Персональные данные — это любая информация, которая может рассказать о вас, например, ФИО, номер телефона, адрес проживания, фото или данные паспорта. Федеральный закон № 152-ФЗ «О персональных данных» устанавливает правила обработки и защиты такой личной информации, а цель закона - защитить информацию людей от неправомерного использования.
В этой статье мы подробно разберем суть закона, его применение и ответственность за неисполнение.
Что такое персональные данные?
Согласно статье 3 закона, под персональными данными понимается вся информация, которая может быть связана с определенным человеком. К таким данным относятся, например, ваше полное имя, номер телефона, адрес электронной почты, место жительства, фотография, паспортные данные и другая информация, которая может помочь узнать, кто вы.
Обработка персональных данных включает в себя действия как с использованием, так и без использования средств автоматизации. Это может быть сбор, запись, систематизация, хранение, обновление, изменение, использование, передача, удаление и уничтожение информации.
Организации или люди, которые занимаются обработкой вашей личной информации, называются операторами. Они определяют, для чего и как будут использоваться ваши данные, а также гарантируют их защиту от несанкционированного доступа.
Главная цель закона № 152-ФЗ — защитить личную информацию от неправомерного доступа и использования. Он призван предотвратить любые действия с вашими данными, которые могут быть совершены без вашего согласия.
По закону, любой, кто имеет доступ к вашим данным, обязан сохранять их конфиденциальность и не раскрывать без разрешения.
Закон также устанавливает, что основная его задача — регулировать процесс обработки данных таким образом, чтобы обеспечить и защитить личные и семейные права каждого человека.
С июля 2017 года усилены меры ответственности за нарушение этих правил. Это касается всех, кто имеет дело с персональными данными, начиная от работодателей и заканчивая веб-сайтами, собирающими информацию о своих посетителях.
В случае нарушения правил обработки данных, организация может столкнуться с серьезными последствиями, включая ответственность перед Роскомнадзором за такие действия, как обработка данных без согласия, неправильное уничтожение данных или их незаконный сбор.
Новые обязанности компаний по 152-ФЗ
В 2024 году на каждую компанию ложатся новые обязательства, связанные с личными данными. Это включает в себя создание системы для обработки, учёта и безопасного хранения персональных данных согласно последним законодательным требованиям.
Компаниям нужно разработать правила работы с личными данными и подготовить все необходимые документы в соответствии с указаниями Роскомнадзора и законом №152-ФЗ «О персональных данных». Кроме того, организации обязаны своевременно предоставлять отчеты Роскомнадзору.
Обработка личных данных, включая информацию как о сотрудниках, так и о клиентах или других внешних лицах, теперь является обязательной частью деятельности каждой компании. Руководители должны осознавать, что вопросы, связанные с обработкой, учётом и хранением личных данных, тесно переплетены с основными рабочими процессами, будь то кадровые вопросы, бухгалтерия, правовые аспекты или другие сферы деятельности.
При нарушении закона о персональных данных компаниям грозят штрафы от 300 тысяч до 18 миллионов рублей.
Штрафы за нарушение законодательства о персональных данных
Должностные лица, индивидуальные предприниматели (ИП) и юридические лица сталкиваются с различными штрафами за нарушения в области обработки персональных данных.
Ниже мы описали возможные санкции, которые грозят компаниям за разные виды нарушений.
| Нарушение | Для должностных лиц (руб.) | Для ИП (руб.) | Для юр.лиц (руб.) |
|---|---|---|---|
| Обработка данных без письменного согласия субъекта персональных данных | 40 000, повторно – 100 000 | 300 000 | 150 000, повторно – 500 000 |
| Несоблюдение обязанности по обеспечению свободного доступа к документу, который описывает политику обработки персональных данных | 12 000 | 20 000 | 60 000 |
| Неисполнение обязательства по предоставлению субъекту информации об обработке его персональных данных | 12 000 | 30 000 | 80 000 |
| Несоблюдение сроков, установленных законодательством, для удовлетворения требований субъекта персональных данных или уполномоченного органа относительно уточнения, блокировки или уничтожения персональных данных | 20 000, повторно – 50 000 | 40 000, повторно – 100 000 | 90 000, повторно – 500 000 |
| Нарушение условий, обеспечивающих сохранность персональных данных во время их хранения на материальных носителях, без использования средств автоматизации в случае, если это привело к неправомерным действиям в отношении данных | 20 000 | 40 000 | 100 000 |
| Неисполнение государственными или муниципальными органами обязанностей по обезличиванию персональных данных, а также за несоблюдение установленных требований или методик обезличивания | 12 000 | нет | нет |
| Неисполнение обязательств, связанных с обработкой персональных данных граждан РФ в интернете, включая запись, систематизацию, хранение, уточнение и извлечение этих данных с использованием баз данных, расположенных на территории РФ | 200 000, повторно – 800 000 | 40 000, повторно – 100 000 | 6 000 000, повторно – до 18 000 000 |
Уголовная ответственность за несоблюдение 152-ФЗ
Неправомерное обнародование личных данных может повлечь за собой уголовное наказание согласно статье 137 Уголовного кодекса РФ.
По этой статье за незаконный сбор или распространение информации о личной жизни человека, которая является его персональной или семейной тайной без его разрешения, а также за разглашение такой информации во время публичных выступлений, в медиа или публично показываемых произведениях, предусмотрены следующие виды наказания.
- Штраф до 200 тыс. рублей или доход осужденного за период до 18 месяцев.
- Обязательные работы до 360 часов.
- Исправительные работы до одного года.
- Принудительные работы до двух лет с возможным запретом заниматься определенной деятельностью до трех лет.
- Арест до четырех месяцев.
- Тюремное заключение до двух лет с возможным запретом на занятие определенных должностей до трех лет.
Если такие действия были совершены лицом, используя свое служебное положение, наказание ужесточается
- Штраф от 100 тыс. до 300 тыс. рублей или доход за 1-2 года.
- Запрет на занятие определенных должностей или деятельности на срок от 2 до 5 лет.
- Принудительные работы на срок до четырех лет с возможным запретом на занятие определенных должностей до пяти лет.
- Арест до шести месяцев.
- Лишение свободы до четырех лет с возможным запретом на занятие определенных должностей до пяти лет.
152 Федеральный закон о защите персональных данных кратко
Для того чтобы законно собирать и использовать персональные данные, необходимо следовать определенным правилам, установленным законом 152-ФЗ. Ниже описаны основные из них.
- Обеспечение безопасности персональных данных. Каждый, кто работает с персональными данными, должен гарантировать их защиту в соответствии с установленными законодательством стандартами. Это включает в себя выполнение требований Постановления Правительства РФ N 1119 и приказа ФСТЭК №21.
- Регистрация в Роскомнадзоре. Перед началом работы с персональными данными необходимо зарегистрироваться в Роскомнадзоре как оператор персональных данных, предоставив всю необходимую информацию о своих методах обработки данных.
- Согласие на обработку данных. Получение согласия от людей на обработку их персональных данных является обязательным условием. Согласие должно быть явно выражено и может быть получено как в бумажной форме, так и электронно на сайте.
Детализация требований к защите данных
Определение уровня защиты
Необходимо определить уровень защищенности данных, исходя из типа данных, ваших отношений с субъектами данных, количества обрабатываемых персональных данных и типов угроз безопасности.
Категоризация данных и угроз
Тип данных. Включает в себя общедоступные, биометрические и специальные категории данных.
Отношения с субъектами данных. Различие между данными сотрудников и клиентов.
Количество субъектов. Более или менее 100 000 человек.
Типы угроз. От недокументированных возможностей в ПО до уязвимостей в оборудовании.
Меры защиты. На основе анализа нужно принять соответствующие меры для обеспечения безопасности данных, соответствующие одному из четырех уровней защищенности.
Процесс регистрации и согласие на обработку
Регистрация оператора данных
Регистрация в Роскомнадзоре подтверждает, что организация следует требованиям законодательства по защите персональных данных и готова к проверкам.
Получение согласия
Для легальной обработки данных необходимо убедиться, что каждый человек предоставил ясное и информированное согласие на обработку его персональных данных, будь то через подписание документа или электронное согласие на сайте.
Соблюдение этих требований гарантирует, что обработка персональных данных проводится законно, обеспечивается защита конфиденциальности и предотвращается несанкционированный доступ к информации.
Уверены, что соблюдаете 152-ФЗ? Давайте проверим это
Оставьте заявку, и мы поможем учесть все нюансы законодательства.
Получить консультацию
