Статья 3 федерального закона о персональных данных. Что нового в законе о защите персональных данных. С чего начать защиту, и нужна ли она вообще

Не спешите закрывать статью. Вы наверняка мысленно задались вопросом — «А при чем здесь я?» — отвечаю, данный закон может коснуться и вас в том числе, а вы даже можете этого и не подозревать. Давайте по порядку.

Вступление

7 февраля 2017 года были внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Вступят в силу эти поправки уже скоро — 1 июля 2017 года.

Что такое персональные данные?

Под персональными данными можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу (субъекту персональных данных) – пункт 1 статьи 3 Федерального закона от 27 июля 2006 № 152-ФЗ. Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д.

Что изменится 1 июля 2017 года?

Новый Федеральный закон от 07.02. 2017 № 13-ФЗ значительно расширил перечень оснований для привлечения лиц к административной ответственности в области защиты персональных данных, а также увеличил размеры административных штрафов.

Что интересно, выписывать протоколы о правонарушении в этой области будет не прокуратура, как раньше, а Роскомнадзор. А это значит, что дела пойдут гораздо быстрее и штрафы будут рассылаться пачками, если не упаковками.

Причем тут мы

Наверное большая часть моих читателей все еще не понимает, как все это относится к ним. Но грань тут очень тонкая, как понять, являетесь ли вы оператором персональных данных?

Если с помощью вашего блога, сайта, портала, интернет-магазина вы получаете какие-либо персональные данные от пользователя (какие именно, смотреть выше) — то вы автоматически попадаете под этот закон. Элементарно, на вашем сайте можно зарегистрироваться, вводя свое имя, эл.почту, адрес? Поздравляю, вы уже попали под закон.

Это вас касается если:

Ваш сайт позволяет производить регистрацию пользователей (даже с минимальным набором данных «имя + e-mail»). Примеры:

• форумы;
• социальные сети;
• многие новостные сайты;
• интернет-магазины;
• блоги;
• сайты с частными объявлениями;
• и так далее.

Ваш сайт позволяет вносить в формы персональные данные пользователей , которые впоследствии публикуются на сайте или отправляются по e-mail. Например, если на сайте есть функция «перезвонить мне», возможность отправить быстрый заказ или подписаться на рассылку и тому подобное.

Ваш сайт просто уже содержит реальные персональные данные граждан.

Ваша компания (юридическое лицо или индивидуальный предприниматель) на постоянной основе занимаются обработкой персональных данных граждан. Это справедливо для:

• большинства юридических фирм;
• абсолютно всех регистраторов (в смысле компаний, занимающиеся регистрацией юрлиц и ИП, изменениями, ликвидацией и так далее);
• реестродержателей;
• бухгалтерских компаний, оказывающих услуги по аутсорсингу бухгалтерии и кадрового делопроизводства;
• банков, МФО и других компаний финансового сектора, работающих с данными граждан;
• медицинских учреждений;
• магазинов, салонов красоты и других подобных организаций с персональными клубными картами (это особенно популярно у сетевых магазинов косметики);
• образовательных организаций и учреждений (в том числе проводящих краткосрочные курсы или разовые тренинги);
• ТСЖ и управляющих компаний в сфере ЖКХ;
• турагентств;
• третейских судов;
• и так далее.

Ваша компания активно работает с внештатными сотрудниками (по гражданско-правовому договору).

Ваша компания использует CRM или аналогичные системы .

Что делать?

Нужно уметь правильно работать с персональными данными.

Как минимум нужно:

• получить письменное согласие с каждого пользователя, клиента или подписчика на обработку, хранение и распространение персональных данных;
• публиковать в открытом доступе информацию обо всём, что касается персональных данных пользователя;
• запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
• использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
• сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
• удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
• хранить базы данных в надежном месте, защищать их от взлома и утечки;
• научить сотрудников работать с персональными данными;

Исключения

Вас это не касается в следующих случаях, так как на них ФЗ «О персональных данных» не распространяется:

1. Обработка персональных данных производится физическими лицами исключительно для личных и семейных нужд, но если при этом не нарушаются права субъектов персональных данных;
2. Обработка персональных данных производится при работе с документами Архивного фонда Российской Федерации и аналогичных документов;
3. Персональные данные, отнесены к сведениям, составляющим государственную тайну;
4. Персональные данные относятся к публичной информации о деятельности судов в РФ.

К сожалению, я не юрист в этой области и я не смогу дать вам точных ответов что именно нужно сделать чтобы обезопасить себя на 100%. Что уж там, даже сами профи не могут дать однозначных ответов, так как существует очень много нюансов и неточностей, не говоря уже про то, что закон не вступил в силу. В любом случае, цель моего поста была именно предупредить Вас о том, что такая «хрень» существует. Ну а дальше, как говорится, предупрежден — значит вооружен

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Судебная практика по статье 3 ФЗ от 27.07.2006 № 152-ФЗ

Постановление от 27 декабря 2019 г.

Верховный Суд Российской Федерации - Административное правонарушение

Правонарушении, приводя доводы об их незаконности. Изучение материалов дела об административном правонарушении и доводов жалобы заявителя позволяет прийти к следующим выводам. В соответствии со статьей 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее также - Закон о персональных данных, нормы, цитируемые в настоящем постановлении, приведены в редакции, действующей на...

Постановление от 3 сентября 2019 г. по делу № А56-47409/2019

Тринадцатый арбитражный апелляционный суд (13 ААС)

Лиц, участвующих в деле, поскольку они извещены надлежащим образом, а материалы дела и характер спора позволяют рассмотреть дело без их участия в соответствии с пунктом 3 статьи 156, пунктом 1 статьи 266 АПК РФ. Законность и обоснованность определения суда проверены в апелляционном порядке. В соответствии с пунктом 3 части 2 статьи 125 АПК...

Решение № 12-788/2019 7-1848/2019/12-788/2019 от 3 сентября 2019 г. по делу № 12-788/2019

Пермский краевой суд (Пермский край) - Административные правонарушения

Осуществления прокурорского надзора информации, доступ к которой ограничен в соответствии с федеральными законами, в том числе осуществлять обработку персональных данных. В соответствии с пунктами 1, 3 статьи 3 ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); обработка персональных данных - любое...

Решение № 12-232/2019 от 29 августа 2019 г. по делу № 12-232/2019

Октябрьский районный суд г. Ижевска (Удмуртская Республика) - Административные правонарушения

И содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным (ч. 1 ст. 1). В соответствии со ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ в целях настоящего Федерального закона используются следующие основные понятия: 1) персональные данные - любая информация, относящаяся к прямо...

Решение № 2-3904/2019 2-3904/2019~М-966/2019 М-966/2019 от 26 августа 2019 г. по делу № 2-3904/2019

Октябрьский районный суд г. Красноярска (Красноярский край) - Гражданские и административные

Присоединении к соглашению комплексного банковского обслуживания, заключенный между истцом и ответчиком, взыскать с АО «РТК» штраф 20000 руб., проценты за каждый день просрочки в размере 3 % от 50000 руб., в размере ставки Центрального банка России до момента вынесения решения суда, признать факт распространения АО «РТК» сведений о персональных данных истца, в том числе...

Решение № 12-553/2019 от 22 августа 2019 г. по делу № 12-553/2019

Центральный районный суд г.Тулы (Тульская область) - Административные правонарушения

Либо предоставление заведомо недостоверной информации, влечет наложение административного штрафа на должностных лиц в размере от пяти тысяч до десяти тысяч рублей. В соответствии с пунктом 3 части 1 статьи 28.1 Кодекса Российской Федерации об административных правонарушениях поводами к возбуждению дела об административном правонарушении являются сообщения и заявления физических и юридических лиц, а...

Решение от 22 августа 2019 г. по делу № А08-4044/2019

Арбитражный суд Белгородской области (АС Белгородской области)

Не представила, в судебном заседании требования заявителя не признала, полагает, что арбитражный управляющий вправе запрашивать информацию исключительно в соответствии с положениями п. 1 ст. 20. 3 Федерального закона от 26.10.2002 N 127-ФЗ в отношении имущества, находящегося либо ранее находившегося в собственности должника. Таким образом, учитывая отсутствие сведений о регистрации спорных...

Процесс анализа и обработки данных персонального характера играет важнейшую роль в любом цивилизованном государстве. В Российской Федерации данная процедура регламентируется законодательно - в 152-ФЗ "О персональных данных". Именно этот нормативный акт будет разобран в статье.

Основные термины

В законе № 152-ФЗ "О персональных данных" применяется ряд терминов. Первое и самое важное понятие - это, конечно же, «персональные данные». Согласно 152-ФЗ, это информация, которая косвенно или прямо относится к определенному физическому лицу. Обрабатыванием персональных данных занимается оператор - муниципальный или государственный орган, а иногда просто физическое лицо. Сам процесс обработки данных заключается в совершении совокупности операций, целью которых является сбор, систематизация, анализ и хранение персональной информации о каждом гражданине России.

Персональные данные могут быть переданы определенному кругу лиц, а порой и вовсе подлежать уничтожению или обезличиванию.

Общие положения ФЗ

Для чего создан № 152-ФЗ "О персональных данных"? В статье 2 говорится про цель закона. Это обеспечение защиты свобод и прав человека при обработке его персональных данных.

Что может регулировать представленный закон? Согласно статье 1, это любые отношения, связанные с процедурами обработки данных граждан России. Данный процесс осуществляется федеральными государственными инстанциями и властными органами субъектов РФ. Органы проводят систематизацию информации о пользователях, задают специальные алгоритмы поиска и фиксируют информацию о носителях данных. Но какие отношения не должны регулировать органы, занимающиеся персональной обработкой информации о гражданах?

Вот на что указывает закон:

• Организация процессов хранения, учета и систематизации документации Архивного российского фонда и прочих инстанций, связанных с архивной работой.
• Обработка персональных данных физическими лицами для семейных или бытовых нужд, если при этом происходит нарушение прав прочих субъектов персональной информации.

На каких принципах выстраивается и функционирует процесс обработки информации о гражданах? Об этом рассказано в статье 5.

О принципах и условиях обработки данных

На каких принципах базируется процедура обработки персональной информации о гражданах России? Статья 5 № 152-ФЗ "О персональных данных" гласит о законности и справедливой основе, об ограничении конкретными и законными целями. Так, недопустимой считается обработка данных, несовместимая с целями закона. То же самое касается процесса обработки, имеющего противоположные цели и задачи.

Содержание обрабатываемой информации должно строго соответствовать заявленным целям, которые согласованы с законом. Должна быть обеспечена точность и полнота персональной информации. Оператор обязан качественно исполнять свои трудовые функции. Хранение данных допускается только в той форме, что позволила бы точно и быстро определять субъекта системы персональной информации.

Ст. 6 № 152-ФЗ "О персональных данных" закрепляет ряд условий обработки персональной информации. Так, допускается процесс обработки лишь в следующих случаях:

• Обработка и анализ производятся с письменного согласия субъекта персональных данных (статья 9 № 152-ФЗ "О персональных данных").
• Осуществляется для достижения определенных целей, заявленных в законе.
• Обработка необходима для защиты здоровья и жизни граждан.

Еще одним принципом осуществления обработки информации остается наличие специальных категорий, о которых будет рассказано далее.

О категориях персональных данных

В статье 10 рассматриваемого нормативного акта приведены основные категории данных, подлежащих обработке. Пункт 1 статьи говорит про политические, религиозные или философские убеждения, про состояние здоровья, национальную и расовую принадлежность. Все это выделяется в систему особых категорий, сбор которых не допускается на постоянной основе.

Существует лишь небольшой перечень случаев, когда обработка представленных видов информации допустима. Сюда следует отнести:

• случаи, когда сам субъект обработки дал свое письменное согласие на предоставление информации особой категории;
• когда особые персональные данные субъектов уже общедоступны;
• когда это необходимо для защиты жизни, здоровья и интересов субъекта;
• когда обработка подобного рода информации осуществляется в целях медицинского или профилактического характера;
• в иных случаях, установленных Федеральным законом.

Сам субъект персональной информации обладает рядом прав.

О правах субъекта

Какими правами, согласно главе 3 рассматриваемого нормативного акта, обладают субъекты персональных данных? В статье 14 говорится о правах граждан на доступ к их персональной информации. Каким образом это возможно осуществить? Закон гласит о праве требовать от операторов уточнения тех или иных данных. Статья 15 закрепляет нормы, согласно которым существует возможность использовать свои персональные данные для продвижения и рекламирования определенных услуг, товаров, продукции и т. д. Политическая агитация также пополняет этот ряд.

В статье 16 говорится о праве субъектов не допускать автоматическую обработку информации, а в статье 17 - о возможности обжаловать действия оператора. К слову, именно оператор является основным звеном во всей процедуре обработки данных. Это должностное лицо обладает рядом обязанностей, о которых будет рассказано далее.

Обязанности операторов

18 ст. 152-ФЗ "О персональных данных" (с изменениями от 01.07.2017) закрепляет основные функции операторов в области сбора персональной информации. Оператор должен предоставлять субъекту информации следующие данные:

• цель обработки данных;
• правовая основа обработки;
• наименование оператора и его адрес;
• источники приобретения информации.

Оператор обязан принимать ряд мер по обеспечению безопасности персональной информации, по устранению нарушений закона, уточнению, блокировке и ликвидации персональной информации в отдельных установленных законом случаях. Таким образом, № 152-ФЗ "О персональных данных" от 27.07.2006 является наиболее исчерпывающим источником в области сбора информации о российских гражданах.

Обеспечение безопасности обработки информации

Отдельно стоит рассказать про обязанности операторов в области обеспечения безопасности персональной информации.

Вот что закрепляет статья 19 № 152-ФЗ "О персональных данных":

• нарушение закона или любые иные угрозы безопасности данных должны быстро и качественно определяться и пресекаться операторами;
• операторы должны применять ряд организационно-технических средств по обеспечению безопасности данных;
• операторы обязаны оценивать и анализировать применяемые процедуры по обеспечению безопасности;
• учет машин, являющихся носителями информации, а также качественный контроль над ними входят в обязанности работников по обработке данных;
• обязанность по восстановлению доступа к персональным данным, которые обрабатываются в информационной системе.

Не менее важен и контроль со стороны государства, о котором будет рассказано далее.

О государственном контроле обработки данных

Информация персонального характера должна охраняться и анализироваться отдельными государственными органами Российской Федерации. Что именно здесь стоит выделить? В статье 19 Федерального закона № 152-ФЗ "О персональных данных" (с комментариями от 2017 года) говорится про обязанности российского Правительства.

В частности, здесь стоит отметить:

• установление требований к защите данных персонального характера;
• закрепление специальных уровней защищенности персональной информации, которые зависят от степени угроз;
• установление требований к носителям информации.

В статье 23 говорится про уполномоченный орган, коим является Правительство РФ. Здесь закрепляются основные права органа:

• запрос информации у юридических и физических лиц для осуществления своих полномочий;
• требование от оператора отдельных видов документации;
• осуществление проверок в отношении сведений, которые содержатся в специальных информационных базах.

В статье 24 устанавливается норма, в соответствии с которой нарушители рассматриваемого закона будут подвержены ответственности.

С 1 июля 2017 года вступает в силу Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее – Федеральный закон № 13-ФЗ), которым детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. В связи с этим мы решили напомнить основные положения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ) и гл. 14 ТК РФ, которые регламентируют правила обработки персональных данных работников и гарантии их защиты.

Закон о персональных данных в 2017 г.

Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному либо определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона № 152-ФЗ).

Согласно п. «a» ст. 2 Конвенции о защите физических лиц при автоматизированной обработке персональных данных (заключена в г. Страсбурге 28.01.1981) персональные данные означают любую информацию об определенном или поддающемся определению физическом лице (субъекте данных).

В силу п. 3 ст. 3 Федерального закона № 152-ФЗ любые действия или операции с персональными данными считаются их обработкой. К таким действиям относятся сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача персональных данных (их распространение, предоставление, доступ к ним), обезличивание, блокирование, удаление, уничтожение данных. Все эти действия могут совершаться с помощью средств автоматизации или без использования таковых.

Организация работы с персональными данными.

Согласно ч. 1 ст. 57 ТК РФ в трудовом договоре обязательно указываются фамилия, имя, отчество работника, сведения о документах, удостоверяющих его личность, ИНН. Это значит, что каждый работодатель, заключая трудовой договор, получает информацию, относящуюся к персональным данным. Такая информация содержится в документах, предъявляемых работником при приеме на работу:

• в паспорте;
• в военном билете (у военнообязанных);
• в свидетельстве о присвоении ИНН;
• в страховом пенсионном свидетельстве;
• в документах об образовании;
• в водительском удостоверении и документах на машину, если это требуется в связи с исполнением трудовой функции;
• в медицинской справке о прохождении медицинского осмотра (медицинской книжке), если это необходимо в связи с исполнением работником трудовой функции.

В статье 86 ТК РФ установлены общие требования, которые должны соблюдать работодатель и его представители при обработке персональных денных в целях обеспечения прав и свобод человека и гражданина:

• обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
• при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами;
• все персональные данные работника следует получать у него самого. Если персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
• работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством РФ в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных ТК РФ и другими федеральными законами;
• работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, кроме случаев, установленных ТК РФ или иными федеральными законами;
• при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
• защита персональных данных работника от их неправомерного использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами;
• работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
• работники не должны отказываться от своих прав на сохранение и защиту тайны;
• работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

В соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ каждая организация обязана издать документ, определяющий ее политику в отношении обработки персональных данных, локальный акт по вопросам обработки персональных данных, а также локальный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

Отсутствие в организации локального нормативного акта, устанавливающего порядок обработки персональных данных работников, является нарушением трудового законодательства и влечет административную ответственность по ст. 5.27 КоАП РФ (постановления Московского городского суда от 29.08.2011 № 4а-1743/11, 4а-1742/11, ФАС МО от 27.11.2006 № КА-А40/11424-06 по делу № А40-17389/06-146-165, от 01.11.2006, 08.11.2006 № КА-А40/10787-06 по делу № А40-32068/06-96-156).

Работодатель обязан обеспечить такой порядок хранения персональных данных, который бы ограничивал несанкционированный доступ к ним. Право доступа к персональным данным работника, в частности, имеют:

• руководитель организации (работодатель – индивидуальный предприниматель);
• непосредственный руководитель работника;
• начальник отдела кадров;
• сотрудники отдела кадров;
• сотрудники бухгалтерии.

Так как доступ к персональным данным может иметь не только руководитель организации, ответственность за разглашение персональных данных предусмотрена и для работников организации. Например, согласно п. «в» ч. 6 ст. 81 ТК РФ трудовой договор с работником может быть расторгнут по инициативе работодателя в случае разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе при разглашении персональных данных другого работника.

Закон о персональных данных в 2017 г. К сведению:

Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации утверждено Постановлением Правительства РФ от 15.09.2008 № 687 (далее – Положение).

Согласно п. 6 Положения лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы:

• о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации;
• о категориях обрабатываемых персональных данных;
• об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии).

К сведению:

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Оформление согласия работника на передачу его персональных данных.

В соответствии со ст. 88 ТК РФ передача персональных данных работника третьей стороне без письменного согласия указанного работника не разрешается, за исключением предусмотренных законом случаев. Сразу перечислим ситуации, когда не требуется согласие работника на передачу его персональных данных.

Во всех остальных случаях передача персональных данных производится с письменного согласия работника, из которого должно быть ясно, кому будут передаваться его персональные данные и с какой целью.

Кроме того, работодатель обязан предупредить лиц, получающих персональные данные, о том, что данные сведения могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что данное правило соблюдено.

Контроль и надзор за обработкой персональных данных.

Контроль и надзор за обработкой персональных данных работников осуществляются в соответствии с гл. 5 Федерального закона № 152-ФЗ.

К сведению:

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. В настоящее время это Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (Постановление Правительства РФ от 16.03.2009 № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»).

С учетом поправок, внесенных Федеральным законом № 16-ФЗ , с 01.03.2017 деятельность Роскомнадзора в сфере обработки персональных данных отнесена к государственному контролю и надзору. Теперь Роскомнадзор защищает права субъектов персональных данных – физических лиц и будет проводить проверки организаций и предпринимателей (операторов персональных данных), а также контролировать обработку персональных данных иными операторами. Порядок проведения проверок и других контрольных мероприятий определяет Правительство РФ (ч. 1, 1.1 ст. 23 Федерального закона № 152-ФЗ).

Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания его персональных данных и способов их обработки целям обработки таких данных и принимает соответствующее решение.

Работодателю следует ознакомиться с положениями Приказа Минкомсвязи РФ от 14.11.2011 № 312, которым утвержден Административный регламент по исполнению данной службой функций по осуществлению государственного контроля (надзора) за правильностью обработки персональных данных. Предметом контроля являются:

• документы, характер информации в которых предполагает или допускает включение в них персональных данных;
• информационные системы персональных данных;
• деятельность по их обработке.

Привлечение к административной ответственности за персональные данные.

Согласно ст. 90 ТК РФ лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также к гражданско-правовой, административной и уголовной ответственности в порядке, предусмотренном федеральными законами.

Пунктом 2 ст. 23 Федерального закона № 152-ФЗ установлено, что уполномоченный орган по защите прав субъектов персональных данных имеет право привлекать к административной ответственности лиц, виновных в нарушении положений этого закона. Размер административной ответственности за нарушение закона о персональных данных предусмотрен ст. 13.11 КоАП РФ.

Федеральным законом № 13-ФЗ ст. 13.11 КоАП РФ изложена в новой редакции. В частности, детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Новая редакция этой статьи начнет применяться 1 июля 2017 года.

Ответственность за персональные данные. К сведению:

До начала действия поправок ст. 13.11 КоАП РФ предусмотрено, что нарушение требований гл. 14 ТК РФ, Федерального закона № 152-ФЗ, Федерального закона № 27-ФЗ и других законов, определяющих порядок сбора, хранения, использования или распространения информации о гражданах (их персональных данных), влечет предупреждение или наложение административного штрафа:

• на должностных лиц – в размере от 500 до 1 000 руб.;
• на юридических лиц – в размере от 5 000 до 10 000 руб.

Начиная с 01.07.2017 предусмотрена следующая административная ответственность за нарушения закона о персональных данных.

Уголовная ответственность.

Уголовная ответственность за нарушение неприкосновенности частной жизни установлена в ст. 137 УК РФ.

Частью 2 данной статьи предусмотрено, что незаконные сбор или распространение сведений о частной жизни лица, совершенные лицом с использованием своего служебного положения, наказываются:

• либо штрафом в размере от 100 000 до 300 000 руб. или в размере заработной платы (иного дохода осужденного) за период от одного года до двух лет;
• либо лишением права занимать определенные должности или осуществлять определенную деятельность на срок от двух до пяти лет;
• либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или осуществлять определенную деятельность на срок до пяти лет или без такового;
• либо арестом на срок до шести месяцев, лишением свободы на срок до четырех лет с лишением права занимать определенные должности или осуществлять определенную деятельность на срок до пяти лет.

Возмещение морального вреда.

Согласно ст. 24 Федерального закона № 152-ФЗ лица, виновные в нарушении требований этого нормативного правового документа, несут предусмотренную законодательством РФ ответственность.

Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных данным законом, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

* * *

В заключение перечислим основные обязанности работодателя, которые он должен исполнять при работе с персональными данными:

• разработать и принять локальные нормативные акты, регламентирующие порядок хранения и использования персональных данных работников;
• назначить лицо, ответственное за организацию обработки персональных данных;
• установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
• установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия;
• ознакомить работников под подпись с положением об организации работы с персональными данными;
• брать письменное согласие работников на обработку персональных данных, которое должно быть конкретным и информированным и содержать в себе именно те сведения, на которые работники дают согласие для обработки, а также согласие для передачи своих персональных данных третьим лицам с указанием этих лиц;
• направлять в Роскомнадзор уведомление об обработке персональных данных работников в случаях, предусмотренных законодательством РФ.

За неисполнение названных требований законодательства работодатель может быть привлечен к административной ответственности, а в отдельных случаях – и к уголовной.

Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», опубликованы на сайте http://www.rsoc.ru 24.12.2012.

Федеральный закон от 22.02.2017 № 16-ФЗ «О внесении изменений в главу 5 Федерального закона «О персональных данных» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, действует в редакции от 24.11.2014.

С. Е. Нестеров,

Федеральный закон о защите персональных данных претерпел последние изменения (обновления) в сентябре 2015 года, а вот с 1 января 2016 нововведений не поступило, хотя многие их ожидали.

Согласно последней редакции ФЗ каждый гражданин РФ имеет исключительное право на защиту личной конфиденциальной информации которая является недоступной для третьих лиц.

Что является персональными данными по закону РФ?

В соответствии с нынешним профильным законодательством Российской Федерации персональными данными принято считать:

• паспортные данные,
• имена и фамилии,
• некоторые другие моменты, которые стали известны субъекту в процессе определенных правоотношений.

К примеру, ФЗ 152 также регламентирует правила о нераспространении полученной информации банком при заключении кредитных и иных соглашений. Практический смысл этого соглашения значится в том, что россиянин, доверив свои данные в рамках определенных отношений, может быть уверен в их сохранении в тайне. В противном случае, нарушение этого правила может предусматривать и уголовное наказание. Общими словами, указанная информация является конфиденциальной и о ее разглашении или распространении не может быть и речи.

152 ФЗ закон о персональных данных

Настоящий законопроект был окончательно подготовленным в 2006 году. До этого времени в России подобного акта не существовало, а это значит, что на территории нашей страны граждане в этом плане были незащищенными. Федеральный закон от 27 июля 2006 г n 152 ФЗ о персональных данных юридически вступил в силу после его одобрения Советом Федерации. Должный административный порядок предполагает, что чтение проводит Госдума, а верхняя палата дает одобрение. Этот порядок действий предусмотрен для узаконивания каждой новой редакции.

О том, что будет за нарушение ФЗ поговорим далее.

Закон 152 ФЗ об обработке персональных данных новая редакция на 2016,

Текст ФЗ с комментариями и пояснениями в новой редакции можно обнаружить в интернете на профильном сайте «Консультант+». Тут же описывается система и сфера работы данного акта. Материал указан с изменениями и поправками за 2016 год, поэтому он максимально актуальный. Ознакомившись с данным актом, каждое лицо найдет ответ на имеющийся вопрос. К примеру, россиян обычно интересуют следующие моменты:

• определение о конфиденциальности (неразглашении);
• ответственность в случае нарушения (действующая редакция);
• работа норм (или что такое персональные данные);
• судебная практика (обычно касается использования информации банками);
• новая (последняя) редакция.

Нарушение закона о персональных данных и ответственность за разглашение информации

При несоблюдении установок ФЗ 152 о неразглашении персональных данных к ответчику может быть применено сразу два вида наказания:

• по статье (до 5 лет заключения);
• и по (штраф до 5 тыс. рублей).

Гражданский и трудовой кодексы содержат лишь предписывающие диспозиции в этой связи. Здесь даются разъяснения об обработке, предоставлении, хранении, передаче, удалении информации и наказании за все эти действия.

Закон о хранении персональных данных на территории РФ в Интернете

Соблюдение всех правил и защита персональных данных и прав являются обязательными на всей территории России. Государственный контроль за работой данного постановления в сети «Интернет» осуществляет Роскомнадзор. Поэтому, если у вас обозначился вопрос относительно того, куда в таких случаях жаловаться, то мы вам указали на уполномоченную структуру. Образец обращения можно отыскать также в сети. Требование соблюдения всех положений акта не терпит исключений.

О передаче третьим лицам, что сказано в ФЗ 152?