Оглавление:
Максимальный штраф в 75 тыс. руб. установлен для юридических лиц по одному их 7 составов. В остальных случаях максимальный штраф колеблется от 30 до 50 тыс.
руб.Из неприятного – штрафы по различным составам частично могут складываться.
Среди возможных нарушений в частности перечислены:
Однако беспокойство по данному поводу в большинстве случаев вызвано поверхностным пониманием о персональных данных.
Чтоб оценить риски привлечения к ответственности рассмотрим 5 наиболее популярных мифов о персональных данных, блуждающих в умах интернет-сообщества.
На первый взгляд так и есть.«Персональные
2 ст.7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обеспечения конфиденциальности персональных данных не требуется: 1) в случае обезличивания персональных данных; 2) в отношении общедоступных персональных данных. Согласно ч. 2 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях: 1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора; 1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;(п. 1.1 введен Федеральным законом от 25.11.2009 № 266-ФЗ) 2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений.
Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.
При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст.
22 Федерального закона от 27.07.2006 № 152-ФЗ. Не требуется подавать уведомление в следующих случаях: При сборе и обработке персональных данных без использования средств автоматизации. Если обработка осуществляется без компьютера и электронных баз данных, уведомлять Роскомнадзор не требуется.
При этом оператор данных должен соблюдать требования Постановления Правительства РФ от 15.09.2008 № 687
«Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
.
Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации. Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:
То есть любой, кто запрашивает и пользуется ПД, является их оператором.
И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работает с ПД и несет ответственность за несоблюдение закона об их защите. Давайте представим, кто может относиться к операторам ПД.
Банки? Да! Сайты, собирающие
Но сейчас угроза для нашей частной жизни исходит не только от государства, но и со стороны компаний и частных лиц. В связи с быстрым распространением баз данных, развитием Интернета, технических возможностей для сбора и обработки больших объёмов информации угроза эта с каждым днём растёт.
Например, для оказания услуги вам нужно взять телефон, электронную почту клиента, скайп-ник и так далее. В этом случае Роскомнадзор можно не уведомлять. Сложности, связанные с этим вариантом: трудности с идентификацией ситуаций, когда обработка производиться только для договорных отношений;
Нельзя определить человека ТОЛЬКО по дате рождения или ТОЛЬКО по email-адресу.
И даже по ФИО нельзя — есть же полные тёзки.
А вот если от человека обязательно требуется указать на сайте имя и email — это уже персональные данные. Персональные данные — почти всегда совокупность нескольких разных данных о человеке. Но есть исключения. Например, номер телефона.
Обычно SIM-карты в салонах связи продают по паспорту, а паспортные данные вносят в базу. А значит, если у вас есть доступ к базе оператора — теоретически вы можете установить личность человека по одному только номеру. Закон не может регламентировать каждую мелочь и каждый частный случай.
Приходится руководствоваться здравым смыслом. Если вы абсолютно уверены, что нельзя установить личность человека по данным, которые собираете на сайте — хорошо.
Если не уверены — лучше сразу считайте, что всё-таки собираете персональные данные.
Посмотрите на примеры.
Если по результатам обработки информации представляется возможным однозначно определить, о ком (конкретном физическом лице) идёт речь – перед Вами сведения, относящиеся к персональным данным. ПРИМЕР:
Различают следующие категории персональных данных (): персональные данные — любая информация, относящаяся к прямо или косвенно
В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы. Основание Размер штрафа Физлица Должностные лица Юрлица ИП Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн предупреждение или штраф — от 1000 до 3000 руб.
предупреждение или штраф — от 5000 до 10 000 руб. предупреждение или штраф — от 30 000 до 50 000 руб.
от 5000 до 10 000 руб. Непредоставление субъекту ПДн информации по их обработке предупреждение или штраф — от 1000 до 2000 руб.
Это правда. Но нужно понимать, что суммы штрафов для физических лиц на порядок, а для предпринимателей в разы ниже штрафов для юридических лиц.
Максимальный штраф в 75 тыс. руб.
установлен для юридических лиц по одному их 7 составов. Среди возможных нарушений в частности перечислены:
Однако беспокойство по данному поводу в большинстве случаев вызвано поверхностным пониманием закона о персональных данных.
Чтоб оценить риски привлечения
А под этим видео размещены шаблоны от Ярослава для заполнения Заявления.
Личные данные заявителя 2.1 Сведения о заявителе 2.2 Паспортные данные 2.3 Адрес регистрации Шаг 3.
Правовое основание обработки персональных данных Руководствуясь Конституцией Российской Федерации; Трудовым кодексом Российской Федерации (Федеральным законом от 30.12.2001 № 197-ФЗ); Гражданским кодексом Российской Федерации; Налоговым кодексом Российской Федерации; Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»; Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Федеральным законом от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»; Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»; Свидетельство о государственной регистрации физического лица в качестве индивидуального предпринимателя Ваш номер ОГРНИП от дата регистрации. Шаг 3.
Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681); — прочие сведения, которые могут идентифицировать человека.
В соответствии со ст. 3 Закона о персональных данных Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Формально под это определение подпадают почти все физические и юридические лица, государственные и муниципальные органы.
Вместе с тем, пункт 2 статьи 1 Закона о персональных данных устанавливает, что действие указанного закона не распространяется на отношения, возникающие при: 1) обработке персональных данных
По никнеймам нельзя опознать человека в интернете, поэтому они не относятся к персональным данным. Чтобы перестраховаться, мы рекомендуем держаться правила: собираете данные о пользователях на сайте, считайте их персональными.
Чтобы не получить штраф, выполните действия, которые требует закон. Трактовка закона расплывчатая, и однозначного ответа нет. Сама по себе кука — информация о поведении посетителя, она обезличена и по ней нельзя точно определить личность.
Но если вместе с куками вы собираете электронную почту, фамилию и имя посетителя сайта, всё вместе это становится персональными данными. То же самое — с айпи-адресом.