152 фз о защите персональных данных изменения. Федеральный закон о персональных данных. Базовый набор мер

Содержание
  1. Фз 152 о защите персональных данных
  2. Общие положения
  3. Особенности использования персональных данных по ФЗ 152
  4. Какие были внесены поправки?
  5. Скачать последнюю редакцию ФЗ 152
  6. Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать
  7. Обеспечить защиту данных
  8. Что будет, если не защитить данные
  9. Публичные документы: их показываем тем, у кого берем персональные данные
  10. Внутренние документы компании: в них описываем корпоративный порядок работы с персональными данными
  11. Что будет, если не разработать документы
  12. Уведомить Роскомнадзор
  13. Что будет, если не отправить уведомление
  14. Получать согласие на хранение и обработку персональных данных
  15. Что будет, если не спрашивать разрешения
  16. Краткая инструкция по выполнению федерального закона о персональных данных 152-ФЗ
  17. Закон «О персональных данных» — что нужно знать агентству
  18. Что регулирует закон № 152-ФЗ «О персональных данных»?
  19. Какие бывают персональные данные?
  20. Кто попадает под действие закона?
  21. Примеры обработки персональных данных в диджитал
  22. Основные требования законодательства в области персональных данных
  23. Требования по подготовке внутренних организационно-распорядительных документов
  24. Требования по приведению процессов работы с персональными данными в соответствие с законом
  25. Требования по технической защите персональных данных в информационных системах
  26. Требования по хранению баз персональных данных на территории Российской Федерации
  27. Кем проверяется выполнение требований закона?
  28. Основные риски при невыполнении закона
  29. Как лучше всего выполнить требования закона?
  30. Выполнение закона собственными силами
  31. Выполнение закона с помощью юриста
  32. Выполнение закона с привлечением системного интегратора
  33. «Ждать, когда грянет гром»
  34. Выполнение закона с помощью сервисов автоматизированной подготовки документов по персональным данным
  35. Почему стоит решить вопрос с выполнением требований закона «О персональных данных» именно сейчас
  36. Закон о персональных данных с 1 января 2020 года (2017) – последняя редакция, 152 ФЗ, ответственность за нарушение, кратко, федеральный, о защите, согласие на обработку
  37. Краткий обзор федерального закона 152 ФЗ
  38. Закон о персональных данных: последняя редакция
  39. Согласие на обработку
  40. Ответственность за нарушение
  41. : Закон о персональных данных в РФ: забота о пользователях или тотальный контроль?

Фз 152 о защите персональных данных

152 фз о защите персональных данных изменения. Федеральный закон о персональных данных. Базовый набор мер
Бесплатная консультация юриста по телефону:

Федеральный Закон 152 «О персональных данных» регулирует всю деятельность, связанную с обработкой персональных данных. Он призван защищать права и свободу любого гражданина Российской Федерации, защитить семейные тайны, личную и частную жизнь каждого человека.

Общие положения

Закон о персональных данных 152 регулирует все правоотношения и условия обработки личной информации любым органом, физическим или юридическим лицом. Краткое содержание закона в том, что любые органы или лица могут автоматизировать сбор и обработку персональных данных, вносить их в материальные носители или картотеки и имеют право на доступ к ним.

Использовать этот закон можно не только внутри правовых органов, но и в информационно-телекоммуникационных сетях и организациях. Принят он был 8 июля 2006 года Государственной Думой и 14 июля того же года одобрен Советом Федераций. Состоит из шести глав и 25 статей. Последние изменения в него были внесены первого июля 2017 года.

Структура закона:

  • В первой главе объясняется суть закона, его цель, основные термины и понятия, на какую сферу влияет и распространяется;
  • Во второй главе объясняется принцип работы с персональными данными в соответствии с законом. Какие условия должны соблюдаться, конфиденциальность данных пользователей, их согласие на обработку данных, специальные категории и т. д.;
  • В третьей главе описываются права, которыми обладают субъекты, чьи данные собираются и используются;
  • В четвертой главе описываются обязанности лиц, занимающихся сбором, анализом, использованием данных. Такие лица называются операторами;
  • В пятой главе говорится об ответственности операторов и каким образом государство контролирует выполнение обязательств и служение закону;
  • В шестой главе оформлены все дополнительные и заключительные положения.

С каждым изменением в законе растут требования по отношению к организациям, собирающим личную информацию граждан и к операторам.

Особенности использования персональных данных по ФЗ 152

Главное условие использования персональных данных по ФЗ 152 — сбор, обработка и использование должны быть на законных и справедливых основаниях.

Органы, которые могут использовать 152 федеральный закон:

  • Федеральный орган государственной власти;
  • Муниципальные органы;
  • Органы государственной власти субъектов Российской Федерации;
  • Органы местного самоуправления;
  • Иные государственные органы.

Использование данных лицами разрешено в случаях:

  • Предварительно определены законные и действительные цели для использования;
  • Личная информация актуальна, полна и ее достаточно для выполнения поставленной цели. При недостаточном количестве информации для выполнения задач оператор дополняет их, при избыточном количестве информации, оператор ее удаляет;
  • Если информация обрабатывается и используется в поставленные для этого сроки. Храниться данные должны в форме, позволяющей в любой момент определить субъекта. По достижению цели оператор обезличивает данные или удаляет всю информацию.

Описываемый закон принят Государственной Думой и использование личной информации для органов, организаций и определенных физических лиц разрешено Правительством Российской Федерации.

Какие были внесены поправки?

Начиная с 2009 года было внесено множество поправок в закон о персональных данных.

В статье номер 3 по последней поправке перечислены термины и определения этих терминов, статья называется «Основные понятия, используемые в настоящем Федеральном законе».

В тексте объясняется что такое персональные данные, трансграничная передача персональных данных, кто такой оператор, что такое информационная система персональных данных, как происходит обработка и что это, обезличивание, автоматизация, распространение, уничтожение, предоставление и блокирование персональных данных.

В статье номер 5 последние поправки были произведены 25 июля 2011 года при помощи закона 261 ФЗ Согласно новой редакции 5 статьи, использование и обработка личной информации справедлива и законна.

Все цели и задачи, по которым происходит сбор и обработка информации, законны и определены предварительно.

В последней редакции 5 статьи определены условия хранения такого вида информации и способы обновления и удаления ее оператором.

В статье номер 7 по последним поправкам определена суть конфиденциальности персональных данных. Оператор не имеет права распространять ее третьим лицам без согласия на то субъекта.

Поправки произошли и в статье номер 9. Новая редакция этой статьи определяет согласие субъекта на распространение и обработку персональных данных. Дееспособный субъект может согласиться на условия оператора в любой доступной ему форме, в собственных интересах и по свободной воле. Субъект имеет право отозвать согласие.

Письменное согласие субъекта на предоставление персональных данных выглядит следующим образом:

  • ФИО, адрес, идентификационный номер паспорта, информация о документе (дата и место) и т. д.;
  • Информация из доверенности при наличии представителя субъекта;
  • ФИО, адрес и должность оператора, получающего документ;
  • Цель, для чего нужны данные субъекта;
  • Перечень персональной информации субъекта, которая будет использована оператором;
  • Список действий оператора, которые он произведет по согласию субъекта;
  • Срок использования и способы отзыва документа;
  • Подпись субъекта и оператора с расшифровками.

Поправки были внесены и в статью номер 19. В тексте этой редакции говорится о мерах безопасности, которые используются для защиты прав и свободы субъектов. Оператор обязан использовать все имеющиеся меры по безопасности и защите персональных данных от неправомерного или случайного доступа к ним третьих лиц.

Происходит применение технических мер, контроль, установление порядка, установление правил, учет, восстановление и обнаружение фактов взлома и т. д. Требования к защите устанавливаются Правительством Российской Федерации.

Каждая организация или орган принимают определенный устав или правовые нормы, положения которых обязуют сотрудников принимать определенные меры для безопасности личной информации субъектов и конфиденциальности.

Скачать последнюю редакцию ФЗ 152

Последняя редакция Федерального Закона номер 152 «О персональных данных» была произведена 29 июля 2017 года. Закон 152 ФЗ о защите персональных данных в последней редакции потерпел изменения в статьях 1, 2, 3 и 6.

Чтобы защититься от проникновения в личное пространство, защитить собственную свободу и права, субъект, чья личная информация используется, может изучить 152 Федеральный Закон.

Поправки и редакции Федерального Закона номер 152 «О персональных данных» можно скачать по ссылке.

Источник: https://lawlinks.ru/fz-152-o-zashhite-personalnyx-dannyx/

Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать

152 фз о защите персональных данных изменения. Федеральный закон о персональных данных. Базовый набор мер
В России действует закон о защите персональных данных. Его обязаны соблюдать все, кто хранит любые персональные данные, то есть те, у кого есть сотрудники или база клиентов.

Расскажем, как соответствовать 152-ФЗ и какими штрафами грозит несоблюдение закона.

Обеспечить защиту данных

Если вы храните персональные данные, то по статье 3 152-ФЗ являетесь оператором персональных данных и отвечаете за их защиту. Основные требования общие для всех:

  • Обеспечить аутентификацию, чтобы к данным имели доступ только те, у кого есть на это право.
  • Поставить серверы с данными в защищенном месте, чтобы посторонний не мог войти в помещение и подключиться к серверу напрямую.
  • Установить антивирусные программы, межсетевые экраны и другое ПО, которое должно защитить от угроз.
  • Использовать для защиты информации ПО, сертифицированное ФСТЭК — оно считается безопасным. Например, такой сертификат есть у антивируса от «Лаборатории Касперского». Если используете ПО собственной разработки, то можно получить на него сертификат самостоятельно.

Если вы храните не просто ФИО, а важные данные, например фотографии, нужно обеспечить более серьезную защиту — к примеру, настроить систему обнаружения вторжений. Подробнее об этом можно почитать в нашей статье «Защита персональных данных в облаке: как сделать все по закону 152-ФЗ» — там мы рассказываем о типах угроз, уровнях защищенности и технических требованиях по безопасности.

Если вы храните данные в облаке от Mail.ru Cloud Solutions, часть требований выполняем мы. Например, защищаем серверы или собираем информацию о событиях безопасности. Еще мы поможем построить систему защиты данных по требованиям ФСТЭК и аттестовать ваше ПО по требованиям закона.

Что будет, если не защитить данные

Ответственность за нарушение закона о персональных данных зависит от вида нарушения. Если оператор не защитит данные и кто-то случайно или намеренно получит к ним доступ, его оштрафуют:

  • Физлицо — на 700–2000 рублей.
  • Должностное лицо — на 4 000–10 000 рублей.
  • ИП — на 10 000–20 000 рублей.
  • Юрлицо — на 25 000–50 000 рублей.

Может случиться, что из-за неправомерного доступа к персональным данным человек пострадает. Например, кто-то узнает его адрес и проникнет в квартиру. В таком случае компания, которая допустила утечку данных, должна будет компенсировать ущерб по закону о защите персональных данных.

Публичные документы: их показываем тем, у кого берем персональные данные

Согласие на обработку персональных данных. Базовый документ — его нужно давать на подпись тем, чьи персональные данные вы собираете лично, а не через интернет. В документе нужно прописать, какие именно данные и с какими целями вы собираете.

Образец согласия на обработку персональных данных. Источник

Если собираете данные только через интернет, этот документ не нужен. Понадобится опубликованная на сайте политика конфиденциальности, а получать согласие можно будет через форму.

Положение об обработке и защите персональных данных. Этот документ нужно показывать тем, кто лично подписывает с вами согласие на обработку персональных данных. В положении о персональных данных прописывают цель и сроки обработки и хранения данных, порядок их уничтожения.

Политика конфиденциальности. Это документ для тех, кто собирает данные через интернет. Его нужно разместить на сайте, чтобы пользователи могли узнать, как и для чего вы собираете их персональные данные. Он похож на «Положение об обработке и защите персональных данных».

Ссылку на политику нужно добавить в пользовательское соглашение. А в формах, где пользователь оставляет свои данные, нужно добавить галочку с текстом: «Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности».

Политику можно подготовить по шаблону. Такие шаблоны часто есть у конструкторов сайтов, например у Tilda.

Внутренние документы компании: в них описываем корпоративный порядок работы с персональными данными

Модель угроз безопасности. Этот документ показывает, какие опасности угрожают вашей системе хранения и обработки персональных данных. Его нужно составлять обязательно — без него нельзя понять, как именно вы обязаны защитить свою систему. При составлении нужно ориентироваться на базовую модель от ФСТЭК.

Приказ о назначении ответственного за безопасность персональных данных. Если вы ИП, то сами отвечаете за безопасность, и приказ не нужен. Если у вас ООО, в нем должен быть ответственный — должностное лицо, которое следит за персональными данными. Его нужно назначить приказом.

Образец приказа о назначении ответственного за персональные данные. Источник

Приказ о допуске к обработке персональных данных. В этом документе прописаны все сотрудники, которые имеют доступ к персональным данным. Важно, чтобы это было обосновано — нельзя вписать туда людей, которым по работе не нужны персональные данные, например, уборщицу или программиста.

Инструкция пользователя системы персональных данных. В этой инструкции нужно прописать, как правильно общаться с персональными данными. С ней должны ознакомиться все, кто имеет доступ к данным.

Практически все эти документы стандартные, так что можно взять шаблоны и доработать под нужды своей компании. Или заказать пакет у юристов, чтобы все формулировки точно были правильными.

Что будет, если не разработать документы

Можно получить сразу два штрафа:

  • За обработку данных без модели угроз и прописанных целей: 1 000—3 000 для физлиц, 5 000–10 000 для должностных лиц, 30 000–50 000 для юрлиц.
  • За отсутствие положения об обработке персональных данных или политики конфиденциальности: 700–1 000 для физлиц, 3 000—6 000 для должностных лиц, 5 000–10 000 для ИП, 15 000–30 000 для юрлиц.

Если вы не назначите ответственного за обработку ПД или не составите список тех, кому разрешен доступ — это тоже нарушение. Получится, что вы просто так передали данные третьим лицам — а это незаконное распространение, за которое положена уголовная ответственность: штраф до 200 000 рублей, принудительные работы до двух лет, арест до четырех месяцев.

Уведомить Роскомнадзор

Если вы собираете персональные данные сотрудников, уведомлять никого не нужно. А вот если работает с персональными данными клиентов, придется отправить уведомление в Роскомнадзор — зарегистрироваться как оператор персональных данных.

Отправить уведомление можно онлайн, на сайте Роскомнадзора.

Что будет, если не отправить уведомление

Вы совершите административное правонарушение — не уведомите контролирующий орган, хотя обязаны были это сделать. За это положен штраф:

  • 100–500 рублей для физлиц
  • 300–500 рублей для должностных лиц.
  • 3 000—5 000 рублей для юрлиц.

Получать согласие на хранение и обработку персональных данных

Когда вы обеспечили защиту данных, собрали пакет документов и уведомили Роскомнадзор, можно, наконец, начать работать с персональными данными.

Чтобы все было по закону, нужно получать согласие от каждого человека, чьи персональные данные вы собираете.

По закону о защите персональных данных 152-ФЗ каждый ваш клиент или сотрудник будет субъектом персональных данных и должен быть в курсе, что вы собираете и храните информацию о нем.

Получить согласие можно двумя способами:

  • Подписать письменное соглашение. Так обычно делают, если собирают данные в письменном виде — например, при приеме человека на работу или поступлении в ВУЗ.
  • Получить согласие через интернет. Для этого можно снабдить форму сбора данных галочкой, поставив которую пользователь соглашается на обработку персональных данных. На сайте при этом должна быть размещена Политика конфиденциальности, чтобы человек мог с ней ознакомиться.

Что будет, если не спрашивать разрешения

За это нарушение положен большой штраф:

  • 3 000–5 000 рублей для физлиц.
  • 10 000–20 000 рублей для должностных лиц и ИП.
  • 15 000–75 000 рублей для юрлиц.

Краткая инструкция по выполнению федерального закона о персональных данных 152-ФЗ

  • Обеспечить защиту данных: установить антивирус, предотвратить доступ к данным посторонних.
  • Разработать пакет документов: соглашение об обработке, политику конфиденциальности, модель угроз.
  • Назначить ответственного за обработку персональных данных и составить список тех, кто имеет доступ к данным.
  • Уведомить Роскомнадзор о том, что вы обрабатываете персональные данные.
  • Подготовить форму согласия на обработку персональных данных и получать согласие от каждого человека, чьи данные вы собираете.

Елена Шпрингер

Источник: https://mcs.mail.ru/blog/kak-vypolnit-152-fz-o-zashchite-personalnyh-dannyh

Читать по теме:Защита персональных данных в облаке: как сделать все по закону 152-ФЗСоблюдение законов о персональных данныхКибербезопасность в B2B: как бизнесу защититься от хакеров

Источник: https://zen.yandex.ru/media/mcs/kak-vypolnit-152fz-o-zascite-personalnyh-dannyh-i-chto-s-vami-budet-esli-ego-ne-sobliudat-5ec6e5b0cdaa790dc5daa1e1

Закон «О персональных данных» — что нужно знать агентству

152 фз о защите персональных данных изменения. Федеральный закон о персональных данных. Базовый набор мер

Работаете с персональными данными клиентов и сотрудников? Стремитесь улучшить позиции в работе с иностранными компаниями и госсектором? Этот материал для вас.

Многие агентства интересуются: что с этим законом делать? На что он влияет? Дело в том, что иностранные заказчики и представители иностранных компаний в России стали чаще спрашивать:

«Обеспечиваете ли вы защиту персональных данных, собираемых во время наших рекламных кампаний и поддержки сайта?».

Закон о локализации баз персональных данных на территории РФ, тесно связанный с законом «О персональных данных» и вступивший в силу 1 сентября 2015 года, сильно их напугал.

Эта статья отвечает на вопросы:

  • Что регулирует закон № 152-ФЗ «О персональных данных»?
  • Кто попадает под действие закона?
  • Какие основные требования закона № 152-ФЗ?
  • Какие существуют основные риски за невыполнение закона для организаций и должностных лиц?
  • Как лучше выполнить требования закона и показать это заказчикам?

Что регулирует закон № 152-ФЗ «О персональных данных»?

Закон регулирует все вопросы, связанные с обработкой (получением, хранением, передачей, удалением и т. д.) персональных данных физических лиц индивидуальными предпринимателями, юридическими лицами и бюджетными организациями. Организации и предприниматели обязаны правильно обрабатывать и защищать эти данные.

Cossa рекомендует: онлайн-курс “Руководитель Digital-проектов”.

Вы научитесь организовывать работу с digital-проектами от таск-менеджмента до управления командой и станете тем специалистом, которого ищут все работодатели.

  • 12 месяцев
  • Онлайн в удобное время
  • Помощь в трудоустройстве
  • Доступ к курсам навсегда
  • Диплом

Записывайтесь прямо сейчас!>>>

Реклама

Персональные данные — это любая информация, относящаяся к физическому лицу. Даже связка имени и адреса электронной почты уже относится к персональным данным.

В агентствах обрабатываются, как минимум, персональные данные:

  • Сотрудников;
  • Близких родственников сотрудников;
  • Кандидатов на вакантную должность;
  • Клиентов.

Какие бывают персональные данные?

Специальные персональные данные: касаются расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Биометрические персональные данные: характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Общедоступные персональные данные: сделанные физическим лицом общедоступными или содержащиеся в специальных справочниках.

Иные персональные данные: все, что не попало ни в одну из вышеуказанных категорий.

К обработке специальных и биометрических персональных данных предусмотрены особые требования.

Кто попадает под действие закона?

Все предприниматели, физические и юридические лица, бюджетные организации, обрабатывающие персональные данные физических лиц. Их называют операторами персональных данных.

В первую очередь закон касается компаний, работающих в следующих сферах:

  • Реклама и диджитал;
  • Финансы и кредитование;
  • Медицина и фармокология;
  • Телекоммуникации;
  • Образование;
  • Офлайн- и онлайн-ритейл;
  • Гостиничное дело;
  • Бюджетные организации.

Эти компании чаще всего работают с персональными данными. Поэтому главный регулятор в этой сфере — Роскомнадзор — внимательно за ними следит.

Примеры обработки персональных данных в диджитал

В первую очередь, следят за видами обработки персональных данных, которые используются:

  • Для трудоустройства сотрудников и оформления им ДМС;
  • Для выдачи карт лояльности;
  • Для рекламных и новостных рассылок;
  • Для оказания услуг;
  • Для регистрации на сайтах и информационных системах;
  • Для звонков потенциальным клиентам.

Основные требования законодательства в области персональных данных

Разделим все требования для простоты на 4 группы. Работая с персональными данными, вы должны:

1. Подготовить пакет организационно-распорядительной документации. 2. Привести процессы работы с персональными данными в соответствие с законом. 3. Реализовать техническую защиту персональных данных в информационных системах.

4. Хранить базы с персональными данными на территории Российской Федерации.

Требования по подготовке внутренних организационно-распорядительных документов

Закон в ст. 18.1 требует от операторов персональных данных иметь локальные акты и политику, регламентирующую обработку и защиту персональных данных. Точного перечня необходимых документов не предлагается.

При этом Роскомнадзор во время проверок компаний запрашивает перечень необходимых документов и сведений, которые на практике ему передают в виде копий внутренних документов.

Поскольку точного перечня документов не существует, каждый оператор персональных данных составляет их по своему усмотрению на основании текста закона и подзаконных актов.

Здесь вы найдете полный перечень необходимых документов, которых достаточно для соответствия требованиям.

Требования по приведению процессов работы с персональными данными в соответствие с законом

Персональные данные необходимо правильно собирать, обрабатывать и передавать.

Со всеми физическими лицами, у которых вы собираете персональные данные (например, через сайт клиента), должен быть заключен договор или взято согласие на их обработку.

С каждым контрагентом, которому вы передаете, предоставляете в доступ (например, другому агентству на субподряд) или от которого получаете персональные данные, необходимо заключить соглашение о поручении на их обработку.

Все сотрудники должны под роспись ознакомиться с внутренними документами организации по обработке и защите персональных данных и подписать обязательство о неразглашении.

В Роскомнадзор должно быть подано уведомление об обработке персональных данных.

Требования по технической защите персональных данных в информационных системах

Если персональные данные хранятся или как-то иначе обрабатываются в информационных системах (например, в «1С: Бухгалтерии», в базе данных сайта, CRM и других), нужно определить уровень их технической защищенности, составив соответствующий акт.

Затем нужно разработать модель угроз и на основании Постановления Правительства № 1119 и Приказа ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.

После этого разрабатывается и внедряется проект системы защиты. Внедрением может заняться сама компания или подрядчик, имеющий определенную лицензию ФСТЭК России.

Данное требование, по нашим данным, выполнили лишь 1% операторов. Во-первых, антивирус дорого стоит (закон говорит применять не просто антивирус, а сертифицированный ФСТЭК, при этом функционально они не отличаются, а по деньгам в 1.5–3 раза). Во-вторых, данное требование проверяется ФСТЭК и ФСБ России у малого и среднего бизнеса очень, очень, очень редко. Риск проверки крайне мал.

Требования по хранению баз персональных данных на территории Российской Федерации

С 1 сентября 2015 года сбор и хранение персональных данных граждан Российской Федерации может происходить только на территории Российской Федерации.

О месторасположении баз данных необходимо уведомить Роскомнадзор.

Особенно это касается иностранных и российских компаний, чьи информационные системы полностью или частично располагаются за пределами РФ.

Роскомнадзор дал операторам срок до конца февраля 2016 года, чтобы выполнить эти требования.

Кем проверяется выполнение требований закона?

Главный контролирующий орган: Роскомнадзор. Проверяет правильность обработки персональных данных и документы по персональным данным.

ФСТЭК России. Проверяет выполнение требований по технической защите.

ФСБ России. Проверяет выполнение требований по применению криптографии при обработке персональных данных.

Роскомнадзор проводит более 7000 плановых и внеплановых проверок в год, тогда как ФСТЭК и ФСБ — не более сотни проверок госсектора.

Если у Роскомнадзора к вам не будет претензий — можно сказать, что снято 99% рисков, связанных с данным законом.

Проверку локализации баз персональных данных Роскомнадзор проводит просто — запрашивает договор с российским хостинг-провайдером. После февраля проверка будет серьезнее и практичнее.

Кто несёт ответственность в случае, если хостинг-провайдер отечественный, а сервера использует зарубежные (т. е. пользователь может не знать, что его данные хранятся за границей)?

Ответственность лежит на конечном клиенте. Xостинг-провайдер может предоставлять зарубежные сервера, например, не для обработки и хранения данных персональных, а для вычислений.

Основные риски при невыполнении закона

По итогам проверок, мер систематического наблюдения и жалоб физических лиц Роскомнадзор и другие проверяющие органы могут накладывать штрафы, аннулировать лицензии, дисквалифицировать должностных лиц и блокировать сайты.

Основные риски:

  • Наложение на организацию штрафа до 300 000 рублей;
  • Наложение на должностных лиц штрафа до 10 000 рублей;
  • Разрыв трудового договора с должностным лицом;
  • Запрет руководителю занимать руководящие должности на срок до 3-х лет;
  • Блокировка сайта организации по жалобе физического лица;
  • Внесение компании в реестр нарушителей прав субъектов персональных данных.

С начала 2015 года по данным Роскомнадзора с организаций и должностных лиц было взыскано штрафов на 174 000 000 рублей.

С 1 сентября 2015 года Роскомнадзор имеет право без проверки, на основании жалобы физического лица заблокировать сайт организации за несоблюдение требований закона «О персональных данных».

Как лучше всего выполнить требования закона?

  • Собственными силами;
  • Привлечь юриста;
  • Обратиться к системному интегратору;
  • «Ждать, пока грянет гром»;
  • Использовать сервисы автоматизированной подготовки документов по персональным данным.

Рассмотрим каждый по отдельности.

Выполнение закона собственными силами

Чтобы выполнить требования, необходимо не только знать сам закон «О персональных данных» и подзаконные акты, но также разбираться в технических аспектах, чтобы описывать информационные системы персональных данных в организационно-распорядительной документации.

На поиск и разработку шаблонов документов по персональным данным, изучение законодательства и практику у вас или вашего сотрудника уйдет до 2-х месяцев. И это не даст гарантию результата: можно в чем-то ошибиться.

Выполнение закона с помощью юриста

Достаточно хороший способ, если у юриста или юридической компании, которой вы доверяете, есть необходимые знания по информационной безопасности.

Для подготовки документов по персональным данным, помимо знания самого закона, необходимо знать также подзаконные акты технического содержания и уметь регламентировать технические моменты.

При выборе такого варианта уточняйте у юриста — какие именно документы он будет разрабатывать, будет ли отображать в них технические моменты и имеет ли он опыт работы с Роскомнадзором.

Выполнение закона с привлечением системного интегратора

К системным интеграторам, как правило, обращаются большие компании и крупные государственные учреждения.

Плюсы: высокий уровень оказываемых услуг по информационной безопасности, гарантии, работа под ключ (разработка документации по персональным данным и внедрение технической защиты).

Минусы: высокая стоимость (в большинстве случаев — переваливающая за 1 000 000 рублей) и долгий срок реализации проекта, связанный с негибкостью бизнес-процессов.

«Ждать, когда грянет гром»

Единственные плюсы: отсутствие любых затрат в краткосрочной перспективе.

Минусы: рано или поздно закон придется выполнить. И лучше это сделать, пока требования не ужесточились окончательно.

Работа по ужесточению штрафных санкций Роскомнадзором ведется — в первом чтении уже принят законопроект о повышении штрафов до минимальных 30 000 рублей и максимальных 300 000 рублей за одно нарушение.

Выполнение закона с помощью сервисов автоматизированной подготовки документов по персональным данным

Плюсы: простота и доступность людям, не являющимся специалистами по информационной безопасности; невысокая стоимость; оперативная подготовка документов и консультации экспертов по безопасности.

Некоторые из сервисов также предоставляют финансовые гарантии с возмещением штрафов Роскомнадзора и помощь в прохождениях проверок.

Явные минусы: способ не подойдет крупным государственным компаниям и не поможет с полноценным внедрением системы защиты персональных данных, проверяемой в госсекторе ФСТЭК России и ФСБ России.

Почему стоит решить вопрос с выполнением требований закона «О персональных данных» именно сейчас

Это не только обязанность каждой частной или государственной компании, обрабатывающей персональные данные сотрудников и клиентов.

Заказчики (особенно иностранные) стали запрашивать не только учредительные документы, но и документы по персональным данным, чтобы подтвердить выполнение закона.

Закон стали использовать в качестве рычага давления не только органы исполнительной власти, но и конкуренты.

Какой способ вы бы ни выбрали, важно в итоге выполнить требования закона, снизив риски для компании и должностных лиц.

Источник картинки на тизере: Flickr

Источник: https://www.cossa.ru/152/116858/

Закон о персональных данных с 1 января 2020 года (2017) – последняя редакция, 152 ФЗ, ответственность за нарушение, кратко, федеральный, о защите, согласие на обработку

152 фз о защите персональных данных изменения. Федеральный закон о персональных данных. Базовый набор мер

С развитием цифровых технологий многие организации сталкиваются с проблемой, связанной с хранением и обработкой персональных данных клиентов. Принятый закон о персональных данных призван обеспечить права и свободы гражданина в тот момент, когда его личная информация хранится или используются в различных государственных и коммерческих структурах.

Краткий обзор федерального закона 152 ФЗ

Закон даёт определение персональным данным, согласно ему это набор информации, которая может поспособствовать идентификации лица.

К таким типам информации относятся:

  • Ф.И.О.;
  • полная дата рождения;
  • адрес по месту регистрации;
  • сведения о доходах;
  • сведения о социальном положении;
  • личные номера телефонов;
  • сведения об образовании;
  • банковские реквизиты;
  • данные для доступа в аккаунты;
  • личная переписка;
  • биометрические показатели.

Скачать текст Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (с изменениями и дополнениями).

Обрабатывают и хранят всю эту информацию операторы. Закон о персональных данных относит к таким операторам:

  • государственные органы и структуры;
  • некоммерческие и коммерческие организации;
  • физические лица.

Большинство операторов в стране это:

  • банки и кредитные организации;
  • интернет – магазины;
  • социальные сети;
  • почтовые сервисы.

Физическое лицо, которое предоставляет свои данные операторам, будет являться субъектом персональных данных.Сфера действия закона распространяется на:

  • органы государственной власти;
  • органы местного самоуправления;
  • иные органы гос. власти;
  • юридические лица;
  • физические лица.

Как видно, закон охватывает полностью всех субъектов правоотношения в не зависимости от статуса и местоположения. Любой из нарушителей в представленном списке будет нести равную ответственность перед остальными участниками в этой сфере деятельности.

К обработке персональных данных закон относит любые действия или их совокупность, которые проводятся с применением устройств автоматизирующих этот процесс или без применения таких:

  • сборы информации;
  • запись;
  • систематизация;
  • накопления;
  • срочное или долговременное хранение;
  • обновления или изменения информации;
  • извлечения;
  • применения;
  • использование и передача;
  • блокировка;
  • удаления или уничтожения персональной информации.

К автоматизированным средствам обработки относят вычислительную технику. Она используется в большинстве интернет ресурсов и банковских системах.

К защите информации относят комплексы мер:

  • организационные;
  • технические;
  • правовые.

Все они направлены на исключения доступа к хранимой и обрабатываемой информации.

Совет: помимо использования технических средств направленных на защиту информации от её неправомерного использования, следует проявлять бдительность, при предоставлении информации и проверять, на законных ли основаниях действует оператор, запрашивающий личные данные.

Уполномоченным органом, отвечающем за исполнение закона о защите данных является Роскомнадзор. Свою деятельность данный орган осуществляет через территориальные отделения расположенные во всех субъектах страны. Специалистами Роскомнадзора ведётся специальный реестр операторов, которые занимаются обработкой и хранение персональных данных.

В полномочия органа также входят:

  1. Осуществление контрольных и надзорных действий в отношении операторов.
  2. Обработка поступающих жалоб и обращений.
  3. Проведение приостановления и прекращения деятельности по обработке информации.

Кроме указанных полномочий, представители от Роскомнадзора вправе обращается с исками в суд для защиты нарушенных прав субъектов.

Любой оператор, зарегистрированный на территории РФ, обязан:

  1. Перед началом проведения обработки личной информации своих клиентов уведомить контрольный орган по месту регистрации оператора.
  2. После поступления сообщения о намерении осуществить обработку данных оператором уполномоченные органы в срок до 30 дней вносят информацию об операторе в реестр.
  3. Список реестра является открытым и находится в общем доступе, кроме данных, относящихся к системам защиты обрабатываемой информации.

Закон о персональных данных: последняя редакция

Основным изменением в редакции закона в 2020 году будет ужесточение ответственности за нарушение обработки персональной информации. Поправки уже приняты в государственной думе и вступят в законную силу в 1 июля.

На сегодняшний день, нарушение регулирует 13.11 статья КоАПа. Санкции при этом следующие:

  • предупреждение;
  • денежный штраф до 500 р. для физического лица;
  • штраф до 1000 р. для должностного лица;
  • до 10 000 р. для юридического лица.

Представители законодательной власти считают, что действующая система наказания должным образом не защищает нарушенные права лиц, тем более не учитывается объем наступающих при этом негативных последствий.

Увеличения административных штрафов в несколько раз, по мнению законодателей, поспособствует сокращению правонарушений в области хранения и обработки персональной информации. Поправки были приняты во втором чтении в январе текущего года.

Начиная с 1 июня, будут действовать следующие санкции:

За обработку и использование данных не по законной форме
  • для физического лица – штраф до 3 000 р.;
  • для должностного лица – до 10 000 р.;
  • для юридического лица – до 50 000 р.
Если данные были обработаны без согласия лица
  • для физического лица – штраф до 5 000 р.;
  • для должностного лица – до 20 000 р.;
  • для юридического лица – до 75 000 р.
если операторами не будет опубликован документ, в котором будут указаны условия по применению и обработке информации
  • для физического лица – штраф до 1 500 р.;
  • для должностного лица – до 6 000 р.;
  • для юридического лица – до 30 000 р.
При отказе оператором предоставить данные касающиеся обработки персональной информации
  • для физического лица – штраф до 2 000 р.;
  • для должностного лица – до 6 000 р.;
  • для юридического лица – до 40 000 р.
Если операторы отказывается предоставлять субъекту данных уточнения по информации, не блокируют её и не удаляют
  • для физического лица – штраф до 2 000 р.;
  • для должностного лица – до 10 000 р.;
  • для юридического лица – до 45 000 р.

Ещё одно изменение будет принято в отношении возбуждения административных дел. Сейчас Роскомнадзору необходимо обращаться для возбуждения дела в прокуратуру с заявлением. После 1 июля эти полномочия перейдут к работникам Роскомнадзора.

Согласие на обработку

Субъекты всегда самостоятельно принимают решения по предоставлению своих персональных данных для их последующей обработки и хранения операторам. Форма согласия при этом может быть любая, главное чтобы в содержание было чётко указано, что субъект сознательно предоставляет свои данные.

Субъект также вправе отозвать своё согласие у оператора. На основе составленного заявления об отказе оператор обязан исключить всю информацию, которая относилась к данному субъекту.

Согласие на предоставление данных должно быть составлено в письменной форме на бумажном носителе и подписано собственноручно субъектом, либо в электронной форме, заверенной цифровой подписью.

В любой из форм должна содержаться следующая информация:

  • Ф.И.О;
  • полный адрес;
  • номер документов удостоверяющих личность;
  • дата их выдачи;
  • органы, выдавшие удостоверяющие документы;
  • полное наименование оператора;
  • адрес его регистрации;
  • цели обработки персональной информации;
  • список персональной информации, которая подлежит обработке;
  • список всех действий, которые будут производиться с предоставляемой информацией;
  • срок действия соглашения по обработке;
  • способы отзывов соглашения;
  • подпись и инициалы субъекта.

Ели субъект является недееспособным, тогда предоставить к обработке его персональные данные может законный представитель.

Ответственность за нарушение

Во многих законах присутствует статья за нарушения обработки и распространение персональных данных. Основной мерой воздействия на нарушителей является выплата денежного штрафа. Однако, в каждом из перечисленных законов присутствуют и иные санкции.

КоАП

Как уже писалось выше, нововведения коснутся размеров штрафов за административное нарушение. Минимальная сумма штрафа будет 1 500 р. для физических лиц. Самая большая сумма будет у юридических лиц и составит 75 000 рублей.

Уголовный кодекс

В уголовном кодексе за незаконную обработку сбор или распространение данных, таких как:
  • информация о частной жизни;
  • личная или семейная тайна;
  • личная переписка.

Предусмотрена ответственность в виде штрафа до 300 тысяч рублей, принудительных работ или лишения свободы до 4 лет.

Гражданский кодекс

Потерпевший субъект может обратиться в суд с иском о возмещении морального или физического вреда и понесенного убытка в связи с нарушением обработки его персональных данных. Суд определяет размер компенсации самостоятельно, однако эта сумма не имеет ограничений.

Трудовой кодекс

Работники при нарушении могут получить от работодателя выговор или замечание. В зависимости от степени причиненного ущерба работник может быть уволен. Руководитель имеет полное право уволить работника по собственной инициативе, если тот разглашал сведения, касающиеся охраняемых законом тайн или персональной информации другого сотрудника.

: Закон о персональных данных в РФ: забота о пользователях или тотальный контроль?

Внимание!

  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов. Базовая информация не гарантирует решение именно Ваших проблем.

Поэтому для вас круглосуточно работают БЕСПЛАТНЫЕ эксперты-консультанты!

  1. Задайте вопрос через форму (внизу), либо через онлайн-чат
  2. Позвоните на горячую линию:

ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ.

    Источник: http://masterurist.ru/zakon-o-personalnyh-dannyh/

    Юрист ответит
    Добавить комментарий

    ;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: