Увеличение Штрафов в сфере обработки персональных данных
- Войдите или зарегистрируйтесь, чтобы получить возможность отправлять комментарии
http://ivo.garant.ru/#/document/71605334/paragraph/1:0
1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, -
влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей.
Обработка персональных данных (далее ПД) в ломбардах обязательна для исполнения законодательства « о ломбардах», «о потреб. займе», «ПОД/ФТ», Трудового законодательства.
Ст.6. N 152-ФЗ "О персональных данных"
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
Нарушением могут быть случаи не связанные с деятельностью ломбарда, с целями обработки ПД вне рамок договорных отношений.
2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, -
влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от пятнадцати тысяч до семидесяти пяти тысяч рублей.
Письменное, либо предварительное согласие субъекта персональных данных в ломбарде не требуется поскольку указанное является условием для исполнения договора, стороной которого и выгодоприобретателем является субъект персональных данных , если персональные данные не передаются 3-м лицам.
Статья 7. Конфиденциальность персональных данных N 152-ФЗ "О персональных данных"
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
ПРИМЕРЫ:
1. Если у оператора ПД запрашивают документы (залоговые билеты, договоры, анкеты клиентов), содержащие ПД физ.лиц надзорные органы: ЦБ, Прокуратура, ФНС, Полиция (на основании официального мотивированного запроса), предоставление ПД осуществляется в рамках исполнения Федеральных законов, Налогового законодательства, что не требует наличие предварительного и письменного согласия.
2. Оператор ПД передает первичные документы, содержащие ПД для ведения бух. учета в бух. службу (3 лицо) – наличие согласия строго обязательно.
По такому же принципу взаимоотношения с аутсорсингом при услугах:
- тех. поддержке ПО, в котором обрабатываются ПД;
- дистанционной идентификации, сопровождению ПОД/ФТ
При этом такое согласие можно предусмотреть в залоговом билете в Прочих условиях, если Договор потреб. займа содержит ПД в табличной форме дополнительной графой , соблюдая требования
п.4 ст.9 N 152-ФЗ "О персональных данных", либо в отдельном бланке согласия.
3. У оператора ПД имеется интернет-ресурс, посредством которого принимаются заявки на предоставление займа, покупку невостребованного имущества, участие в торгах. В этом случае сбор ПД должен быть обеспечен наличием предварительного согласия на интернет-ресурсе.
4. Коммерческий банк в рамках проверки оператора ПД (клиента банка) по ПОД/ФТ руководствуясь нормами Положения Банка России 449-П требует предоставления договоров , содержащих ПД физ. лиц –клиентов оператора ПД,
либо Страховая компания, в которой застраховано заложенное имущество в ломбарде, при страховом случае запрашивает копии залоговых билетов,
В таких случаях предоставление ПД без согласия является нарушением!
Если ранее согласие было получено, однако при передаче ПД 3-лицам (не на основании законодательства и запросов надзорных , правоохранительных органов) рекомендуем заключать Соглашение об обеспечении конфиденциальности между оператором и 3-м лицом , с обязательством 3-лица обеспечить сохранность ПД, 3-и лица при получении ПД по законным основаниям обязаны исполнять нормы 152-ФЗ "О персональных данных".
Соглашение – гарантирует принятие ответственности 3-м лицом.
Если согласие не предусмотрено при обработке ПД на законных основаниях в связи исполнением договора и законодательства , ПД не передаются 3-м лицам, при требовании 3-х лиц (не на основании законодательства и запросов надзорных , правоохранительных органов) рекомендуем предоставлять копии документов в неизбежных случаях с заштрихованными графами, содержащими ПД, так чтобы их невозможно было определить.
3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных -
влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц - от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от пятнадцати тысяч до тридцати тысяч рублей.
часть 1 Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом N 152-ФЗ "О персональных данных"
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
Несмотря на то, что ИП не упоминаются в обязанности иметь политику, но ответственность появляется, т.к. при наличии обработки ПД физ. лиц становится оператором.
Следовательно, внутренний нормативный документ (Положение), определяющий политику строго обязателен для всех форм: как юр. лиц, так и ИП при наличии обработки (получении, использовании, хранении) ПД физ. лиц.
Статья 18.1
2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Примеры:
Если получение ПД осуществляется только с целью выполнения договора и исполнения законодательства «о ломбардах», « о потреб. займе», «ПОД/ФТ» исключительно по месту операционной деятельности, достаточно либо разместить на информационном стенде Положение о политике ПД, либо иметь его в доступном месте и предоставлять по требованию как граждан, так и контролирующих органов.
Если осуществляются заявки через сайт оператора на получение займа, на приобретение невостребованных вещей, иного имущества, участие в торгах – обязательно должно быть обеспечено на сайте оператора предварительное согласие на обработку ПД и размещена политика в отношении обработки ПД и меры по защите персональных данных, все это возможно предусмотреть в Положении.
Даже если в заявке присутствует получение только контактного телефона, такие данные также являются ПД.
Ст.3 N 152-ФЗ "О персональных данных"
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, -
влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц - от двадцати тысяч до сорока тысяч рублей.
5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, -
влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до сорока пяти тысяч рублей.
Данные санкции могут быть применены также за отсутствие политики о ПД в доступе субъектам ПД (физ. лицам) и не выполнении норм N 152-ФЗ "О персональных данных"
Ст. 14. Право субъекта персональных данных на доступ к его персональным данным
Ст.20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных
6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния -
влечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до пятидесяти тысяч рублей.
Данные санкции применяются за существенные нарушения по необеспечению хранения , конфиденциальности или фактическую утечку ПД, однако данные нарушения также попадают и под другие виды ответственности вплоть до уголовной Уголовный кодекс РФ предусматривает наказание по ст. 137, 140 и 272
КоАП включает наказание по ст. 5.39 (отказ в предоставлении информации), 13.12 (нарушение правил защиты информации), 13.13 (незаконная деятельность в области защиты информации) и 13.14 (разглашение информации с ограниченным доступом)
Контролирующие органы:
Исполнение N 152-ФЗ "О персональных данных" – Роскомнадзор, Прокуратура
По поручению Роскомнадзора могут быть проведены совместные проверки сотрудниками Прокуратуры
Право на надзор за выполнением ломбардами требований, установленных другими федеральными законами имеется у Банка России. Ст.2.3. ч.3. п.3 N 196-ФЗ (ред. от 13.07.2015) "О ломбардах"
В случаях незаконного распространения ПД , нарушением безопасности занимается ФСБ.
Вывод: В связи с увеличением штрафов рекомендуем проанализировать внутренние правила по обработке ПД .