Блог лаборанта

Слово о защите персональных данных

Паника в Рунете

Владельцам настоятельно рекомендуют проверить сайты на соответствие юридическим нормам.
1 июля 2017 года существенно ужесточена ответственность за нарушения при взаимодействии с персональными данными физических лиц. Это следует из положений Федерального закона от 07.02.2017 № 13-ФЗ.
По сети распространяется информация, что владельцы сайтов, могут быть оштрафованы на сумму до 75 тыс. руб.

Кого может коснуться привлечение к ответственности?

Все лица, как юридические лица любой формы собственности, так и физические (в т.ч. индивидуальные предприниматели) на сайтах которых посетители вводят свои персональные данные в различных формах оформления заказа, обратной связи, для регистрации или регистрации с использованием перехода через аккаунт в социальной сети.
Таковыми сайтами являются:

  1. интернет - магазины;
  2. сайты по заказу и бронированию билетов:
    • - авиа, железнодорожные, автобусные билетные операторы
    • - билетные операторы по продаже билетов на концертные, театральные мероприятия
    • - билетные операторы по продаже билетов в кино
  3. сайты компаний, оказывающих услуги населению (в том числе государственные и муниципальные).

А также иные интернет - площадки, запрашивающие персональные данные.

Согласно ст.3. Закона «О персональных данных»

  • персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

В законе нет прямого указания, что номер телефона или адрес электронной почты относиться к персональным данным. Однако, формулировка «любая информация» позволяет относить эти данные к персональным.

До 01 июля 2017 года каждый владелец такого сайта должен разместить на своем ресурсе помимо уже привычной оферты "Политику конфиденциальности" и "Согласие на обработку персональных данных".
Если таковые документы будут отсутствовать, владельцу сайта, формально грозит ответственность.

Пункт 1 статьи 3 152-ФЗ («любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»), соответствует международному праву – подпункт «а» статьи 1 Конвенции о защите физических лиц при автоматизированной обработке персональных данных, ратифицированной Федеральным законом №160-ФЗ от 19 декабря 2005 года («любая информация об определенном или поддающемся определению физическом лице»).
Закон также не содержит полномочий по уточнению этого термина подзаконными актами.
Более точно определить состав персональных данных, в том числе привести их перечень, представляется не реализуемым.

Классика: "Огласите весь список, пожалуйста".

Проблема в том, что обезличенные данные, относящиеся прямо или косвенно определенному или определяемому физическому лицу, являются частью логов на серверах и рабочих станциях, на мобильных устройствах и на других сетевых устройствах ведущих записи журнала сетевой или иной активности. Сайт, вне зависимости от наличия или отсутствия на его страницах формы регистрации или обратной связи, собирает обезличенные персональные данные, в виде логов. Тоже самое делают серверные, десктопные, мобильные операционные системы и приложения.

Причем в отличии от других устройств и объектов, сайт только собирает данные, которые физически размещаются и хранятся на сервере хостинга. Владелец сайта, в большинстве случаев, не является владельцем хостинга. Клиент хостинга не может влиять на процессы администрирования сервера, соответственно не может гарантировать сохранность и безопасность данных с момента загрузки данных на хостинг. Владелец сайта может лишь влиять на безопасность процесса передачи данных, например установив SSL сертификат и используя HTTPS.

Считайте, что это было лирическое отступление, теперь вернемся в реальность.

Под обезличиванием персональных данных можно понимать процесс, в результате которого становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному человеку (ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).

В законе №242-ФЗ указано: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона» (ч. 5 ст. 18 ФЗ “О персональных данных”)».

Министерство связи и массовых коммуникаций предлагает "разъяснения" и "ответы на часто задаваемые вопросы", подготовленные на основании информации, полученной от представителей бизнеса, научного сообщества и органов государственной власти РФ (Совет Федерации РФ, Минкомсвязи РФ, Роскомнадзор). (кликабельно)

  • Пояснительная записка
  • Сфера действия ФЗ-242 по территории и кругу лиц

    В связи с трансграничным характером сети Интернет, обеспечивающей возможность приобретения товаров и услуг у иностранных лиц, возникает вопрос, при каких условиях требования ч. 5 ст. 18 ФЗ «О персональных данных» распространяются на иностранные организации, не имеющие физического присутствия на территории Российской Федерации.

    ФЗ «О персональных данных» не содержит специальных положений, регламентирующих сферу его действия по территории и кругу лиц. В связи с этим для решения вопроса необходимо обратиться к положениям иных законов. В соответствии с ч. 1 ст. 15 ФЗ «Об информации, информационных технологиях и защите информации» на территории Российской Федерации использование информационно-телекоммуникационных сетей осуществляется с соблюдением требований законодательства Российской Федерации в области связи, настоящего Федерального закона и иных нормативных правовых актов Российской Федерации. Таким образом, действие российских законов, включая ФЗ «О персональных данных», по общему правилу, ограничено территорией Российской Федерации. Однако при осуществлении деятельности в информационно-телекоммуникационной сети Интернет, которая в силу своего трансграничного, децентрализованного и виртуального характера не позволяет четко обозначить географические границы осуществления такой деятельности, необходимо установление специальных критериев, при которых она может быть отнесена к осуществляемой на территории Российской Федерации. Одной лишь доступности интернет-сайта на территории Российской Федерации недостаточно для вывода о том, что на него распространяется законодательство Российской Федерации, в том числе о персональных данных, поскольку в таком случае сфера его применения носила бы по существу всемирный характер и делала бы практически невозможным контроль за его исполнением.

    В связи с этим в международном частном праве и законодательстве о защите прав потребителей (ст. 1212 Гражданского кодекса РФ), с которым тесно связано законодательство о персональных данных, был выработан критерий направленности деятельности лица на территорию Российской Федерации как условия применения законодательства Российской Федерации к отношениям с иностранным субъектом. Аналогичный критерий используется и в европейской практике (Ст. 15(1)(с) Регламента ЕС № 44/2001 от 22 декабря 2000 г. «О юрисдикции, признании и исполнении судебных решений по гражданским и торговым делам»; ст. 6 Регламента EC № 593/2008 от 17 июня 2008 «О праве, применимом к договорным отношениям»; Ст. 3 (2) Draft EU General Data Protection Regulation).

    В данном случае действие ФЗ «О персональных данных» будет направлено на интернет-ресурсы (сайт в сети Интернет, страница сайта в сети Интернет), с использованием которых лицо осуществляет направленную на территорию Российской Федерации деятельность, которые могут быть заблокированы в установленном порядке при несоблюдении их владельцем, являющимся резидентом иностранного государства требований Федерального закона «О персональных данных».

    О наличии направленности интернет-сайта на территорию Российской Федерации могут свидетельствовать следующие обстоятельства: 1) использование доменного имени, связанного с Российской Федерацией или субъектом РФ (.ru, .рф., .su, .москва., moscow и т.п.) и (или) 2) наличие русскоязычной версии интернет-сайта, созданной владельцем такого сайта или по его поручению иным лицом (использование на сайте или самим пользователем плагинов, предоставляющих функционал автоматизированных переводчиков с различных языков не должно приниматься во внимание). При этом поскольку русский язык широко используется в некоторых странах за пределами Российской Федерации, для определения направленности интернет-сайта именно на территорию Российской Федерации дополнительно необходимо наличие как минимум одного из следующих элементов: возможности осуществления расчетов в российских рублях; возможности исполнения заключенного на таком интернет-сайте договора на территории Российской Федерации (доставки товара, оказания услуги или пользования цифровым контентом на территории России), использование рекламы на русском языке, отсылающей к соответствующему интернет-сайту, или иных обстоятельств, явно свидетельствующих о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию.

    Таким образом, обязанности по локализации отдельных процессов обработки персональных данных распространяются на иностранных операторов при условии осуществления ими направленной деятельности на территорию Российской Федерации и отсутствии исключений, прямо указанных в ч. 5 ст. 18 ФЗ «О персональных данных» (например, международного договора, для достижения целей которого осуществляется обработка).

  • Сфера действия ФЗ-242 во времени

    Достаточно много вопросов возникает у представителей бизнеса в связи с возможной обратной силой ФЗ-242 и распространением его действия на процессы обработки персональных данных, имевших место до вступления его в силу.

    В соответствии с устоявшимися правовыми принципами придание обратной силы правовым нормам, ухудшающим правовое положение лиц и устанавливающим новые обязанности, является, по общему правилу, недопустимым. Исключение составляют случаи, когда обратная сила прямо предусмотрена в законе. ФЗ-242 не содержит подобного рода положений. Соответственно, обязанность по локализации, предусмотренная ч. 5 ст. 18 Федерального закона «О персональных данных», распространяется на отношения по обработке персональных данных, которые возникнут после вступления его в силу.

    Таким образом, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации в рамках сбора, который будет осуществляться, начиная с 1 сентября 2015 года, должны производится с учетом новых требований Федерального закона №152-ФЗ, а именно с использованием баз данных, находящихся на территории Российской Федерации.

  • Понятие сбора персональных данных

    Формулировка ч. 5 ст. 18 ФЗ «О персональных данных» связывает обязанность оператора по обеспечению локализации с процессом сбора персональных данных. В связи с этим важное значение приобретает определение понятия «сбора» персональных данных, поскольку от него напрямую зависит размер затрат, которые необходимо понести для адаптации информационных систем, задействованных в процессе обработки персональных данных, к требованиям ФЗ-242. Обязанности по локализации отдельных процессов обработки персональных данных возникают лишь при сборе персональных данных. Из ч. 1 ст. 18 ФЗ «О персональных данных», посвященной обязанностям оператора при сборе персональных данных, можно сделать вывод, что под сбором можно понимать целенаправленный процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо через специально привлеченных для этого третьих лиц. Таким образом, локализации подлежат только те персональные данные, которые были получены оператором в результате осуществляемой им целенаправленной деятельности по организации сбора таких данных, а не в результате случайного (незапрошенного) попадания к нему персональных данных, например, вследствие получения писем по электронной или иной почте, в которых содержатся персональные данные. Аналогичным образом, не является сбором получение одним юридическим лицом персональных данных от другого юридического лица, если такие данные представляют собой контактную информацию работников или представителей такого юридического лица, переданную в ходе осуществления ими своей законной деятельности». Кроме того, следует отметить, что при осуществлении субъектом сбора информации, содержащей персональные данные, и ее последующей обработки с использованием вычислительных мощностей, предоставленных иным лицом, ответственность за соблюдение требований ч. 5 ст. 18 ФЗ «О персональных данных» лежит на указанном субъекте, учитывая целенаправленный характер его деятельности по сбору и обработке соответствующей информации.

  • Соотношение требования о локализации отдельных процессов обработки персональных данных с положениями о трансграничной передаче персональных данных

    Вопрос о допустимости, а также об условиях допустимости хранения, обработки персональных данных граждан РФ за рубежом неизменно возникал в ходе любой дискуссии, связанной с принятием ФЗ-242. Во многом это обусловлено новизной самой концепции локализации персональных данных, а также рядом заявлений и комментариев, сделанных в медийном пространстве по поводу несовместимости требований о локализации процессов хранения персональных данных на территории РФ с возможностью их обработки за рубежом. Вместе с тем от наличия четких разъяснений по данному вопросу зависит функционирование не только трансграничных компаний на российском рынке, но и ряда отечественных компаний, которые оптимизируют свои затраты посредством использования зарубежных ИТ-сервисов.

    В соответствии с ч. 5 ст. 18 ФЗ «О персональных данных» сбор персональных данных, их обновление и изменение должны производиться с использованием баз данных, расположенных на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 ч. 1 ст. 6 ФЗ «О персональных данных». Однако при этом следует иметь в виду, что изменения в ФЗ «О персональных данных», внесенные ФЗ-242, не затронули положений закона о трансграничной передаче данных. Соответственно передача персональных данных за пределы Российской Федерации возможна, как и ранее, с соблюдением условий, указанных в ст. 12 ФЗ «О персональных данных». Тем самым требование о локализации отдельных процессов обработки персональных данных, содержащееся в ч. 5 ст. 18 ФЗ «О персональных данных», следует толковать в системном единстве с положениями ст. 12 о трансграничной передаче данных и с учетом определения данного понятия, содержащегося в п. 11 ст. 3: «передача персональных данных на территорию иностранного государства иностранному лицу: органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу». Таким образом, персональные данные гражданина Российской Федерации, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней («первичная база данных»), могут далее передаваться в базы данных, расположенные за пределами России («вторичные базы данных»), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных. Такие вторичные базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр. При этом при передаче персональных данных за границу иному оператору ответственность за действия, совершаемые в отношении переданных персональных данных, несет такой оператор в соответствии с применимым к нему законодательством. Предоставление удаленного доступа к базам данных, находящихся на территории Российской Федерации, с территории другого государства ФЗ-242 не запрещается.

Что изменилось с 1 июля 2017 года

Федеральный закон от 07.02. 2017 № 13-ФЗ расширил перечень оснований для привлечения к административной ответственности в области защиты персональных данных, а также увеличил размеры административных штрафов. Этот закон вступил в силу с 1 июля 2017 года. Административная ответственность в сфере персональных данных существенно ужесточена. Например, вместо единственного вида административной ответственности, описанного в статье 13.11 КоАП РФ, появится семь. За различные нарушения в сфере персональных данных будут применять разные штрафы. Штрафы разных категорий могут назначаться к одному объекту, соответственно, количество штрафов может увеличиваться.

За что грозит ответственность?

(кликабельно)

  • Нарушение 1: обработка персональных данных в «иных» целях

    С 1 июля 2017 года обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями сбора персональных данных – самостоятельные виды административного нарушения (ч. 1 ст. 13.11 КоАП РФ). Приведем пример: организация-работодатель собирает персональные данные работников и передает эти данные сторонним компаниям в рекламных целях (передаются ФИО, телефоны, регионы проживания, уровень дохода). Потом рекламные фирмы начинают рассылать работникам на телефон, e-mail и домашние адреса различный спам и рекламные предложения. Если в таких действиях работодателя не будет выявлено уголовного состава преступления, то можно будет применить административную ответственность. С 1 июля 2017 года административное наказание может быть следующим:

    • или предупреждение;
    • или штрафы.
      • на граждан - в размере от 1000 до 3000 руб.;
      • на должностных лиц – 5000 до 10 000 руб.;
      • на юридических лиц – от 30 000 до 50 000 руб.
  • Нарушение 2: обработка персональных данных без согласия

    Обработка персональных данных работодателем, по общему правилу, возможна только с письменного согласия работников. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ):

    • ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе; наименование или ФИО и адрес работодателя (оператора), получающего согласие сотрудника; цель обработки персональных данных; перечень персональных данных, на обработку которых дается согласие; наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу; перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных; срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом; подпись работника.

    С 1 июля 2017 года обработка персональных данных без согласия работника в письменной форме, либо если письменное согласие не содержит обозначенных выше сведений – это самостоятельное административное нарушение, предусмотренное в части 2 статьи 13.11 КоАП РФ. За него возможны штрафные санкции:

    • на граждан - в размере от 3000 до 5000 руб.;
    • на должностных лиц (например, директор, кадровик или ИП) – от 10 000 до 20 000 руб.;
    • на организации - от 15 000 до 75 000 руб.
  • Нарушение 3: отсутствует доступ к политике по обработке персональных данных

    Оператор персональных данных (например, работодатель или интернет-сайт) обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных в Интернете (например, через сайт), обязан опубликовать в Интернете документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу. Это предусмотрено пунктом 2 статьи 18.1 Закона от 27 июля 2006 г. № 152-ФЗ.

    С выполнением этой обязанности на практике сталкиваются многие пользователи сети Интернет. Так, например, когда вы оставляете какую-либо заявку на сайтах и указываете свои ФИО и e-mail, то можете обратить внимание на ссылку на подобные документы: «Политика обработки персональных данных», «Положение об обработке персональных данных» и т.п. Однако стоит признать, что некоторые сайты этим пренебрегают и никакой ссылки не приводят. И получается, что человек оставляет заявку на сайте, не знает, в каких целях сайт собирает персональные данные.

    Некоторые работодатели также на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить форму «О себе». В таких случаях интернет-сайт также должен обеспечить доступ к «Политике обработке персональных данных».

    С 1 июля 2017 года в части 3 статьи 13.11 КоАП РФ выделен самостоятельный состав правонарушения – невыполнение оператором обязанности по публикации или предоставлению неограниченного доступа к документу с политикой по обработке персональных данных или сведениями по их защите. Ответственность по этой статье может выглядеть как предупреждение или административные штрафы: на граждан - от 700 до 1500 руб.;

    • на должностных лиц (например, директора или главбуха) - от 3000 до 6000 руб.;
    • на индивидуальных предпринимателей - от 5000 до 10 000 руб.;
    • на организации - от 15 000 до 30 000 руб.
  • Нарушение 4: сокрытие информации о сборе и обработке персональных данных

    Субъект персональных данных (то есть, физическое лицо, кому принадлежат эти данные) имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей (ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ):

    • подтверждение факта обработки персональных данных оператором;
    • правовые основания и цели обработки персональных данных;
    • цели и применяемые оператором способы обработки персональных данных;
    • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
    • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
    • сроки обработки персональных данных, в том числе сроки их хранения;
    • порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
    • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
    • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
    • иные сведения, предусмотренные Федеральным законом или другими федеральными законами.

    С 1 июля 2017 года невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, является самостоятельным административным нарушением. Оно влечет предупреждение или наложение административных штрафов:

    • на граждан – от 1000 до 2000 руб.;
    • на должностных лиц (например,директора, кадровика или бухгалтера) - от 4000 до 6000 руб.;
    • на индивидуальных предпринимателей – 10 000 до 15 000 руб.;
    • на юридических лиц (организаций) – от 20 000 до 40 000 руб.
  • Нарушение 5: невыполнение требования об уточнении, блокировке, уничтожении данных

    Статья 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» предусматривает, что в ряде случаев оператор обязан уточнять, блокировать или уничтожать персональные данные физических лиц.

    С 1 июля 2017 года введен новый вид административного нарушения – невыполнение оператором требования субъекта персональных данных или его представителя об уточнении, блокировке, уничтожении данных (если данные неполные, устаревшие, неточные, незаконно получены или не являются необходимыми для заявленной цели обработки). Такие действия с 1 июля 2017 года влекут т предупреждение или наложение административных штрафов:

    • на граждан - от 1000 до 2000 руб.;
    • на должностных лиц (например, директора, кадровика или главбуха) - от 4000 до 10 000 рублей;
    • на ИП - от 10 000 до 20 000 рублей;
    • на юридических лиц – 25 000 до 45 000 руб.
  • Нарушение 6: необеспечение обязанности по сохранности персональных данных

    Многие работодатели собирают персональные данные работников только «на бумаге» и не ведут никакой автоматизированной обработки, не имеют специальных программ для обработки и за данных. С 1 июля 2017 года законодатели выделили для таких операторов (в частности, работодателей) новый вид правонарушения за необеспечение оператором при обработке персональных данных без использования средств автоматизации обязанности по сохранности персональных данных при хранении их материальных носителей, если это привело к неправомерному или случайному доступу к персональным данным. А это, в свою очередь, послужило причиной их уничтожения, изменения, блокирования, копирования, предоставления, распространения либо иного неправомерного действия. Если это произошло, то административная ответственность может наступить в виде административного штрафа:

    • на граждан - 700 до 2000 руб.;
    • на должностных лиц (например, руководителя) - от 4000 до 10 000 руб;
    • на индивидуальных предпринимателей - от 10 000 до 20 000 руб;
    • на организаций – от 25 000 до 50 000 руб.
  • Нарушение 7: невыполнение обязанностей по обезличиванию персональных данных

    В исключительных случаях, предусмотренных законодательством, государственные и муниципальные органы должны обезличивать персональные данные, которые обрабатывают в своих информационных системах, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (подп. «з» п. 1 перечня, утвержденного постановлением Правительства РФ от 21 марта 2012 г. № 211). К таким случаям относится, например, необходимость государственных и муниципальных органов размещать в открытом доступе документы, содержащие персональные данные, допустим, обезличенные копии судебных актов (п. 3 ст. 15 Закона от 22 декабря 2008 г. № 262-ФЗ).

    Под обезличиванием персональных данных можно понимать процесс, в результате которого становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному человеку (ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).

    С 1 июля 2017 года невыполнение должностными лицами государственного или муниципального органа – оператора персональных данных обязанностей по обезличиванию персональных данных либо за нарушение требований к этому процессу – административное нарушение. Возможна ответственность в виде предупреждения или наложения административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.

    В итоге административные штрафы с 1 июля 2017 года существенно увеличились. При этом установлены новые размеры штрафов в зависимости от вида совершенного правонарушения. Так, должностных лиц могут оштрафовать на сумму от 3000 до 20 000 руб., ИП – на сумму от 5000 до 20 000 руб., организации – на сумму от 15 000 до 75 000 руб. Причем привлекать в ответственности могут по разным составам правонарушений. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Привлекать к ответственности станет проще

До 1 июля 2017 года возбуждать дела по административным делам, связанным с персональными данными, по статье 13.11 КоАП РФ был вправе исключительно прокурор. Это предусмотрено частью 1 ст. 28.4 КоАП РФ. С 1 июля 2017 года участие прокурора будет необязательным. С указанной даты дела по статье 13.11 КоАП будут вправе возбуждать должностные лица Роскомнадзора. Такая поправка внесена комментируемым законом в пункт 58 части 2 статьи 28.3 КоАП РФ. Следовательно, процедура привлечения к ответственности по делам о персональных данных становится проще.

От юридического колапса, к строительству цифровой экономики.
Наши рекомендации: на стадии "обострения" и последующей "ремиссии", не дергаться и в случае необходимости, обращаться за консультацией к специалистам лаборатории.
P.S. "Всех вылечат".

Навигация