+7 (495)730-07-66
Консультация дня
Обработка персональных данныхВсе консультации

Изменения в законодательстве об обработке персональных данных в 2017 году

Вопрос:

Подскажите, какие основные изменения произошли в политике обработки персональных данных в этом году? Обновлённый ФЗ стал строже - в чём? Каким образом теперь необходимо работать по этой политике? Как она должна быть оформлена, организована?

Ответ:

Основные изменения в области нормативного регулирования обработки персональных данных в 2017 году к настоящему времени связаны с уточнением порядка осуществления государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных и ужесточением ответственности субъектов обработки персональных данных за нарушение требований законодательства об обработке персональных данных.

Обоснование:

Основным нормативным правовым актом, регулирующим обработку персональных данных различными субъектами, является Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных".

Основные изменения 2017 года Закона N 152-ФЗ и взаимосвязанного с ним законодательства к настоящему времени связаны с:

  1. Уточнением порядка осуществления государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (Федеральный закон от 22.02.2017 N 16-ФЗ);
  2. Ужесточением ответственности субъектов обработки персональных данных за нарушение требований Закона N 152-ФЗ, с более подробным описанием состава правонарушений (Федеральный закон от 07.02.2017 N 13-ФЗ).

1. Установлено, что уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций / Роскомнадзор (часть 1 статьи 23 Закона N 152-ФЗ). В данном тексте лишь уточнены формулировки.

Закреплено, что порядок организации и проведения проверок операторов, являющихся юридическими лицами и индивидуальными предпринимателями, а также порядок организации и осуществления государственного контроля и надзора за обработкой персональных данных иными операторами устанавливается Правительством РФ (часть 1.1 статьи 23 Закона N 152-ФЗ). На данный момент указанный порядок Правительством РФ еще не определен.

Изменения вступили в силу 1 марта 2017 года.

2. Лица, виновные в нарушении требований Закона N 152-ФЗ, несут предусмотренную законодательством Российской Федерации ответственность (часть 1 статьи 24 Закона N 152-ФЗ).

В частности, нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет административную ответственность по статье 13.11 КоАП РФ в виде предупреждения или наложения административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

Однако уже с 1 июля 2017 года не только многократно повышаются штрафы для тех, кто обрабатывает персональные данные (с 10 тыс.руб. до максимально 75 тыс.руб.), но и приведенный единственный состав административного правонарушения заменяют вводимые семь составов:

  • обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 статьи13.11 КоАП РФ, если эти действия не содержат уголовно наказуемого деяния (часть 1 статьи 13.11 КоАП РФ);
  • обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных (часть 2 статьи 13.11 КоАП РФ);
  • невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных (часть 3 статьи 13.11 КоАП РФ);
  • невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных (часть 4 статьи 13.11 КоАП РФ);
  • невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (часть 5 статьи 13.11 КоАП РФ);
  • невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния (часть 6 статьи 13.11 КоАП РФ);
  • невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных (часть 7 статьи 13.11 КоАП РФ).

Протоколы об административных правонарушениях, предусмотренных статьей 13.11 КоАП РФ, уполномочены составлять должностные лица Роскомнадзора (пункт 58 части 2 статьи 28.3 КоАП РФ в будущей редакции). 

Лисицкая О.С.,
эксперт по гражданскому, корпоративному и трудовому праву

Подписаться на рассылку новых консультаций