Меню

Актуально









Публикация

29 Августа 2017Персональные данные: новые штрафы для турагентств и гостиниц


С 01.07.2017 вступил в силу Федеральный закон от 07.02.2017 № 13‑ФЗ, которым была полностью переписана ст. 13.11 КоАП РФ, устанавливающая ответственность за нарушения в сфере обращения с персональными данными (ПД). Эти поправки привлекли внимание профессионального сообщества. Обратим внимание, что положения Закона № 152‑ФЗ[1] в части требований по защите ПД остались неизменными. Приведем новые нормы ст. 13.11 КоАП РФ и кратко прокомментируем соответствующие предписания Закона № 152‑ФЗ.

Итак, организации туристической отрасли и сферы гостеприимства должны были выполнять требования Закона № 152‑ФЗ и до 01.07.2017. Однако нередко они не делали этого, поскольку максимальный штраф в размере 10 000 руб. был вполне посильным. Теперь же вместо одного (за любые нарушения Закона № 152‑ФЗ) были описаны сразу семь видов правонарушений (последнее касается государственных и муниципальных органов), при совершении каждого из которых санкции суммируются. Вот почему максимальный штраф теперь может составить для юридического лица 290 000 руб. По оценкам экспертов, отрасль ожидают масштабные проверки. Чиновники оценивают долю туристических компаний, которые уведомили Роскомнадзор об осуществлении обработки ПД, в 1 % (по состоянию на июнь 2017 года). Безусловно, в план проверок попадут не только они. Кстати, за неподачу уведомления штраф невелик – до 5 000 руб. для юридического лица (ст. 19.7 КоАП РФ).

Норма ст. 13.11 КоАП РФ, санкция

Состав правонарушения

Пояснения

Часть 1.

Предупреждение или наложение административного штрафа: на граждан – от 1 000 до 3 000 руб.; на должностных лиц – от 5 000 до 10 000 руб.; на юридических лиц – от 30 000 до 50 000 руб.

Обработка ПД в случаях, не предусмотренных законодательством РФ в области ПД, несовместимая с целями сбора ПД обработка, за исключением случаев, предусмотренных ч. 2 названной статьи, если эти действия не содержат признаков уголовно наказуемого деяния

Формулировка, использованная в ч. 1 ст. 13.11 КоАП РФ, является общей и подразу­мевает любую незаконную обработку ПД (кроме обработки в отсутствие согласия субъекта). Обратившись к Закону № 152‑ФЗ, можно найти случаи, когда обработка ПД не должна осуществляться. К примеру:

–оператор обязан прекратить обработку, уничтожить ПД в течение 30 дней с даты достижения цели обработки ПД, если иное не предусмотрено договором с субъектом ПД либо если оператор не вправе осуществлять обработку ПД без согласия субъекта (ч. 7 ст. 5, ч. 4 ст. 21). Так, если ПД были предоставлены физическим лицом гостинице для целей регистрации по месту пребывания, но впоследствии лицо отказалось от заселения в гостиницу, ПД должны быть уничтожены в течение 30 дней. Несоблюдение этого срока – административное правонарушение, за которое ранее к ответственности привлекали по ст. 13.11 КоАП РФ (Постановление мирового судьи Судебного участка № 2 Плесецкого района Архангельской области от 29.08.2016 по делу № 4‑799/2016);

–обработка ПД должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПД, несовместимая с целями их сбора (ч. 2 ст. 5). Например, нарушением будет, если турагент собирает ПД туристов для заключения договора о реализации турпродукта и передачи туроператору для исполнения этого договора, а впоследствии передает данные третьим лицам для формирования базы данных для рекламных рассылок

Часть 2.

Наложение административного штрафа: на граждан – от 3 000 до 5 000 руб.; на должностных лиц – от 10 000 до 20 000 руб.; на юридических лиц – от 15 000 до 75 000 руб.

Обработка ПД без согласия в письменной форме субъекта на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области ПД, если эти действия не содержат признаков уголовно наказуемого деяния

Случаи, когда обработка ПД допускается без согласия субъекта, перечислены в п. 2 – 11 ч. 1 ст. 6 Закона № 152‑ФЗ. К примеру, если обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект будет являться выгодоприобретателем или поручителем. Действительно, для заключения и исполнения договора о реализации турпродукта необходимы ПД туриста (ФИО, паспортные данные, дата рождения, место проживания, контактные данные).

Однако если такие сведения собирает одно лицо (турагент, туроператор), но в целях исполнения договора передает их третьим лицам (туроператору, авиаперевозчикам, отельерам, визовым центрам и т. д.), согласием необходимо заручиться, поскольку в силу ст. 7 Закона № 152‑ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено федеральным законом.

Необходимость получить согласие для передачи ПД компании, оказывающей бухгалтерские услуги, и туроператорам подтверждена в Постановлении мирового судьи Судебного участка № 16 Кировского судебного района г. Самары от 24.05.017 по делу № 5‑251/2017.

Обращаем особое внимание, что согласие должно быть дано каждым туристом лично (кроме несовершеннолетних, за которых согласие выражает законный представитель), а не только лицом, заключающим договор (заказчиком) (Постановление мирового судьи Судебного участка № 32 Свердловского судебного района города Костромы от 24.02.2016 по делу № 7‑152/2016). Заказчик не вправе подписывать согласие за всех туристов, в интересах которых он приобретает турпродукт, за исключением случаев, когда он может подтвердить соответствующие полномочия доверенностью или иным документом. На туристов, в интересах которых заказчик приобретает тур, не являющихся стороной договора, не распространяется действие п. 5 ч. 1 ст. 6 Закона № 152‑ФЗ (см. Постановление мирового судьи Судебного участка № 4 Центрального района г. Челябинска от 06.04.2016 по делу № 3‑83/2016), значит, их согласие всегда обязательно, даже если оператор самостоятельно оказывает все услуги и не передает ПД третьим лицам

Обработка ПД с нарушением установленных законодательством РФ в области ПД требований к составу сведений, включаемых в согласие в письменной форме субъекта на обработку его персональных данных

Требования к обязательным данным, включаемым в согласие субъекта ПД, приведены в ст. 9 Закона № 152‑ФЗ.

Компании не следует включать согласие субъекта ПД на обработку таких данных в условия типового договора, поскольку оператор должен предоставлять право потребителю дать согласие на обработку ПД или отказаться (см. Постановление Пятнадцатого арбитражного апелляционного суда от 22.12.2016 № 15АП-15935/2016 по делу № А53-20407/2016).

Также подчеркнем, что в силу ч. 2 ст. 18 Закона № 152‑ФЗ, если предоставление ПД является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту ПД юридические последствия отказа предоставить

его данные. К примеру, без ПД гостиница не сможет заселить гостя, а турагент – обеспечить приобретение тура и получение визы.

Кроме того, следует помнить, что особое согласие субъекта ПД необходимо на трансграничную передачу ПД на территории иностранных государств, не обеспечивающих адекватную защиту прав субъектов ПД (это страны, не являющиеся стороной Конвенции о защите физических лиц при автоматизированной обработке персональных данных, ратифицированной Федеральным законом от 19.12.2005 № 160‑ФЗ, а также не входящие в перечень стран, обеспечивающих адекватную защиту прав субъектов ПД, утвержденный Приказом Роскомнадзора от 15.03.2013 № 274) (ч. 4 ст. 14 Закона № 152‑ФЗ)

Часть 3.

Предупреждение или наложение административного штрафа: на граждан – от 700 до 1 500 руб.; на должностных лиц – от 3 000 до 6 000 руб.; на индивидуальных предпринимателей – от 5 000 до 10 000 руб.; на юридических лиц – от 15 000 до 30 000 руб.

Невыполнение оператором предусмотренной законодательством РФ в области ПД обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПД, или сведениям о реализуемых требованиях к защите ПД

Обязанность оператора – юридического лица издать документы, определяющие политику оператора в отношении обработки ПД, предусмотрена п. 2 ч. 1 ст. 18.1 Закона № 152‑ФЗ. В свою очередь, обязанность обеспечить неограниченный доступ к политике в отношении обработки ПД или информации о реализуемых мерах по защите ПД установлена для оператора в ч. 2 указанной статьи. Как правило, речь идет о публикации в Интернете

Часть 4.

Предупреждение или наложение административного штрафа: на граждан – от 1 000 до 2 000 руб.; на должностных лиц – от 4 000 до 6 000 руб.; на индивидуальных предпринимателей – от 10 000 до 15 000 руб.; на юридических лиц – от 20 000 до 40 000 руб.

Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту ПД информации, касающейся обработки его ПД

Согласно ч. 1 ст. 20 Закона № 152‑ФЗ оператор обязан сообщить субъекту ПД или его представителю информацию о наличии ПД, относящихся к соответствующему субъекту, а также предоставить возможность ознакомления с этими данными при обращении субъекта ПД или его представителя либо в течение 30 дней с даты получения запроса субъекта ПД или его представителя.

Статья 14 Закона № 152‑ФЗ конкретизирует требования к запросу (например, запрос в электронной форме должен быть подписан электронной подписью) (ч. 3), составу информации, касающейся обработки ПД (ч. 7)

Часть 5.

Предупреждение или наложение административного штрафа: на граждан – от 1 000 до 2 000 руб.; на должностных лиц – от 4 000 до 10 000 руб.; на индивидуальных предпринимателей – от 10 000 до 20 000 руб.; на юридических лиц – от 25 000 до 45 000 руб.

Невыполнение оператором в сроки, установленные законодательством РФ в области ПД, требования субъекта ПД или его представителя либо уполномоченного органа по защите прав субъектов ПД об уточнении ПД, их блокировании или уничтожении в случае, если ПД неполные, устаревшие, неточные, незаконно получены или не необходимы для заявленной цели обработки

Право субъекта ПД требовать уточнения, блокирования, уничтожения ПД, если они являются неполными, устаревшими, неточными, незаконно полученными или избыточными с точки зрения заявленной цели обработки, предусмотрено ч. 1 ст. 14 Закона № 152‑ФЗ.

Срок, в течение которого оператор должен выполнить указанную обязанность, составляет семь рабочих дней со дня получения от субъекта ПД (его представителя) сведений, подтверждающих, что имеющиеся у оператора данные неполные, неточные, неактуальные, незаконно получены (см. ч. 3 ст. 20, ч. 2 ст. 21 Закона № 152‑ФЗ)

Часть 6.

Наложение административного штрафа: на граждан – от 700 до 2 000 руб.; на должностных лиц – от 4 000 до 10 000 руб.; на индивидуальных предпринимателей – от 10 000 до 20 000 руб.; на юридических лиц – от 25 000 до 50 000 руб.

Невыполнение оператором при обработке ПД без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области ПД сохранность ПД при хранении материальных носителей ПД и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к ПД, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении ПД, при отсутствии признаков уголовно наказуемого деяния

Четко описанные в данной норме вредные последствия неправомерного деяния (невыполнения обязанности) являются обязательным элементом состава правонарушения. К примеру, в июне компьютеры нескольких туроператоров были заблокированы вирусом-шифровальщиком (известным как «Petya»). Принятые компаниями меры по обеспечению сохранности ПД при хранении (в частности, размещение на отдельных серверах) оказались достаточными для избежания негативных последствий.

Напомним, что под обработкой ПД без использования средств автоматизации нужно понимать обработку, в рамках которой использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов ПД осуществляются при непосредственном участии человека (п. 1 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687)

Рассматриваемые поправки – это давно (с 2014 года) продвигаемая инициатива представителей Роскомнадзора с целью ужесточить контроль данной сферы общественных отношений. Кроме увеличения штрафов, еще одним способом достижения той же цели стало наделение должностных лиц органа, осуществляющего функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), полномочиями составлять протоколы об указанных административных правонарушениях (п. 58 ч. 2 ст. 28.3 КоАП РФ). Прокуратура по‑прежнему вправе делать это на основании ч. 1 ст. 28.4 КоАП РФ (при осуществлении надзора за соблюдением Конституции РФ и исполнением законов, действующих на территории РФ).

* * *

Подведем итог. Компаниям, обрабатывающим ПД туристов, гостей, необходимо как минимум:

–уведомить Роскомнадзор об обработке ПД;

–разработать, опубликовать и соблюдать политику в отношении обработки ПД;

–получать согласие физических лиц на обработку ПД;

–уделять внимание информационной безопасности.


[1] Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных».

Источник: Журнал "Туристические и гостиничные услуги"



Последние публикации

16 Января 2018

Неналоговые платежи пропишут в Налоговом кодексе

Неналоговые платежи пропишут в Налоговом кодексе (НК). Такое поручение Минфину и Минэкономразвития дало правительство. Свои предложения они представят к 28 февраля.

При корректировке персональных данных уточненную справку 2-НДФЛ и расчет по страховым взносам представлять не нужно

Налоговики разъяснили, что если у физлица произошло изменение персональных данных после представления налоговым агентом справки по форме 2-НДФЛ в налоговый орган, то уточненная справка по форме 2-НДФЛ не представляется. В отношении расчета по страховым взносам действует такое же правило, если от налогового органа плательщиком не получено уведомление об отказе (уведомление об уточнении) либо требование о представлении пояснений или внесении соответствующих исправлений в расчет в связи с выявленными несоответствиями в персональных данных застрахованных физлиц.

Налоговики перечислили случаи, в которых взыскивать недоимки компании будут с физлица

Представители налогового ведомства уточнили, когда могут возникнуть указанные Конституционным Судом Российской Федерации ситуации исчерпания (отсутствия) возможности применения различных механизмов удовлетворения налоговых требований, служащие основанием для обращения в суд для возмещения ущерба госбюджету в рамках ст. 15, ст. 1064 Гражданского кодекса.

15 Января 2018

Подарок «в законе»

Праздники – повод для радости и… для судебных разбирательств, если документы неправильно оформлены или мероприятия проведены с нарушениями. На примере судебных решений разберем некоторые типичные ошибки организаторов праздников и работодателей, желающих порадовать своих сотрудников.

В отношении юрлиц со специальным порядком госрегистрации сведения в ЕГРЮЛ не могут быть признаны недостоверными

Налоговики разъяснили, что недопустимо вносить записи о недостоверности содержащихся в ЕГРЮЛ сведений в отношении юрлиц, на которые распространяется специальный порядок госрегистрации. В том числе в отношении НКО, на которые распространяется данный порядок (письмо ФНС России от 28 декабря 2017 г. № ГД-4-14/26803@).

Вечерние курсы повышения квалификации юристов (2- 5 мес.)

Январь 2018

22 - 26 Января Перспективы развития и практические вопросы сметного нормирования с учетом положений новых методик ценообразования в строительстве Санкт-Петербург, ЦНТИ Прогресс

24 - 26 Января Исполнительное производство - новое в законодательстве Санкт-Петербург, ЦНТИ Прогресс

29 Января - 02 Февраля Внешнеэкономическая деятельность на предприятии. Таможенное и валютное регулирование Санкт-Петербург, ЦНТИ Прогресс

Февраль 2018

05 - 10 Февраля Готовимся к предстоящей проверке Росприроднадзором Санкт-Петербург, ЦНТИ Прогресс

05 - 08 Февраля Особенности бухгалтерского и налогового учета в строительстве в свете последних разъяснений Минфина РФ и ФНС Санкт-Петербург, ЦНТИ Прогресс

06 - 09 Февраля Изменения законодательства в сфере долевого строительства Санкт-Петербург, ЦНТИ Прогресс

08 - 09 Февраля Разработка и реализация инвестиционных программ регулируемых организаций в сфере теплоснабжения, водоснабжения и водоотведения Москва, ЦНТИ Прогресс

11 - 15 Февраля Валютное регулирование и валютный контроль Санкт-Петербург, ЦНТИ Прогресс



ТОП статьи

Налог на прибыль – 2017: новый год и новые правила

О новой форме 4-ФСС 2017

Новшества в части контроля за применением онлайн-ККТ

Какие изменения готовит Минфин в отношении НДС?

Готовимся к уплате страховых взносов по-новому в 2017 году



Налоговые новости

16 Января 2018

Работающим пенсионерам хотят проиндексировать пенсии в июле 2018 года

К кому придут с проверкой в 2018 году: Генпрокуратура опубликовала сводный план

Если сотрудник вернулся после увольнения, то базу по взносам нужно считать с учетом старых выплат

Возможно, работодателям станет легче увольнять сотрудников за появление на работе в нетрезвом виде

Минтруд России предлагает установить МРОТ с 1 мая 2018 года в сумме 11163 рубля в месяц

15 Января 2018

Расширен перечень оснований для проведения внеплановой проверки ГИТ

Акт камеральной проверки может быть вручен позже установленного срока

Если юрлицо приобрело аптечки за счет взносов на травматизм, принять к вычету "входной" НДС нельзя

ФНС России сообщила коды операций для формирования налоговой отчетности в связи с введением в России системы "tax free"

Для резидентов особых экономических зон изменилась ставка налога на прибыль

По страховым взносам за прошлый год надо отчитаться до 30 января

12 Января 2018

Минтруд обещает в ближайшее время подготовить законопроект о повышении МРОТ с 1 мая

Импорт товаров из ЕАЭС: обновленную декларацию по косвенным налогам впервые нужно сдать за декабрь

Уведомлять о КИК нужно независимо от размера полученной от нее прибыли

Новое в ТК РФ: если работодатель "избегает" трудовых договоров, к нему придут с внезапной проверкой

читать все Новости