы интернет-магазина указанным выше требованиям, касающимся установления уровней безопасности обработки персональных данных.

Но, безусловно, во многих случаях требуется их доработка и дополнение. Как правило, крупнейшие поставщики решений для управления сайтами и хостинговых услуг стараются предлагать своим клиентам продукты, максимально соответствующие по характеристикам тем требованиям, что установлены законом № 152 и ведомственными стандартами. Тем не менее, при выборе определенной CMS-системы всегда полезно запрашивать дополнительные консультации специалистов по поводу ее соответствия нормам законодательства о защите персональных данных.

Таковы основные нюансы, характеризующие выполнение интернет-магазином предписаний Закона № 152-ФЗ и сопутствующих ему правовых актов в части взаимодействия с покупателями товаров. Однако, такое взаимодействие может осуществлять и в иных правовых контекстах. В частности - отражающих расчеты между магазином и покупателем с применением инновационного типа ККТ

Как мы уже отметили в начале статьи, по Закону № 152-ФЗ к персональным данным относятся любые сведения, которые могут прямо или косвенно относиться к определенному человеку (или идентифицировать человека). Очевидно, что e-mail или телефон могут быть, как минимум, косвенными идентификаторами.

Что касается e-mail, то он может принимать вид наподобие [email protected], и при утечке такого электронного адреса из баз данных интернет-магазина сторонние лица могут без труда понять, что покупки в магазине совершал Степан Петров, родившийся в 1976 году в Москве и обучающийся в Массачусетском университете.

С телефоном сложнее - но и его при желании можно посчитать за косвенный идентификатор. Например, лицо, несанкционированно получившее номер от интернет-магазина, может позвонить по нему и, представившись человеком из курьерской службы, попросить абонента уточнить ФИО и адрес доставки - но на самом деле для оформления навязчивой рекламной рассылки.

Таким образом, несмотря на то, что по Закону № 54-ФЗ, регулирующему применение онлайн-касс , покупатели интернет-магазинов оставляют свои контакты для получения чеков добровольно, речь идет о передаче продавцу персональных данных.

Означает ли это, что в отношении операций с такими данными будут действовать те же требования, что характеризуют обработку прочих персональных данных?

Отметим, что часть таких требований сохраняет актуальность. Например, интернет-магазин, проводящий оплату через онлайн-кассу , обязан:

• гарантировать покупателям права на получение сведений об обработке ПД;
• обеспечить конфиденциальность данных;
• соблюсти прочие требования Закона № 152-ФЗ (в частности, о размещении ПД на российских серверах).

Самое примечательное - в число таких требований не будет входить получение согласия на обработку персональных данных.

Дело в том, что в п. 1 ст. 6 Закона № 152-ФЗ перечислен ряд исключений из правила о необходимости получения согласия. К таким исключениям относится обработка данных в рамках исполнения оператором функций и обязанностей, которые возложены на него законодательством. К таким функциям и обязанностям интернет-магазина правомерно отнести предписания Закона № 54-ФЗ - о формировании кассовых чеков при расчетах с покупателями.

Таким образом, согласие на получение e-mail и телефона - как разновидностей персональных данных, интернет-магазин запрашивать у покупателя не обязан.

Конечно, нет никаких правовых препятствий, чтобы запрашивать у покупателей согласие на обработку персональных данных, представленных e-mail и телефоном, одновременно с запросом согласия на обработку прочих персональных данных. То есть, в Согласии - которое скачивается при подтверждении формы заказа, и в сопутствующей ему Политике персональных данных, можно отразить, что часть данных - e-mail и телефон покупателя, будет использоваться интернет-магазином в целях исполнения положений Закона № 54-ФЗ. То есть - для отправки электронных кассовых чеков покупателю.

Но эта процедура, строго говоря, необязательна с точки зрения законодательства - хотя и несложна совершенно.

При этом, продавцу следует иметь в виду, что получение персональных данных в целях выполнения норм Закона № 54-ФЗ не попадает под исключения, прописанные в п. 2 ст. 22 Закона № 152-ФЗ - те, что относятся к обязательству по информированию Роскомнадзора о получении персональных данных. То есть - при приеме оплаты онлайн такое уведомление потребуется подать . Ведомство, получив от интернет-магазина уведомление, вносит его в реестр операторов персональных данных.

В уведомлении должны быть указаны:

1. Наименование документа - «Уведомление об обработке персональных данных».

1. Наименование оператора, его юридический адрес.

1. Правовые обоснования, цели обработки данных.

1. Типы обрабатываемых данных.

1. Категории лиц, которые становятся субъектами персональных данных.

1. Способы обработки данных.

1. Меры обеспечения безопасности обработки данных.

1. Сведения о расположении серверов, на которых хранятся персональные данные.

1. Сроки начала обработки данных.

1. Условия прекращения обработки данных.

Указывается ФИО и должность составителя уведомления. Он проставляет дату составления документа, подписывает его.

Таким образом, закон накладывает на владельцев интернет-магазинов внушительный объем обязательств. И санкции за их невыполнение - достаточно серьезные. Изучим их.

Ответственность и новые штрафы

За нарушение требований законодательства по данному вопросу предусмотрены следующие санкции:

1. Административные штрафы .

Основной их перечень определен в ст. 13.11 КоАП РФ. Но некоторые прописаны в корреспондирующих статьях Кодекса.

К числу типичных штрафов можно отнести:

• за обработку ПД без согласия их владельца - до 20 тыс. рублей на должностных лиц и ИП, до 75 тыс. рублей - на юридических лиц (ст. 13.11 КоАП РФ);
• за отказ в предоставлении физлицу информации, с которой он вправе ознакомиться по закону - до 10 тыс. рублей на должностных лиц и ИП (ст. 5.39 КоАП РФ);
• за неправомерную (не предусмотренную обозначенными целями) обработку ПД - до 10 тыс. рублей на должностных лиц и ИП, до 50 тыс. рублей на юридических лиц (ст. 13.11 КоАП РФ);
• за отсутствие опубликованной Политики конфиденциальности - до 6 тыс. рублей на должностных лиц, на ИП - до 10 тыс. рублей, на юрлиц - до 30 тыс. рублей (ст. 13.11 КоАП РФ);
• за отказ в ознакомлении физлица со сведениями об обработке его ПД - до 6 тыс. рублей на должностных лиц, до 15 тыс. рублей - на ИП, до 40 тыс. рублей - на юрлиц (ст. 13.11 КоАП РФ).

1. Уголовная ответственность .

В соответствии со ст. 137 УК РФ незаконный сбор персональных данных, составляющих личную тайну гражданина, может привести к штрафу до 200 тыс. рублей либо назначению исправительных работ, дисквалификации, лишению свободы на срок до 2 лет.

1. Определяемая в порядке гражданского судопроизводства .

Здесь речь может идти о самых разных санкциях, но к числу типичных можно отнести:

• обязательство по возмещению убытков, причиненных субъекту ПД вследствие нарушения оператором положений Закона № 152-ФЗ;
• обязательство по компенсацию морального ущерба субъекта ПД.

Так или иначе, с наибольшей вероятностью при нарушении интернет-магазином норм Закона № 152-ФЗ в отношении него будут применены административные санкции. При этом, следует иметь в виду, что самые строгие из них - в частности, штраф за неосуществление получения согласия на обработку данных (до 75 тыс. рублей) применяются при нарушении требований о письменном получении согласия на обработку персональных данных. Если допустимо получение согласия в любом достоверном виде, то при неосуществлении получения такого согласия применяется санкция в виде штрафа за неправомерную обработку данных (до 50 тыс. рублей).

Есть вероятность применения ряда дополнительных административных санкций к оператору. Например:

• в виде штрафа за несоблюдение требований по защите данных - до 2 тыс. рублей на должностных лиц и ИП, до 15 тыс. рублей - на юрлиц (ст. 13.12 КоАП РФ);
• в виде штрафа за непредоставление уведомления в Роскомнадзор - до 500 рублей на должностных лиц и ИП, до 5 000 рублей - на юрлиц (ст. 19.7 КоАП РФ).

Теоретически возможна блокировка сайта интернет-магазина - по решению суда. Например - если он допустит неправомерное публикование персональных данных покупателей без их согласия в отзывах о покупках.

В зависимости от конкретного нарушения и сферы правоотношений, в котором нарушение допущено, в отношении оператора персональных данных могут быть, таким образом, инициированы разные санкции.

Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" с последними изменениями, внесенными Федеральным законом от 31.12.2017 N 498-ФЗ (ред 19)

Начало действия данной редакции закона - 30.06.2018 года .

РОССИЙСКАЯ ФЕДЕРАЦИЯ

ФЕДЕРАЛЬНЫЙ ЗАКОН
О ПЕРСОНАЛЬНЫХ ДАННЫХ

Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) утратил силу. - Федеральный закон от 25.07.2011 N 261-ФЗ;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;

5) утратил силу. - Федеральный закон от 29.07.2017 N 223-ФЗ.

3. Предоставление, распространение, передача и получение информации о деятельности судов в Российской Федерации, содержащей персональные данные, ведение и использование информационных систем и информационно-телекоммуникационных сетей в целях создания условий для доступа к указанной информации осуществляются в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".

Статья 2. Цель настоящего Федерального закона

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Статья 4. Законодательство Российской Федерации в области персональных данных

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее - нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию.

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

Глава 2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 5. Принципы обработки персональных данных

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Статья 6. Условия обработки персональных данных

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);

4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

1.1. Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных Федеральным законом от 27 мая 1996 года N 57-ФЗ "О государственной охране".

2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

Статья 7. Конфиденциальность персональных данных

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Статья 8. Общедоступные источники персональных данных

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

Статья 10. Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные сделаны общедоступными субъектом персональных данных;

2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ "О Всероссийской переписи населения";

2.3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством , пенсионным законодательством Российской Федерации;

3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

7.1) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;

8) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;

9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;

10) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.

3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.

Статья 11. Биометрические персональные данные

1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.

Статья 12. Трансграничная передача персональных данных

1. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

2. Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных. Государство, не являющееся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности персональных данных.

3. Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных.

4. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

1) наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;

2) предусмотренных международными договорами Российской Федерации;

3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;

4) исполнения договора, стороной которого является субъект персональных данных;

5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

Глава 3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 14. Право субъекта персональных данных на доступ к его персональным данным

1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

4. В случае, если сведения, указанные в части 7 настоящей статьи, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящей статьи, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящей статьи, должен содержать обоснование направления повторного запроса.

6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

Статья 17. Право на обжалование действий или бездействия оператора

1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Глава 4. ОБЯЗАННОСТИ ОПЕРАТОРА

Статья 18. Обязанности оператора при сборе персональных данных

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона.

2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных;

5) источник получения персональных данных.

4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 настоящей статьи, в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

5) предоставление субъекту персональных данных сведений, предусмотренных частью 3 настоящей статьи, нарушает права и законные интересы третьих лиц.

5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом

1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

3. Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.

4. Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных

1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 настоящего Федерального закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных

1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

2. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

4. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 - 5 настоящей статьи, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

Статья 22. Уведомление об обработке персональных данных

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) обрабатываемых в соответствии с трудовым законодательством ;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

4) сделанных субъектом персональных данных общедоступными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

3. Уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных;

10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;

11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях

1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.

2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.

3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона.

4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Глава 5. ГОСУДАРСТВЕННЫЙ КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ
ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ
ТРЕБОВАНИЙ НАСТОЯЩЕГО ФЕДЕРАЛЬНОГО ЗАКОНА

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

1. Уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

1.1. Уполномоченный орган по защите прав субъектов персональных данных обеспечивает, организует и осуществляет государственный контроль и надзор за соответствием обработки персональных данных требованиям настоящего Федерального закона и принятых в соответствии с ним нормативных правовых актов (государственный контроль и надзор за обработкой персональных данных). Порядок организации и проведения проверок юридических лиц и индивидуальных предпринимателей, являющихся операторами, уполномоченным органом по защите прав субъектов персональных данных, а также порядок организации и осуществления государственного контроля и надзора за обработкой персональных данных иными лицами, являющимися операторами, устанавливается Правительством Российской Федерации.

2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:

1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;

3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

3.1) ограничивать доступ к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, в порядке, установленном законодательством Российской Федерации;

4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде;

5.1) направлять в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, применительно к сфере их деятельности, сведения, указанные в пункте 7 части 3 статьи 22 настоящего Федерального закона;

6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.

4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

5. Уполномоченный орган по защите прав субъектов персональных данных обязан:

1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;

2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;

3) вести реестр операторов;

4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;

5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, федерального органа исполнительной власти в области государственной охраны или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;

6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;

7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.

5.1. Уполномоченный орган по защите прав субъектов персональных данных осуществляет сотрудничество с органами, уполномоченными по защите прав субъектов персональных данных в иностранных государствах, в частности международный обмен информацией о защите прав субъектов персональных данных, утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.

6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.

7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.

8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.

9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.

Статья 24. Ответственность за нарушение требований настоящего Федерального закона

1. Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.

2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Статья 25. Заключительные положения

1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.

2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.

2.1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.

3. Утратил силу. - Федеральный закон от 25.07.2011 N 261-ФЗ.

4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

5. Отношения, связанные с обработкой персональных данных, осуществляемой государственными органами, юридическими лицами, физическими лицами при предоставлении государственных и муниципальных услуг, исполнении государственных и муниципальных функций в субъекте Российской Федерации - городе федерального значения Москве, регулируются настоящим Федеральным законом, если иное не предусмотрено Федеральным законом "Об особенностях регулирования отдельных правоотношений в связи с присоединением к субъекту Российской Федерации - городу федерального значения Москве территорий и о внесении изменений в отдельные законодательные акты Российской Федерации".

Президент
Российской Федерации
В.ПУТИН

С 1 июля 2017 года вступили в силу более жесткие меры наказания в сфере нарушений законодательства о персональных данных (статья 13.11. КоАП РФ). Для юридических лиц штрафы вырастут с 10 000 до 75 000 рублей.

К кому это относится?

Данная статья применима к компании, если у неё:

• Есть форма заявки или личный кабинет на сайте.
• Маркетологи или менеджеры пользуются такими инструментами как e-mail рассылки, sms-рассылки, обзвон клиентской базы.
• Хранится в каком-либо виде клиентская база с персональными данными.

Т.е. эта норма относится практически ко всем действующим бизнесам. Помимо этого, закон распространяется и на работодателей, получающих сведения от сотрудников по трудовым договорам и по договорам гражданско-правового характера.

Что нужно делать?

Зарегистрироваться в РОСКОМНАДЗОРЕ

Если вы обрабатываете персональные данные (далее ПДн) в целях:

• Исполнения обязательств по договору и при этом не распространяете и не передаёте ПДн третьим лицам без согласия субъекта ПДн.
• Организации однократного пропуска субъекта ПДн на территорию, на которой находится оператор.
• Соблюдения трудового законодательства.
• А также если вы обрабатываете общедоступные данные.

этот пункт не для вас, можно переходить к следующему.

Если же вы используете инструменты е-mail или sms-рассылок, регулярно обзваниваете клиентов и т.п. — то вам необходимо зарегистрироваться в реестре операторов, осуществляющих обработку персональных данных на сайте Роскомнадзора. Это процедура бесплатная. Правда, никто не гарантирует, что собранная база операторов не будет использована Роскомнадзором для планомерной проверки последних требованиям закона.

Соблюдать требования обработки ПДн, а именно:

• Обрабатывать ПДн только с совместимыми целями сбора этих данных, т.е. обработка данных должна быть только по назначению (например, при регистрации в личном кабинете стоит осуществлять сбор паспортных данных только в том случае, если этого от вас требует отраслевое законодательство).
• Получить согласие на использование персональных данных.
• Опубликовать в открытом доступе политику обработки ПДн и сведения о реализуемых требованиях к защите ПДн.
• Информировать клиентов (по их запросу), о том, как используются (обрабатываются) их ПДн.
• Выполнять требования клиентов об уточнении ПДн, их блокировании или уничтожения. Это необходимо, когда ПНн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
• Обеспечить сохранность материальных носителей ПДн, исключая несанкционированный доступ, их уничтожение, изменение, блокирование, копирование и т.п.
• Хранить ПДн на территории Российской Федерации.

Обеспечить безопасность передачи и хранения данных

Одно из основных требований нового закона — это обеспечение безопасности передачи, хранения и использования персональных данных. Но в тексте статьи законодатели ограничились общими формулировками, поставив ссылку на рекомендации ФСБ

Попробуем разобраться подробнее. Весь процесс передачи и хранения данных можно условно разделить на 4 зоны.

Зона 1

Когда пользователь заходит на ваш сайт и заполняет на нем форму заявки, регистрируется или заходит в личный кабинет, его личные данные отправляются на сервер вашего сайта. Если это происходит по незащищенному протоколу http, особенно в открытых wi-fi сетях, данные относительно просто перехватываются злоумышленниками.

Проблема решается настройкой на вашем домене защищенного протокола https. После этой процедуры данные передаются в зашифрованном виде и уже слабо поддаются перехвату.

Зона 2

Все личные данные пользователя передаются на сервер (хостинг) вашего сайта.

Как обеспечить безопасность этой зоны:

• Подписать с сотрудником, ответственным за администрирование и доработку сайта, соглашение о неразглашении.
• Обязать хранить пароли от CMS и хостинга в зашифрованном виде.
• Обеспечить защиту от brute force взлома (перебор паролей) доступа к хостингу и CMS..

Зона 3

С сервера вашего сайта данные обычно передаются в CRM-систему (информационная система персональных данных, ИСПДн). Эта зона обычно не подвергается атакам, но и она должна быть защищена шифрованием траффика с использованием сертифицированных средств криптографической защиты информации.

Зона 4

Непосредственно защита вашего сервера, где развернута CRM-система. Защитить эту зону позволит:

• Использовать прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
• Определить круг сотрудников, работающих c CRM-системой.
• Определить уровни доступа к системе.
• Подписать с ними соглашение о неразглашении.
• Обязать хранить пароли в зашифрованном виде.

Получение согласия на использование персональных данных

Согласие пользователя можно получить двумя способами — в письменном виде на бумажном носителе и в электронном виде. Рассмотрим второй способ, как более простой и часто используемый.

Получение согласия можно разделить на два уровня

1. Согласие на обработку только в рамках, необходимых для оказания услуг (исполнения условий договора),
2. Согласие на дальнейшее коммерческое использование данных (рассылки и т.п).

Обычно в первом случае в качестве выражения согласия пользователем используется постановка галочки в «чекбоксе», под которым есть ссылка на страницу (или текст) политики использования конфиденциальных данных компании .

На ней подробно описано, что данные собираются только для целей исполнения договора, а постановка галочка нужна по закону. Дальнейшее прохождение формы регистрации (заявки) невозможно без постановки галочки, что, скорее всего, и будет являться доказательством получения согласия.

Во втором случае (коммерческое использование данных) желательно сделать подтверждение согласия по системе d ouble opt-in, при которой пользователь не только cсоглашается на обработку персональных данных, указывая свой e-mail и выказывая таким образом заинтересованность в ней, но и направляет подтверждение с указанного адреса.

Объединять первый и второй случай крайне не желательно . Тогда вам придется в политике использования конфиденциальных данных прописывать, что данные будут использоваться вами, в том числе, в маркетинговых целях. А это противоречит норме закона о необходимости сбора только тех данных, которые необходимы в рамках исполнения договора или оказания услуги.

Исходя из вышесказанного, нормальной практикой будет следующий алгоритм:

• При заполнении формы заявки/регистрации на сайте пользователь ставит первую галочку — согласие на обработку персональных данных только в рамках, необходимых для выполнения договора — и нажимает кнопку «Отправить» или «Зарегистрироваться».
• После чего ему показывается экран, где обещанием всяческих выгод выманивается согласие на коммерческое использование его данных.

Получение согласия от существующей клиентской базы

Если вы не озаботились получением согласия в прошлом — необходимо это сделать. При e-mail рассылках обычно используются «приветственные письма». Такое письмо рассылается по существующей базе и содержит:

• Текст обращения к клиенту. Что-то вроде «Мы раньше старались вас не спамить, а присылать только нужную информацию. Будем стараться и впредь, но законодательство обязывает нас получить ваше согласие на рассылку»
• Кнопка «Спасибо, присылайте»
• Кнопка «Отписаться»

Исключения для источников сбора персональных данных

Если вы собрали свою базу из открытых источников, а к ним относятся соц. сети, адресные книги, корпоративные сайты и т.п, то волноваться не стоит — требования закона к ним не относятся.

Как пользователь может убрать свои данные из базы

Если вас замучили ежедневные звонки или smsот компаний, которых вы даже не знаете, или ежечасные письма, захламляющие вашу почту — отказаться от этого будет не просто.

Законодатели предусмотрели два варианта принудить компанию удалить ваши данные из своей базы:

• Отправить ваше требование на юридический адрес компании в бумажном виде по почте.
• Или отправить требование в электронном виде, но для этого нужно получить квалифицированную электронную цифровую подпись. А это не быстро и не бесплатно.

Информация по теме

• Услуга по подготовки документов под требования закона по защите персональных данных (ФЗ 152)
• Услуга по внедрению системы обработки персональных данных в соответствии требованиями Регламента (ЕС) N 2016/679 (GDPR)

С 1 июля 2017 года вступает в силу Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее – Федеральный закон № 13-ФЗ), которым детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. В связи с этим мы решили напомнить основные положения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ) и гл. 14 ТК РФ, которые регламентируют правила обработки персональных данных работников и гарантии их защиты.

Закон о персональных данных в 2017 г.

Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному либо определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона № 152-ФЗ).

Согласно п. «a» ст. 2 Конвенции о защите физических лиц при автоматизированной обработке персональных данных (заключена в г. Страсбурге 28.01.1981) персональные данные означают любую информацию об определенном или поддающемся определению физическом лице (субъекте данных).

В силу п. 3 ст. 3 Федерального закона № 152-ФЗ любые действия или операции с персональными данными считаются их обработкой. К таким действиям относятся сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача персональных данных (их распространение, предоставление, доступ к ним), обезличивание, блокирование, удаление, уничтожение данных. Все эти действия могут совершаться с помощью средств автоматизации или без использования таковых.

Организация работы с персональными данными.

Согласно ч. 1 ст. 57 ТК РФ в трудовом договоре обязательно указываются фамилия, имя, отчество работника, сведения о документах, удостоверяющих его личность, ИНН. Это значит, что каждый работодатель, заключая трудовой договор, получает информацию, относящуюся к персональным данным. Такая информация содержится в документах, предъявляемых работником при приеме на работу:

• в паспорте;
• в военном билете (у военнообязанных);
• в свидетельстве о присвоении ИНН;
• в страховом пенсионном свидетельстве;
• в документах об образовании;
• в водительском удостоверении и документах на машину, если это требуется в связи с исполнением трудовой функции;
• в медицинской справке о прохождении медицинского осмотра (медицинской книжке), если это необходимо в связи с исполнением работником трудовой функции.

В статье 86 ТК РФ установлены общие требования, которые должны соблюдать работодатель и его представители при обработке персональных денных в целях обеспечения прав и свобод человека и гражданина:

• обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
• при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами;
• все персональные данные работника следует получать у него самого. Если персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
• работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством РФ в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных ТК РФ и другими федеральными законами;
• работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, кроме случаев, установленных ТК РФ или иными федеральными законами;
• при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
• защита персональных данных работника от их неправомерного использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами;
• работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
• работники не должны отказываться от своих прав на сохранение и защиту тайны;
• работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

В соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ каждая организация обязана издать документ, определяющий ее политику в отношении обработки персональных данных, локальный акт по вопросам обработки персональных данных, а также локальный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

Отсутствие в организации локального нормативного акта, устанавливающего порядок обработки персональных данных работников, является нарушением трудового законодательства и влечет административную ответственность по ст. 5.27 КоАП РФ (постановления Московского городского суда от 29.08.2011 № 4а-1743/11, 4а-1742/11, ФАС МО от 27.11.2006 № КА-А40/11424-06 по делу № А40-17389/06-146-165, от 01.11.2006, 08.11.2006 № КА-А40/10787-06 по делу № А40-32068/06-96-156).

Работодатель обязан обеспечить такой порядок хранения персональных данных, который бы ограничивал несанкционированный доступ к ним. Право доступа к персональным данным работника, в частности, имеют:

• руководитель организации (работодатель – индивидуальный предприниматель);
• непосредственный руководитель работника;
• начальник отдела кадров;
• сотрудники отдела кадров;
• сотрудники бухгалтерии.

Так как доступ к персональным данным может иметь не только руководитель организации, ответственность за разглашение персональных данных предусмотрена и для работников организации. Например, согласно п. «в» ч. 6 ст. 81 ТК РФ трудовой договор с работником может быть расторгнут по инициативе работодателя в случае разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе при разглашении персональных данных другого работника.

Закон о персональных данных в 2017 г. К сведению:

Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации утверждено Постановлением Правительства РФ от 15.09.2008 № 687 (далее – Положение).

Согласно п. 6 Положения лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы:

• о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации;
• о категориях обрабатываемых персональных данных;
• об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии).

Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации		Обработка персональных данных без использования средств автоматизации должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ
		Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях
		При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором

К сведению:

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Оформление согласия работника на передачу его персональных данных.

В соответствии со ст. 88 ТК РФ передача персональных данных работника третьей стороне без письменного согласия указанного работника не разрешается, за исключением предусмотренных законом случаев. Сразу перечислим ситуации, когда не требуется согласие работника на передачу его персональных данных.

Не требуется согласие работника на передачу его персональных данных	Нормы законодательства
Третьим лицам в целях предупреждения угрозы жизни и здоровью работника	Абзац 2 ст. 88 ТК РФ, абз. 1 п. 4 Разъяснений Роскомнадзора
В ФСС, ПФР в объеме, предусмотренном законом	Абзац 15 ч. 2 ст. 22 ТК РФ, п. 2 ст. 12 Федерального закона от 16.07.1999 № 165-ФЗ, п. 1, 2 ст. 9, п. 1, 2, 2.1, 3 ст. 11, абз. 2 ч. 2 ст. 15 Федерального закона от 01.04.1996 № 27-ФЗ, п. 2 ст. 14 Федерального закона от 15.12.2001 № 167-ФЗ, абз. 3 п. 4 Разъяснений Роскомнадзора
В налоговые органы	Подпункты 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора
В военные комиссариаты	Абзац 4 п. 1 ст. 4 Федерального закона от 28.03.1998 № 53-ФЗ, пп. «г» п. 30, пп. «а» – «в», «д», «е» п. 32 Положения о воинском учете, утвержденного Постановлением Правительства РФ от 27.11.2006 № 719, абз. 5 п. 4 Разъяснений Роскомнадзора
По запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем	Абзац 5 ч. 6 ст. 370 ТК РФ, п. 1 ст. 17, п. 1 ст. 19 Федерального закона от 12.01.1996 № 10-ФЗ, абз. 5 п. 4 Разъяснений Роскомнадзора
По мотивированному запросу органов прокуратуры	Пункт 1 ст. 22 Федерального закона от 17.01.1992 № 2202-1, абз. 7 п. 4 Разъяснений Роскомнадзора
По мотивированному требованию правоохранительных органов и органов безопасности	Статья 6 Федерального закона от 29.07.2004 № 98-ФЗ, п. 4 ч. 1 ст. 13 Федерального закона от 07.02.2011 № 3-ФЗ, п. «м» ч. 1 ст. 13 Федерального закона от 03.04.1995 № 40-ФЗ, абз. 7 п. 4 Разъяснений Роскомнадзора
По запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности	Абзац 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений Роскомнадзора
В органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом	Абзац 5 ст. 228 ТК РФ. Перечень оповещаемых органов и сроки направления извещений о несчастном случае установлены ст. 228.1 ТК РФ
В случаях, связанных с исполнением работником должностных обязанностей, в том числе при направлении в командировку	Части 5 – 5.2 ст. 11 Федерального закона от 09.02.2007 № 16-ФЗ, п. 19 Правил предоставления гостиничных услуг в Российской Федерации, утвержденных Постановлением Правительства РФ от 09.10.2015 № 1085, абз. 2 п. 2 Постановления Правительства РФ № 1085, абз. 4 п. 4 Разъяснений Роскомнадзора
Для предоставления сведений в банк, обслуживающий банковские карты работников, при условии что в договоре о выпуске карт (коллективном договоре, локальном нормативном акте организации) содержится пункт о праве работодателя передавать персональные данные работников либо работодатель действует на основании доверенности на представление интересов работников	Абзац 10 п. 4 Разъяснений Роскомнадзора

Во всех остальных случаях передача персональных данных производится с письменного согласия работника, из которого должно быть ясно, кому будут передаваться его персональные данные и с какой целью.

Кроме того, работодатель обязан предупредить лиц, получающих персональные данные, о том, что данные сведения могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что данное правило соблюдено.

Контроль и надзор за обработкой персональных данных.

Контроль и надзор за обработкой персональных данных работников осуществляются в соответствии с гл. 5 Федерального закона № 152-ФЗ.

К сведению:

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. В настоящее время это Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (Постановление Правительства РФ от 16.03.2009 № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»).

С учетом поправок, внесенных Федеральным законом № 16-ФЗ , с 01.03.2017 деятельность Роскомнадзора в сфере обработки персональных данных отнесена к государственному контролю и надзору. Теперь Роскомнадзор защищает права субъектов персональных данных – физических лиц и будет проводить проверки организаций и предпринимателей (операторов персональных данных), а также контролировать обработку персональных данных иными операторами. Порядок проведения проверок и других контрольных мероприятий определяет Правительство РФ (ч. 1, 1.1 ст. 23 Федерального закона № 152-ФЗ).

Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания его персональных данных и способов их обработки целям обработки таких данных и принимает соответствующее решение.

Работодателю следует ознакомиться с положениями Приказа Минкомсвязи РФ от 14.11.2011 № 312, которым утвержден Административный регламент по исполнению данной службой функций по осуществлению государственного контроля (надзора) за правильностью обработки персональных данных. Предметом контроля являются:

• документы, характер информации в которых предполагает или допускает включение в них персональных данных;
• информационные системы персональных данных;
• деятельность по их обработке.

Привлечение к административной ответственности за персональные данные.

Согласно ст. 90 ТК РФ лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также к гражданско-правовой, административной и уголовной ответственности в порядке, предусмотренном федеральными законами.

Пунктом 2 ст. 23 Федерального закона № 152-ФЗ установлено, что уполномоченный орган по защите прав субъектов персональных данных имеет право привлекать к административной ответственности лиц, виновных в нарушении положений этого закона. Размер административной ответственности за нарушение закона о персональных данных предусмотрен ст. 13.11 КоАП РФ.

Федеральным законом № 13-ФЗ ст. 13.11 КоАП РФ изложена в новой редакции. В частности, детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Новая редакция этой статьи начнет применяться 1 июля 2017 года.

Ответственность за персональные данные. К сведению:

До начала действия поправок ст. 13.11 КоАП РФ предусмотрено, что нарушение требований гл. 14 ТК РФ, Федерального закона № 152-ФЗ, Федерального закона № 27-ФЗ и других законов, определяющих порядок сбора, хранения, использования или распространения информации о гражданах (их персональных данных), влечет предупреждение или наложение административного штрафа:

• на должностных лиц – в размере от 500 до 1 000 руб.;
• на юридических лиц – в размере от 5 000 до 10 000 руб.

Начиная с 01.07.2017 предусмотрена следующая административная ответственность за нарушения закона о персональных данных.

Вид нарушения	Размер штрафа, руб.
	Для юридических лиц	Для должностных лиц
Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо их обработка, несовместимая с целями сбора персональных данных, за исключением случаев, указанных ниже, если эти действия не содержат уголовно наказуемого деяния	От 30 000 до 50 000	От 5 000 до 10 000
Обработка персональных данных без согласия в письменной форме субъекта персональных данных на их обработку в случае, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния	От 15 000 до 75 000	От 10 000 до 20 000
Обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, отражаемых в согласии субъекта персональных данных на их обработку в письменной форме	От 15 000 до 75 000	От 10 000 до 20 000
Невыполнение предусмотренной законодательством РФ в области персональных данных обязанности по опубликованию документа, определяющего политику оператора в отношении обработки персональных данных, или сведений о реализуемых требованиях к защите персональных данных либо обеспечению иным образом неограниченного доступа к ним	От 15 000 до 30 000	От 3 000 до 6 000
Невыполнение предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных	От 20 000 до 40 000	От 4 000 до 6 000
Невыполнение оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки	От 25 000 до 45 000	От 4 000 до 6 000
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный доступ к ним, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния	От 25 000 до 50 000	От 4 000 до 10 000
Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по их обезличиванию		От 3 000 до 6 000

Уголовная ответственность.

Уголовная ответственность за нарушение неприкосновенности частной жизни установлена в ст. 137 УК РФ.

Частью 2 данной статьи предусмотрено, что незаконные сбор или распространение сведений о частной жизни лица, совершенные лицом с использованием своего служебного положения, наказываются:

• либо штрафом в размере от 100 000 до 300 000 руб. или в размере заработной платы (иного дохода осужденного) за период от одного года до двух лет;
• либо лишением права занимать определенные должности или осуществлять определенную деятельность на срок от двух до пяти лет;
• либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или осуществлять определенную деятельность на срок до пяти лет или без такового;
• либо арестом на срок до шести месяцев, лишением свободы на срок до четырех лет с лишением права занимать определенные должности или осуществлять определенную деятельность на срок до пяти лет.

Возмещение морального вреда.

Согласно ст. 24 Федерального закона № 152-ФЗ лица, виновные в нарушении требований этого нормативного правового документа, несут предусмотренную законодательством РФ ответственность.

Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных данным законом, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

* * *

В заключение перечислим основные обязанности работодателя, которые он должен исполнять при работе с персональными данными:

• разработать и принять локальные нормативные акты, регламентирующие порядок хранения и использования персональных данных работников;
• назначить лицо, ответственное за организацию обработки персональных данных;
• установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
• установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия;
• ознакомить работников под подпись с положением об организации работы с персональными данными;
• брать письменное согласие работников на обработку персональных данных, которое должно быть конкретным и информированным и содержать в себе именно те сведения, на которые работники дают согласие для обработки, а также согласие для передачи своих персональных данных третьим лицам с указанием этих лиц;
• направлять в Роскомнадзор уведомление об обработке персональных данных работников в случаях, предусмотренных законодательством РФ.

За неисполнение названных требований законодательства работодатель может быть привлечен к административной ответственности, а в отдельных случаях – и к уголовной.

Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», опубликованы на сайте http://www.rsoc.ru 24.12.2012.

Федеральный закон от 22.02.2017 № 16-ФЗ «О внесении изменений в главу 5 Федерального закона «О персональных данных» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, действует в редакции от 24.11.2014.

С. Е. Нестеров,