С 1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. Он предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и значительное увеличение штрафов.Наша компания предлагает привести Ваш сайт в соответсвие с требованиями законодательства.
Как понять, являетесь ли вы оператором персональных данных?
В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям,по которым часто возникают вопросы: персональные данные, оператор и обработка персональных данных.
В ФЗ №152 оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку, а также определяющие цели обработки, состав, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка ПДн– любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Какие данные являются персональными по ФЗ 152?
В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физическому лицу, то ПДн можно считать:
- ФИО;
- дата рождения;
- адрес;
- телефон;
- email;
- фотография;
- ссылка на персональный сайт;
- ссылка на профиль в социальных сетях.
То есть персональне данные-это о любые данные, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор ПДн, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.
Кому нужно выполнять данный закон?
Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физические лица, ИП, юридические лица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физических лиц они заметно ниже, чем для юридических лиц.
|
Основание
|
Размер штрафа
|
|
|
Физические лица
|
Должностные лица
|
Юридические лица
|
ИП
|
|
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн
|
предупреждение или штраф —
от 1 000 до
3 000 руб.
|
предупреждение или штраф —
от 5 000 до
10 000 руб.
|
предупреждение или штраф —
от 30 000 до
50 000 руб.
|
——
|
|
Обработка ПДн без письменного согласия их субъекта
|
от 3 000 до
5 000 руб.
|
от 10 000 до
20 000 руб.
|
от 15 000 до
75 000 руб.
|
——
|
|
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДн
|
от 700 до
1 500 руб.
|
от 3 000
до 6 000 руб.
|
от 15 000
до 30 000 руб.
|
от 5 000 до
10 000 руб.
|
|
Непредоставление субъекту ПДн информации по их обработке
|
предупреждение или штраф —
от 1 000 до
2 000 руб.
|
предупреждение или штраф —
от 4 000 до
6 000 руб.
|
предупреждение или штраф —
от 20 000 до
40 000 руб.
|
предупреждение или штраф —
от 10 000 до
15 000 руб.
|
|
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)
|
предупреждение или штраф —
от 1 000 до
2 000 руб.
|
предупреждение или штраф —
от 4 000 до
10 000 руб.
|
предупреждение или штраф —
от 25 000 до
45 000 руб.
|
предупреждение или штраф —
от 10 000 до
20 000 руб.
|
|
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования
|
от 700 до
2 000 руб.
|
от 4 000 до
10 000 руб.
|
от 25 000 до
50 000 руб.
|
от 10 000 до
20 000 руб.
|
|
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн
|
——
|
предупреждение или наложение административного штрафа —
от 3 000 до
6 000 руб.
|
——
|
——
|
Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физические лица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине. К юридическим лицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан.
Электронные ключи
Защита от несанкционированного доступа
Защищенный документооборот
Криптографическая защита информации
Средства анализа защищенности обнаружения вторжений
Средства защиты каналов связи
Антивирусы
Средства резервного копирования
Защита от утечки по каналам связи
Средства защиты от прослушивания
Межсетевые экраны
