Как избежать новых штрафов за нарушение закона о персональных данных

30
Фото © shutterstock.com
Фото © shutterstock.com
Гулидов П.В.
юрист, эксперт журнала «Практика муниципального управления»
С 1 июля 2017 года штрафы за нарушение порядка работы с персональными данными вырастут.

Сейчас штрафы за нарушение законодательства о персональных данных невелики:

  • для должностных лиц – от 500 до 1 тыс. руб.;
  • юридических лиц – от 5 тыс. до 10 тыс. руб.

Федеральный закон от 7 февраля 2017 г. № 13-ФЗ усилил ответственность за нарушения законодательства в области персональных данных. Новая редакция статьи 13.11 КоАП РФ начнет действовать с 1 июля. Перечень нарушений стал более детализированным, а размеры штрафов значительно выросли (см. таблицу 1).

Таблица 1. Новые штрафы за нарушения в области персональных данных с 2017 года

Вид нарушения

Размер штрафа

Для юридических лиц

Для должностных лиц

Обработка персональных данных в случаях, не предусмотренных законодательством, либо их обработка, несовместимая с целями сбора персональных данных.* Исключение – случаи, указанные ниже в этой таблице

От 30 тыс. до 50 тыс. руб.

От 5 тыс. до 10 тыс. руб.

Обработка персональных данных без письменного согласия субъекта персональных данных на их обработку*

От 15 тыс. до 75 тыс. руб.

От 10 тыс. до 20 тыс. руб.

Обработка персональных данных с нарушением требований к составу сведений, отражаемых в письменном согласии субъекта персональных данных на их обработку

От 15 тыс. до 75 тыс. руб.

От 10 тыс. до 20 тыс. руб.

Нарушение оператором требований законодательства в области обработки, хранения и предоставления персональных данных

От 15 тыс. до 50 тыс. руб.

От 3 тыс. до 10 тыс. руб.

К нарушителям правил обработки персональных данных могут быть применены и санкции, предусмотренные:

  • статьей 13.12. КоАП РФ за нарушение правил защиты информации;
  • статьей 13.14. КоАП РФ за разглашение информации с ограниченным доступом.

Размеры штрафов за перечисленные нарушения смотрите в таблице 2.

Таблица 2. Штрафы за нарушение правил защиты и обработки информации и разглашение информации с ограниченным доступом

Вид нарушения

Размер штрафа

Для юридических лиц

Для должностных лиц

Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации*

От 15 тыс. до 20 тыс. руб.

От 1,5 тыс. до 2 тыс. руб.

Использование несертифицированных информационных систем, баз и банков данных, несертифицированных средств защиты информации, если они подлежат обязательной сертификации**

От 20 тыс. до 25 тыс. руб.

От 2,5 тыс. до 3 тыс. руб.

Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты такой информации, осуществлением мероприятий и (или) оказанием услуг по ее защите

От 20 тыс. до 25 тыс. руб.

От 2 тыс. до 3 тыс. руб.

Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну

От 20 тыс. до 30 тыс. руб.

От 3 тыс. до 4 тыс. руб.

Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации*

От 20 тыс. до 25 тыс. руб. или административное приостановление деятельности на срок до 90 суток.

От 2 тыс. до 3 тыс. руб.

Нарушение требований о защите информации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами*

От 10 тыс. до 15 тыс руб.

От 1 тыс. до 2 тыс. руб.

Нарушение требований о защите информации, составляющей государственную тайну, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами

От 15 тыс. до 20 тыс. руб.

От 3 тыс. до 4 тыс. руб.

Разглашение информации, доступ к которой ограничен федеральным законом лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей

От 4 тыс. до 5 тыс. руб.

* Исключение: информация, составляющая государственную тайну.
** Исключение: средства защиты информации, составляющей государственную тайну.

Орган местного самоуправления как оператор персональных данных

Деятельность органов местного самоуправления по работе с персональными данными можно разделить на два направления.

  1. Обработка и хранение внутренних персональных данных – данных работников и служащих органа местного самоуправления. Такую обработку выполняет кадровая служба органа местного самоуправления. Например, она работает с личным делом муниципального служащего, в котором есть паспортные данные гражданина, адрес места жительства, телефон, адрес электронной почты и т. д.
  2. Обработка и хранение внешних персональных данных физических лиц (граждан-заявителей, субъектов муниципального контроля и т. д.), взаимодействующих с органом местного самоуправления. Так, граждане предоставляют свои персональные данные, когда обращаются в орган местного самоуправления за получением муниципальной услуги.

Пример. Гражданин может обратиться в администрацию Уссурийского городского округа за информацией об объектах недвижимого имущества, находящихся в муниципальной собственности и предназначенных для сдачи в аренду.

Заявитель обязан представить подлинник и копию документа, удостоверяющего его личность (п. 12 Административного регламента, утвержденного постановлением администрации Уссурийского городского округа от 30 ноября 2010 г. № 1906-НПА). В большинстве случаев такой документ – паспорт гражданина РФ. Он содержит персональные данные о гражданине-заявителе.

Обработка персональных данных – любое действие с персональными данными или совокупность таких действий. К действиям с персональными данными законодатель относит (ст. 3 Федерального закона от 26 июля 2006 г. № 152-ФЗ):

  • сбор, запись, систематизацию;
  • накопление, хранение;
  • уточнение (обновление, изменение);
  • извлечение, использование;
  • передачу (распространение, предоставление, доступ);
  • обезличивание, блокирование;
  • удаление, уничтожение персональных данных. 

Обработка персональных данных может быть автоматизированной (с помощью средств вычислительной техники) и неавтоматизированной.

Иногда работники (служащие) органов местного самоуправления занимаются обработкой персональных данных не на компьютерах: заполняют вручную поквартирные карточки, похозяйственные книги. В этом случае уполномоченные на обработку персональных данных лица должны руководствоваться Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Правительство РФ утвердило его постановлением от 15 сентября 2008 г. № 687.

Внимание

Работодатель может получить персональные данные сотрудника только от него самого. Не собирайте данные, которые не относятся напрямую к сотруднику: например, о его вероисповедании (п. 4 ч. 1 ст. 86 ТК РФ, ст. 10 Закона № 152-ФЗ)

Как обеспечить безопасность персональных данных при их обработке

Постановлением от 21 марта 2012 г. № 211 Правительство РФ утвердило перечень мер, направленных на обеспечение выполнения обязанностей органов государственной власти и органов местного самоуправления, предусмотренных Законом № 152-ФЗ.

Назначьте ответственное лицо

Руководитель органа местного самоуправления назначает лицо, ответственное за организацию обработки персональных данных (ст. 22.1 Закона № 152-ФЗ) из числа муниципальных служащих этого органа. Этот служащий обязан:

  • проводить внутренний контроль за соблюдением работниками органа местного самоуправления законодательства о персональных данных и требований к их защите;
  • доводить до сведения работников органа местного самоуправления положения законодательства о персональных данных, локальных актов, требований к защите;
  • организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Конкретизировать права и обязанности этого лица можно в муниципальном правовом акте. Данное лицо получает указания от руководителя органа местного самоуправления и подотчетно ему. 

На заметку

Работа с персональными данными в кадровой службе

Персонал кадровой службы органа местного самоуправления должен руководствоваться не только Законом № 152-ФЗ, но и иными федеральными законами, затрагивающими вопросы обработки персональных данных муниципальных служащих.

Так, при работе с личными делами муниципальных служащих нужно соблюдать:

  • статьи 29, 30 Федерального закона от 2 марта 2007 г. № 25-ФЗ;
  • Положение о персональных данных государственного гражданского служащего РФ и ведении его личного дела (ч. 4 ст. 30 Закона № 25-ФЗ). Оно утверждено Указом Президента РФ от 30 мая 2005 г. № 609.

При обработке персональных данных муниципального служащего также нужно руководствоваться главой 14 Трудового кодекса РФ (ст. 29 Федерального закона от 2 марта 2007 г. № 25-ФЗ).

Разработайте и утвердите документы

Органы местного самоуправления в пределах своих полномочий принимают нормативные правовые акты по вопросам обработки персональных данных (ст. 4 Закона № 152-ФЗ).

Опасность

Муниципальные нормативные правовые акты по вопросам обработки персональных данных не должны содержать положения, которые ограничивают права субъектов персональных данных.

Руководитель муниципального органа утверждает правила обработки персональных данных. В этом документе:

  • установите процедуры, направленные на выявление и предотвращение нарушений законодательства в сфере персональных данных;
  • определите для каждой цели обработки персональных данных содержание обрабатываемых данных;
  • определите категории субъектов, персональные данные которых обрабатываются, и сроки их обработки, хранения;
  • определите порядок уничтожения персональных данных при достижении целей обработки.

Также утвердите:

  1. правила рассмотрения запросов (обращений) субъектов персональных данных или их представителей;
  2. правила проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Законом № 152-ФЗ;
  3. правила работы с обезличенными данными;
  4. перечень информационных систем персональных данных;
  5. перечни персональных данных, обрабатываемых в связи с реализацией служебных или трудовых отношений, оказанием муниципальных услуг и исполнением муниципальных функций;
  6. перечни должностей муниципальных служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
  7. перечень должностей служащих органа местного самоуправления, замещение которых предусматривает обработку персональных данных либо доступ к ним;
  8. должностной регламент или должностную инструкцию ответственного за организацию обработки персональных данных;
  9. типовое обязательство служащего органа местного самоуправления, осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
  10. типовую форму согласия на обработку персональных данных муниципальных служащих, иных субъектов персональных данных;
  11. типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
  12. порядок доступа служащих в помещения, в которых ведется обработка персональных данных.

Как избежать новых штрафов за нарушения закона о персональных данных

Соблюдайте правила обработки персональных данных, чтобы избежать штрафов

Перечислим ключевые правила, которые обязаны соблюдать работники и служащие органов местного самоуправления.

  1. Обработка персональных данных возможна только с письменного согласия субъекта персональных данных.
  2. Проводите обработку в целях, предусмотренных международным договором или законом, для выполнения возложенных законодательством на органы местного самоуправления функций, полномочий и обязанностей.
  3. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Не собирайте и не обрабатывайте лишние данные. В правилах обработки персональных данных определите для каждой цели обработки содержание обрабатываемых персональных данных.
  4. Работники органов местного самоуправления не имеют права раскрывать третьим лицам и распространять персональные данные без согласия субъекта персональных данных.
  5. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, актуальность по отношению к целям обработки персональных данных. Удаляйте или уточняйте неточные или неполные данные.
  6. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки данных. Так, личное дело муниципального служащего храните в архиве в течение 10 лет (ст. 30 Закона № 25-ФЗ).
  7. Уничтожайте либо обезличивайте персональные данные, когда цели их обработки достигнуты либо необходимость в достижении этих целей исчезла. 

На заметку

Как предотвратить несанкционированный доступ к данным. Три быстрых совета

Сейчас почти все сотрудники (служащие) органов местного самоуправления работают с персональными данными на компьютерах. Дадим базовые рекомендации по обеспечению безопасности, которые помогут избежать штрафов за нарушение закона о персональных данных.

  1. Ограничьте доступ к базе данных. Его должны иметь только специально уполномоченные лица. Важно, чтобы они могли получать из базы только те персональные данные, которые необходимы для выполнения конкретных функций.
  2. Введите систему индивидуальных паролей. Их нужно периодически менять.
  3. Храните диски и другие электронные носители информации в запирающихся шкафах.


Ваша персональная подборка

    Подписка на статьи

    Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

    Рекомендации по теме

    Мероприятия

    Школа

    Проверь свои знания и приобрети новые

    Посмотреть

    Самое выгодное предложение

    Самое выгодное предложение

    Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

    Живое общение с редакцией





    Электронная система

    Можно ли за невыполнение предписания ГЖИ отделаться предупреждением?

    Ответы на этот и другие вопросы вы найдете в электронной системе «Управление многоквартирным домом»

    Получить доступ
    ВСЁ ДЛЯ ГОРОДСКОГО ХОЗЯЙСТВА

    ВСЁ ДЛЯ ГОРОДСКОГО ХОЗЯЙСТВА

    ВСЁ ДЛЯ ГОРОДСКОГО ХОЗЯЙСТВАЭЛЕКТРОННЫЙ КАТАЛОГ
    НАШИ ПАРТНЁРЫНАШИ ПАРТНЁРЫ

    Рассылка




    © МЦФЭР, 2006-2016. Все права защищены.

    По вопросам подписки обращайтесь по телефонам: 
    Москва: 8 (495) 775-48-44 
    Другие регионы: 8 (800) 775-48-44 

    Получите техническую поддержку: 
    по телефону: +7 (495)-937-90-82 
    e-mail: sd@mcfr.ru 

    
    • Мы в соцсетях
    ×

    Подпишитесь на бесплатные рассылки, и получайте актуальную информацию обо всех нюансах, касающихся Вашей профессии! Будьте с нами!