Увеличение Штрафов в сфере обработки персональных данных


Опубликовано в:

С 1.07.2017г. вступают в силу изменения КоАП в ст.13.11. Нарушение законодательства Российской Федерации в области персональных данных

http://ivo.garant.ru/#/document/71605334/paragraph/1:0

1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, -

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей.

Обработка персональных данных (далее ПД) в ломбардах обязательна для исполнения законодательства « о ломбардах», «о потреб. займе», «ПОД/ФТ», Трудового законодательства.

Ст.6. N 152-ФЗ "О персональных данных"

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

Нарушением могут быть случаи не связанные с деятельностью ломбарда, с целями обработки ПД вне рамок договорных отношений.

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, -

влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от пятнадцати тысяч до семидесяти пяти тысяч рублей.

Письменное, либо предварительное согласие субъекта персональных данных в ломбарде не требуется поскольку указанное является условием для исполнения договора, стороной которого и выгодоприобретателем является субъект персональных данных , если персональные данные не передаются 3-м лицам.

Статья 7. Конфиденциальность персональных данных N 152-ФЗ "О персональных данных"

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.




ПРИМЕРЫ:

1. Если у оператора ПД запрашивают документы (залоговые билеты, договоры, анкеты клиентов), содержащие ПД физ.лиц надзорные органы: ЦБ, Прокуратура, ФНС, Полиция (на основании официального мотивированного запроса), предоставление ПД осуществляется в рамках исполнения Федеральных законов, Налогового законодательства, что не требует наличие предварительного и письменного согласия.

2. Оператор ПД передает первичные документы, содержащие ПД для ведения бух. учета в бух. службу (3 лицо) – наличие согласия строго обязательно.

По такому же принципу взаимоотношения с аутсорсингом при услугах:
- тех. поддержке ПО, в котором обрабатываются ПД;
- дистанционной идентификации, сопровождению ПОД/ФТ

При этом такое согласие можно предусмотреть в залоговом билете в Прочих условиях, если Договор потреб. займа содержит ПД в табличной форме дополнительной графой , соблюдая требования

п.4 ст.9 N 152-ФЗ "О персональных данных", либо в отдельном бланке согласия.

3. У оператора ПД имеется интернет-ресурс, посредством которого принимаются заявки на предоставление займа, покупку невостребованного имущества, участие в торгах. В этом случае сбор ПД должен быть обеспечен наличием предварительного согласия на интернет-ресурсе.

4. Коммерческий банк в рамках проверки оператора ПД (клиента банка) по ПОД/ФТ руководствуясь нормами Положения Банка России 449-П требует предоставления договоров , содержащих ПД физ. лиц –клиентов оператора ПД,

либо Страховая компания, в которой застраховано заложенное имущество в ломбарде, при страховом случае запрашивает копии залоговых билетов,

В таких случаях предоставление ПД без согласия является нарушением!

Если ранее согласие было получено, однако при передаче ПД 3-лицам (не на основании законодательства и запросов надзорных , правоохранительных органов) рекомендуем заключать Соглашение об обеспечении конфиденциальности между оператором и 3-м лицом , с обязательством 3-лица обеспечить сохранность ПД, 3-и лица при получении ПД по законным основаниям обязаны исполнять нормы 152-ФЗ "О персональных данных".

Соглашение – гарантирует принятие ответственности 3-м лицом.

Если согласие не предусмотрено при обработке ПД на законных основаниях в связи исполнением договора и законодательства , ПД не передаются 3-м лицам, при требовании 3-х лиц (не на основании законодательства и запросов надзорных , правоохранительных органов) рекомендуем предоставлять копии документов в неизбежных случаях с заштрихованными графами, содержащими ПД, так чтобы их невозможно было определить.





3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных -

влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц - от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от пятнадцати тысяч до тридцати тысяч рублей.

часть 1 Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом N 152-ФЗ "О персональных данных"

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

Несмотря на то, что ИП не упоминаются в обязанности иметь политику, но ответственность появляется, т.к. при наличии обработки ПД физ. лиц становится оператором.

Следовательно, внутренний нормативный документ (Положение), определяющий политику строго обязателен для всех форм: как юр. лиц, так и ИП при наличии обработки (получении, использовании, хранении) ПД физ. лиц.

Статья 18.1

2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.




Примеры:

Если получение ПД осуществляется только с целью выполнения договора и исполнения законодательства «о ломбардах», « о потреб. займе», «ПОД/ФТ» исключительно по месту операционной деятельности, достаточно либо разместить на информационном стенде Положение о политике ПД, либо иметь его в доступном месте и предоставлять по требованию как граждан, так и контролирующих органов.

Если осуществляются заявки через сайт оператора на получение займа, на приобретение невостребованных вещей, иного имущества, участие в торгах – обязательно должно быть обеспечено на сайте оператора предварительное согласие на обработку ПД и размещена политика в отношении обработки ПД и меры по защите персональных данных, все это возможно предусмотреть в Положении.

Даже если в заявке присутствует получение только контактного телефона, такие данные также являются ПД.

Ст.3 N 152-ФЗ "О персональных данных"

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, -

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц - от двадцати тысяч до сорока тысяч рублей.

5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, -

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до сорока пяти тысяч рублей.

Данные санкции могут быть применены также за отсутствие политики о ПД в доступе субъектам ПД (физ. лицам) и не выполнении норм N 152-ФЗ "О персональных данных"

Ст. 14. Право субъекта персональных данных на доступ к его персональным данным

Ст.20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных

6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния -

влечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до пятидесяти тысяч рублей.

Данные санкции применяются за существенные нарушения по необеспечению хранения , конфиденциальности или фактическую утечку ПД, однако данные нарушения также попадают и под другие виды ответственности вплоть до уголовной Уголовный кодекс РФ предусматривает наказание по ст. 137, 140 и 272

КоАП включает наказание по ст. 5.39 (отказ в предоставлении информации), 13.12 (нарушение правил защиты информации), 13.13 (незаконная деятельность в области защиты информации) и 13.14 (разглашение информации с ограниченным доступом)




Контролирующие органы:

Исполнение N 152-ФЗ "О персональных данных" – Роскомнадзор, Прокуратура

По поручению Роскомнадзора могут быть проведены совместные проверки сотрудниками Прокуратуры

Право на надзор за выполнением ломбардами требований, установленных другими федеральными законами имеется у Банка России. Ст.2.3. ч.3. п.3 N 196-ФЗ (ред. от 13.07.2015) "О ломбардах"

В случаях незаконного распространения ПД , нарушением безопасности занимается ФСБ.



Вывод: В связи с увеличением штрафов рекомендуем проанализировать внутренние правила по обработке ПД .