«О внесении изменения в статью 25 федерального закона „О персональных данных“» срок приведения.

Содержание

Внесение законопроектов в Государственную Думу

К персональным данным можно отнести любую информацию, которой достаточно, чтобы однозначно определить физическое лицо и получить о нём какую-либо дополнительную информацию. Любая организация, работающая с данными физических лиц, должна защитить информационные системы и получить документы, подтверждающие соответствие этих систем требованиям закона.

Определения

  • Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
  • Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Зачем России этот закон

Поводом для принятия закона о защите персональных данных стала необходимость устранения барьеров в международной торговле со странами Евросоюза. Осуществление обмена персональными данными, зачастую необходимыми при совершении сделок, возможно только между государствами, способными обеспечить соответствующую защиту передаваемой и получаемой информации. Для сравнения, в Норвегии и Франции подобные законы были введены еще в конце девятнадцатого столетия. Осенью 2005 года Государственная дума ратифицировала конвенцию Совета Европы «О защите личности в связи с автоматической обработкой персональных данных».

По закону каждой информационной системе, в которой хранятся и обрабатываются персональные данные, необходимо присвоить класс, в соответствии с которым будет обеспечиваться защита этих данных. Кроме того, информационные системы могут быть типовыми или специальными, и последние требуют для эксплуатации обязательного лицензирования. Специальными, например, считаются системы, содержащие информацию о состоянии здоровья и те, на основе которых предусмотрено принятие решений, порождающих юридические последствия. Иными словами, если данные из таких информационных систем, а точнее, их анализ и обработка, могут повлиять на жизнь или здоровье субъекта персональных данных. Класс специальных информационных систем определяется на основе модели угроз безопасности персональных данных в соответствии с нормативно-методическими документами регуляторов.

Как утверждали и меняли закон

Передачу персональных данных на зарубежные сервера планируется ограничить

МинкомсвязьРоссии подготовила в мае 2017 года поправки в закон «О персональных данных», которые предполагают ограничение передачи персональных данных на зарубежные сервера российских компаний.

Как пишут «Известия», в настоящее время ограничения касаются передачи данных зарубежным юрлицам. Сервера российских компаний, находящиеся за рубежом, под это ограничение не подпадают.

Поправки, подготовленные министерством, предполагают применять формулировку «трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства».

Депутаты ужесточили наказание за нарушения в работе с персональными данными

Госдума приняла в начале 2017 года закон об увеличении штрафов за нарушение закона о сборе, обработке и хранении персональных данных.

За нарушения в работе с персональными данными для юрлиц предусмотрен штраф до 10 тыс. руб. Однако, по мнению авторов закона, действующая норма не учитывает тяжесть негативных последствий правонарушения, поэтому депутаты предложили ужесточить наказание.

Теперь за обработку персональных данных в случаях, не предусмотренных законодательством РФ, либо обработку данных, несовместимую с целями сбора таких данных, будут наказывать предупреждением или штрафом от 1 до 3 тыс. руб. для граждан, от 5 до 10 тыс. руб. для должностных лиц и от 30 до 50 тыс. руб. для юридических лиц.

Обработка персональных данных без согласия гражданина приведёт к наложению штрафа в размере от 3 до 5 тыс. руб. для граждан, от 10 до 20 тыс. руб. для должностных лиц и от 15 до 75 тыс. руб для юридических лиц. При невыполнении государственным или муниципальным оператором требований по обезличиванию данных должностные лица получат штраф от 3 до 6 тыс. руб.

Отказ оператора предоставить человеку информацию об обработке его персональных данных повлечёт предупреждение или штраф от 1 до 2 тыс. руб для граждан, от 4 до 6 тыс. руб. для должностных лиц, от 10 до 15 тыс. руб. для индивидуальных предпринимателей и от 20 до 40 тыс. руб. для юридических лиц.

В правительстве считают, что подобные поправки позволят эффективно защищать права и интересы граждан и позволят обеспечить неотвратимость наказания.

Изменения в законе с 1 сентября 2015 года

Основная статья: Регулирование персональных данных в РФ (изменения с 1 сентября 2015 года)

С 1 сентября 2015 года в России вступило в силу положение, обозначенное законом ФЗ-242, которое обязывает операторов персональных данных обрабатывать и хранить персональные данные россиян с использованием баз данных, размещенных на территории РФ. В связи с тем, что отдельные термины и формулировки, использованные в данном положении, допускают различные толкования, Минкомсвязи подготовило разъяснения к нему. Перечень разъяснений доступен по ссылке.

2006-2010 годы

В июле 2006 года был принят федеральный закон №152-ФЗ «О персональных данных». Закон вступил в силу в январе 2007 года.

В декабре 2009 г., Госдума успела в трех чтениях принять перенос срока приведения ранее созданных ИСПДн в соответствие с требованиями ФЗ «О персональных данных» с 1 января 2010 г. на 1 января 2011 г.

Законопроект об очередной отсрочке был принят Госдумой в первом чтении 7 декабря 2010 г. Изначально в законопроекте предлагалось перенести сроки вступления в силу закона «О персональных данных» еще на год – до 1 января 2012 г.

Федеральным законом предусматривается, что информационные системы персональных данных (ИСПДн), созданные до 1 января 2011 г., должны быть приведены в соответствие с требованиями ФЗ «О персональных данных» не позднее 1 июля 2011 г. Таким образом, вступление в силу требований закона «О персональных данных» было отсрочено еще на полгода.

Федеральный закон «О внесении изменений в статью 25 Федерального закона `О персональных данных`» был принят Госудумой 10 декабря и одобрен Советом Федерации 15 декабря 2010 г.

В декабре 2010 года президент РоссииДмитрий Медведев подписал федеральный закон «О внесении изменений в статью 25 Федерального закона `О персональных данных`».

Кого касаются требования

Требования к обеспечению безопасности персональных данных касаются практически всех. Ведь к информационным системам персональных данных могут быть отнесены, кроме кадровых и бухгалтерских, биллинговые системы, call-центры и автоматизированные системы бюро пропусков. Даже если секретарь просто набирает у себя в компьютере список сотрудников с телефонами и днями рождений – эта информация должна быть защищена.

С другой стороны, уже, несомненно, назрела реальная необходимость обеспечивать адекватную защиту персональных данных. C каждым днем увеличивается как ценность информации, так и изощренность способов, которыми ее можно несанкционированно получить. И, если и не самыми ценными, то, по крайней мере, самыми популярными для злоумышленников являются персональные данные. По материалам исследования компании InfoWatch в 2009 году среди всех зарегистрированных утечек информации персональные данные составили 89,8%.

В итоге согласно Федеральному закону №242-ФЗ, при сборе персональных данных, в том числе через интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан России с использованием баз данных, находящихся на территории РФ.

Ответственность за невыполнение требований

2019

Госдума одобрила во втором чтении проект о хранении личных данных

19 ноября 2019 года Государственная Дума приняла во втором чтении законопроект, существенно увеличивающий штраф за отказ хранить персональные данные россиян на серверах на территории РФ.

Ко второму чтению авторы инициативы снизили размеры минимальных штрафов за первичное нарушение.

Для должностных лиц сначала предлагали штраф в размере 200-500 тысяч рублей, а стало от 100 тысяч до 200 тысяч рублей. За повторное нарушение планировали назначить штраф от 500 тысяч до 1 млн рублей, а ко второму чтению стало от 500 тысяч до 800 тысяч рублей.

Для юрлиц предлагали штраф от 2 млн до 6 млн рублей, а теперь — от 1 млн до 6 млн рублей. Штраф за повторное нарушение, как и в первоначальной версии, предлагается от 6 млн до 18 млн рублей.

Глава МинкомсвязиКонстантин Носков назвал завышенными штрафы за отказ хранить персональные данные россиян в России. Он считает, что соответствующий проект закона требует доработки и дополнительного обсуждения.

Предусмотренные действующей редакцией Кодекса об административных правонарушениях санкции за совершение административных проступков в указанной сфере не отвечают принципам соразмерности, не обеспечивают необходимого профилактического эффекта, создают условия для совершения повторных и неоднократных нарушений, — говорится в пояснительной записке к законопроекту. Прежде нарушителей штрафовали на 3000 руб. по ст. 19.7 КоАП за непредоставление информации.

По словам авторов законопроекта, неисполнение обязанности по локализации баз с персональными данными создает угрозу безопасности граждан, функционирования критической информационной инфраструктуры, препятствует эффективной борьбе с терроризмом и экстремизмом. Это вынуждает к принятию стимулирующих соблюдение закона санкций за такие нарушения.[1]

В России в 6000 раз поднимут штрафы за отказ хранить данные

10 сентября 2019 года стало известно, что депутаты Государственной Думы в приняли в первом чтении законопроект, в десятки раз повышающий штрафы за отказ компаний хранить данные россиян в пределах границ России. Если раньше им грозили принудительные выплаты в размере 3 тыс. руб., то принятый документ предполагает многомиллионные взыскания.

На рассмотрение в Госдуму законопроект «О внесении изменений в Кодекс РФ об административных правонарушениях» был внесен 13 июня 2019 года депутатами Госдумы от партии «Единая Россия» Виктором Пинским и Даниилом Бессарабовым. Вместе с ними субъектами права законодательной инициативы числятся еще 18 депутатов. В пояснительной записке к законопроекту сказано, что при его разработке авторы ориентировались на опыт других стран, но не уточнили, каких именно. Дата рассмотрения закона во втором чтении на момент публикации материала назначена не была.

Принятый в первом чтении законопроект предусматривает увеличение штрафов для компаний, отказывающихся хранить данные российских пользователей в дата-центрах, расположенных на территории России, до 18 млн руб. В документе рассмотрено два вида наказания – за первое и последующие нарушения. За первое нарушение закона физлицам положен штраф в размере от 30 тыс. до 50 тыс. руб, а на должностных лиц – от 200 тыс. до 500 тыс. руб. юридических лиц накажут на сумму от 2 млн до 6 млн. руб. Повторное правонарушение авторы законопроекта предлагают наказывать штрафом в размере от 50 тыс. до 100 тыс. руб. (физлица), от 500 тыс. до 1 млн руб. (должностные лица) или от 6 млн до 18 млн руб. (юрлица).

«Это сопоставимо с расходами, связанными с выполнением установленных законом требований», – сказано в пояснительной записке к законопроекту. Актуальный штраф в размере 3 тыс. руб. авторы документа считают «незначительным для крупных интернет-организаций, явно несоразмерным характеру правонарушения и не способным побудить к соблюдению российского законодательства».

Закон о локализации персональных данных россиян в ЦОД в пределах границ России, поправки к которому и содержит законопроект, был подписан Президентом России Владимиром Путиным 31 декабря 2014 года. В силу документ вступил 1 сентября 2019 года.

В первую очередь закон направлен против крупных иностранных корпораций – некоторые из них за четыре года действия закона были оштрафованы на 3 тыс. руб. К их числу относятся Facebook и Twitter, которым Роскомнадзор в декабре 2018 года направлял требования о предоставлении сведений по локализации данных российских пользователей на территории России. В январе 2019 года он завел на них дело, а в апреле 2019 года обе компании получили штраф на указанную сумму. В обоих случаях постановление вынес Мировой суд Таганского района Москвы, хотя Twitter еще в апреле 2017 года заявлял о готовности перенести персональные данные россиян в Россию, отметили в CNews.

В ряде случаев компаниям могут грозить не только крупные штрафы, но и блокировки их веб-ресурсов в российском сегменте интернета. Так произошло с крупной социальной сетьюLinkedIn – постановление о блокировке выдал тот же Таганский суд Москвы, а соответствующий иск за несоблюдение требований по локализации персональных данных российских граждан подал Роскомнадзор.

В то же время компании Apple штрафы не грозят: «Эппл рус», дочерняя компания американской Apple, включена в реестр операторов персональных данных Роскомнадзора, о чем свидетельствуют сведения на сайте ведомства. Как сообщили в CNews, ООО «Эппл рус» внесено в реестр 29 декабря 2018 года, а заявка на включение была подана четырьмя днями ранее – 25 декабря 2018 года. Ответственность за обработку персональных данных россиян возложена на сотрудника «дочки» Apple Александра Котилевского.

Принятый в первом чтении законопроект также предлагает увеличить штрафы для поисковиков за повторное нарушение действующих ограничений в их работе, к которым относится, в том числе, и перенаправление пользователей на запрещенные сайты. Для граждан штраф составит от 30 до 100 тыс. руб., для должностных лиц – от 100 до 500 тыс. руб., для юридических лиц – от 1,5 до 5 млн руб.[2]

В Госдуму внесен законопроект о штрафах за нарушения хранения ПДн

В четверг 13 июня 2019 года в Государственную Думу внесен законопроект, по которому предусматриваются штрафы за нарушения хранения персональных данных (ПДн) граждан РФ до 18 миллионов рублей. В соответствии с законопроектом, ст. 13.11 Кодекса Российской Федерации об административных правонарушениях предлагается дополнить и установить штрафы в размере:

  • от 30 до 50 тысяч рублей для физических лиц;
  • от 200 до 500 тысяч рублей для должностных лиц;
  • от 2 до 6 миллионов для юридических лиц.

Административные взыскания предусмотрены за невыполнение оператором при сборе ПДн обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ. При повторном правонарушение штрафы возрастают:

  • от 50 до 100 тысяч рублей для физических лиц;
  • от 500 тысяч рублей до 1 миллиона рублей для должностных лиц;
  • от 6 до 18 миллионов рублей для юридических лиц.

Идея данного законопроекта возникла после претензий Роскомнадзора к социальным сетям Twitter и Facebook. Компании отказались от предоставления сведений о месте нахождения баз данных российских пользователей, за что их смогли оштрафовать лишь по статье 19.7 КоАП РФ (непредставление или несвоевременное представление сведений, представление которых предусмотрено законом) в размере 3 тысяч рублей. Так как отдельной статьи за нарушение такого рода требований не предусмотрено, единственное наказание, которое можно было применить — штраф по 19.7 статье КоАП РФ.

2017: Инспекторы могут наложить штраф и потребовать прекратить обработку ПДн

Инспекторы могут наложить штраф, принять решение о конфискации несертифицированых средств защиты или вынести требование о прекращении обработки персональных данных, что может принести значительные издержки предприятию. Кроме того, компания, осуществляющая обработку персональных данных с нарушением закона, несёт риски, связанные с возможными гражданскими исками от субъектов персональных данных, особенно в случаях утечки таких данных.

Президент РоссииВладимир Путин подписал закон о внесении изменений в Кодекс РФ об административных правонарушениях, который регулирует защиту персональных данных. Согласно закону, статья кодекса под номером 13.11 получила новую редакцию и новое название – «Нарушение законодательства РФ в области персональных данных». Изменения вступят в силу с 1 июля 2017 г.

Прежнее название статьи 13.11 звучит как «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)». За соответствующие нарушения существует наказание в виде предупреждения или административного штрафа. Для обычных граждан сумма штрафа составляет от p300 до p500, для должностных лиц – от p500 до p1 тыс. Юридические лица платят от p5 тыс. до p10 тыс.

С 1 июля 2017 г., если обработка персональных данных выходит за рамки случаев, предусмотренных законодательством, или является несовместимой с целями сбора данных, то за нее следует наказание в виде предупреждения или штрафа. Для обычных граждан штраф составит от p1 тыс. до p3 тыс., для должностных лиц – от p5 тыс. до p10 тыс., для юридических лиц – от p30 тыс. до p50 тыс. Все это – только в том случае, если такая обработка данных не содержит уголовно наказуемой составляющей.

В ряде случаев законодательство требует получить письменное согласие субъекта на обработку персональных данных. Если это согласие не получено, а данные тем не менее обрабатываются, нарушитель выплачивает штраф. Для граждан сумма штрафа составит от p3 тыс. до p5 тыс., для должностных лиц – от p10 тыс. до p20 тыс., для юридических лиц – от p15 тыс. до p75 тыс. Это же наказание применяется, если изменен состав сведений, на обработку которых дал согласие субъект.

Если оператор не обеспечил доступ к документу, где изложена его политика в отношении обработки персональных данных, то этот оператор получает предупреждение или платит штраф. Для обычных граждан сумма штрафа составит от p700 до p1,5 тыс. Должностные лица будут платить от p3 тыс. до p6 тыс. Индивидуальные предприниматели будут штрафоваться на сумму от p5 тыс. до p10 тыс., юридические лица – от p15 тыс. до p30 тыс.

Срок, в течение которого нарушителя следует привлечь к ответственности по статье 13.11, по-прежнему составляет 3 месяца, но теперь в него легче будет уложиться, поскольку процедура значительно сократилась. Дело в том, что раньше протоколы о нарушении этой статьи составлялись прокуратурой, а с 1 июля 2017 г. этим займутся чиновники Роскомнадзора и его региональных подразделений.

То есть, сейчас Роскомнадзор, выявив нарушение, обращается за протоколом в прокуратуру, и уже она направляет этот протокол в суд. Согласно новому закону, прокуратура выпадает из процесса. Это должно ускорить ход подобных дел. Если сейчас штрафы часто не взимаются из-за истечения срока давности, то с 1 июля 3 месяцев должно быть вполне достаточно[3].

Что мешает соблюдать закон?

Во-первых, серьезным препятствием являются технические проблемы. Несмотря на то, что обязательство использовать шифровальные (криптографические) средства было снято в новой редакции закона, операторы обязаны использовать комплекс технических и организационных средств защиты в соответствии с классом их системы. Мало того, для организации соответствующей защиты чаще всего компании необходимо практически полностью обновить парк технических средств. Компании специализированные или имеющие соответствующий штат, могут самостоятельно внедрять системы безопасности для защиты корпоративной информации, в том числе, включающей в себя и персональные данные о контрагентах и сотрудниках. Другие компании, которые по тем или иным соображениям не желают заниматься вопросами безопасности самостоятельно, обращаются в специализированные фирмы. Но в конечном итоге выбор средств защиты ложится на плечи того, кто их оплачивает, и война экономии и безопасности неизбежна. Выполнение формальных требований ФЗ-152 не обеспечивает реальную защиту конфиденциальной информации, в том числе персональных данных, от утечки и иных внутренних угроз.

Во-вторых, это проблемы с сертификацией. Ведь с точки зрения законодательства во главу угла становится не сама безопасность, а соответствие мер по защите персональных данных тем, которые определены в стандарте. И не исключено, что некоторые компании ограничатся только расходами на лицензирование. Уже сейчас, пробежавшись по первому десятку компаний из поисковой системы, которые занимаются аутсорсингом в сфере защиты информации, можно заметить, что большинство из них делают акцент не на разработку систем защиты, а на помощь в сборе документов для получения лицензии.

Третьей существенной проблемой на пути успешного внедрения закона является разбалансированность операторского рынка. В действительности необходимо различать требования безопасности, предъявляемые к разным источникам данных. Операторы данных могут напоминать в этой ситуации слепых котят — все разнообразие методов и способов защиты информации подведено регуляторами под одну гребенку, а существующие объединения на рынке решают вопросы узкого круга компаний и не отстаивают интересы участников рынка в целом.

Защита персональных данных

Основная статья: Защита персональных данных в России

Хронология событий

2020

Суд оштрафовал Twitter на 4 млн рублей за отказ переносить серверы в Россию

13 февраля 2020 года мировой суд в Москве наложил на Twitter штраф за отказ социальной сети переносить в РФ серверы с данными российских пользователей.

Признать иностранное юридическое лицо Twitter Inc. (зарегистрировано в Калифорнии, США) виновным в совершении административного преступления и назначить штраф в размере 4 млн рублей, — огласила решение судья Александра Михалева (цитата по «РИА Новости»).

В России создан маркетплейс для продажи данных россиян компаниям

В конце января 2020 года стало известно о запуске платформы «Датамания», разработанной компанией IDX и позволяющей россиянам заработать на продаже своих данных. В этот проект 50 млн рублей вложили Фонд развития интернет-инициатив (ФРИИ) и израильский инвестиционный фонд Нuman Digital Capital. Общий объём инвестиций в «Датаманию» за три года составят 250 млн рублей.

2019

В России будет создана «Белая книга» с примерами ответственного обращения с данными

Аналитический центр при Правительстве РФ подписал в декабре 2019 года Кодекс этики использования данных. Документ был подготовлен при участии Ассоциации больших данных и Института развития интернета.

Согласно замыслу инициаторов разработки Кодекса, положения документа станут основой для саморегулирования участников рынка данных при их взаимодействии с гражданами, юридическими лицами, государством и между собой. Документ распространяется на работу со всеми разновидностями данных: от пользовательских до промышленных.

Основная статья: Кодекс профессиональной деятельности в сети Интернет (Кодекс этики использования данных)

Роспотребнадзор будет защищать кожу, волосы и кровь как персональные данные

В конце ноября 2019 года стало известно о том, что Роспотребнадзор отнёс кожу, волосы и кровь к персональным данным для защиты законом. Такие биоматериалы можно будет использовать только с письменного согласия человека.

Как рассказала «Российской газете» глава Роспотребнадзора Анна Попова, в законе «О персональных данных» есть пробел, позволяющий собирать генетическую информацию (например, о состоянии здоровья, образе жизни и питании, а также поведенческих особенностях) и использовать её в преступных целях. Поэтому любую генетическую информацию о россиянах нужно оградить от попадания в третьи руки.

Становится возможным использование личной информации об условиях жизни и о поведенческих особенностях, о здоровье и о семейной тайне — установлении отцовства, поле ребенка и так далее без учёта мнения владельца персональных данных, — отметила Попова.

К концу ноября 2019 года закон определяет только общий запрет на обработку некоторых категорий персональных данных без согласия. Про биоматериалы там не говорится, поэтому их можно собирать бесконтрольно, заявили в ведомстве.

К биоматериалам относятся любые ткани и жидкости человека (волосы, кожа, ногти и пр.), которые содержат ДНК.

Роспотребнадзор разработал законопроект, подразумевающий, что биологические материалы будут относиться к персональным данным, поэтому на них будет распространяться соответствующее законодательство. Например, предполагается, что россияне должны будут давать письменное разрешение на использование своих биоданных.

Эти изменения, как говорит глава Роспотребнадзора, соответствуют требованиям международного законодательства и подходам к нормативному регулированию в области обращения биологического материала и содержащейся в нем информации, используемым в международной практике.[4]

Операторов в России обязали незамедлительно блокировать сайты, нарушающих закон о персональных данных

18 ноября 2019 года на официальном интернет-портале правовой информации было опубликовано постановление правительства, согласно которому телекоммуникационные компании должны будут незамедлительно блокировать доступ к сайтам, на которых персональные данные обрабатываются с нарушением российского законодательства.

После получения информации, обрабатываемой с нарушением законодательства, оператор связи незамедлительно обязан ограничить доступ к информационному ресурсу, в том числе к сайту в сети интернет, на котором осуществляется обработка информации с нарушением законодательства РФ в области персональных данных, — сообщается в документе.

Постановление «О внесении изменения в правила создания, формирования и ведения автоматизированной информационной системы Реестр нарушителей прав субъектов персональных данных» подписано премьер-министром Дмитрием Медведевым 13 ноября 2019 года.

Реестр создан в целях ограничения доступа к информации в интернете, обрабатываемой с нарушением законодательства РФ в области персональных данных.[5]

За первые 9 месяцев 2019 года Роскомнадзор выявил более 2,4 тыс. нарушений со стороны операторов персональных данных. По итогам проверок было составлено 4 тыс. административных протоколов, наложено штрафов на сумму 2,6 млн рублей. Кроме того, был ограничен доступ к 1 тыс. 97 интернет-страницам, где осуществлялось незаконное распространение персональных данных.

7 ноября глава РоскомнадзораАлександр Жаров заявил, что ведомство готовит законодательные предложения по введению ответственности не только за распространение похищенных персональных данных, но и за их покупку и дальнейшее использование. Жаров говорил, что на тот момент около 400 тыс. компаний, включая транснациональных гигантов, хранят свои данные на территории России.

Роспотребнадзор предложил приравнять генетические данные к персональным

Правительство РФ одобрило в июле 2019 года законопроект об особенностях обработки персональных данных человека, полученных из его генетического материала. Согласно документу, данные, характеризующие генетические особенности человека, должны приравниваться к персональным и защищаться соответствующим образом[6].

Автором законопроекта является Роспотребнадзор. Документ предлагает внести изменения в ст. 11 Федерального закона «О персональных данных» от 27 июля 2006 года в части обработки биометрических персональных данных.

В случае принятия законопроект закроет пробел в законодательстве в области защиты информации о человеке, полученной из его биоматериала, содержащего генетическую информацию. Подобная информация позволяет третьей стороне ознакомиться с дополнительными данными о человеке, например, о состоянии здоровья, образе жизни, чувствительности к лекарствам и аллергенам и т.д. В связи с этим авторы инициативы предложили приравнять подобную информацию к персональным данным, к которым должны применяться дополнительные меры защиты.

Целью законопроекта является обеспечение соблюдения конституционных прав граждан в сфере отношений, связанных с обработкой персональных данных, содержащих информацию о генетических особенностях человека.

Смотрите также:

2017

Facebook и Twitter выполнят требования российского законодательства

Крупные американские компании Facebook и Twitter выполнят требования закона «О персональных данных». Facebook планирует создать российское представительство, а Twitter перенести на территорию РФ серверы с персональными данными россиян, сообщают в ноябре 2017 года «Известия» со ссылкой на свои источники.

По словам представителей Роскомнадзора, в адрес ведомства пришло письмо от компании Twitter, подтверждающее готовность социальной сети локализовать базы данных на территории РФ к середине 2018 года. Реализация договоренности находится на постоянном мониторинге службы, однако пока проведение контрольных мероприятий не планируется, отметили в ведомстве.

Как сообщают собеседники издания, Facebook также решила выполнить требования законодательства и готовится открыть в России свое представительство. Представители компании ищут в России офис и руководителя местного подразделения. По словам экспертов, данный шаг может быть обусловлен тем, что заработок Facebook на российском рынке стал достаточно значимым для компании. В 2016 году Facebook могла заработать в России от $70 млн до $100 млн, рост этого показателя в 2017 году может составить 25–30%. В то же время неизвестно, собирается ли Facebook последовать примеру Twitter и перенести серверы с персональными данными россиян на территорию РФ.

Анализ типовых нарушений в области персональных данных

По данным регулятора, наиболее распространенным нарушением в данной сфере является предоставление оператором уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения. На втором месте – непринятие мер для выполнения обязанностей, предусмотренных законом «О персональных данных».

По результатам 65 % плановых проверок, проведенных в первом полугодии 2017 года, выявлены нарушения обязательных требований законодательства Российской Федерации в области персональных данных

Представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения – 11 %
ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

  • 1) наименование (фамилия, имя, отчество), адрес оператора;
  • 2) цель обработки персональных данных;
  • 3) категории персональных данных;
  • 4) категории субъектов, персональные данные которых обрабатываются;
  • 5) правовое основание обработки персональных данных;
  • 6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
  • 7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
  • 7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
  • 8) дата начала обработки персональных данных;
  • 9) срок или условие прекращения обработки персональных данных;
  • 10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
  • 10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
  • 11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами – 9 %
ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.

Несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства Российской Федерации – 7 %
пп. а п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687

Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения:

  • о цели обработки персональных данных, осуществляемой без использования средств автоматизации,
  • имя (наименование) и адрес оператора,
  • фамилию, имя, отчество и адрес субъекта персональных данных,
  • источник получения персональных данных,
  • сроки обработки персональных данных,
  • перечень действий с персональными данными, которые будут совершаться в процессе их обработки,
  • общее описание используемых оператором способов обработки персональных данных.

Непредставление в уполномоченный орган сведений о прекращении обработки персональных данных или об изменении информации, содержащейся в уведомлении об обработке персональных данных – 7 %

Согласно ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации – 6 %
п. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687

Должны быть проинформированы:

  • о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации,
  • категориях обрабатываемых персональных данных,
  • об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

Несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации – 6 %
ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

Должно включать:

  • 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • 2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
  • 3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  • 4) цель обработки персональных данных;
  • 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • 6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  • 7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  • 9) подпись субъекта персональных данных.

Отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ – 6 %
п. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687 .

Twitter переносит персональные данные пользователей в Россию

В апреле 2017 года стало известно, что соцсеть Twitter начнет хранить персональные данные россиян, имеющиеся в ее распоряжении, на территории России, как того требует закон «О персональных данных». Перенос информации на российские сервера планируется осуществить к середине 2018 г. Сейчас компания определяет, какие именно данные будут перемещаться. Об этом сообщил Роскомнадзор, получивший письмо с уведомлением от вице-президента Twitter по вопросам публичной политики в Европе, Азии и на Ближнем Востоке Шинейд МакСуини (Sinead McSweeney).

Суд посчитал передачу обезличенных данных нарушением закона

Роскомнадзор выявил нарушения в связи с передачей пользовательских данных. Как сообщил «Известиям» представитель регулятора Ампелонский Вадим, речь идет о многочисленных фактах заключения операторами договоров о передаче сторонним компаниям. Это обнаружилось после проверок, проведенных Роскомнадзором по поручению президента. О точном количестве нарушений и компаний-нарушителей не сообщается.

Известно, однако, что МГТС собирала данные о трафике пользователей, присваивая каждому из них индивидуальный номер, и передавала их партнерам. Несмотря на то, что данные были обезличены и включали поисковые запросы и адреса посещенных страниц, суд решил, что этого достаточно для идентификации конкретных пользователей. На основе этого пользователям показывается персонифицированная реклама.

«Рекламодатель персонифицировано направляет определенную рекламу в зависимости от предпочтений субъекта, просмотренных интернет-страниц, товаров, работ, услуг и т.п.», — цитирует издание выдержку из судебных материалов.

По данным издания, оператор был оштрафован на 30 тыс. рублей. В компании с решением не согласны, однако передача данных была прекращено.

«МГТС не передавала третьим лицам сведения об абонентах. Речь шла только об обезличенных данных. Такая информация постоянно накапливается в поисковых системах без согласия пользователей, и проконтролировать дальнейшую ее передачу невозможно. Запретить использовать такую обезличенную информация можно лишь законодательно», — сказала директор по правовому обеспечению МГТС Ивана Никитина.

Вадим Ампелонский также отметил, что вопрос использования подобной информации недостаточно урегулирован. В свою очередь, представители рынка считают, что проверки свидетельствуют о начале работы по ужесточению законодательства в данной сфере.

2016

В России заблокирован LinkedIn

В России заблокировали сеть профессиональных контактов LinkedIn. Суд закрыл доступ к сервису по иску Роскомнадзора: ведомству не понравилось, что компания всё еще хранит персональные данные

Государственная Дума приняла во втором чтении законопроект, существенно увеличивающий штраф

Роспотребнадзор отнёс кожу, волосы и кровь к персональным данным для защиты законом

Телекоммуникационные компании должны будут незамедлительно блокировать доступ к сайтам, на которых персональные данные обрабатываются с нарушением российского законодательства

ВИДЕО ПО ТЕМЕ: Совет юриста — Персональные данные

Рассмотрим составление приказа о внесении изменений в документы, содержащие персональные данные работника, в связи с вступлением.

Приказ о внесении изменений в кадровые документы

Ответ на вопрос:

Изменение фамилии

Документом, удостоверяющим личность работника, является паспорт. Соответственно, сначала работница должна внести изменения в него- получить новый паспорт.


Вы узнаете больше о проверках Роскомнадзора, если перейдете в материал.


После чего сотруднице необходимо написать заявление с просьбой внести такие изменения в кадровую документацию, предоставив подтверждающие документы, а работодатель должен издать приказ и внести такие изменения.

Основанием для внесения изменений служат следующие документы сотрудника:

  • паспорт;
  • свидетельство о браке.

Также отметим, что при изменении анкетных данных сотрудника можно сделать ссылку как на оба документа– и на паспорт, и на соответствующее свидетельство (свидетельство о браке, об изменении фамилии), так и на один из них, если все необходимые данные содержатся в одном документе. Если одного документа недостаточно, то ссылка делается на оба. Как правило, при внесении изменений в трудовую книжку ссылка делается на свидетельство о браке. При внесении изменений в трудовой договор одновременно вносятся изменения и в реквизиты паспорта работника.

Далее, сотрудник кадровой службы издает приказ о внесении изменений в учетные документы в связи со сменой фамилии сотрудника. При этом, дата приказа будет текущая дата, т.е. дата предоставления документов сотрудником.

Следовательно, после внесения всех изменений в кадровые документы, Вы можете сотрудницу уже идентифицировать под новой фамилией.

Основным документом, удостоверяющим личность работника является паспорт. Однако, в паспорте, при его замене в связи со сменой фамилии, не указывается, какую фамилию работник носил до замены паспорта. Только в свидетельстве о браке, расторжении брака и свидетельстве о смене фамилии прямо указано: какая фамилия и на основании чего изменена и как она изменена. Поэтому в трудовой книжке при внесении записи о смене фамилии, как правило, ссылка делается именно на свидетельство о браке (либо как на единственный документ) либо на паспорт и свидетельство о браке. Аналогичная позиция озвучена в п. 29 Постановления Минтруда РФ N 16, ПФ РФ N 19па от 27.02.2002 (ред. от 12.03.2010) «Об утверждении Перечня документов, необходимых для установления трудовой пенсии и пенсии по государственному пенсионному обеспечению в соответствии с Федеральными законами «О трудовых пенсиях в Российской Федерации» и «О государственном пенсионном обеспечении в Российской Федерации».

Таким образом, можно сделать вывод, что до официального внесения всех изменений в персональные данные сотрудника, она должна подписываться старой фамилией, чтобы вы могли ее идентифицировать. Следовательно, в заявлении о смене фамилии сотрудница должна указать свою девичью (фамилию до регистрации брака) фамилию – как фамилию заявителя.

Итак:
Для внесения изменений в кадровые документы сотрудник должен подать работодателю письменное заявление с просьбой внести такие изменения в учетные документы и представить подтверждающие документы (свидетельство о заключении брака, разводе, паспорт).

Далее сотрудник кадровой службы издает приказ о внесении изменений в учетные документы в связи со сменой фамилии сотрудника. Законодательно форма приказа не установлена, поэтому составить его можно в произвольной форме.

Затем на основании приказа необходимо внести изменения в следующие документы:

Примечание:

Изменения в трудовом договоре:

В настоящее время допускается внесение в трудовой договор несколькими способами:

Первый способ: внесение исправлений непосредственно в текст первоначального документа.

Авторы системы исходят из прямого положения ст. 57 Трудового Кодекса РФ, согласно которой недостающие сведения могут вноситься непосредственно в текст трудового договора. Эта позиция имеет право на существование. Однако, порядок внесения технических исправлений в документ требует соблюдения определенной процедуры. Например, исправление в первичном учетном документе должно содержать дату исправления, а также подписи лиц, составивших документ, в котором произведено исправление, с указанием их фамилий и инициалов либо иных реквизитов, необходимых для идентификации этих лиц (пункт 7 ст. 9 Федерального закона от 06.12.2011 N 402-ФЗ (ред. от 28.06.2013) «О бухгалтерском учете»), если документ скреплен печатью, то на удостоверительной записи ставится и печать. Аналогичный порядок внесения исправлений непосредственно в текст документа определен, например, и Приказ Минюста РФ от 15.03.2000 N 91 «Об утверждении Методических рекомендаций по совершению отдельных видов нотариальных действий нотариусами Российской Федерации»

В соответствии со ст. 45 «Основ законодательства Российской Федерации о нотариате (утв. ВС РФ 11.02.1993 N 4462-1) (ред. от 05.04.2013)нотариусы не принимают для совершения нотариальных действий документы, имеющие подчистки либо приписки, зачеркнутые слова и иные неоговоренные исправления, а также документы, исполненные карандашом. Таким образом, если в трудовой договор просто внести исправление путем зачеркивания одной фамилии и внесения иной фамилии, то работник просто будет лишен возможности, при необходимости нотариально заверить копия с этого документа.

Кроме того, подобное исправление допустимо при одновременном внесении исправлений в оба экземпляра трудового договора, нужно сохранить их тождество (аутентичность). А если, например, работник не предоставит свой экземпляр, а при рассмотрении спора в суде появятся два экземпляра трудового договора один с исправлениями, а второй без них…. То спор о подлежащем применению документе неизбежен.

Второй способ: составление доп. соглашения

При необходимости внесения изменений в договор, можно составить дополнительное соглашение к договору, в котором описать все вносимые в документ исправления и изменения. Доп. соглашение подписывается теми же сторонами, что и основной договор и удостоверяется также как и основной договор. Что делает все исправления, внесенные таким способом, легитимными (законными). Более того, во втором случае нам совершенно не нужно в момент подписания доп. соглашения видеть оба экземпляра трудового договора.

Пример такого доп. соглашения приведен в п. 2 приложения к ответу

Образец внесения изменений в трудовую книжку приведен в подборке материалов Системы.

Работник поменял паспорт

Согласно статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», «персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в т.ч. его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация«.

При смене сотрудником паспорта (например, по достижении 20 или 45 лет) внесите изменения в реквизиты паспорта, указанные в трудовом договоре и личной карточке работника. Больше ни в какие кадровые документы вносить изменения не нужно.

Изменения в трудовой договор внесите в том же порядке, как и при смене фамилии, то есть по правилам отражения недостающих сведений путем зачеркивания неактуальных данных и дополнения новыми. В личной карточке изменение реквизитов паспорта (серия, номер, дата выдачи и подразделение, выдавшее документ) отразите в разделе X «Дополнительные сведения», если в пункте 11 раздела «Общие сведения» не осталось свободного места.

Не является нарушением и широко применяется составление дополнительного соглашения к трудовому договору, в котором стороны излают реквизиты сторон с учетом произошедших изменений паспортных данных работника.

Таким образом, с предоставленного работником нового паспорта снимите копию, которую после внесения всех изменения подшейте в личное дело работника. На основании данного паспорта внесите изменения в трудовой договор и личную карточку работника.

Подробности в материалах Системы Кадры:

Изменение фамилии: в каких отразить документах?

Ситуация, когда работник просит вас внести изменения в кадровые документы, встречается на практике довольно часто. Очень важно сделать это быстро и правильно. В каких случаях меняется фамилия и иные сведения о работнике? Какими документами подтверждаются изменения? Что и как нужно исправить, какие бумаги оформить?

В нашей стране любые изменения личных данных человека (имя, фамилия, отчество, место и дата рождения, пол и т. д.) фиксируются и документально оформляются органами записи актов гражданского состояния (ЗАГС) строго на основании Федерального закона от 15 ноября 1997 г. № 143-ФЗ «Об актах гражданского состояния». Личные данные работника могут измениться в результате заключения брака, развода или решения человека их поменять. Задача кадровой службы, особенно в крупных организациях, как можно быстрее оформить эти изменения, чтобы предотвратить путаницу в оформлении организационных, бухгалтерских и налоговых документов.

Что исправляем?

Основания для изменения личных данных работника

Действие Дата начала действия изменений Подтверждающий документ Личные документы, в которые (событие) обязательно вносятся изменения
Заключение брака День государственной регистрации (ст. 10 СК РФ) Свидетельство о заключении брака Паспорт (документ, удостоверяющий личность)
Расторжение брака День государственной регистрации или вступления решения суда в законную силу (ст. 25 СК РФ) Свидетельство о расторжении брака Паспорт (документ, удостоверяющий личность)
Перемена имени День государственной регистрации или вступления решения суда в законную силу Свидетельство о перемене имени Паспорт (документ, удостоверяющий личность);все ранее выданные свидетельства о регистрации актов гражданского состояния; свидетельство о рождении ребенка (если он еще не достиг возраста 18 лет)

Заявление.

Часто бывает так, что работник просит изменить его фамилию в кадровых документах только на основании свидетельства, выданного отделом ЗАГС, еще не поменяв паспорт. Обязательно поясните, что прежний паспорт действителен только в течение месяца со дня выдачи свидетельства, и что за проживание с недействительным документом предусмотрен административный штраф. Попросите работника указать в заявлении, когда именно он обязуется предъявить вам новый паспорт. И когда документ будет представлен, внесите изменившиеся сведения в форму № Т-2 и трудовой договор.


Читайте о документах по защите персональных данных, чтобы не совершать ошибок.


Приказ.

Трудовая книжка.

Личная карточка (форма № Т-2). При изменении сведений о работнике в его личной карточке данные заверяются подписью работника кадровой службы**. Не забудьте указать дату внесения изменений (образец ниже).


Более подробно о персональных данных работника вы можете узнать в статье.


Трудовой договор.

* Пункт 2.3 Инструкции по заполнению трудовых книжек (утверждена постановлением Минтруда России от 10 октября 2003 г. № 69).

** Указания по применению и заполнению форм первичной учетной документации (утверждены постановлением Госкомстата России от 5 января 2004 г. № 1).

  1. Журнал: Кадровое дело, №6, 2008 год
  2. Формы документов:
  1. Формы документов: пример доп. соглашения о внесении исправлений в трудовой договор:

ДОПОЛНИТЕЛЬНОЕ СОГЛАШЕНИЕ № 1
к трудовому договору от 14 мая 2007 г. № 475

г. Москва 25.08.2010

Закрытое акционерное общество «Производственная фирма «Мастер»» (ЗАО «ПФ
«Мастер»»), именуемое в дальнейшем «Работодатель», в лице генерального директора Львова
Александра Владимировича, действующего на основании Устава, с одной стороны, и Зайцева Виктория Николаевна, именуемый в дальнейшем «Работник», с другой
стороны, договорились внести в трудовой договор от 14 мая 2007 г. № 475 (далее — Трудовой
договор) следующие изменения:

ВИДЕО ПО ТЕМЕ: Что делать, если у ИП изменились персональные данные (ИП/РФ)

Фамилия, имя, отчество, паспортные данные и другая информация о сотруднике относятся к его персональным данным (п. 1 ст.

Приказ о внесении изменений в персональные данные работника образец

Приказ о внесении изменений в документы, содержащие персональные  данные работника – документ, составление которого необходимо при решении внести изменения в документы, содержащие персональные данные работников. С данным приказом в обязательном порядке должен быть ознакомлен работник, в чьи документы вносились изменения, работники кадровой службы и бухгалтерии предприятия.

На основании раннее составленного согласия работника на обработку персональных данных, конфиденциальная информация о нем может быть использована определенным кругом лиц при осуществлении им трудовых отношений. Перечень лиц в обязательном порядке должен быть зафиксирован в Приказе об утверждении списка лиц, имеющих доступ к персональным данным сотрудника. При решении внести изменения в документы, содержащие персональные данные конкретного сотрудника целесообразно утвердить соответствующий приказ. Уполномоченные работники кадровой службы предприятия вносят изменения в документы, которые содержать конфиденциальную информацию, на основании соответствующих документов, выданных уполномоченными органами.

Внесение изменений в документы, содержащие персональные данные работников должно соответствовать положениям, зафиксированных в Федеральном законе № 152-ФЗ «О персональных данных», а так же в Положении о персональных данных работников, которое в обязательном порядке должно быть разработано на каждом предприятии.

ВИДЕО ПО ТЕМЕ: Принуждение к Обработке Персональных Данных! Обезличивание/Блокирование/Уничтожение/Изменение РАБов!

С приказом о внесении изменений в документы, содержащие персональные данные, необходимо ознакомить самого работника и лиц.