Cambios en la protección de datos personales en el año. Ley Federal de Datos Personales. No podrá presentarse la notificación si

En particular, amplió la lista de motivos para asumir la responsabilidad administrativa por el procesamiento ilegal de datos personales (PD) y aumentó las multas.

Datos personales: multas

Tenga en cuenta: es precisamente esta razón, como el procesamiento de datos personales sin obtener el consentimiento del sujeto, la que prevé las multas más elevadas para todas las categorías de infractores: hasta 75.000 rublos.

Al respecto surgen muchas preguntas, las más frecuentes:

• ¿Soy responsable del tratamiento de datos?
• ¿Me aplica la Ley de Datos Personales?
• ¿Cómo notificar a Roskomnadzor sobre el procesamiento de datos personales?
• ¿Qué debe hacer el propietario de un sitio web para evitar multas?

Abordemos todas las preguntas en orden.

A partir del 1 de julio de 2017, cambios en el art. 13.11 Código de Infracciones Administrativas de la Federación de Rusia sobre responsabilidad administrativa por violación de la legislación sobre datos personales de personas físicas. Dado que las modificaciones afectan a todos los que utilizan datos personales, consideraremos estas innovaciones en nuestro artículo.

Tratamiento de datos personales – 2017

Los datos personales son cualquier información directa o indirectamente relacionada con un individuo específico (nombre, dirección residencial, fecha de nacimiento, datos del pasaporte, número de teléfono, fotografía, dirección de correo electrónico, etc.). Una organización, agencia gubernamental o individuo que recopila y procesa datos personales se denomina operador (Ley de Datos Personales del 27 de julio de 2006 No. 152-FZ). Estos incluyen a los empleadores, así como a todas las personas que reciben datos personales de los ciudadanos: instituciones médicas, instituciones educativas, tiendas en línea, etc.

Para el empleador, dichos datos son necesarios en relación con las relaciones laborales. Sólo pueden recibirse personalmente del propio empleado y de terceros, con su consentimiento por escrito. El individuo da su consentimiento por escrito para el procesamiento de datos personales. El formulario no está aprobado por ley; puede redactarlo usted mismo, teniendo en cuenta los requisitos del apartado 4 del art. 9 de la Ley No. 152-FZ (Cláusula 3, Parte 1, Artículo 86 del Código del Trabajo de la Federación de Rusia, Cláusula 1, Artículo 9 de la Ley 152-FZ).

Consentimiento para el tratamiento de datos personales (muestra)

Es inaceptable recopilar y procesar datos personales de los empleados que no estén relacionados con su actividad laboral, por ejemplo, sobre participación en asociaciones públicas, religión, vida personal, etc. Lo mismo se aplica a otros operadores que solicitan datos que no están relacionados con el propósito de su procesamiento (por ejemplo, indicar datos de pasaporte en un cuestionario sobre la evaluación del rendimiento del sitio). Los datos recibidos no deben ser cedidos a terceros ni distribuidos sin el consentimiento del individuo (artículo 7 de la Ley No. 152-FZ).

El operador está obligado a brindar una protección adecuada a los datos, para lo cual establece el procedimiento para su recepción, procesamiento y almacenamiento en el Reglamento de Datos Personales u otras normas internas. El documento define las medidas necesarias y también asigna un responsable del tratamiento. El acceso a dichos datos debe permitirse únicamente a personas autorizadas, y estas tienen derecho a recibir únicamente la información necesaria para realizar funciones específicas (artículo 88 del Código del Trabajo de la Federación de Rusia, artículo 18.1 de la Ley No. 152-FZ).

Las regulaciones sobre datos personales u otro documento sobre la política para su procesamiento son de dominio público y se presentan a solicitud de organismos autorizados; esto se aplica tanto a los empleadores como a otros operadores (Partes 2 y 4 del artículo 18.1 de la Ley N ° 152 -FZ).

Datos personales – 2017: novedad en responsabilidad administrativa

La Ley N ° 13-FZ del 07/02/2017 adoptó una nueva versión del artículo 13.11 del Código de Infracciones Administrativas de la Federación de Rusia. Si antes el artículo contenía un solo elemento: la violación de la Ley federal sobre datos personales, ahora se trata de una lista completa de siete motivos de responsabilidad administrativa y, en consecuencia, de diversas multas. Es probable que si un operador detecta varias infracciones se enfrente a varias multas, no sólo a una.

Además, los artículos 28.3 y 28.4 del Código de Infracciones Administrativas de la Federación de Rusia han sufrido cambios, simplificando el proceso de llevar a los operadores ante la justicia: desde el 01/07/2017, se elaboran protocolos sobre violaciones de la Ley 152-FZ sobre datos personales. por empleados de Roskomnadzor, y no por el fiscal, como antes. El plazo para comparecer ante la justicia siguió siendo el mismo: tres meses.

¿Por qué les multan ahora?

A continuación se detallan los motivos por los cuales los empresarios y organizaciones que procesan datos personales ahora pueden ser considerados administrativamente responsables:

• Los datos se procesan en los casos no previstos por la Ley federal sobre datos personales o su procesamiento es incompatible con los fines de la recopilación (Parte 1 del artículo 13.11 del Código de Infracciones Administrativas de la Federación de Rusia). El uso ilegal de datos personales, si no implica responsabilidad penal, está sujeto a una advertencia o una multa: para individuos por un monto de 1.000 a 3.000 rublos, para funcionarios, de 5.000 a 10.000 rublos, para organizaciones, de 30.000 a 50.000 rublos.
• Procesamiento de datos sin el consentimiento por escrito requerido por la ley (cláusula 2 del artículo 13.11 del Código de Infracciones Administrativas de la Federación de Rusia). El consentimiento para el procesamiento debe contener la información especificada en la Parte 4 del art. 9 de la Ley 152-FZ sobre datos personales. Los cambios de 2017 prevén una multa por su ausencia a partir del 1 de julio por la siguiente cantidad: para infractores individuales: de 3.000 a 5.000 rublos, para funcionarios: de 10.000 a 20.000 rublos, para organizaciones: de 15.000 a 75.000 rublos.
• Falta de acceso ilimitado a la política del operador en el campo del procesamiento de datos personales (cláusula 3 del artículo 13.11 del Código de Infracciones Administrativas de la Federación de Rusia). La obligación de proporcionar acceso se establece en el inciso 2 del art. 18.1 de la Ley 152-FZ sobre datos personales. La imposibilidad de familiarizarse con dicho documento en papel o en un sitio web, si los datos se recopilan a través de Internet, le costará a los operadores: 700-1500 rublos. - particulares, 3000-6000 rublos. – funcionarios, 5.000-10.000 rublos. – Empresario individual, 15.000-30.000 rublos. – organizaciones, y en el mejor de los casos todo se hará con una advertencia.
• No proporcionar a una persona información sobre el procesamiento de sus datos personales (cláusula 4 del artículo 13.11 del Código de Infracciones Administrativas de la Federación de Rusia). El procedimiento para solicitar dicha información está prescrito en el artículo 14 de la Ley 152-FZ. Los cambios desde el 01/07/2017 son los siguientes: la infracción está sujeta a una advertencia o una multa de 1000 a 2000 rublos. – particulares, 4000-6000 rublos. - funcionarios, 10.000-15.000 rublos. – Empresario individual, 20.000-40.000 rublos. – organizaciones.
• Incumplimiento dentro del plazo establecido del requisito de bloquear, modificar o destruir datos personales (Cláusula 5 del artículo 13.11 del Código de Infracciones Administrativas de la Federación de Rusia). Un particular o su representante podrá realizar tales demandas si los datos son incompletos, inexactos, obtenidos en violación de la ley o desactualizados, así lo establece el artículo 21 de la Ley de Datos Personales No. 152-FZ. Los infractores recibirán una advertencia o una multa: 1000-2000 rublos. para particulares, 4.000-10.000 rublos. funcionarios, 10.000-20.000 rublos. – Empresario individual, 25.000-45.000 rublos. organizaciones.
• Incumplimiento de las condiciones que garantizan la seguridad de los datos personales durante el procesamiento no automatizado (Cláusula 6, artículo 13.11 del Código de Infracciones Administrativas de la Federación de Rusia). Esto se aplica a los datos “en papel”, cuyo acceso no autorizado ha provocado su destrucción, daño, distribución ilegal, etc. No garantizar la protección de los datos personales en 2017 conlleva una multa de 700 a 2000 rublos. para los ciudadanos, 4.000-10.000 rublos. para los funcionarios, entre 10.000 y 20.000 rublos. para empresarios individuales y 25.000-50.000 rublos. para organizaciones.

Estos son los cambios en protección de datos personales en 2017, con efectos desde el 1 de julio. Como podemos ver, las infracciones se han vuelto más específicas y las multas para los operadores se han vuelto notablemente más severas.

No se apresure a cerrar el artículo. Probablemente te preguntaste mentalmente: “¿Qué tiene esto que ver conmigo?” — Respondo, esta ley puede afectarte también a ti, y puede que ni siquiera lo sospeches. Vayamos en orden.

Introducción

El 7 de febrero de 2017 se modificaron el artículo 13.11 del Código de Infracciones Administrativas en relación con violaciones a la ley de datos personales. Estas enmiendas entrarán en vigor pronto: el 1 de julio de 2017.

¿Qué son los datos personales?

Los datos personales pueden entenderse como cualquier información directa o indirectamente relacionada con un individuo específico (sujeto de datos personales) - párrafo 1 del artículo 3 de la Ley Federal de 27 de julio de 2006 No. 152-FZ. Ejemplos de dicha información pueden ser apellido, nombre, patronímico, fecha y lugar de nacimiento, lugar de residencia, etc.

¿Qué cambiará el 1 de julio de 2017?

Nueva Ley Federal del 07/02. 2017 No. 13-FZ amplió significativamente la lista de motivos para responsabilizar administrativamente a las personas en el campo de la protección de datos personales y también aumentó el monto de las multas administrativas.

Lo interesante es que no será la fiscalía, como antes, sino Roskomnadzor la que elaborará protocolos para las violaciones en este ámbito. Esto significa que las cosas irán mucho más rápido y las multas se enviarán en lotes, si no en paquetes.

¿Qué tenemos que ver con eso?

Probablemente la mayoría de mis lectores todavía no entienden cómo se aplica todo esto a ellos. Pero la línea aquí es muy delgada; ¿cómo saber si eres un operador de datos personales?

Si, con la ayuda de su blog, sitio web, portal o tienda en línea, recibe algún dato personal del usuario (cuáles, consulte más arriba), automáticamente quedará sujeto a esta ley. Primaria, ¿es posible registrarse en su sitio ingresando su nombre, correo electrónico y dirección? Felicitaciones, ya estás bajo la ley.

Esto se aplica a usted si:

Su página web te permite producir registro de usuario(incluso con un conjunto mínimo de datos “nombre + correo electrónico”). Ejemplos:

• foros;
• medios de comunicación social;
• muchos sitios de noticias;
• tiendas en línea;
• blogs;
• sitios con anuncios privados;
• etcétera.

Su página web permite introducir datos personales de los usuarios en formularios, que posteriormente son publicados en el sitio web o enviados por correo electrónico. Por ejemplo, si el sitio tiene la función "devolverme la llamada", la posibilidad de enviar un pedido rápido o suscribirse a un boletín informativo, etc.

Su página web justo ya contiene datos personales reales los ciudadanos.

Tu compañía(entidad jurídica o empresario individual) se dedican al procesamiento de datos personales de forma continua los ciudadanos. Esto es cierto para:

• la mayoría de los bufetes de abogados;
• absolutamente todos los registradores (en el sentido de empresas involucradas en el registro de personas jurídicas y empresarios individuales, cambios, liquidación, etc.);
• registrador;
• empresas de contabilidad que prestan servicios de subcontratación de contabilidad y recursos humanos;
• bancos, organizaciones de microfinanzas y otras empresas del sector financiero que trabajan con datos de ciudadanos;
• instituciones médicas;
• tiendas, salones de belleza y otras organizaciones similares con tarjetas de club personales (esto es especialmente popular entre las cadenas de tiendas de cosméticos);
• organizaciones e instituciones educativas (incluidas aquellas que imparten cursos de corta duración o capacitaciones únicas);
• Asociaciones de propietarios y empresas gestoras del sector de la vivienda y los servicios comunales;
• agencias de viajes;
• tribunales de arbitraje;
• etcétera.

Tu compañía activamente trabaja con autónomos(bajo contrato civil).

Su empresa utiliza CRM o sistemas similares.

¿Qué hacer?

Necesita poder trabajar correctamente con datos personales.

Como mínimo necesitas:

• obtener el consentimiento por escrito de cada usuario, cliente o suscriptor para el procesamiento, almacenamiento y distribución de datos personales;
• publicar información disponible públicamente sobre todo lo relacionado con los datos personales del usuario;
• Solicite sólo los datos que sean necesarios para un propósito específico. Por ejemplo, no puede solicitar la dirección de su casa o la información de su pasaporte para suscribirse a un boletín informativo por correo electrónico;
• utilizar datos únicamente para los fines especificados en los documentos y sobre los cuales la persona fue advertida;
• informar, previa solicitud de una persona, qué datos tiene sobre ella, cómo y por qué se procesan y a quién los transfirió;
• eliminar, previa solicitud, los datos que se utilizan para enviar información sobre descuentos y promociones;
• almacenar bases de datos en un lugar seguro, protegerlas contra piratería y fugas;
• capacitar a los empleados para trabajar con datos personales;

Excepciones

Esto no le concierne en los siguientes casos, ya que para ellos no se aplica la Ley Federal “Sobre Datos Personales”:

1. El procesamiento de datos personales lo realizan los individuos únicamente para necesidades personales y familiares, pero si no se violan los derechos de los titulares de los datos personales;
2. El procesamiento de datos personales se lleva a cabo cuando se trabaja con documentos del Fondo de Archivo de la Federación de Rusia y documentos similares;
3. Los datos personales se clasifican como información que constituye un secreto de estado;
4. Los datos personales se refieren a información pública sobre las actividades de los tribunales de la Federación de Rusia.

Desafortunadamente, no soy abogado en esta área y no puedo darle respuestas exactas sobre qué debe hacer exactamente para protegerse al 100%. Bueno, ni siquiera los propios profesionales pueden dar respuestas definitivas, ya que hay muchos matices e imprecisiones, sin mencionar el hecho de que la ley no ha entrado en vigor. En cualquier caso, el propósito de mi post era precisamente advertirles que ese tipo de “basura” existe. Bueno, entonces, como suele decirse, el que está prevenido está armado.

Uno de los cambios legislativos más importantes que les espera a los responsables de personal en el verano de 2018 es el siguiente: a partir del 1 de julio aumentarán las multas por datos personales. Si antes la multa máxima era de 10.000 rublos, ahora puede llegar a 75.000 rublos. Además, a partir del 1 de julio, Roskomnadzor podrá multar directamente a los empleadores, mientras que anteriormente los casos de esta categoría los iniciaba la fiscalía. Echemos un vistazo más de cerca a cómo aumentarán las multas por datos personales a partir del 1 de julio.

Del artículo aprenderás:

Datos personales de los empleados

Antes de considerar sanciones por Informacion personal En 2018 descubriremos qué se aplica a dichos datos. Los datos personales de los empleados son información que directa o indirectamente se relaciona con un individuo. Se trata de información sobre hechos, acontecimientos y sucesos de la vida privada que permiten identificar a una persona, con excepción de la información que esté sujeta a difusión en los medios de comunicación (Cláusula 1, artículo 3 de la Ley No. 152-FZ de 27 de julio). , 2006, en adelante Ley No. 152-FZ, Decreto del Presidente de la Federación de Rusia del 6 de marzo de 1997 No. 188).

Descargue documentos sobre el tema:

Existen tres tipos de datos personales de los empleados: generales, especiales y biométricos. Los más comunes incluyen:

Nombre completo, lugar de residencia;

detalles del pasaporte;

información sobre educación;

Estado familiar;

Los datos personales generales de los empleados están contenidos en el pasaporte, diploma, identificación militar, tarjeta personal, libro de trabajo y otros documentos.

A partir del 1 de julio aumentarán las multas por el procesamiento de datos personales que viole la prohibición de datos especiales. Estos incluyen información sobre (Parte 1, Artículo 10 de la Ley No. 152-FZ):

raza, afiliación, nacionalidad;

puntos de vista políticos;

creencias religiosas o filosóficas;

estado de salud y similares.

Datos personales especiales de los empleados pueden encontrarse en el cuestionario que el empleado rellena al contratar, informe médico, etc.

Se amenazan con multas graves por violar la ley sobre datos personales si se viola el procedimiento para trabajar con datos biométricos. Se trata de información sobre las características fisiológicas y biológicas de una persona, mediante las cuales se puede establecer su identidad. Por ejemplo, características como:

• datos de huellas dactilares;
• iris de los ojos;
• Pruebas de ADN;
• altura, peso, etc

¡Nota! Una fotografía o una grabación de vídeo también constituyen datos personales biométricos si pueden utilizarse para identificar a una persona. La excepción son las grabaciones de fotografías y vídeos realizadas en eventos públicos y masivos (cláusula 1 del artículo 152.1 del Código Civil de la Federación de Rusia).

Nuevas multas: datos personales

En 2017, a partir del 1 de julio, aumentarán las multas por datos personales. Las modificaciones al Código de Infracciones Administrativas de la Federación de Rusia fueron introducidas por la Ley Federal No. 13-FZ del 07/02/2017. Los cambios en los importes de las nuevas multas por datos personales son significativos. Por lo tanto, los operadores de datos personales, entre los que se incluyen todos los empleadores, deben prepararse cuidadosamente para los cambios.

La versión actual del artículo 13.11 del Código de Infracciones Administrativas de la Federación de Rusia contiene solo una base general para responsabilizar administrativamente a una organización: por violar el procedimiento de recopilación, almacenamiento, uso o distribución de datos personales definido por la ley. A partir del 1 de julio aumentarán las multas por datos personales y habrá siete tipos de infracciones por las que se podrá sancionar.

Importante: actualmente la multa máxima es de 1.000 rublos. (para funcionarios) y 10.000 rublos. (para personas jurídicas). A partir del 1 de julio, el máximo aumentará a 20.000 y 75.000 rublos. respectivamente.

A partir del 1 de julio, multas por Informacion personal y al mismo tiempo se modificará el procedimiento en el que se abren los casos de infracciones administrativas en materia de datos personales. Ahora estos casos los inician los fiscales (cláusula 1 del artículo 28.4 del Código de Infracciones Administrativas de la Federación de Rusia). A partir del 1 de julio de 2017, estos poderes se transfieren a los funcionarios de Roskomnadzor (subcláusula 58, cláusula 2, artículo 28.3 del Código de Infracciones Administrativas de la Federación de Rusia, en su versión enmendada). Podrán imponer nuevas multas por datos personales ellos mismos:

• multa por divulgación de datos personales;
• multas por procesamiento incorrecto de datos personales;
• multa por difundir datos personales;
• multas por infracción del trabajo con datos personales, etc.

Transferir las funciones de iniciar casos administrativos a Roskomnadzor acelerará el proceso de responsabilización de los empleadores. Actualmente, dichos órganos sólo recopilan información sobre violaciones y la transfieren a la fiscalía para que decida sobre la aplicación de sanciones administrativas.

Ley de Datos Personales: Multas

A partir del 1 de julio aumentarán las multas por datos personales. Veamos siete trenes que se presentarán el 1 de julio (tabla a continuación). Por infracción de la ley sobre datos personales, las multas para las organizaciones oscilarán entre 15.000 y 75.000 rublos.

Multas por infracción de la ley de datos personales a partir del 1 de julio de 2017

Para evitar un aumento de nuevas multas por datos personales en 2018, los empleadores deben analizar si han organizado correctamente el sistema para trabajar con datos personales, identificar y eliminar las deficiencias. En particular, es importante comprobar si el empleador ha obtenido el consentimiento por escrito de los empleados para el procesamiento de datos cuando sea necesario.

El consentimiento para el tratamiento de datos personales por escrito deberá obtenerse cuando (inciso 1, inciso 2, artículo 10, inciso 1, artículo 11, inciso 1, inciso 4, artículo 12 de la Ley N ° 152-FZ):

• estamos hablando de su transferencia a un estado que no brinda la protección necesaria de los datos personales;
• los datos biométricos se procesan para establecer la identidad;
• Se procesan categorías e información especiales relacionadas con la raza, la nacionalidad, las opiniones políticas, las creencias religiosas o filosóficas, el estado de salud y la vida íntima.

El portal de información jurídica contiene un documento firmado por el Presidente de la Federación de Rusia "Sobre las enmiendas al Código de Infracciones Administrativas de la Federación de Rusia", que establece nuevas multas por violar la legislación de la Federación de Rusia en el campo de los datos personales, que entrará en vigor el 1 de julio de 2017.

Las disposiciones de la Ley Federal aclaran los motivos para aplicar medidas de responsabilidad administrativa por violación de la legislación de la Federación de Rusia en el campo de los datos personales, teniendo en cuenta las modificaciones introducidas en la Ley Federal del 27 de julio de 2006 No. 152-FZ. “Sobre Datos Personales”. Se están realizando cambios principalmente en el artículo 13.11, así como en los artículos 28.3 y 28.4 del Código de Infracciones Administrativas de la Federación de Rusia.

Entonces, ¿qué cambiará en el ámbito de los datos personales a partir del 1 de julio de 2017? La nueva versión del artículo 13.11 contiene ahora siete infracciones específicas y prevé multas correspondientes; la más alta de ellas es de 75.000 rublos (para personas jurídicas). A diferencia de la edición anterior del artículo 13.11, la nueva edición del artículo establece claramente los casos por los que el operador de PD puede ser sancionado. Por ejemplo, según el artículo 13.11 era posible castigar por la violación de la Ley Federal No. 242, con la nueva edición será imposible hacerlo, así como será difícil castigar por no notificar a Roskomnadzor.

El texto del Artículo 13.11 se presenta brevemente en la figura siguiente. Se puede descargar una descripción más detallada en forma de tabla. Y el análisis artículo por artículo se proporciona en el artículo.

Recordemos que desde diciembre de 2014 se están preparando cambios al artículo 13.11, pero los legisladores congelaron el trabajo al respecto durante mucho tiempo. El punto más significativo de la primera versión de este proyecto de ley era una multa relativamente elevada (hasta 300.000 rublos) por el procesamiento ilegal de datos personales de categorías especiales, pero en la versión adoptada este texto fue eliminado:

Tratamiento de categorías especiales de datos personales. relacionados con raza, nacionalidad, opiniones políticas, creencias religiosas o filosóficas, estado de salud, vida íntima y también datos personales sobre antecedentes penales en los casos no previstos por la ley Federación de Rusia sobre datos personales,
- implica la imposición de una multa administrativa a los ciudadanos de tres mil a cinco mil rublos; para funcionarios: de diez mil a veinticinco mil rublos; para empresarios individuales: de cincuenta mil a cien mil rublos;para personas jurídicas - de ciento cincuenta mil hasta trescientos mil rublos.

¿Cuáles son las principales consecuencias de las enmiendas? Hay muchos de ellos:

1. Debido al hecho de que la redacción del artículo 13.11 se ha vuelto más específica, muchos expertos expresan preocupación ( , ) que el sistema de imposición de sanciones puede cambiar fundamentalmente. Si según la edición actual el castigo podría ser uno por “violación del procedimiento establecido por la ley...”, en total, no importa cuántas violaciones se encuentren, la nueva redacción del artículo 13.11 ha cambiado y simplemente enumera siete infracciones para las cuales es posible elaborar un protocolo separado y asignar una multa separada. Aparentemente, deberíamos esperar un aumento en el monto total de la multa tras la inspección.
2. A partir del 1 de julio, los protocolos sobre infracciones administrativas tipificadas bajo la nueva redacción del artículo 13.11 quedarán funcionarios de Roskomnadzor y sus departamentos territoriales, y no fiscales, como ocurre ahora. El plazo para llevar ante la justicia sigue siendo el mismo que antes: 3 meses, pero el procedimiento para llevar ante la justicia se ha simplificado significativamente: se ha acortado la cadena "departamento territorial de Roskomnadzor" - "Fiscalía" - "Tribunal", materiales avanzará más rápido y probablemente habrá más multas.
3. No todas las infracciones anteriormente calificadas en virtud del artículo 13.11 pueden imputarse a los operadores de conformidad con la nueva edición: este artículo no prevé, por ejemplo, responsabilidad por el incumplimiento de la Ley Federal No. 242 sobre la localización de bases de datos personales.