Разглашение персональных данных запрещено

Защита персональных данных по 152-ФЗ: требования к системам, права и обязанности сторон

Разглашение персональных данных запрещено

Закон «О защите персональных данных» действует в России уже 14 лет. Он был нужен – ситуация складывается так, что все чаще конфиденциальная информация становится общедоступной.

А в последние годы это стало еще актуальнее – регулярно происходят серьезные утечки с крупных ресурсов: фото, пароли, адреса.

Так как злоумышленники только и ждут удобного случая нажиться на чужой беде, разберемся, как защитить себя и наказать виновных в утечке информации.

Согласно Федеральному закону 152-ФЗ от 27 июля 2006 года «О защите персональных данных» вся информация, получаемая работодателями, учреждениями, компаниями, соцсетями, продавцами от сотрудников и клиентов подлежит тщательному хранению.

За передачу ПД третьим лицам предусмотрена административная и, в редких случаях, уголовная ответственность.

При этом для получения любой частной информации должен быть назначен уполномоченный человек, который будет заниматься обработкой полученных данных и обеспечит их сохранность.

Собирать персональные данные можно только с согласия от опрашиваемого человека. При этом устного разрешения зачастую будет недостаточно – лучше потратить время и подписать небольшое соглашение или предусмотреть поле с требованием поставить галочку (если это интернет-ресурс) о согласии на обработку переданных ПД, чем в дальнейшем доказывать свою правоту.

Что же касается предмета закона, то под понятием персональных данных стоит понимать информацию, которая относится к конкретному человеку и помогает определять его личность.

Последние серьезные изменения были приняты в июле 2017, по которым усилились требования к хранению персональных данных и ужесточилась ответственность за несоблюдение установленных правил.

Кому пригодится этот закон?

Закон важен для каждого. Все мы, так или иначе, передаем информацию о себе разным учреждениям и организациям, а потом надеемся, что ее не передадут посторонним.

Например, банки запрашивают наши паспортные данные и сведения о доходах, продавцы в интернет-магазинах получают номера телефонов, электронную почту и личные данные с днем и местом рождения.

А в соцсетях вообще выставляется вся своя жизнь.

Поэтому самая главная цель закона – обеспечение защиты интересов и прав обычных людей.

В свою очередь, нормы закона должны знать и четко исполнять все владельцы сайтов, которые имеют на своей странице:

  • возможность зарегистрировать и использовать личный кабинет;
  • анкеты с личными данными;
  • форма для оформления рассылки, заказа или обратной связи;
  • сбор личной информации или биометрических данных.

В этих случаях ресурс оперирует персональными данными – а потому должен обеспечивать их сохранность.

Что конкретно имеется в виду под персональными данными?

Российское законодательство определяет как минимум 6 основных категорий персональных данных:

  1. Общие или общедоступные. Это данные, которые не относятся к конфиденциальным. Найти их можно в общедоступных базах, справочниках, адресных книгах. Чаще всего такая информация находится в свободном доступе в соцсети. К таким данным относят: ФИО, место жительства или регистрации, место работы или вид занятости, номер телефона.
  2. Специальные. Это такие данные, которые чаще всего находятся в закрытом доступе, а для их обработки нужно получить личное письменное согласие субъекта. К подобному виду информации относят данные о судимости, национальной принадлежности, личной жизни, состоянии здоровья, политических взглядов, религиозных убеждений. Узнать все это можно только лично от человека, или сделать официальный запрос в уполномоченную службу. Однако если дело касается правонарушений и информация нужна для следствия, тогда запрос на получение информации передается уполномоченным лицом под его личную ответственность.
  3. Биометрические. Это ряд данных, которые определяют физиологические или биологические особенности человека и применяются, чтобы установить личность. К биометрическим данным относятся:
    • фотография;
    • отпечаток пальца или сетчатка глаза;
    • зубная карта;
    • группа крови;
    • запись образца голоса;
    • другая генетическая информация.

    При этом важно помнить, вся эта информация является биометрической, если используется для идентификации личности, а не общего сбора данных о человеке.

  4. Персональные данные работников. Сюда входит вся та информация, которую получает работодатель о своем сотруднике в процессе трудового взаимодействия. Эти данные защищаются дополнительно статьями ТК РФ.
  5. Персональные данные в интернете. Вся дополнительная информация, получаемая собственниками электронных ресурсов при работе с сайтом: почта, IP-адрес, геолокация, информация о действиях на странице, полученные и отправленные файлы.
  6. Иные или дополнительные данные. Чаще всего к этой группе относят информацию, которая имеет свойство меняться и не носит особой важности или секретности. В эту категорию можно отнести информацию о членстве в обществе или о занятии определенным видом спорта.

Кто отвечает за защиту персональных данных?

Ответственность за защиту данных несет оператор персональных данных. Это может быть любая компания, которая занимается сбором, хранением или обработкой информации.

Компания назначает ответственное лицо – ему передаются полномочия по работе с ПД конкретной категории (клиенты, сотрудники, партнеры и др.).

В случае утечки информации в первую очередь виновным будет тот, кто отвечал за данные по конкретной категории.

Если это электронный ресурс, тогда вся ответственность возлагается на собственника сайта – вне зависимости от того, зарегистрирован ли он как оператор ПД. Если сайт собирает какую-либо информацию, значит по факту собственник уже является оператором.

Если же на сайте нет информации о собственнике ресурса, вся ответственность за распространение информации ложится на администратора домена этого сайта.

Как наказывают виновных в утечке конфиденциальной информации?

Способов множество, но важно, какой именно объем информации распространялся без ведома субъекта и какой ущерб это ему причинило.

Максимальная известная компенсация за утерю персональных данных – 14 миллионов рублей, это было в 2018 году.

Для обеспечения максимальной безопасности все российские компании обязаны хранить информацию на российских серверах. А за неправильное использование данных будут штрафовать:

  1. У компании нет четко разработанной политики работы с персональными данными – штраф от 3 до 6 тыс. для сотрудников, и от 15 до 30 тыс. для компаний.
  2. Информация раскрылась из-за халатности работника – штраф от 4 до 10 тыс. и от 25 до 50 тыс. соответственно.
  3. От 5 до 10 тыс. для сотрудников и от 30 до 50 тыс. для организации – если ведется неправильный или излишний сбор информации без последующей чистки ненужного.
  4. Отказ от удаления данных по требованию субъекта – от 4 до 10 тыс. и от 25 до 45 тыс. соответственно.
  5. При разглашении ПД путем передачи информации о размере зарплаты, передача данных о клиенте в другую фирму: от 10 до 20 тыс. и от 15 до 75 тыс. соответственно.

Помимо штрафов, сотрудника компании могут уволить. А в некоторых особо критичных ситуациях могут быть применены меры уголовного наказания: условные сроки и даже реальное заключение.

Номера телефонов, страницы друзей в соцсети – тоже ПД, и за их хранение и передачу могут наказать?

Нет, не могут. Если вся вышеуказанная информация хранится не в коммерческих целях, а по факту используется для личных нужд, тогда она не является конфиденциальной.

Важен именно процесс использования полученных данных. При передаче номера для личного использования и при соответствующем согласии субъекта персональных данных никакого нарушения нет.

Но если передать номер в частную компанию, к примеру, сетевому продавцу косметики, банку, страховой, или другой организации без ведома собственника персональных данных, а эта организация начнет навязывать свои услуги, то это будет уже незаконное распространение конфиденциальных данных.

В подобной ситуации к ответственности можно привлечь как человека, передавшего ваши данные, так и компанию, которая незаконно воспользовалась полученной информацией. Обращаться можно сразу в Роскомнадзор, который привлечет виновных лиц к ответственности.

Существует ли точный список информации, являющейся персональными данными?

Да, есть строго установленные категории с точным списком данных, которые относят к персональным. Но в зависимости от сферы применения тех или иных данных они могут не подпадать под раздел конфиденциальных.

Следовательно, если вы осуществляете сбор этих данных в качестве оператора, позаботьтесь о получении разрешения на использования полученной информации. Ведь при возникновении судебного спора ответчик должен иметь возможность доказать, что обрабатываемая информация была получена по согласованию сторон.

Как обезопасить себя операторам персональных данных?

Самые простые правила для операторов ПД состоят в том, чтобы четко следовать должностным инструкциям, а именно:

  • оповещать, что ведется сбор информации;
  • получать информацию только по согласию другой стороны;
  • собирать только действительно нужные данные;
  • своевременно удалять устаревшую информацию;
  • применять полученную информацию только в заранее оговоренных целях;
  • держать в открытом доступе информацию о системе обработки персональных данных вашим ресурсом и ее надежности;
  • честно рассказывать о том, как будет применяться информация;
  • соблюдать все нормы и правила сохранности и достоверности полученной информации;
  • при первом требовании удалять ранее полученную информацию;
  • использовать современные системы безопасности для предупреждения утечки.

Если компания нашла в общем доступе мобильный номер, ее можно наказать за навязывание услуг?

Конечно! Именно это и является главным нарушением при использовании чужих персональных данных.

Если организация нашла в свободном доступе номер (на столбе, в рекламе, в личной переписке, со слов другого клиента) это еще не дает ей право свободно им распоряжаться.

Если номер был указан в объявлении, то использовать его могут только лица, звонящие по конкретному объявлению в личных целях.

Если же страховая компания предлагает оформить страховой полис, получив номер из объявления, то эти действия незаконны. Человек не давал компании права на обработку его личных данных, а тем более права предлагать ему свои услуги без получения на это соответствующего согласия.

Возможно ли сохранить свои персональные данные от утечки?

Конечно, если следовать определенным правилам:

  1. Не раздавать свою конфиденциальную информацию посторонним.
  2. При регистрации на неизвестном ресурсе придумывать уникальный и сложный пароль для входа.
  3. Не применять одинаковые пароли к разным сайтам – так учетную запись будет проще взломать.
  4. Использовать многоуровневую защиту: привязка одного или нескольких адресов электронной почты и действующего номера мобильного.
  5. Требовать документ с запретом на разглашение вашей конфиденциальной информации, если она передается третьим лицам (банки, организации).
  6. Не выкладывайте слишком личную информацию в сеть, даже в частной переписке. Подобные диалоги часто взламываются и могут стать достоянием общественности.

Подумайте о том, что в скором времени конфиденциальной информации может попросту не стать. Мы сами создаем обстановку, когда вся информация о нашей жизни становится общедоступной. Позаботьтесь о себе сами, и знайте свои права.

Источник: https://bankstoday.net/last-articles/kak-zakon-zashhishhaet-personalnye-dannye-rossiyan-i-kakie-prava-est-u-kazhdogo-grazhdanina

Штрафы за персональные данные в 2020 году – за что штрафуют и на сколько

Разглашение персональных данных запрещено
2 декабря 2019 года вступили в силу новые штрафы за нарушения законодательства РФ в области персональных данных суммой до 18 миллионов рублей.

Административная ответственность по статье 13.

11 в текущей редакции предусматривает дифференциацию в зависимости от последствий нарушения.

Так ответственность для юридического лица предусматривает наложение штрафа в размере от 15 тысяч до 6 миллионов рублей, а при повторном нарушении — до 18 миллионов рублей.

Максимальный совокупный штраф для должностного лица составляет 268 тысяч рублей, а при повторном нарушении может превышать 800 тысяч.

Статья 13.11 Кодекса об административных правонарушениях РФ

КоАП РФ не возлагает на организации, осуществляющие обработку персональных данных, дополнительных обязанностей и не изменяет содержание существующих требований, которые предусмотрены законодательством в области персональных данных (152-ФЗ).

Стоит отметить, что КоАП наделяет должностных лиц органа, осуществляющего функции по контролю и надзору в области персональных данных, которым является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), полномочиями по возбуждению дел об административных правонарушениях.

Представляем вашему вниманию сводную таблицу штрафов за нарушения законодательства в области персональных данных (в редакции от 02.12.2019):

Статья статьи КоАП Сумма штрафа Гражданин Должн. лицо ИП Юр. лицо
13.11 ч.1 Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния 1-3 тыс. руб 5-10 тыс. руб 30-50 тыс. руб
13.11 ч.2 Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных 3-5 тыс. руб 10-20 тыс. руб 15-75 тыс. руб
13.11 ч.3 Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных 0,7-1 тыс. руб 3-6 тыс. руб 5-10 тыс. руб 15-30 тыс. руб
13.11 ч.4 Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных 1-2 тыс. руб 4-6 тыс. руб 10-15 тыс. руб 20-40 тыс. руб
13.11 ч.5 Невыполнение оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки 1-2 тыс. руб 4-10 тыс. руб 10-20 тыс. руб 25-45 тыс. руб
13.11 ч.6 Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния 0,7-2 тыс. руб 4-10 тыс. руб 10-20 тыс. руб 25-50 тыс. руб
13.11 ч.7 Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных 3-6 тыс. руб
13.11 ч.8 Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством РФ в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ 30-50 тыс. руб 100-200 тыс. руб 1-6 млн. руб
13.11 ч.9 Повторное совершение административного правонарушения, предусмотренного частью 8 настоящей статьи 50-100 тыс. руб 500-800 тыс. руб 6-18 млн. руб

Данная статья актуализирована с учетом изменений статьи 13.11 Кодекса №195-ФЗ от 2 декабря 2019 года.

Источник: https://data-sec.ru/personal-data/fines/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.