ป้องกันไฟกระชาก

กฎหมายว่าด้วยข้อมูลส่วนบุคคล การปฏิบัติตามกฎหมายว่าด้วยข้อมูลส่วนบุคคล: สิ่งที่คุณต้องพิจารณา ใครจะได้รับผลกระทบจากค่าปรับใหม่?

02.05.2022

การเปลี่ยนแปลงพระราชบัญญัติข้อมูลส่วนบุคคลปี 2017 ไม่เพียงแต่มีขึ้นเพื่อเสริมเท่านั้น ข้อมูลใหม่แต่ยังต้องเปลี่ยนระดับความรับผิดชอบของผู้ปฏิบัติงานข้อมูลที่กระทำการละเมิดในระหว่างการประมวลผลข้อมูลประเภทนี้ บทความของเราจะบอกคุณว่ามีการเปลี่ยนแปลงอะไรบ้างในกฎหมาย

กฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล" ลงวันที่ 27 มิถุนายน 2549 ฉบับที่ 152 ซึ่งแก้ไขเพิ่มเติมในปี 2560

กฎหมายปัจจุบันอยู่ระหว่างการเปลี่ยนแปลงอย่างต่อเนื่อง - และกฎหมายของรัฐบาลกลางหมายเลข 152 ก็ไม่มีข้อยกเว้น ในปี 2560 มีการเปลี่ยนแปลงหลายประการในเนื้อหาของพระราชบัญญัติการกำกับดูแลนี้ พวกเขาไม่ได้ส่งผลกระทบอย่างมีนัยสำคัญต่อกระบวนการที่มีอยู่สำหรับการทำงานกับข้อมูลส่วนบุคคล (PD) เนื่องจากมีการเพิ่มดังต่อไปนี้:

  1. การกำหนดความรับผิดชอบของหน่วยงานที่ได้รับอนุญาตเพื่อใช้การควบคุมของรัฐในกิจกรรมของผู้ปฏิบัติงาน PD ในการรวบรวม ประมวลผล และจัดเก็บข้อมูลดังกล่าว (กฎหมายของรัฐบาลกลาง "On the Entry..." ลงวันที่ 22 กุมภาพันธ์ 2017 ฉบับที่ 16)
  2. ระบุความจำเป็นในการประมวลผล PD ของวัตถุภายใต้การคุ้มครองของรัฐตลอดจนอาสาสมัครภายใต้การคุ้มครองดังกล่าวและสมาชิกในครอบครัวโดยคำนึงถึงข้อมูลเฉพาะที่กำหนดโดยกฎหมายของรัฐบาลกลาง "On State..." ของวันที่ 27 พฤษภาคม 1996 ลำดับที่ 57 (กฎหมายของรัฐบาลกลาง “ในบทนำ... " ลงวันที่ 1 กรกฎาคม 2017 ฉบับที่ 148)
  3. การสร้างภาระหน้าที่ของผู้รับผิดชอบในการทำงานกับข้อมูลส่วนบุคคลที่มีอยู่ในข้อมูลเกี่ยวกับกิจกรรมของศาลในสหพันธรัฐรัสเซียเพื่อให้ได้รับคำแนะนำในกิจกรรมของพวกเขาโดยบทบัญญัติของกฎหมายของรัฐบาลกลาง "ในบทบัญญัติ ... " ลงวันที่ 22 ธันวาคม 2551 ไม่ .262 (กฎหมายของรัฐบาลกลาง “ในบทนำ...” ลงวันที่ 29 กรกฎาคม 2017 ฉบับที่ 223)

กฎหมายใหม่เกี่ยวกับความรับผิดสำหรับการละเมิดด้านการเผยแพร่ข้อมูลส่วนบุคคลและการคุ้มครอง

การเปลี่ยนแปลงข้างต้นในกฎหมายข้อมูลส่วนบุคคลปี 2560 ไม่ใช่นวัตกรรมเดียวที่ส่งผลกระทบต่อผู้ปฏิบัติงาน PD เมื่อวันที่ 1 กรกฎาคม 2017 กฎหมายของรัฐบาลกลาง "ในบทนำ ... " ฉบับที่ 13 เมื่อวันที่ 7 กุมภาพันธ์ 2017 มีผลใช้บังคับ โดยแนะนำการแก้ไขมาตรา 13.11 ประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซีย การเปลี่ยนแปลงดังกล่าวขยายขอบเขตรายการเหตุผลที่ทำให้ผู้ดำเนินการข้อมูลส่วนบุคคลต้องรับผิดในการบริหาร และยังเพิ่มบทลงโทษอันสำคัญที่เรียกเก็บจากเขาอย่างมีนัยสำคัญ

ไม่รู้สิทธิของคุณ?

ในขณะเดียวกัน การละเมิดในด้านการทำงานกับข้อมูลส่วนบุคคลภายใต้กฎหมายใหม่ ได้แก่:

  • การประมวลผลข้อมูลส่วนบุคคลในกรณีที่กฎหมายไม่ได้กำหนดไว้
  • ขาดความยินยอมที่เป็นเอกสารของ PD ภายใต้การประมวลผลข้อมูลที่ทำให้เขาสามารถระบุตัวตนได้
  • ผู้ดำเนินการ PD ไม่มีเอกสารที่มีนโยบายสำหรับการประมวลผล PD (หรือเข้าถึงได้)
  • ความล้มเหลวในการให้ข้อมูลเกี่ยวกับกิจกรรมที่มุ่งเป้าไปที่การประมวลผลข้อมูลแก่บุคคลที่เป็นข้อมูลส่วนบุคคล
  • การไม่ปฏิบัติตามคำร้องขอของ PD ในการแก้ไขข้อมูลที่ผู้ดำเนินการได้รับก่อนหน้านี้ ปิดกั้นหรือเลิกกิจการ
  • การละเมิดขั้นตอนในการรับรองความปลอดภัยของข้อมูลที่ผู้ปฏิบัติงานใช้ซึ่งทำให้เกิดการละเมิดการรักษาความลับ
  • การไม่ปฏิบัติตามข้อกำหนดในการลดความเป็นส่วนตัวของข้อมูลส่วนบุคคล

อย่างที่คุณเห็นในปี 2560 กฎหมายที่ควบคุมขั้นตอนและกฎเกณฑ์ในการทำงานกับข้อมูลส่วนบุคคลมีการเปลี่ยนแปลงบางอย่างจริง ๆ ในเวลาเดียวกันมีการปรับเปลี่ยนทั้งกฎหมายของรัฐบาลกลางหมายเลข 152 และประมวลกฎหมายความผิดทางปกครองปัจจุบันของสหพันธรัฐรัสเซียซึ่งกำหนดขอบเขตความรับผิดของผู้ปฏิบัติงาน PD ที่กระทำการละเมิดเมื่อทำงานกับข้อมูลประเภทนี้

มีการพูดคุยกันมากมายเกี่ยวกับการเปลี่ยนแปลงกฎหมายว่าด้วยข้อมูลส่วนบุคคล และเราตัดสินใจเข้าร่วม

เกิดอะไรขึ้น?

  • มีการแนะนำความผิดทางการบริหารใหม่สำหรับการละเมิดกฎหมายในด้านข้อมูลส่วนบุคคล (มีเหตุผลเพิ่มเติมที่ต้องปรับคุณเล็กน้อย)
  • ขั้นตอนในการนำความรับผิดทางการบริหารสำหรับการละเมิดนั้นง่ายขึ้น (ปรับคุณได้ง่ายขึ้น)
  • จำนวนค่าปรับเพิ่มขึ้น (ง่ายขึ้น – และน่าสนใจยิ่งขึ้น!)

หากก่อนหน้านี้ค่าปรับคือ 10,000 รูเบิล ดังนั้นหลังจากวันที่ 1 กรกฎาคม จำนวนค่าปรับทั้งหมดสำหรับ นิติบุคคลสามารถเข้าถึง 295,000 รูเบิล ตอนนี้มันสมเหตุสมผลแล้วที่จะจัดการกับข้อมูลส่วนบุคคลที่โชคร้ายเหล่านี้

ใครบ้างที่สามารถถูกปรับ?

ใครก็ตามที่ประมวลผลข้อมูลส่วนบุคคล และการประมวลผลข้อมูลส่วนบุคคลคือการกระทำใด ๆ ในการรวบรวม จัดเก็บ บันทึก ใช้ ถ่ายโอนข้อมูลส่วนบุคคล (ข้อ 3 มาตรา 3 ของกฎหมายของรัฐบาลกลาง “เกี่ยวกับข้อมูลส่วนบุคคล” หมายเลข 152-FZ)

ข้อมูลส่วนบุคคลคืออะไร?

ข้อมูลใด ๆ ที่ช่วยให้สามารถระบุตัวบุคคลได้ ในถ้อยคำของกฎหมาย - ข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลที่ระบุหรือระบุตัวได้โดยตรงหรือโดยอ้อม (เรื่องของข้อมูลส่วนบุคคล)

ข้อมูลดังกล่าว เช่น:

  • ชื่อเต็ม;
  • ปี, เดือน, วันเดือนปีเกิด, ที่อยู่, สถานภาพการสมรส, สถานะทางสังคม, สถานะทรัพย์สิน, การศึกษา, วิชาชีพ, รายได้;
  • อีเมล รูปถ่าย คุกกี้ ข้อมูลที่อยู่ IP ตำแหน่งที่ตั้งโดยไม่ระบุนามสกุลและชื่อ หากคุกกี้และที่อยู่ IP เป็นเรื่องที่น่าประหลาดใจ คุณสามารถดูคำตัดสินของศาลอนุญาโตตุลาการมอสโกลงวันที่ 11 มีนาคม 2559 ในคดีหมายเลข A40-14902/2016

ท้ายที่สุดแล้ว หากคุณไม่แน่ใจว่าบางสิ่งถือเป็นข้อมูลส่วนบุคคลหรือไม่ ควรถือว่าสิ่งนั้นเป็นเช่นนั้น เผื่อไว้

ฉันควรทำอย่างไรหากฉันเป็นเจ้าของเว็บไซต์และได้รับข้อมูลส่วนบุคคล?

ไซต์จะต้องปฏิบัติตามข้อกำหนดของกฎหมาย

1. ต้องโพสต์ความยินยอมในการประมวลผลข้อมูลส่วนบุคคล โดยที่ผู้ใช้ไม่สามารถส่งข้อมูลถึงคุณได้โดยไม่ต้องได้รับการอนุมัติ
2. โพสต์ลิงก์ไปยังเอกสารบนเว็บไซต์ในโดเมนสาธารณะ - นโยบายขององค์กรในการประมวลผลข้อมูลส่วนบุคคล
3. ผู้ใช้เว็บไซต์ใหม่ทุกคนควรได้รับคำเตือนด้วยข้อความป๊อปอัปบนเว็บไซต์เกี่ยวกับการรวบรวมข้อมูลผู้ใช้ (คุกกี้ ที่อยู่ IP และข้อมูลตำแหน่ง) เพื่อให้มั่นใจถึงการทำงานของเว็บไซต์ หากผู้ใช้ไม่ต้องการให้ข้อมูลนี้ เขาจะต้องออกจากไซต์หรือกำหนดค่าของตนเอง ซอฟต์แวร์และ/หรืออุปกรณ์ในลักษณะที่ไซต์ไม่ได้รับข้อมูลนี้หรือไม่สามารถระบุผู้ใช้ได้
4. พิจารณาว่าคุณต้องส่งการแจ้งเตือนเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลไปยัง Roskomnadzor หรือไม่ จากข้อกำหนดให้แจ้ง Roskomnadzor มีข้อยกเว้นอยู่(เพิ่มเติมเกี่ยวกับเรื่องนี้ด้านล่าง และดูส่วนที่ 2 ของมาตรา 22 ของกฎหมายด้วย)

แล้วความรับผิดชอบล่ะ?

จนถึงวันที่ 1 กรกฎาคม 2017 มีเพียงพนักงานอัยการเท่านั้นที่มีสิทธิ์เริ่มคดีเกี่ยวกับคดีการบริหารที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ตั้งแต่วันที่ 1 กรกฎาคม 2017 คดีภายใต้มาตรา 13.11 ของประมวลกฎหมายปกครองจะมีสิทธิ์ที่จะเริ่มโดยเจ้าหน้าที่ของ Roskomnadzor (ข้อ 58 ส่วนที่ 2 ข้อ 28.3 แห่งประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซีย) . หากก่อนวันที่ 1 กรกฎาคม 2017 มีการละเมิดหนึ่งครั้ง (การละเมิดทั่วไปในด้านข้อมูลส่วนบุคคล) ตอนนี้มีความผิดหลายอย่าง:

ความผิด การลงโทษทางปกครอง การป้องกันความเสี่ยง
การประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ “อื่น ๆ”
การประมวลผลข้อมูลส่วนบุคคลในกรณีที่ไม่ได้ระบุไว้ในกฎหมาย หรือการประมวลผลข้อมูลส่วนบุคคลที่ไม่สอดคล้องกับวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล (ส่วนที่ 1 ของข้อ 13.11 ของประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซีย)		 คำเตือนหรือปรับ:
  • สำหรับพลเมือง - จำนวน 1,000 ถึง 3,000 รูเบิล;
  • สำหรับเจ้าหน้าที่ - 5,000 ถึง 10,000 รูเบิล
  • สำหรับนิติบุคคล - 30,000 ถึง 50,000 รูเบิล
 ประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่ระบุไว้ในความยินยอมและนโยบายเท่านั้น และตามส่วนที่ 1 ของศิลปะ 3 แห่งกฎหมายข้อมูลส่วนบุคคล
การประมวลผลข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม
การประมวลผลข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจาก การเขียนในกรณีที่ต้องได้รับความยินยอมตามกฎหมายของสหพันธรัฐรัสเซีย (ส่วนที่ 2 ของข้อ 13.11 แห่งประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซีย)		 ดี:
  • สำหรับพลเมือง - จำนวน 3,000 ถึง 5,000 รูเบิล;
  • สำหรับเจ้าหน้าที่ (เช่นผู้อำนวยการเจ้าหน้าที่ฝ่ายบุคคลหรือผู้ประกอบการรายบุคคล) - ตั้งแต่ 10,000 ถึง 20,000 รูเบิล
  • สำหรับองค์กร - จาก 15,000 ถึง 75,000 รูเบิล
 ได้รับความยินยอมในการประมวลผล ในกรณีนี้ ความยินยอมในการประมวลผลข้อมูลส่วนบุคคลจะต้องรวมข้อมูลที่ระบุไว้ในส่วนที่ 4 ของมาตรา 9 ของกฎหมายหมายเลข 152-FZ
ความล้มเหลวในการให้การเข้าถึงนโยบายการประมวลผลข้อมูลส่วนบุคคล
ความล้มเหลวของผู้ให้บริการในการเผยแพร่หรือให้การเข้าถึงเอกสารที่กำหนดนโยบายของผู้ประกอบการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลหรือข้อมูลเกี่ยวกับข้อกำหนดที่บังคับใช้สำหรับการปกป้องข้อมูลส่วนบุคคลโดยไม่จำกัด (ส่วนที่ 3 ของข้อ 13.11 แห่งประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซีย)		 คำเตือนหรือปรับ:
  • สำหรับพลเมือง - จาก 700 ถึง 1,500 รูเบิล;
  • สำหรับเจ้าหน้าที่ (เช่นผู้อำนวยการหรือหัวหน้าฝ่ายบัญชี) - จาก 3,000 ถึง 6,000 รูเบิล
  • บน ผู้ประกอบการแต่ละราย- จาก 5,000 ถึง 10,000 รูเบิล
  • สำหรับองค์กร - จาก 15,000 ถึง 30,000 รูเบิล
 เผยแพร่บนเว็บไซต์เอกสารที่กำหนดนโยบายเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลและข้อมูลเกี่ยวกับข้อกำหนดที่นำไปใช้ในการปกป้องข้อมูลส่วนบุคคลตลอดจนให้ความสามารถในการเข้าถึงเอกสารที่ระบุ
การปกปิดข้อมูลจากเรื่องข้อมูลส่วนบุคคลที่รวบรวมเกี่ยวกับเขา
ความล้มเหลวของผู้ดำเนินการในการปฏิบัติตามภาระผูกพันในการให้ข้อมูลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล รวมถึงข้อมูลที่มีข้อมูลที่ระบุไว้ในส่วนที่ 7 ของศิลปะ มาตรา 14 ของกฎหมายลงวันที่ 27 กรกฎาคม 2549 ฉบับที่ 152-FZ) (ส่วนที่ 4 ของข้อ 13.11 แห่งประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซีย)		 คำเตือนหรือปรับ:
  • สำหรับประชาชน - ตั้งแต่ 1,000 ถึง 2,000 รูเบิล
  • สำหรับเจ้าหน้าที่ (เช่นผู้อำนวยการเจ้าหน้าที่บุคคลหรือนักบัญชี) - จาก 4,000 ถึง 6,000 รูเบิล
  • สำหรับผู้ประกอบการรายบุคคล - 10,000 ถึง 15,000 รูเบิล
  • สำหรับนิติบุคคล (องค์กร) - 20,000 ถึง 40,000 รูเบิล
 ให้ข้อมูลแก่เรื่องของข้อมูลส่วนบุคคลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของเขาภายในระยะเวลาที่กฎหมายกำหนด
การไม่ปฏิบัติตามข้อกำหนดในการทำลายและการบล็อกข้อมูลส่วนบุคคล
ความล้มเหลวของผู้ให้บริการในการปฏิบัติตามข้อกำหนดในการชี้แจงข้อมูลส่วนบุคคล ปิดกั้นหรือทำลายข้อมูล (ส่วนที่ 5 ของข้อ 13.11 ของประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซีย)		 คำเตือนหรือปรับ:
  • สำหรับพลเมือง - ตั้งแต่ 1,000 ถึง 2,000 รูเบิล
  • สำหรับเจ้าหน้าที่ (เช่นผู้อำนวยการเจ้าหน้าที่ฝ่ายบุคคลหรือหัวหน้าฝ่ายบัญชี) - จาก 4,000 ถึง 10,000 รูเบิล
  • สำหรับผู้ประกอบการรายบุคคล - 10,000 ถึง 20,000 รูเบิล
  • สำหรับนิติบุคคล - 25,000 ถึง 45,000 รูเบิล
 ปฏิบัติตามคำร้องขอให้ชี้แจงข้อมูลส่วนบุคคล การบล็อกหรือการทำลายข้อมูลภายในระยะเวลาที่กฎหมายกำหนด
ความล้มเหลวในการเก็บรักษาข้อมูลส่วนบุคคล
ความล้มเหลวของผู้ให้บริการในการรับรองความปลอดภัยของข้อมูลส่วนบุคคล หากสิ่งนี้นำไปสู่การเข้าถึงข้อมูลส่วนบุคคลโดยผิดกฎหมายหรือโดยไม่ได้ตั้งใจ และนี่ก็เป็นสาเหตุของการทำลาย ดัดแปลง บล็อก คัดลอก จัดเตรียม แจกจ่าย หรือการกระทำที่ผิดกฎหมายอื่น ๆ (ส่วนที่ 6 ของข้อ 13.11 แห่งประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซีย)		 ดี:
  • สำหรับพลเมือง - 700 ถึง 2,000 รูเบิล;
  • สำหรับเจ้าหน้าที่ (เช่นผู้จัดการ) - จาก 4,000 ถึง 10,000 รูเบิล
  • สำหรับผู้ประกอบการรายบุคคล - 10,000 ถึง 20,000 รูเบิล
  • สำหรับองค์กร - จาก 25,000 ถึง 50,000 รูเบิล
 ตรวจสอบการจัดเก็บสื่อที่จับต้องได้ของข้อมูลส่วนบุคคลอนุมัติกฎเกณฑ์ในการเข้าถึงข้อมูลส่วนบุคคล
ความล้มเหลวในการแจ้ง Roskomnadzor เกี่ยวกับการประมวลผลข้อมูล
ความล้มเหลวในการส่งการแจ้งเตือนเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลไปยัง Roskomnadzor การส่งหรือส่งการแจ้งเตือนที่มีข้อมูลที่ไม่สมบูรณ์หรือไม่น่าเชื่อถือในเวลาที่ไม่เหมาะสม (มาตรา 19.7 ของประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซีย)		 คำเตือนหรือปรับ:
  • สำหรับประชาชน - ตั้งแต่ 100 ถึง 300 รูเบิล;
  • สำหรับเจ้าหน้าที่ (รวมถึงผู้ประกอบการแต่ละราย - หมายเหตุมาตรา 2.4 ของประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซีย) - ตั้งแต่ 300 ถึง 500 รูเบิล ขณะเดียวกันตามบันทึกของอาร์ท 2.4 แห่งประมวลกฎหมายความผิดทางการบริหารของสหพันธรัฐรัสเซีย บุคคลดังกล่าวเป็นผู้จัดการและพนักงานอื่น ๆ ขององค์กรที่ปฏิบัติหน้าที่ในองค์กรและการบริหารหรือการบริหาร
  • สำหรับนิติบุคคล - ตั้งแต่ 3,000 ถึง 5,000 รูเบิล
 หากคุณประมวลผลและจัดเก็บข้อมูลส่วนบุคคล คุณคือผู้ดำเนินการและต้องแจ้ง Roskomnadzor (ส่วนที่ 1 มาตรา 22 ข้อ 2 มาตรา 3 ของกฎหมาย)

ข้อยกเว้น:แจ้ง Roskomnadzor ไม่จำเป็น(ส่วนที่ 2 ของมาตรา 22 ของกฎหมาย) หาก:

  • คุณกำลังประมวลผลข้อมูลพนักงาน (ข้อ 1 ส่วนที่ 2 มาตรา 22 ของกฎหมาย)
  • หากการประมวลผลมีเพียงนามสกุล ชื่อ และนามสกุลของเจ้าของข้อมูลส่วนบุคคล (ข้อ 5 ส่วนที่ 2 มาตรา 22 ของกฎหมาย)

การไม่มีภาระผูกพันในการแจ้ง Roskomnazdor ไม่ได้ช่วยลดภาระผูกพันในการได้รับความยินยอมในการประมวลผลข้อมูลส่วนบุคคลและมีนโยบายการประมวลผล ตัวอย่างเช่น หากคุณมีพนักงาน ความยินยอมในการประมวลผลข้อมูลส่วนบุคคลจะต้องจัดทำเป็นเอกสารแยกต่างหาก หรือต้องมีบรรทัดสำหรับลายเซ็นของพนักงานอยู่ในสัญญาการจ้างงาน ( การปฏิบัติด้านอนุญาโตตุลาการเชื่อว่าหากได้รับความยินยอมในการประมวลผลข้อมูลส่วนบุคคลในสัญญาจ้าง แต่ไม่มีที่ว่างสำหรับลายเซ็นของพนักงานแสดงว่าไม่ได้รับความยินยอมจากพนักงาน)

สิ่งสำคัญที่ต้องจำ:นโยบาย ความยินยอมในการประมวลผลจะต้องคำนึงถึงข้อมูลที่คุณประมวลผลและในรูปแบบใด มันหมายความว่าอย่างนั้น ดาวน์โหลดเอกสารเหล่านี้ทางออนไลน์ไม่เพียงพอ คุณต้องสร้างใหม่ด้วยตนเอง- หากเอกสารไม่คำนึงถึงกระบวนการประมวลผลของคุณ ให้ถือว่าคุณไม่มีเอกสารเหล่านี้

และที่สำคัญที่สุด ความเสี่ยงในการต้องรับผิดชอบมีจริงแค่ไหน?

คำตอบที่นี่จะคลุมเครืออย่างยิ่ง เมื่อคำนึงถึงอำนาจใหม่ของ Roskomnadzor บทความใหม่ในประมวลกฎหมายปกครองและจำนวนที่สำคัญ ความเสี่ยงในการถูกดำเนินคดีจะเพิ่มขึ้นเมื่อเทียบกับเมื่อก่อน แต่เท่าไหร่? การปฏิบัติจะแสดง

และสิ่งสุดท้ายที่ทำให้เรากังวลเกี่ยวกับการเปลี่ยนแปลงที่กำลังจะเกิดขึ้น:ขณะนี้ผู้รับจดทะเบียนชื่อโดเมน (โดยเฉพาะรายใหญ่) ตามคำขอของทนายความในนามของผู้ถือลิขสิทธิ์ ยินดีที่จะให้ข้อมูลเกี่ยวกับผู้ดูแลชื่อโดเมน ( รายบุคคล) ซึ่งชื่อโดเมนหรือเว็บไซต์ในชื่อโดเมนนั้นละเมิดสิทธิ์ของผู้ถือลิขสิทธิ์นั้น

จะเกิดอะไรขึ้นหลังจากวันที่ 1 กรกฎาคมยังไม่ชัดเจน หากผู้รับจดทะเบียนหยุดออกข้อมูลเกี่ยวกับผู้ดูแลระบบ-บุคคล (ชื่อนามสกุล ที่อยู่) โดยอ้างถึงความจำเป็นในการเก็บรักษาข้อมูลส่วนบุคคล ผู้ถือลิขสิทธิ์จะพบว่าตัวเองตกอยู่ในสถานการณ์ที่ยากลำบาก: เขาจะไม่สามารถขึ้นศาลได้เพราะเขาทำ ไม่รู้จะฟ้องใคร

ผู้ถือลิขสิทธิ์สามารถเรียกร้องต่อเจ้าของไซต์ได้ (แน่นอนว่าหากผู้ติดต่อของเขาอยู่บนไซต์) ไม่ใช่ผู้ดูแลระบบโดเมน จากนั้นจึงยื่นคำร้องต่อศาลเพื่อค้นหาว่าใครเป็นผู้ดูแลโดเมน อย่างไรก็ตาม ศาลอนุญาโตตุลาการจะไม่พิจารณาข้อเรียกร้องต่อผู้ดูแลระบบอีกต่อไป เนื่องจากไม่ปฏิบัติตามขั้นตอนการเรียกร้องเพื่อแก้ไขข้อพิพาท แต่เก็บสิ่งนี้ไว้ ขั้นตอนการเรียกร้องเจ้าของลิขสิทธิ์ไม่สามารถเขียนได้ เพราะเขาไม่รู้ว่าจะเขียนถึงใคร

และปรากฎว่าหลังจากการดำเนินคดีหลายเดือน เมื่อผู้ถือลิขสิทธิ์ทราบว่าใครเป็นผู้ดูแลระบบและส่งคำร้องถึงเขา ค่าเสียหายสำหรับผู้ถือลิขสิทธิ์อาจมีนัยสำคัญมาก

นอกจากนี้ จากการชี้แจงของศาลสิทธิในทรัพย์สินทางปัญญา การเรียกร้องบางส่วนสามารถฟ้องร้องผู้ดูแลโดเมนได้เท่านั้น แต่ไม่สามารถฟ้องร้องเจ้าของเว็บไซต์ได้ จากนี้ไปผู้ถือลิขสิทธิ์ยังคงต้องใช้เงินในการฟ้องร้องกับเจ้าของเว็บไซต์โดยที่เขาไม่ต้องการ จะไม่มีปัญหาดังกล่าวหากผู้ดูแลระบบโดเมนเป็นนิติบุคคล แต่มีผู้ดูแลระบบเป็นรายบุคคลจำนวนมาก

ตั้งแต่วันที่ 1 กรกฎาคม 2017 ความรับผิดทางการบริหารสำหรับการละเมิดกฎหมายในด้านข้อมูลส่วนบุคคลและการประมวลผลมีความเข้มงวดมากขึ้น

ความสนใจ!

ปัจจุบันหน่วยงานภาครัฐมีความกระตือรือร้นในการตรวจสอบอินเทอร์เน็ตเป็นอย่างมากและมีการคำนวณรวมสำหรับการละเมิดแต่ละครั้ง

ศึกษาบทความนี้อย่างละเอียดหรือใช้บริการของเราเพื่อดำเนินกิจกรรมที่จำเป็นทั้งหมด

กฎหมายของรัฐบาลกลางลงวันที่ 02/07/2017 N 13-FZ "ในการแก้ไขประมวลกฎหมาย สหพันธรัฐรัสเซียในความผิดทางปกครอง"

เพื่อจุดประสงค์นี้ ฉบับใหม่ของมาตรา 13.11 ของประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซียได้ขยายรายการความผิดและเพิ่มจำนวนค่าปรับด้วย

โดยเฉพาะอย่างยิ่งความรับผิดชอบด้านการบริหารจึงได้ถูกกำหนดไว้สำหรับ:

การประมวลผลข้อมูลส่วนบุคคลในกรณีที่กฎหมายไม่ได้กำหนดไว้ในด้านข้อมูลส่วนบุคคล หรือการประมวลผลข้อมูลส่วนบุคคลที่ไม่สอดคล้องกับวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล หากการกระทำเหล่านี้ไม่มีความผิดทางอาญา (จะมีคำเตือนหรือปรับใน พลเมืองจำนวน 1,000 รูเบิลถึง 3,000 รูเบิล สำหรับเจ้าหน้าที่ - จาก 5,000 รูเบิลถึง 10,000 รูเบิลสำหรับนิติบุคคล - จาก 30,000 รูเบิลถึง 50,000 รูเบิล)

การประมวลผลข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรจากเจ้าของข้อมูลส่วนบุคคลในการประมวลผลข้อมูลส่วนบุคคลของตน ในกรณีที่ต้องได้รับความยินยอมดังกล่าวตามกฎหมาย หากการกระทำเหล่านี้ไม่มีความผิดทางอาญา หรือการประมวลผลข้อมูลส่วนบุคคล ละเมิดกฎหมายที่จัดตั้งขึ้นในด้านข้อมูลส่วนบุคคลข้อกำหนดเหล่านี้สำหรับองค์ประกอบของข้อมูลที่รวมอยู่ในความยินยอมเป็นลายลักษณ์อักษรของเรื่องของข้อมูลส่วนบุคคลในการประมวลผลข้อมูลส่วนบุคคลของเขา

ความล้มเหลวของผู้ประกอบการในการปฏิบัติตามภาระผูกพันที่กำหนดโดยกฎหมายในด้านข้อมูลส่วนบุคคลในการเผยแพร่หรือให้การเข้าถึงเอกสารที่กำหนดนโยบายของผู้ประกอบการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลหรือข้อมูลเกี่ยวกับข้อกำหนดที่ดำเนินการเพื่อการคุ้มครองส่วนบุคคล ข้อมูล;

ความล้มเหลวของผู้ประกอบการในการปฏิบัติตามภาระผูกพันที่กำหนดโดยกฎหมายในด้านข้อมูลส่วนบุคคลในการให้ข้อมูลที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของเขาแก่เรื่องของข้อมูลส่วนบุคคล

การร่างระเบียบการเกี่ยวกับคดีการบริหารในหมวดหมู่นี้เป็นความรับผิดชอบของเจ้าหน้าที่ Roskomnadzor (ก่อนหน้านี้อัยการเป็นผู้ริเริ่มคดีในหมวดหมู่นี้)

ในเวอร์ชันก่อนหน้าของมาตรา 13.11 ของประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซีย ความรับผิดถูกสร้างขึ้นเฉพาะสำหรับการละเมิดขั้นตอนในการรวบรวมจัดเก็บใช้หรือแจกจ่ายข้อมูลเกี่ยวกับพลเมือง (ข้อมูลส่วนบุคคล) ซึ่งจัดให้มีขึ้นสำหรับคำเตือนหรือการจัดเก็บภาษี ค่าปรับสำหรับพลเมืองจำนวน 300 รูเบิลถึง 500 รูเบิลสำหรับเจ้าหน้าที่ - จาก 500 รูเบิลถึง 1,000 รูเบิลสำหรับนิติบุคคล - จาก 5,000 รูเบิลถึง 10,000 รูเบิล

วิธีปฏิบัติตามพระราชบัญญัติข้อมูลส่วนบุคคล พ.ศ. 2560

เจ้าของเว็บไซต์โปรดทราบ! ตั้งแต่วันที่ 1 กรกฎาคม ค่าปรับสำหรับการละเมิดกฎหมายว่าด้วยข้อมูลส่วนบุคคลจะเพิ่มขึ้นเป็น 75,000 รูเบิล (สำหรับการละเมิดที่ตรวจพบหนึ่งครั้ง)

คุณมีแบบฟอร์มติดต่อบนเว็บไซต์ของคุณหรือไม่?

ดังนั้นสิ่งนี้น่าจะใช้ได้กับคุณเช่นกัน อัยการปรับบริษัทแล้ว และศาลก็สนับสนุนพวกเขา นอกจากค่าปรับเพื่อประโยชน์ของรัฐในการละเมิดกฎสำหรับการประมวลผลข้อมูลส่วนบุคคลแล้ว ยังอาจต้องจ่ายค่าชดเชยสำหรับความเสียหายทางศีลธรรมและความรับผิดอื่น ๆ อีกด้วย

กฎความปลอดภัยเมื่อทำงานกับข้อมูลส่วนบุคคล

ในเดือนกุมภาพันธ์ 2560 มีการแก้ไขมาตรา 13.11 ของประมวลกฎหมายปกครองเกี่ยวกับการละเมิดกฎหมายว่าด้วยข้อมูลส่วนบุคคล ซึ่งจะมีผลใช้บังคับในวันที่ 1 กรกฎาคม นวัตกรรมดังกล่าวจะส่งผลต่อทุกคนที่ได้รับ รวบรวม ประมวลผล หรือจัดเก็บข้อมูลส่วนบุคคล

ค่าปรับเพิ่มขึ้นสิบเท่าและแบ่งตามประเภทของการละเมิด ดังนั้น หากไม่ได้โพสต์นโยบายความเป็นส่วนตัวบนเว็บไซต์ ค่าปรับสำหรับผู้ประกอบการแต่ละรายจะเป็น 10,000 รูเบิล และสำหรับบริษัท - 30,000 นิติบุคคลจะต้องเสียค่าปรับมากถึง 75,000 รูเบิลหากเว็บไซต์ประมวลผลข้อมูลส่วนบุคคลของลูกค้าของร้านค้าออนไลน์หรือสมาชิกแหล่งข้อมูลโดยไม่ได้รับความยินยอมจากเขา (ผู้อำนวยการของ บริษัท หรือผู้ประกอบการแต่ละรายจะต้อง เพื่อจ่ายสูงสุดถึง 20,000)

ฯลฯ หากมีการบันทึกการละเมิดหลายครั้ง จะต้องถูกปรับหลายครั้งด้วย

จะทำอย่างไร? รับเว็บไซต์ของคุณตามลำดับอย่างเร่งด่วน! การตรวจสอบได้เริ่มต้นขึ้นแล้ว

ขณะนี้มีเพียงสำนักงานอัยการเท่านั้นที่มีสิทธิ์ออกระเบียบปฏิบัติเกี่ยวกับการละเมิดและจำนวนเงินค่าปรับโดยไม่คำนึงถึงประเภทของการละเมิดคือ 10,000 รูเบิลสำหรับนิติบุคคลและ 1,000 รูเบิลสำหรับผู้ประกอบการหรือผู้อำนวยการแต่ละราย ตั้งแต่วันที่ 1 กรกฎาคมเป็นต้นไป ทั้งนี้ให้เป็นไปตามเพิ่มเติม เดิมพันสูงและเห็นได้ชัดว่า Roskomnadzor จะกระตือรือร้นมากขึ้นในการออกโปรโตคอล

จะทราบได้อย่างไรว่าคุณเป็นผู้ดำเนินการข้อมูลส่วนบุคคลคนเดียวกันหรือไม่?

ข้อมูลส่วนบุคคลตามกฎหมายของรัฐบาลกลาง "ข้อมูลส่วนบุคคล" คือข้อมูลใด ๆ เกี่ยวกับบุคคลที่สามารถระบุตัวตนได้ ขณะเดียวกัน กฎหมายไม่มีรายการประเภทข้อมูลดังกล่าว ดังนั้นจึงต้องดำเนินการตามตรรกะทั่วไปของกฎหมายและแนวปฏิบัติ และ "ตามกระแสน้ำ" ตัวอย่างเช่นโดยการใช้ชื่อผู้ใช้หรือการเข้าสู่ระบบเป็นไปไม่ได้ที่จะเข้าใจว่านี่คือบุคคลประเภทใด แต่ด้วยชื่อและหมายเลขโทรศัพท์หรือชื่อนามสกุลและอีเมลคุณสามารถระบุบุคคลได้ในทางใดทางหนึ่งแล้วซึ่งหมายความว่าการได้รับชุดค่าผสมดังกล่าว สามารถกำหนดเป็นการรวบรวมและจัดเก็บข้อมูลส่วนบุคคลได้แล้ว

ดังนั้น เป็นไปได้มากว่าคุณเป็นผู้ดำเนินการข้อมูลส่วนบุคคลอยู่แล้ว หากคุณได้รับจากบุคคลอื่น เช่น ข้อมูลต่อไปนี้ (ในรูปแบบผสมใดๆ ก็ตาม): นามสกุล ชื่อ นามสกุล ที่อยู่ทางกายภาพใดๆ อีเมล, หมายเลขโทรศัพท์, วันเดือนปีเกิดหรือสถานที่เกิด, ภาพถ่าย, ลิงก์ไปยังเว็บไซต์ส่วนตัวหรือโซเชียลเน็ตเวิร์ก, อาชีพ, การศึกษา, ระดับรายได้, สถานภาพการสมรส ฯลฯ

ในทางปฏิบัติหมายความว่าเจ้าของไซต์ทั้งหมดที่มีบัญชีและแบบฟอร์มส่วนบุคคล ข้อเสนอแนะ, การสมัครสมาชิกหรือการลงทะเบียน, แบบสอบถาม ฯลฯ หรือกล่าวอีกนัยหนึ่งคือแบบฟอร์มที่กรอกได้ซึ่งผู้เยี่ยมชมจะต้องทิ้งข้อมูลของเขา - สิ่งเหล่านี้คือผู้ดำเนินการข้อมูลส่วนบุคคล แม้ว่าเว็บไซต์จะมีเพียงปุ่มยอดนิยมสำหรับการโทรกลับ (ผู้ใช้ฝากชื่อและหมายเลขโทรศัพท์) หรือส่งข้อความ (ชื่อและที่อยู่อีเมล) แต่ก็สามารถเข้าข่ายเป็นการประมวลผลข้อมูลส่วนบุคคลได้เช่นกัน

รายการในสมุดโทรศัพท์ของฉันถือเป็นการรวบรวมและจัดเก็บข้อมูลส่วนบุคคลด้วยหรือไม่

เลขที่ ข้อมูลที่คุณจัดเก็บเพื่อวัตถุประสงค์ส่วนบุคคลและครอบครัวไม่ครอบคลุมอยู่ในกฎหมายนี้ แต่ถ้าคุณถ่ายโอนข้อมูลนี้ไปยังบุคคลหรือองค์กรที่ตามกฎหมายนี้เป็นผู้ดำเนินการข้อมูลส่วนบุคคลหรือเผยแพร่ข้อมูลจะถือเป็นการละเมิด

ทำงานกับข้อมูลส่วนบุคคลอย่างไรโดยไม่ผิดกฎหมาย?

อย่างน้อยต้องปฏิบัติตามและปฏิบัติตามกฎ 10 ข้อต่อไปนี้:

  • เผยแพร่ข้อมูลทั้งหมดเกี่ยวกับหลักการโต้ตอบและการทำงานกับข้อมูลส่วนบุคคลของลูกค้าและผู้เยี่ยมชมองค์กรหรือทรัพยากรของคุณเป็นสาธารณสมบัติ
  • ขอเฉพาะข้อมูลที่จำเป็นสำหรับแต่ละวัตถุประสงค์เฉพาะ ตัวอย่างเช่น คุณไม่สามารถขอข้อมูลหนังสือเดินทางหรือที่อยู่บ้านเพื่อส่งอีเมลได้;
  • ก่อนที่จะรับข้อมูลส่วนบุคคลที่มีวัตถุประสงค์เพื่อเผยแพร่ในแหล่งข้อมูลสาธารณะ ต้องได้รับความยินยอมเป็นลายลักษณ์อักษรจากผู้เยี่ยมชม ลูกค้า หรือสมาชิกแต่ละรายสำหรับการประมวลผล การจัดเก็บ และการแจกจ่าย หากข้อมูลไม่ได้ถูกเผยแพร่ แต่ใช้เพื่อการประมวลผลภายในบริษัทเท่านั้น จำเป็นต้องจำกัดความเป็นไปได้ในการถ่ายโอนข้อมูลส่วนบุคคลให้กับคุณอย่างชัดเจนโดยไม่ได้รับความยินยอมให้ประมวลผล
  • ใช้ข้อมูลเพื่อวัตถุประสงค์ที่คุณเตือนบุคคลนั้นเท่านั้นและที่ระบุไว้ในเอกสารที่คุณเผยแพร่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล
  • แจ้งเมื่อมีการร้องขอจากบุคคล คุณมีข้อมูลอะไรบ้างเกี่ยวกับเขา วิธีและเหตุผลในการประมวลผล และคุณถ่ายโอนข้อมูลนั้นไปให้ใคร
  • ลบข้อมูลตามคำร้องขอแรกของบุคคลที่ข้อมูลส่วนบุคคลถูกเก็บไว้ในฐานข้อมูลของคุณ
  • จัดเก็บฐานข้อมูลไว้ในที่ปลอดภัย ป้องกันการแฮ็กและการรั่วไหล (ข้อกำหนดถูกกำหนดโดยกฎหมาย!);
  • แต่งตั้งบุคคลที่รับผิดชอบในการรับรองความปลอดภัยของข้อมูลส่วนบุคคลและการปฏิบัติตามกฎของรัฐบาลกลาง N152 สำหรับการทำงานกับข้อมูลส่วนบุคคล
  • ฝึกอบรมพนักงานให้ทำงานกับข้อมูลส่วนบุคคล
  • ลงทะเบียนกับ Roskomnadzor

ตามกฎหมาย ภาระผูกพันในการจัดทำหลักฐานการได้รับความยินยอมของข้อมูลส่วนบุคคลภายใต้การประมวลผลข้อมูลส่วนบุคคลของเขาหรือหลักฐานการมีอยู่ของเหตุที่ระบุไว้ในกฎหมายเป็นหน้าที่ของผู้ดำเนินการ

ทำไมเจ้าของเว็บไซต์จึงควรลงทะเบียน?

ตามกฎหมายแล้ว ผู้ดำเนินการข้อมูลส่วนบุคคลจะต้องแจ้งให้ Roskomnadzor ทราบ นอกจากนี้ จะต้องดำเนินการก่อนเริ่มการประมวลผลข้อมูลหรือหลังจากเริ่มกิจกรรมนี้ไม่นาน Roskomnadzor จะป้อนข้อมูลเกี่ยวกับตัวดำเนินการลงในทะเบียนของตัวดำเนินการข้อมูลส่วนบุคคล

ไม่สามารถส่งการแจ้งเตือนได้หาก:

  • มีการประมวลผลข้อมูลพนักงานเท่านั้น
  • ข้อมูลส่วนบุคคลได้มาเพื่อการดำเนินการตามสัญญาเฉพาะกับบุคคลใดบุคคลหนึ่งเท่านั้น และจะไม่ถูกแจกจ่ายหรือใช้ในลักษณะอื่นใด
  • คุณจัดเก็บเฉพาะชื่อเต็มของลูกค้าเท่านั้น
  • ข้อมูลถูกเผยแพร่ในสาธารณสมบัติโดยตัวบุคคลเองหรือโดยบุคคลอื่นในนามของเขา

จะเกิดอะไรขึ้นหากไซต์ของคุณมีแบบฟอร์มและอนุญาตให้คุณรับข้อมูลส่วนบุคคลได้

หากเว็บไซต์ของคุณทำให้สามารถรับข้อมูลส่วนบุคคลได้และคุณยังไม่ได้ปฏิบัติตามเงื่อนไขที่ระบุไว้ข้างต้น การละเมิดอาจถูกบันทึกไว้แล้วและคุณอาจถูกปรับ แม้ว่าไซต์ของคุณจะได้รับการดูแลโดยบริษัทอื่นหรือผู้เชี่ยวชาญจากภายนอก ค่าปรับจะออกให้กับบริษัทหรือผู้ประกอบการแต่ละรายที่มีรายชื่ออยู่ในไซต์ว่าเป็นเจ้าของและด้วยเหตุนี้จึงเป็นผู้รับข้อมูลส่วนบุคคล

วิธีหลีกเลี่ยง ปัญหาที่เป็นไปได้(โปรแกรมขั้นต่ำที่จำเป็น):
1) เตรียมเอกสารสาธารณะและวางไว้บนเว็บไซต์เพื่อให้สามารถเข้าถึงได้จากหน้าใดก็ได้ในเว็บไซต์ของคุณ นี่อาจเป็นประกาศ ข้อตกลงผู้ใช้ กฎการขาย หรือนโยบายเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล
ไม่ว่าจะเรียกเอกสารนี้ว่าอะไรก็ตาม จะต้องมีกฎและเงื่อนไขในการประมวลผลข้อมูลส่วนบุคคล

2) ห้ามใช้เอกสารจากบริษัทอื่นโดยไม่ประมวลผล สามารถใช้เป็นเทมเพลตได้ แต่คุณต้องระบุรายการข้อมูลและวัตถุประสงค์ในการใช้ข้อมูลส่วนบุคคลของคุณเอง สิ่งที่โรงพิมพ์ต้องมีในการสั่งซื้อหรือร้านค้าออนไลน์เพื่อส่งสินค้า ไม่จำเป็นสำหรับการส่งอีเมล การขอข้อมูลที่ไม่จำเป็นอาจถือเป็นการละเมิดกฎหมายและอาจส่งผลให้ต้องเสียค่าปรับ

3) ใช้โซลูชันซอฟต์แวร์ที่รับประกันการตัดสินใจที่ชัดเจนว่าบุคคลนั้นตกลงที่จะประมวลผลข้อมูลส่วนบุคคล นี่อาจเป็นช่องทำเครื่องหมายในแบบฟอร์มการลงทะเบียนที่ต้องทำเครื่องหมายหรือปุ่มเพื่อยอมรับข้อกำหนดการใช้งานโดยไม่ต้องเปิดใช้งานซึ่งบุคคลจะไม่สามารถส่งข้อความหรือสั่งซื้อได้
เพื่อความปลอดภัย คุณสามารถพิมพ์ภาพหน้าจอของหน้าเว็บที่มีแบบฟอร์มที่รับรองโดยทนายความ โดยแสดงความคิดเห็นพร้อมข้อความประกอบ (เช่น “ในขณะที่ทำการรับรอง ปุ่มที่ระบุในเอกสารที่พิมพ์ออกมานี้ทำงานตามฟังก์ชันการทำงาน อธิบายไว้ในคำนำและหากไม่มีการเปิดใช้งาน การส่งข้อมูลจึงเป็นไปไม่ได้ในทางเทคนิค”)

4) จัดเตรียมเอกสารภายในที่เกี่ยวข้องกับกฎเกณฑ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคล และความรับผิดชอบของพนักงานที่สามารถเข้าถึงข้อมูลดังกล่าว

5) ส่งหากไซต์อยู่ภายใต้ข้อกำหนดของกฎหมายให้แจ้งเตือนไปยัง Roskomnadzor หากคุณแน่ใจอย่างยิ่งว่าไม่จำเป็นต้องส่งการแจ้งเตือน ให้เตรียมเอกสารทั้งหมดในลักษณะที่ผู้ตรวจสอบที่เป็นไปได้สามารถเข้าใจได้อย่างชัดเจน ตัวอย่างเช่น คุณสามารถระบุในนโยบายการทำงานกับข้อมูลส่วนบุคคลว่าใช้เพื่อการดำเนินการตามสัญญาเฉพาะเท่านั้น หรือบันทึกในเอกสารประกอบว่าข้อมูลนั้นเปิดให้สาธารณชนเข้าถึงได้ตามคำขอของผู้ใช้ (แต่โปรดจำไว้ว่า กฎหมายให้ความรับผิดชอบในการพิสูจน์ข้อเท็จจริงนี้กับผู้ดำเนินการ)

เมื่อวันที่ 1 กรกฎาคม 2017 บทลงโทษที่รุนแรงยิ่งขึ้นในด้านการละเมิดกฎหมายเกี่ยวกับข้อมูลส่วนบุคคลมีผลใช้บังคับ (มาตรา 13.11 แห่งประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซีย) สำหรับนิติบุคคล ค่าปรับจะเพิ่มขึ้นจาก 10,000 เป็น 75,000 รูเบิล

สิ่งนี้ใช้กับใคร?

บทความนี้ใช้ได้กับบริษัทหาก:

  • มีใบสมัครหรือ พื้นที่ส่วนบุคคลออนไลน์.
  • นักการตลาดหรือผู้จัดการใช้เครื่องมือต่างๆ เช่น การส่งอีเมล การส่ง SMS และการโทรหาฐานลูกค้า
  • ฐานข้อมูลลูกค้าที่มีข้อมูลส่วนบุคคลจะถูกจัดเก็บในรูปแบบใดรูปแบบหนึ่ง

เหล่านั้น. บรรทัดฐานนี้ใช้กับธุรกิจที่มีอยู่เกือบทั้งหมด นอกจากนี้กฎหมายยังใช้กับนายจ้างที่ได้รับข้อมูลจากลูกจ้างเมื่อ สัญญาจ้างงานและภายใต้สัญญาทางแพ่ง

เราต้องทำอย่างไร?

ลงทะเบียนกับ ROSKOMNADZOR

หากคุณประมวลผลข้อมูลส่วนบุคคล (ต่อไปนี้จะเรียกว่า PD) เพื่อวัตถุประสงค์ของ:

  • ปฏิบัติตามภาระผูกพันภายใต้ข้อตกลงและห้ามแจกจ่ายหรือโอน PD ไปยังบุคคลที่สามโดยไม่ได้รับความยินยอมจากหัวข้อ PD
  • จัดให้มีการส่งผ่าน PD แบบครั้งเดียวโดยขึ้นอยู่กับอาณาเขตที่ผู้ดำเนินการตั้งอยู่
  • การปฏิบัติตามกฎหมายแรงงาน
  • และหากคุณประมวลผลข้อมูลที่เปิดเผยต่อสาธารณะ

ประเด็นนี้ไม่เหมาะกับคุณ คุณสามารถไปยังจุดถัดไปได้

หากคุณใช้เครื่องมือส่งอีเมลหรือ SMS โทรหาลูกค้าเป็นประจำ ฯลฯ - จากนั้นคุณจะต้องลงทะเบียนในการลงทะเบียนของผู้ให้บริการที่ประมวลผลข้อมูลส่วนบุคคลบนเว็บไซต์ Roskomnadzor ขั้นตอนนี้ฟรี จริงอยู่ที่ไม่มีใครรับประกันได้ว่า Roskomnadzor จะไม่ใช้ฐานผู้ปฏิบัติงานที่รวบรวมไว้เพื่อตรวจสอบข้อกำหนดทางกฎหมายล่าสุดอย่างเป็นระบบ

ปฏิบัติตามข้อกำหนดในการประมวลผลข้อมูลส่วนบุคคล ได้แก่ :

  • ประมวลผลข้อมูลส่วนบุคคลเพื่อจุดประสงค์ที่เข้ากันได้สำหรับการรวบรวมข้อมูลนี้เท่านั้น เช่น การประมวลผลข้อมูลควรเป็นไปตามวัตถุประสงค์ที่ตั้งใจไว้เท่านั้น (เช่น เมื่อลงทะเบียนในบัญชีส่วนตัวของคุณ คุณควรรวบรวมข้อมูลหนังสือเดินทางเฉพาะในกรณีที่กฎหมายอุตสาหกรรมกำหนดไว้เท่านั้น)
  • ได้รับความยินยอมให้ใช้ข้อมูลส่วนบุคคล
  • เผยแพร่นโยบายการประมวลผล PD และข้อมูลเกี่ยวกับข้อกำหนดที่นำไปใช้ในการปกป้อง PD ให้เป็นสาธารณสมบัติ
  • แจ้งลูกค้า (ตามคำขอ) เกี่ยวกับวิธีการใช้ (ประมวลผล) ข้อมูลส่วนบุคคลของพวกเขา
  • ตอบสนองคำขอของลูกค้าเพื่อชี้แจงข้อมูลส่วนบุคคล การบล็อกหรือการทำลาย นี่เป็นสิ่งจำเป็นเมื่อ PI ไม่สมบูรณ์ ล้าสมัย ไม่ถูกต้อง ได้มาอย่างผิดกฎหมาย หรือไม่จำเป็นสำหรับวัตถุประสงค์ในการประมวลผลที่ระบุไว้
  • ตรวจสอบความปลอดภัยของสื่อที่เป็นสาระสำคัญของข้อมูลส่วนบุคคล ไม่รวมการเข้าถึง การทำลาย การดัดแปลง การบล็อก การคัดลอก ฯลฯ โดยไม่ได้รับอนุญาต
  • จัดเก็บข้อมูลส่วนบุคคลในอาณาเขตของสหพันธรัฐรัสเซีย

มั่นใจในความปลอดภัยของการส่งและจัดเก็บข้อมูล

ข้อกำหนดหลักประการหนึ่งของกฎหมายใหม่คือการรับรองความปลอดภัยของการถ่ายโอน การจัดเก็บ และการใช้ข้อมูลส่วนบุคคล แต่ในเนื้อหาของบทความ ผู้บัญญัติกฎหมายจำกัดตัวเองให้ใช้ถ้อยคำทั่วไป โดยวางลิงก์ไปยังคำแนะนำของ FSB

ลองหารายละเอียดเพิ่มเติมดู กระบวนการถ่ายโอนและจัดเก็บข้อมูลทั้งหมดสามารถแบ่งออกเป็น 4 โซน

โซน 1

เมื่อผู้ใช้เยี่ยมชมเว็บไซต์ของคุณและกรอกแบบฟอร์มใบสมัคร ลงทะเบียน หรือเข้าสู่ระบบบัญชีส่วนตัวของเขา ข้อมูลส่วนบุคคลของเขาจะถูกส่งไปยังเซิร์ฟเวอร์เว็บไซต์ของคุณ หากสิ่งนี้เกิดขึ้นบนโปรโตคอล http ที่ไม่ปลอดภัย โดยเฉพาะอย่างยิ่งในเครือข่าย Wi-Fi แบบเปิด ผู้โจมตีจะดักข้อมูลได้ค่อนข้างง่าย

ปัญหานี้สามารถแก้ไขได้โดยการตั้งค่าโปรโตคอล https ที่ปลอดภัยบนโดเมนของคุณ หลังจากขั้นตอนนี้ ข้อมูลจะถูกส่งในรูปแบบที่เข้ารหัสและมีความไวต่อการสกัดกั้นน้อยกว่า

โซน 2

ข้อมูลผู้ใช้ส่วนบุคคลทั้งหมดจะถูกถ่ายโอนไปยังเซิร์ฟเวอร์ (โฮสติ้ง) ของเว็บไซต์ของคุณ

วิธีรักษาพื้นที่นี้ให้ปลอดภัย:

  • ลงนามในข้อตกลงไม่เปิดเผยข้อมูลกับพนักงานที่รับผิดชอบในการจัดการและสรุปไซต์
  • กำหนดให้จัดเก็บรหัสผ่าน CMS และโฮสติ้งในรูปแบบที่เข้ารหัส
  • ให้การป้องกันการเจาะข้อมูลแบบ bruteforce (รหัสผ่านแบบ bruteforce) ในการเข้าถึงโฮสติ้งและ CMS

โซน 3

จากเซิร์ฟเวอร์เว็บไซต์ของคุณ ข้อมูลมักจะถูกถ่ายโอนไปยังระบบ CRM (ระบบข้อมูลส่วนบุคคล ISPD) โดยปกติโซนนี้จะไม่ถูกโจมตี แต่จะต้องได้รับการปกป้องด้วยการเข้ารหัสการรับส่งข้อมูลโดยใช้เครื่องมือรักษาความปลอดภัยข้อมูลการเข้ารหัสที่ได้รับการรับรอง

โซน 4

การป้องกันเซิร์ฟเวอร์ของคุณโดยตรงที่มีการปรับใช้ระบบ CRM โซนนี้จะได้รับการคุ้มครองโดย:

  • ใช้มาตรการรักษาความปลอดภัยข้อมูลที่ผ่านขั้นตอนการประเมินการปฏิบัติตามตามขั้นตอนที่กำหนด
  • กำหนดวงรอบของพนักงานที่ทำงานกับระบบ CRM
  • กำหนดระดับการเข้าถึงระบบ
  • ลงนามข้อตกลงไม่เปิดเผยข้อมูลกับพวกเขา
  • กำหนดให้เก็บรหัสผ่านในรูปแบบที่เข้ารหัส

การได้รับความยินยอมให้ใช้ข้อมูลส่วนบุคคล

ความยินยอมของผู้ใช้สามารถรับได้สองวิธี - เป็นลายลักษณ์อักษรบนกระดาษและทางอิเล็กทรอนิกส์ ลองพิจารณาวิธีที่สองเนื่องจากง่ายกว่าและใช้บ่อยกว่า

การได้รับความยินยอมแบ่งได้เป็น 2 ระดับ

  1. ยินยอมให้ดำเนินการตามขอบเขตที่จำเป็นสำหรับการให้บริการเท่านั้น (การปฏิบัติตามข้อกำหนดของสัญญา)
  2. ยินยอมให้ใช้ข้อมูลเชิงพาณิชย์เพิ่มเติม (การส่งจดหมาย ฯลฯ)

โดยปกติในกรณีแรก เพื่อเป็นการแสดงความยินยอม ผู้ใช้จะใช้เครื่องหมายถูกใน "ช่องทำเครื่องหมาย" ซึ่งมีลิงก์ไปยังหน้า (หรือข้อความ) นโยบายข้อมูลที่เป็นความลับของบริษัท.

โดยอธิบายโดยละเอียดว่าข้อมูลจะถูกรวบรวมเพื่อวัตถุประสงค์ในการปฏิบัติตามสัญญาเท่านั้น และกฎหมายกำหนดให้ทำเครื่องหมายในช่อง การกรอกแบบฟอร์มลงทะเบียน (ใบสมัคร) เพิ่มเติมนั้นเป็นไปไม่ได้หากไม่ได้ทำเครื่องหมายในช่อง ซึ่งน่าจะเป็นหลักฐานแสดงความยินยอม

ในกรณีที่สอง (การใช้ข้อมูลในเชิงพาณิชย์) ขอแนะนำให้ยืนยันความยินยอมโดยใช้ระบบ การเลือกรับสองครั้งโดยที่ผู้ใช้ไม่เพียงแต่ยินยอมให้ประมวลผลข้อมูลส่วนบุคคลโดยระบุอีเมลของตนและแสดงความสนใจ แต่ยังส่งคำยืนยันจากที่อยู่ที่ระบุด้วย

รวมกรณีแรกและกรณีที่สองเข้าด้วยกัน ไม่พึงประสงค์อย่างยิ่ง- จากนั้นคุณจะต้องระบุในนโยบายการใช้ข้อมูลที่เป็นความลับของคุณว่าคุณจะใช้ข้อมูลนั้น รวมถึงเพื่อวัตถุประสงค์ทางการตลาด และสิ่งนี้ขัดแย้งกับกฎหมายว่าด้วยความจำเป็นในการเก็บรวบรวมเฉพาะข้อมูลที่จำเป็นในการดำเนินการตามสัญญาหรือการให้บริการ

จากข้อมูลข้างต้น อัลกอริธึมต่อไปนี้จะถือเป็นวิธีปฏิบัติตามปกติ:

  • เมื่อกรอกแบบฟอร์มการสมัคร/ลงทะเบียนบนเว็บไซต์ ผู้ใช้ทำเครื่องหมายในช่องแรก - ยินยอมให้มีการประมวลผลข้อมูลส่วนบุคคลเฉพาะในขอบเขตที่จำเป็นเพื่อให้บรรลุตามสัญญา - และคลิกปุ่ม "ส่ง" หรือ "ลงทะเบียน"
  • หลังจากนั้นเขาก็เห็นหน้าจอซึ่งมีคำสัญญาว่าจะให้ผลประโยชน์ทุกประเภทล่อลวงให้เขายอมรับการใช้ข้อมูลของเขาในเชิงพาณิชย์

การได้รับความยินยอมจากฐานลูกค้าที่มีอยู่

หากคุณไม่เคยใส่ใจที่จะขอความยินยอมมาก่อน คุณจะต้องทำเช่นนั้น เมื่อส่งอีเมลมักจะใช้ "จดหมายต้อนรับ" จดหมายดังกล่าวจะถูกส่งไปยังฐานข้อมูลที่มีอยู่และประกอบด้วย:

  • ข้อความของข้อความถึงลูกค้า บางอย่างเช่น “เราเคยพยายามไม่ส่งสแปมถึงคุณ แต่เพียงส่งเฉพาะข้อมูลที่จำเป็นเท่านั้น เราจะพยายามต่อไป แต่กฎหมายกำหนดให้เราต้องได้รับความยินยอมจากคุณในการส่งจดหมายข่าว"
  • ปุ่ม "ขอบคุณ ส่ง"
  • ปุ่มยกเลิกการสมัคร

ข้อยกเว้นสำหรับแหล่งที่มาของการเก็บรวบรวมข้อมูลส่วนบุคคล

หากคุณรวบรวมฐานข้อมูลของคุณจากโอเพ่นซอร์สและรวมถึงโซเชียลมีเดียด้วย เครือข่าย สมุดที่อยู่ เว็บไซต์ของบริษัท ฯลฯ คุณก็ไม่ต้องกังวล - ข้อกำหนดทางกฎหมายใช้ไม่ได้กับเครือข่ายเหล่านั้น

ผู้ใช้สามารถลบข้อมูลของตนออกจากฐานข้อมูลได้อย่างไร

หากคุณถูกทรมานด้วยการโทรหรือ SMS จากบริษัทที่คุณไม่รู้จักในแต่ละวัน หรืออีเมลรายชั่วโมงที่รบกวนกล่องจดหมายของคุณ ไม่ใช่เรื่องง่ายที่จะยอมแพ้

ฝ่ายนิติบัญญัติได้เสนอทางเลือกสองทางเพื่อบังคับให้บริษัทลบข้อมูลของคุณออกจากฐานข้อมูล:

  • ส่งคำขอของคุณไปยังที่อยู่ตามกฎหมายของบริษัทในรูปแบบกระดาษทางไปรษณีย์
  • หรือส่งคำขอทางอิเล็กทรอนิกส์ แต่สำหรับสิ่งนี้ คุณจะต้องได้รับลายเซ็นดิจิทัลอิเล็กทรอนิกส์ที่ผ่านการรับรอง แต่นี่ไม่เร็วและไม่ฟรี

ข้อมูลในหัวข้อ

  • บริการจัดทำเอกสารตามข้อกำหนดของกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (Federal Law 152)
  • บริการสำหรับการดำเนินการระบบประมวลผลข้อมูลส่วนบุคคลตามข้อกำหนดของระเบียบ (EU) N 2016/679 (GDPR)

พอร์ทัลข้อมูลทางกฎหมายประกอบด้วยเอกสารที่ลงนามโดยประธานาธิบดีแห่งสหพันธรัฐรัสเซีย "ในการแก้ไขประมวลกฎหมายของสหพันธรัฐรัสเซียว่าด้วยความผิดทางการบริหาร" ซึ่งกำหนดค่าปรับใหม่สำหรับการละเมิดกฎหมายของสหพันธรัฐรัสเซียในด้านข้อมูลส่วนบุคคลซึ่ง จะมีผลบังคับใช้ในวันที่ 1 กรกฎาคม 2017.

บทบัญญัติของกฎหมายของรัฐบาลกลางชี้แจงเหตุผลในการใช้มาตรการรับผิดทางการบริหารสำหรับการละเมิดกฎหมายของสหพันธรัฐรัสเซียในด้านข้อมูลส่วนบุคคลโดยคำนึงถึงการแก้ไขกฎหมายของรัฐบาลกลางเมื่อวันที่ 27 กรกฎาคม 2549 หมายเลข 152-FZ “เรื่องข้อมูลส่วนบุคคล”. การเปลี่ยนแปลงส่วนใหญ่เกิดขึ้นกับมาตรา 13.11 เช่นเดียวกับมาตรา 28.3 และ 28.4 ของประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซีย

ดังนั้นสิ่งที่จะเปลี่ยนแปลงในด้านข้อมูลส่วนบุคคลตั้งแต่วันที่ 1 กรกฎาคม 2017 ขณะนี้มาตรา 13.11 เวอร์ชันใหม่มีความผิดเฉพาะเจ็ดประการและกำหนดค่าปรับที่สอดคล้องกันโดยสูงสุดคือ 75,000 รูเบิล (สำหรับนิติบุคคล) ไม่เหมือนกับบทความ 13.11 ฉบับก่อนหน้า บทความฉบับใหม่ได้กำหนดกรณีที่ผู้ดำเนินการ PD อาจถูกลงโทษอย่างชัดเจน ตัวอย่างเช่นภายใต้มาตรา 13.11 คุณสามารถลงโทษสำหรับการละเมิดกฎหมายของรัฐบาลกลางหมายเลข 242 ได้ แต่ในฉบับใหม่จะไม่สามารถทำเช่นนี้ได้เช่นเดียวกับที่จะลงโทษหากไม่แจ้ง Roskomnadzor เป็นการยากที่จะลงโทษ

ข้อความของข้อ 13.11 มีการนำเสนอโดยย่อในรูปด้านล่าง สามารถดาวน์โหลดคำอธิบายโดยละเอียดเพิ่มเติมได้ในรูปแบบตาราง และมีการวิเคราะห์บทความต่อบทความในบทความ

ให้เราระลึกว่าการเปลี่ยนแปลงในมาตรา 13.11 ได้จัดทำขึ้นตั้งแต่เดือนธันวาคม 2014 แต่การดำเนินการกับการเปลี่ยนแปลงเหล่านี้ถูกระงับไว้เป็นเวลานานโดยสมาชิกสภานิติบัญญัติ จุดที่สำคัญที่สุด เวอร์ชันต้นใบเรียกเก็บเงินนี้รวมค่าปรับที่ค่อนข้างใหญ่ (มากถึง 300,000 รูเบิล) สำหรับการประมวลผลข้อมูลส่วนบุคคลในหมวดหมู่พิเศษโดยผิดกฎหมาย แต่ในเวอร์ชันที่นำมาใช้ข้อความนี้ถูกลบออก:

การประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษที่เกี่ยวข้องกับเชื้อชาติ สัญชาติ มุมมองทางการเมือง ความเชื่อทางศาสนาหรือปรัชญา สถานะสุขภาพ ชีวิตส่วนตัว และ รวมถึงข้อมูลส่วนบุคคลในประวัติอาชญากรรมในกรณีที่กฎหมายไม่ได้กำหนดไว้สหพันธรัฐรัสเซียเกี่ยวกับข้อมูลส่วนบุคคล
- กำหนดให้มีการเรียกเก็บค่าปรับทางปกครองต่อพลเมืองตั้งแต่สามพันถึงห้าพันรูเบิล สำหรับเจ้าหน้าที่ - จากหนึ่งหมื่นถึงสองหมื่นห้าพันรูเบิล; สำหรับผู้ประกอบการรายบุคคล - จากห้าหมื่นถึงหนึ่งแสนรูเบิลสำหรับนิติบุคคล - จากหนึ่งแสนห้าหมื่น มากถึงสามแสนรูเบิล.

อะไรคือผลที่ตามมาหลักของการแก้ไข? มีหลายอย่าง:

  1. เนื่องจากถ้อยคำในมาตรา 13.11 มีความเฉพาะเจาะจงมากขึ้น ผู้เชี่ยวชาญหลายคนจึงแสดงความกังวล ( , ) ว่าแผนการลงโทษอาจมีการเปลี่ยนแปลงโดยพื้นฐาน หากตามฉบับปัจจุบันอาจมีการลงโทษแบบหนึ่งสำหรับ “การละเมิดขั้นตอนที่กำหนดโดยกฎหมาย…”โดยรวมแล้ว ไม่ว่าจะพบการละเมิดกี่ครั้งก็ตาม ถ้อยคำใหม่ของมาตรา 13.11 ก็เปลี่ยนไป และมีเพียงรายการความผิดเจ็ดรายการเท่านั้น ซึ่งเป็นไปได้ที่จะจัดทำระเบียบการแยกต่างหากและกำหนดค่าปรับแยกต่างหาก เห็นได้ชัดว่าเราควรคาดหวังว่าจำนวนเงินค่าปรับทั้งหมดจะเพิ่มขึ้นเมื่อตรวจสอบ
  2. หลังจากวันที่ 1 กรกฎาคม ระเบียบปฏิบัติเกี่ยวกับความผิดด้านการบริหารที่จัดประเภทภายใต้ถ้อยคำใหม่ของมาตรา 13.11 จะเป็น เจ้าหน้าที่ Roskomnadzorและแผนกอาณาเขตของตน ไม่ใช่อัยการอย่างที่เป็นอยู่ตอนนี้ ระยะเวลาในการนำเข้าสู่กระบวนการยุติธรรมยังคงเหมือนเดิม - 3 เดือน แต่ขั้นตอนการนำเข้าสู่กระบวนการยุติธรรมนั้นง่ายขึ้นอย่างมาก: สายโซ่ของ "แผนกอาณาเขตของ Roskomnadzor" - "สำนักงานอัยการ" - "ศาล" สั้นลง วัสดุ จะดำเนินไปเร็วขึ้นและมีแนวโน้มจะมีค่าปรับมากขึ้น
  3. การละเมิดบางกรณีที่มีคุณสมบัติตามมาตรา 13.11 ไม่สามารถดำเนินการกับผู้ปฏิบัติงานตามฉบับปรับปรุงใหม่ได้: บทความนี้ไม่ได้ระบุถึงความรับผิดสำหรับความล้มเหลวในการปฏิบัติตามกฎหมายของรัฐบาลกลางหมายเลข 242 ในการแปลฐานข้อมูลส่วนบุคคล