Продолжая использовать этот веб-сайт без изменения настроек, вы соглашаетесь на использование нами файлов cookie в соответствии с нашей политикой использования файлов cookie .
Чтобы узнать больше о файлах cookie, о том, как мы их используем на нашем сайте и как изменить настройки файлов cookie, ознакомьтесь с нашей политикой использования файлов cookie.
Чтобы узнать больше о файлах cookie, о том, как мы их используем на нашем сайте и как изменить настройки файлов cookie, ознакомьтесь с нашей политикой использования файлов cookie.
Соблюдение требований 152-ФЗ о персональных данных и GDPR
Описание
Доп. информация
Соблюдение GDPR и 152-ФЗ
о персональных данных
о персональных данных
Соблюдение требований 152-ФЗ
о персональных данных и GDPR
Описание
Доп. информация
Связанная информация
Николай Пономарев
Софья Шестакова
Организация Legaltech и Regtech
Получение IT-грантов и субсидий
Группа компаний
Legaltech и Regtech
Получение IT-грантов
Правовое регулирование работы с персональными данными в Российской Федерации осуществляется Федеральным законом № 152 «О персональных данных». В европейских странах за персональные данные отвечает Генеральный регламент по защите персональных данных GDPR (General Data Protection Regulation). Рассмотрим особенности работы с персональными данными в России и Европе подробнее.
Правовое регулирование работы с персональными данными в России
На территории Российской Федерации в отношении любых действий и процессов, связанных с персональными данными граждан, действует Федеральный закон № 152 «О персональных данных». ФЗ № 152 распространяется на все организации, зарегистрированные в России, а также представительства иностранных компаний, находящихся в пределах страны.
Согласно ФЗ № 152, под понятие «персональные данные» попадает любая личная информация о гражданине страны, которая позволяет установить его личность.
Основные требования к операторам персональных данных в России
- Компания-оператор, работающая с базой персональных данных, обязана сообщить каждому субъекту, с какой целью собираются данные о нем, а также получить его согласие на обработку этих данных.
- В случае, когда личные данные предоставляются онлайн, например, при заполнении какой-либо контактной формы в интернете, на сайте должен быть предусмотрен раздел с Политикой в отношении обработки персональных данных и их конфиденциальности. В самой форме для сбора персональных данных должен присутствовать дисклеймер, проставляя галочку в котором, посетитель сайта дает свое согласие на отправку и дальнейшую обработку своих данных.
- В случае, если гражданин не дал своего согласия на использование личной информации, данные для обработки могут быть заимствованы из открытых источников. Однако, в отношении этого пункта следует быть предельно внимательными, так как в России уже были прецеденты, когда суд признавал незаконность подобного способа использования информации.
- Нельзя собирать персональные данные, которые не соотносятся с конечной целью их обработки, вся лишняя информация также должна быть удалена. Например, интернет-магазины не вправе требовать от покупателей предоставление сканов паспортов.
- В случае, когда цель обработки данных достигнута, личная информация гражданина должна быть удалена или обезличена так, чтобы он не мог быть идентифицирован по хранящимся данным.
В России, по сравнению с Европой, предусмотрены не очень большие штрафы за нарушение требований законодательства в отношении персональных данных — они колеблются от 1 до 75 тысяч рублей. Самые низкие штрафные пороги применяются к физическим лицам, более высокие – к юридическим.
Правовое регулирование работы с персональными данными в Европе
Генеральный регламент по защите персональных данных / General Data Protection Regulation (GDPR) был введен в Евросоюзе 25 мая 2018 года. Его действие распространяется на все национальные и интернациональные компании, имеющие дело с хранением или обработкой личных данных граждан.
С приоритетной задачей также не все ясно. Стандартное определение «противодействие отмыванию денег» ранее имело важное дополнение «полученных преступных путём». Но позже здравый смысл всё же возобладал, так как отмывать честно заработанные деньги никто не станет. На всякий случай приводим полную аббревиатуру – AML CFT CWMDF.
Согласно GDPR, под понятие «персональные данные» попадает любая информация, с помощью которой можно идентифицировать личность человека — как видно, понятие ПД в России и в Европе схоже. Прежде всего к такой информации относится: фамилия, имя, адрес, логины в Интернете и IP, а также данные, позволяющие определить культурную или социальную принадлежность гражданина.
Согласно Регламенту, к отдельной категории персональных данных относятся религиозные взгляды, сведения о здоровье и биометрические показатели каждого человека.
Основные требования к операторам персональных данных в Европе
- Разрешение на обработку личной информации должно быть получено от субъекта персональных данных. Если такого согласия нет, то дальнейшие действия с персональными данными противозаконны. Понятие «молчание – знак согласия» не имеет законного действия, равно как и бездействие субъекта в ответ на запрос согласия по обработке его данных.
- Обработка персональных данных должна проводиться с конкретной конечной целью, которая также должна быть доведена до сведения гражданина. Если собранные данные излишне или не отвечают конечной цели, их обработка строго запрещена. После достижения цели обработки персональных данных они должны быть полностью удалены. Сюда же относится необходимость удаления личной информации о пользователе при поступлении соответствующего запроса с его стороны.
- Компания-оператор, работающая с базой персональных данных пользователей, должна обеспечить их надежную защиту, включая схемы и последовательность шагов, которые будут предприняты в случае возникновения угрозы безопасности данных. При хранении личной информации также должна быть обеспечена ее полная конфиденциальность путем шифрования данных.
- Компания-оператор, работающая с базой персональных данных, должна назначить ответственное лицо, которое будет контролировать все процессы, связанные с ПД, а также выполнение требований нормативных актов. Пристальное внимание уделяется компаниям, которые работают с большими массивами данных.
- В случае возникновения факта утечки данных необходимо в обязательном порядке проинформировать регулирующий орган. Подобное уведомление должно быть сделано компанией-оператором в течение 3-х дней с момента возникновения угрозы утечки данных.
В Евросоюзе предусмотрены очень большие штрафы за нарушение требований GDPR, их сумма может достигать 4% от ежегодного оборота компании. Под юрисдикцию регулятора попадают прежде всего такие крупные компании, как Google и Facebook. При этом регулятор действует довольно мягко и последовательно, давая компаниям время на адаптацию к введенным требованиям.
Где хранятся персональные данные?
И российское, и европейское законодательство предусматривают возможность передачи персональных данных сторонней организации на хранение и обработку. Сегодня все чаще в этой роли выступают облачные сервис-провайдеры, полностью отвечающие всем требованиям законодательства и обеспечивающие всю необходимую техническую инфраструктуру для хранения и работы с массивами персональной информации.
Не знаете, что ответить клиенту, который не понимает, почему ему не открывают счёт или отказываются провести сделку? Сошлитесь на распоряжение ЦБ, но обязательно кратко опишите причину отказа. В некотором смысле таких клиентов надо «наказывать» – рано или поздно с таким подходом к ведению бизнеса они «пойдут ко дну». И, что гораздо хуже, «потянут» за собой Вас, если согласится на сомнительную сделку или «забыть» о требованиях регулятора.
Внимание! Долгое время отсутствие принципа «знай своего клиента» в национальных законодательствах было основным преимуществом «чистых» оффшоров. Сейчас соответствующие нормативы внедряют безналоговые территории, поэтому многочисленные оффшорные схемы уже не являются выгодными или хотя бы безопасными!
Изменения в работе с персональными данными с 1 марта 2023 года
Трансграничная передача данных
Главное нововведение заключается в том, что при каждой трансграничной передаче персональных данных нужно информировать Роскомнадзор.
Помимо уведомления о начале обработки персональных данных, придется отправлять отдельное уведомление о намерении осуществлять трансграничную передачу персональных данных, которое следует отправить до начала трансграничной передачи персональных данных (п. 3 ст. 12 Закона).
Уполномоченный орган, тем не менее, оставляет за собой право ограничить или запретить право трансграничной передачи, если посчитает, что законодательная база по защите прав субъектов персональных данных принимающего государства не отвечает требованиям безопасности.
Уничтожение персональных данных
Роскомнадзор утвердил требования к подтверждению уничтожения личной информации, которые будут действовать с 1 марта 2023 по 1 марта 2029 года.
Комплект документов, который требуют у оператора, зависит от степени автоматизации обработки персональных данных.
Поскольку ранее требований к фиксации факта уничтожения ПД закон не устанавливал, операторы самостоятельно определяли порядок фиксации факта их уничтожения. К 1 марта 2023 года следует привести установленный порядок в соответствие с требованиями, закрепленными приказом Роскомнадзора от 28.10.2022 № 179.
Оценка вреда
Также с 1 марта 2023 года в силу вступил Приказ Роскомнадзора от 27.10.2022 № 178, который утвердил требования к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».
Степень вреда предлагается оценить ответственному лицу со стороны оператора по трем категориям: «Высокая», «Средняя» и «Низкая», в зависимости от «качества» обрабатываемых данных. Так, например, операторам биометрических данных необходимо присвоить «Высокую» оценку.
Такой порядок также будет действовать до 1 марта 2029 года.
Главное нововведение заключается в том, что при каждой трансграничной передаче персональных данных нужно информировать Роскомнадзор.
Помимо уведомления о начале обработки персональных данных, придется отправлять отдельное уведомление о намерении осуществлять трансграничную передачу персональных данных, которое следует отправить до начала трансграничной передачи персональных данных (п. 3 ст. 12 Закона).
Уполномоченный орган, тем не менее, оставляет за собой право ограничить или запретить право трансграничной передачи, если посчитает, что законодательная база по защите прав субъектов персональных данных принимающего государства не отвечает требованиям безопасности.
Уничтожение персональных данных
Роскомнадзор утвердил требования к подтверждению уничтожения личной информации, которые будут действовать с 1 марта 2023 по 1 марта 2029 года.
Комплект документов, который требуют у оператора, зависит от степени автоматизации обработки персональных данных.
Поскольку ранее требований к фиксации факта уничтожения ПД закон не устанавливал, операторы самостоятельно определяли порядок фиксации факта их уничтожения. К 1 марта 2023 года следует привести установленный порядок в соответствие с требованиями, закрепленными приказом Роскомнадзора от 28.10.2022 № 179.
Оценка вреда
Также с 1 марта 2023 года в силу вступил Приказ Роскомнадзора от 27.10.2022 № 178, который утвердил требования к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».
Степень вреда предлагается оценить ответственному лицу со стороны оператора по трем категориям: «Высокая», «Средняя» и «Низкая», в зависимости от «качества» обрабатываемых данных. Так, например, операторам биометрических данных необходимо присвоить «Высокую» оценку.
Такой порядок также будет действовать до 1 марта 2029 года.
Ответственность за несоблюдение требований закона по защите личной информации
Законодательство РФ предусматривает пять видов юридической ответственности за несоблюдение прав граждан по защите сведений, содержащих персональные данные. Это:
При этом установлены взыскания не только для граждан, но и для юридических лиц.
Статья 150 ГК России к нематериальным правам, обеспеченным правовой защитой, относит персональную неприкосновенность гражданина и его жилища, а также обеспечение сохранения данных, содержащих личную конфиденциальную информацию. ГК вводит и понятие морального ущерба, который является результатом нравственных или физических противоправных действий, нарушения конфиденциальности персональных данных. Это основание для назначения денежной компенсации причиненного ущерба.
В соответствии с положениями ГК РФ при расчете величины компенсационных выплат суд обращает внимание на:
Пострадавший вправе обратиться с заявлением в суд для опровержения данных, не соответствующих действительности, которые наносят ущерб его чести и деловой репутации, если ответчик не докажет достоверность таких данных.
Публикация и использование персональных данных в форме фото- и видеоизображений гражданина, картин с его изображением разрешены только после получения согласия на данные действия.
Материальная ответственность за разглашение персональных данных, подлежащих правовой защите, насчитывается в размере причиненного вреда. Данная норма закреплена в пункте 7 статьи 243 Трудового кодекса. Данный случай полной компенсации причиненного ущерба – исключение из правил, подтверждающее главенствующее значение защиты персональных данных.
Дисциплинарная ответственность предполагает увольнение сотрудников, допустивших распространение персональных данных других работников или клиентов организации. Данная норма действует только в случае, когда разглашение персональных данных произошло в результате исполнения нарушителем профессиональных обязанностей. Привлечение к дисциплинарной ответственности за распространение личных данных – право работодателя, а не обязанность. При наложении данного взыскания учитываются:
К сотруднику, виновному в незаконном распространении личных данных, применяются такие дисциплинарные взыскания:
Административная ответственность за незаконное получение, хранение, обработку и распространение персональных данных граждан предусматривает устное предупреждение или штраф для физических лиц в размере 300-500 рублей, для служащих – 500-1 000 рублей и для предприятий – 5 000-10 000 рублей. Данная норма закреплена в статье 13.11 КоАП России.
За распространение личных данных, полученных в результате исполнения трудовых обязанностей, установлен административный штраф от 500 до 1 000 рублей. При привлечении за данное правонарушение служащих сумма штрафа увеличивается – от 4 000 до 5 000 рублей. Данная санкция закреплена в статье 13.14 КоАП.
Уголовная ответственность за нарушение защиты персональных данных закреплена в статье 137 УК России. Несанкционированное получение, хранение и передача данных, представляющих семейную или личную тайну, без согласия гражданина, использование данных сведений в публичных выступлениях или демонстрациях художественных произведений, публикации таких данных в СМИ (средствах массовой информации) караются уголовным штрафом до 200 000 рублей, общественными или исправительными работами или арестом до 4 месяцев. Если данное деяние совершено должностным лицом, сумма штрафа возрастает до 300 000 рублей, а продолжительность ареста – до полугода.
- материальная;
- административная;
- дисциплинарная;
- гражданская;
- уголовная ответственность.
При этом установлены взыскания не только для граждан, но и для юридических лиц.
Статья 150 ГК России к нематериальным правам, обеспеченным правовой защитой, относит персональную неприкосновенность гражданина и его жилища, а также обеспечение сохранения данных, содержащих личную конфиденциальную информацию. ГК вводит и понятие морального ущерба, который является результатом нравственных или физических противоправных действий, нарушения конфиденциальности персональных данных. Это основание для назначения денежной компенсации причиненного ущерба.
В соответствии с положениями ГК РФ при расчете величины компенсационных выплат суд обращает внимание на:
- виновность злоумышленника;
- причиненный распространением персональных данных вред;
- персональные особенности лица, пострадавшего от противоправных действий.
Пострадавший вправе обратиться с заявлением в суд для опровержения данных, не соответствующих действительности, которые наносят ущерб его чести и деловой репутации, если ответчик не докажет достоверность таких данных.
Публикация и использование персональных данных в форме фото- и видеоизображений гражданина, картин с его изображением разрешены только после получения согласия на данные действия.
Материальная ответственность за разглашение персональных данных, подлежащих правовой защите, насчитывается в размере причиненного вреда. Данная норма закреплена в пункте 7 статьи 243 Трудового кодекса. Данный случай полной компенсации причиненного ущерба – исключение из правил, подтверждающее главенствующее значение защиты персональных данных.
Дисциплинарная ответственность предполагает увольнение сотрудников, допустивших распространение персональных данных других работников или клиентов организации. Данная норма действует только в случае, когда разглашение персональных данных произошло в результате исполнения нарушителем профессиональных обязанностей. Привлечение к дисциплинарной ответственности за распространение личных данных – право работодателя, а не обязанность. При наложении данного взыскания учитываются:
- степень вреда, нанесенного разглашением личных данных;
- обстоятельства совершения данного правонарушения.
К сотруднику, виновному в незаконном распространении личных данных, применяются такие дисциплинарные взыскания:
- замечание;
- выговор;
- увольнение.
Административная ответственность за незаконное получение, хранение, обработку и распространение персональных данных граждан предусматривает устное предупреждение или штраф для физических лиц в размере 300-500 рублей, для служащих – 500-1 000 рублей и для предприятий – 5 000-10 000 рублей. Данная норма закреплена в статье 13.11 КоАП России.
За распространение личных данных, полученных в результате исполнения трудовых обязанностей, установлен административный штраф от 500 до 1 000 рублей. При привлечении за данное правонарушение служащих сумма штрафа увеличивается – от 4 000 до 5 000 рублей. Данная санкция закреплена в статье 13.14 КоАП.
Уголовная ответственность за нарушение защиты персональных данных закреплена в статье 137 УК России. Несанкционированное получение, хранение и передача данных, представляющих семейную или личную тайну, без согласия гражданина, использование данных сведений в публичных выступлениях или демонстрациях художественных произведений, публикации таких данных в СМИ (средствах массовой информации) караются уголовным штрафом до 200 000 рублей, общественными или исправительными работами или арестом до 4 месяцев. Если данное деяние совершено должностным лицом, сумма штрафа возрастает до 300 000 рублей, а продолжительность ареста – до полугода.
Интересует соблюдение требований 152-ФЗ о персональных данных и GDPR?
Оставьте свои контакты или свяжитесь с нами
Почта: info@konsull.ru
Тел: +7 (495) 103-01-32
Телеграм: elena_konsull
Нажимая на кнопку, вы соглашаетесь c обработкой персональных данных.
Описание
Доп. информация
Связанная информация
Николай Пономарев
Софья Шестакова
Организация Legaltech и Regtech
Получение IT-грантов и субсидий
Группа компаний
Legaltech и Regtech
Получение IT-грантов
Content Oriented Web
Make great presentations, longreads, and landing pages, as well as photo stories, blogs, lookbooks, and all other kinds of content oriented projects.
