Закон о персональных данных консультант. Защита персональных данных

В январе 2017 года, Государственной Думой РФ принят закон, который внёс изменения в главу 5 Федерального закона о персональных данных. Этот закон регламентирует правила использования персональных данных организациями и должностными лицами. Федеральный Закон «О персональных данных» был призван привести правовую базу в соответствие с Европейскими законами, с целью обеспечения международной торговли со странами Евросоюза.

В изменениях, вступивших в силу с 1июля 2017 года, были конкретизированы некоторые понятия и определения, добавлен пункт о необходимости регистрации компаний, занимающихся обработкой личных данных физических лиц, в качестве операторов обработки персональных данных в Роскомнадзоре.

Дополнительно внесены изменения в статьи КоАП РФ, связанные с ответственностью за нарушения законодательства в сфере персональных данных, были добавлены новые составы правонарушений и увеличены размеры штрафов.

Как самостоятельно подготовить сайт на битриксе для соответствия требованиям 152 Федерального Закона «О персональных данных»

Кроме того, с 1 июля 2017 года ввели упрощенный порядок привлечения к административной ответственности.

Если ранее для вынесения постановления требовалось участие прокуратуры, то теперь эти функции переданы в Роскомнадзор.

Для юридических и должностных лиц штрафы могут составить до 295 000 рублей. Несмотря на дополнения и уточнения, в законе по-прежнему достаточно нечетких формулировок, допускающих различное толкование. Например, под персональными данными в законе понимается «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». А под обработкой персональных данных подразумевается «любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных».


Очевидно, что даже если вы не используете на сайте формы обратной связи и не вступаете в информационный контакт с пользователем, вы все равно попадаете под действие закона. Например, если у вас на сайте установлена Яндекс.Метрика или Google.Analytics, которая собирает данные о посетителях, такие как ip-адрес, используемая операционная система и браузер, то вы все равно являетесь оператором обработки персональных данных. Причем, в данном случае речь может идти о предоставлении и распространении персональных данных.

Под распространением персональных данных понимаются «действия, направленные на раскрытие персональных данных неопределенному кругу лиц». А под предоставлением персональных данных - «действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц».

Полной защиты от штрафных санкций, к сожалению, мы предоставить не можем, но поможем существенно снизить вероятность штрафа, который могут наложить на вас за нарушения ФЗ 152 на вашем сайте.

Мы предлагаем следующий пакет услуг для сайтов, работающих на CMS 1С-Битрикс:

  1. Аудит сайта на выявления точек соприкосновения с пользователем
  2. Обновление вашей CMS до версии 17.0.9
  3. Стандартное пользовательское соглашение на обработку персональных данных. Если ваши юристы разработали свое соглашение, мы можем использовать его.
  4. Доработка форм на вашем сайте в соответствии с требованиями закона.
  5. Добавление страницы, содержащей типовое пользовательское соглашение на сайт.
  6. Добавление ссылки на страницу, содержащую типовое пользовательское соглашение.

Как правило, работы по приведению сайта в соответствие с изменениями в 152-ФЗ о персональных данных для интернет-магазина занимают около 12 часов. Если у вас остались вопросы относительно того, как быстро и по разумной цене (недорого) привести свой сайт в соответствие с ФЗ №152, пожалуйста свяжитесь с нами по телефону: 8-800-555-0628 (бесплатно по России) или напишите нам на адрес электронной почты:

Здравствуйте, уважаемые читатели! Совсем недавно вступили в силу изменения в ст. 13.11 КоАП РФ, внесенные Федеральным законом от 07.02.2017 № 13-ФЗ. Персональные данные с 1 июля 2017 года стали для кого-то головной болью, а кто-то на эти изменения не обратил внимания. Как выясняется при анализе поправок — зря.

Законодательство о персональных данных весьма сложное и непонятное. Но ориентироваться в нем сейчас совершенно необходимо, чтобы не попасть под крупный штраф.

Если объяснять суть изменений в двух словах, то штрафы выросли на несколько порядков (до 75 тыс. руб. за одно нарушение), а совершить правонарушение без знания закона можно запросто даже не подозревая об этом.

Поэтому давайте по порядку разбираться во внесенных и вступивших в силу изменениях, на которые многие упорно не обращают внимание.

Сперва давайте в целом поговорим о том, что такое персональные данные.

Что относится к персональным данным физического лица

Отношения, возникающие по поводу обработки персональных данных регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Ключевым понятием, вокруг которого вертится все остальное, является понятие самих персональных данных.

В соответствии с п. 1 ст. 3 указанного закона это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Из этого определения следуют два важных вывода:

  1. Субъектом персональных данных может быть только физическое лицо. Сведения о юридическом лице не являются и не могут являться персональными данными.
  2. Чтобы сведения о физическом лице признавались персональными данными, они должны позволять идентифицировать его.

С первым выводом все понятно. Со вторым возникает серьезный вопрос: при каких условиях информация, имеющая отношение к человеку, начинает рассматриваться как персональные данные? Что является персональными данными по закону?

При ответе на этот вопрос выделяют два подхода:

  1. Это только та информация, из которой можно сделать однозначный вывод о том, что речь идет о конкретном человеке.
  2. Это любая информация, которая имеет отношение к физическому лицу и позволяет выделить его из общей массы людей.

Но это теоретические подходы. Правильный выбор затруднен из-за отсутствия в законе перечня примеров возможных видов персональных данных. В определенной степени этот пробел восполняется судебной практикой.

Например, в Определении Верховного Суда РФ от 24.06.2015 № 18-АПГ15-7 указано:

«...К данным сведениям относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация».

Апелляционное определение Санкт-Петербургского городского суда от 13.12.2016 N 33-26115/2016 по делу N 2-3830/2016 повторяет то же самое.

Особого внимания заслуживает информация, которую пользователи оставляют на посещаемых сайтах в сети Интернет. Анализ самой последней судебной практики (в частности, Постановления Девятого арбитражного апелляционного суда № 09-АП-17574/2016 от 23.05.2016 по делу № А40-14902/2016) позволяет сделать вывод, что сведения об IP-адресе пользователя, cookie, сведения о географическом местоположении устройства пользователя и т. п. тоже считаются персональными данными.

В целом суды придерживаются первого подхода — к персональным данным относится только та информация, из которой можно сделать однозначный вывод о том, что речь идет о конкретном человеке.

Обычно это связка «имя» и что-то еще. Например, номер мобильного телефона. Или адрес электронной почты. Или те же cookie и иные метаданные.

Поэтому если на сайте есть какая-либо форма для заполнения пользователями, в которой есть поле «Имя», то вместе с передаваемыми метаданными (IP, cookie) вся эта информация будет относиться к персональным данным, а значит владелец этого интернет-ресурса является оператором их обрабатывающим.

Если совсем по-простому, то при наличии на вашем сайте формы обратной связи, то вы обрабатываете персональные данные. А если есть форма подписки, как у меня, то и подавно.

Роскомнадзор придерживается позиции, что персональные данные — это любая информация, относящаяся к физическому лицу. Такую информацию озвучивает само ведомство. Факт идентификации или неидентификации субъекта персональных данных оператором не влияет на статус данных как персональных.

Отговорка «я не обрабатывают персональные данные, я их только собираю», не сработает.

Новой головной болью для компаний, юристов и IT-специалистов стал федеральный нормативный акт от июля 2014 № 242-ФЗ, согласно которому с сентября 2017 должны были вступить в силу изменения в Закон № 152-ФЗ «О персональных данных». В декабре 2014 вступление в силу нововведений было передвинуто на более ранний срок – на первое число сентября 2015.

Закон о защите персональных данных с 1 сентября 2018

Что является целью документа о сохранности информации? Нормативный документ о защите субъектов индивидуальных сведений изначально был принят для того, чтобы обеспечивать сохранность информации о личной жизни и регулировать работу операторов по обработке и использованию сведений о физических лицах.

Уполномоченным органом, контролирующим соблюдение положений Закона, утвержден Роскомнадзор, находящийся в составе Министерства связи, главой которого является Никифоров Николай Анатольевич, назначенный Президентом страны.

Федеральный закон с изменениями: что такое?

Каждому основополагающему нормативному акту при его утверждении присваивается определенный номер и наименование. Для того, чтобы при внесении очередных изменений не менять его установленные общеизвестные параметры принимаются федеральные законы об изменениях в основной нормативный акт. Они также позволяют проследить, когда и какие были внесены корректировки и дополнения.

Последняя редакция

Сегодня текст нормативного документа, регулирующего использование персональных сведений, по мнению экспертов и пользователей требует многочисленных доработок, так как многие его положения изложены в обобщающих вариантах без детальных пояснений. Новый закон, ужесточающий требования к операторам, стал причиной острой необходимости в разработке новых изменений, касающихся детализации отдельных понятий нормативного документа.

Закон о персональных данных с 1 сентября 2018

Необходимость в принятии корректировок в Закон озащите личных сведений связана с последними событиями (санкции со стороны стран Европы и Америки, включение РК в состав Российской Федерации, нестабильная ситуация на территории ДНР, ЛНР).

Соблюдение требований нормативного акта о сохранности личных данных россиян должны осуществляться не только при обработке информации интернет-компаниями, но и банками, работодателем, работниками полиции, в школе и в ином общественном предприятии.

О хранении на территории РФ

С внесением корректировок изменился порядок хранения персональной информации. В частности, все сведения о гражданине России должны аккумулироваться только с применением российских баз данных. Это означает, что сбор, запись, накопление, систематизация, обновление, уточнение и извлечение данных или отдельных их частей, находящихся под защитой, должно осуществляться на дата-серверах, которые располагаются на российской территории.

Исключением является обработка данных, необходимая для соблюдения условий международных соглашений (например, договор РФ и Латвийской республики о взаимодействии по гражданским и семейным делам), для осуществления правосудия, научной и литературной деятельности, для исполнения обязанностей государственных органов.

О передаче третьим лицам

Передача личных сведений третьим лицам допускается только при получении согласия ее собственников (работников организации, пользователей информационных и телекоммуникационных сетей интернета и иных). Согласие о предоставлении личных данных оформляется в любой, подтверждающей этот факт форме. Если персональные сведения обрабатываются наемными работниками, то они обязаны ознакомится с соглашением об их неразглашении в соответствии с положениями НПА и Трудового кодекса.

Закон о персональных данных с 1 января 2018 с комментариями

Обойти новое требование можно при помощи такой технической функции, как обезличивание охраняемых данных. Также в Закон о сборе личной информации не внесен никакой запрет на перенос сведений за границу. Получается, что теоретически место локализации сведений должно быть в России, но их можно хранить в продублированном виде и на иностранном сервере.

Более подробно закон о конфиденциальной информации и защите персональных данных с пояснениями о внесенных изменениях можно бесплатно изучить на справочных и правовых сайтах (Консультант Плюс, Гарант, Википедия). Там же можно скачать образец соглашения о неразглашении персональной информации.

Если же нужна только суть, итоговый анализ или краткое содержание нормативного документа, то рекомендуется прочитать реферат, также подойдет аудио- и видео-презентация на тему о персональных сведениях. В книгах можно найти перевод закона на английский язык, который будет актуальным при ознакомлении с положениями нормативного акта иностранными лицами.

Изменения и основные положения

Сегодня при заключении различных договоров или оказании услуг, которые требуют указания личных сведений требуется получить согласие о раскрытии личных сведений. Причем к личной информации относится как адрес и паспортные данные, так и иные виды, в частности, переписка в соцсетях, сведения о здоровье, регистрация в онлайн-ресурсах.

Кого касаются принятые дополнения? Новшества поставили в затруднительное положение не только компании, предоставляющие услуги с использованием личных сведений, но и их пользователей. Так как для получения доступа к услугам им теперь постоянно придется заполнять либо заявление о согласии, либо ставить обязательную галочку в пункте «Соглашение об использовании персональных данных». А это приводит только к непониманию и недоверию к оператору услуг. Так как каждый раз возникает вопрос: «Зачем нужен этот пункт? Не будет ли использовано это согласие не в моих интересах?».

Штраф: сколько заплатишь о разглашении?

Чаще всего нормативные документы о защите личной информации нарушают коллекторы, хакеры, банковские служащие, работники ЖКХ. Куда жаловаться и как могут наказать за нарушение конфиденциальности? Нарушение законодательных требований о сохранении личной информации пользователей влечет ответственность в форме штрафа, блокировки и удалении сайта, увольнения, ограничения свободы или ее лишения на срок до двух лет.

Ежедневно люди выполняют множество операций в сети, которые предусматривают использование персональных данных гражданина. Большинство из них не знают простых правил безопасности при использовании интернета. По этой причине, правительство возложило обязанность по защите этих граждан на учреждения, использующие информацию о сотрудниках.

Основным правовым документом, регулирующим обработку персональных сведений различными организациями, является закон «О персональных данных» от 27.07.2006 года № 152-ФЗ.

Постановления закона распространяются на организации, которые работают с обработкой персональных сведений граждан или те, кто имеет к ним доступ.

Действия, которые не регулируются законом 152-ФЗ:

  • Персональные сведения обрабатываются физическими лицами для личных нужд. Необходимо отметить, что обработка не должна нарушать права обладателя данных;
  • Организация архивов, которая регулируется законодательством об архивации в Российской Федерации;
  • Обработка личных данных, которые содержат информацию, относящуюся к государственной тайне;
  • Личные данные, которые относятся к деятельности судебных органов и которые были представлены в судебном порядке;
  • Персональные сведения, относящиеся к деятельности судов.

А знаете ли вы, что закон с предыдущим номером 151, посвящен вопросу .

Когда принят?

152-ФЗ был принят Государственной Думой 8 июля 2006 года. Одобрил его Совет Федерации 14 июля 2006 года. Последняя редакция закона произошла 22 февраля текущего года. Действовала она до 1 марта 2017.

Порядок использования персональных данных

Согласно закону РФ, руководитель компании должен утвердить порядок использования личных сведений. Необходимые нормы указываются в локальном документе организации о защите данных. Они должны соответствовать требованиям правовых актов РФ и 152-ФЗ.

Оператор личных данных — это правительственный, муниципальный орган или физическое, юридическое лицо, которое организует осуществление обработки личной информации и определяет цели их использования.

В обязанности оператора входит :

1. При сборе личных сведений, оператор предоставляет по просьбе гражданина информацию о том, чьи данные он получил, информацию, которая предусмотрена ст. 14 ч.7 152-ФЗ.

2. Если гражданин обязан предоставить свои сведения по закону РФ, оператор должен объяснить ему, что в случае отказа, можно столкнуться с юридическими последствиями.

3. Если полученная оператором для обработки личная информация не была предоставлена ее владельцем, он обязан предоставить ему следующую информацию:

  • ФИО и адрес оператора;
  • С какой целью обрабатываются данные и на основании каких правовых актов;
  • Права гражданина, чьи данные были получены;
  • При помощи какого источника была получена личная информация.

4. Согласно положениям 152-ФЗ, оператор назначает ответственное лицо в определенной организации, которое организовывает обработку полученных материалов. Уполномоченное лицо получает указания по дальнейшим действиям от оператора.

Обработка личной информации по 152-ФЗ разрешается в следующих случаях:

  • Анализ личной информации вправе осуществляться с согласия гражданина, чьи данные были получены;
  • Если обработка информации требуется для достижения целей, предусмотренные законом РФ или международными договорами России;
  • Анализ информации необходим для судебной инстанции;
  • Обработка сведений требуется для защиты жизни гражданина;
  • Производится в статистических или исследовательских целях, за исключением целей, указанных в статье 15, 152-ФЗ.

Кстати, текст закона о почтовой связи тоже важно изучить. Подробности

Последние изменения ФЗ «О защите персональных данных»

Поскольку законодательные акты зачастую претерпевают корректировки, в 152-ФЗ также были внесены изменения.

По причине вступления в силу Федерального закона от 03.07.2016 № 230-ФЗ претерпели изменения условия анализа личной информации, описанные в Федеральном Законе 152.

Статья 3

В 3 статье закона описываются основные понятия, которые используются в акте: персональные данные, оператор, обработка персональных сведений, а также распространение и предоставление личных сведений. В последней редакции представленная статья не претерпела изменений.

Статья 5

В 5 статье федерального закона описаны принципы анализа информации. Отмечается, что обработка сведений осуществляется только по закону и объединение базы данных с личной информацией граждан запрещена. В последнем редактировании текущая статья не подвергалась изменениям.

Статья 7

В 7 ст. 152-ФЗ сказано, что операторы и другие ответственные лица, получившие доступ к личным данным, обязаны не распространять информацию, не получив согласие владельца. Изменений статья не претерпела.

Статья 9

В 9 ст. 152-ФЗ указана информация о согласии субъекта на обработку его личных данных. Представлены сведения о том, как составить письменное согласие.

При последней редакции, изменений в текущей статье не было.

Статья 19

19 статья 152 Федерального Закона указывает меры для обеспечения безопасности личной информации при ее анализе.

Скачать 152-ФЗ

Чтобы разрешить конфликтную ситуацию или иные вопросы, связанные с защитой персональных данных, изучите последнюю редакцию 152-ФЗ РФ. В представлены все поправки, дополнения и изменения. Скачать измененный закон можно по