Меню

Актуально








Рубрикатор

Справочник


Зарплата, Табель, Кадры!!! Скачай и Работай! 1838 рублей, включая 2НДФЛ, персучет


Публикация

29 Августа 2017Персональные данные: новые штрафы для турагентств и гостиниц


С 01.07.2017 вступил в силу Федеральный закон от 07.02.2017 № 13‑ФЗ, которым была полностью переписана ст. 13.11 КоАП РФ, устанавливающая ответственность за нарушения в сфере обращения с персональными данными (ПД). Эти поправки привлекли внимание профессионального сообщества. Обратим внимание, что положения Закона № 152‑ФЗ[1] в части требований по защите ПД остались неизменными. Приведем новые нормы ст. 13.11 КоАП РФ и кратко прокомментируем соответствующие предписания Закона № 152‑ФЗ.

Итак, организации туристической отрасли и сферы гостеприимства должны были выполнять требования Закона № 152‑ФЗ и до 01.07.2017. Однако нередко они не делали этого, поскольку максимальный штраф в размере 10 000 руб. был вполне посильным. Теперь же вместо одного (за любые нарушения Закона № 152‑ФЗ) были описаны сразу семь видов правонарушений (последнее касается государственных и муниципальных органов), при совершении каждого из которых санкции суммируются. Вот почему максимальный штраф теперь может составить для юридического лица 290 000 руб. По оценкам экспертов, отрасль ожидают масштабные проверки. Чиновники оценивают долю туристических компаний, которые уведомили Роскомнадзор об осуществлении обработки ПД, в 1 % (по состоянию на июнь 2017 года). Безусловно, в план проверок попадут не только они. Кстати, за неподачу уведомления штраф невелик – до 5 000 руб. для юридического лица (ст. 19.7 КоАП РФ).

Норма ст. 13.11 КоАП РФ, санкция

Состав правонарушения

Пояснения

Часть 1.

Предупреждение или наложение административного штрафа: на граждан – от 1 000 до 3 000 руб.; на должностных лиц – от 5 000 до 10 000 руб.; на юридических лиц – от 30 000 до 50 000 руб.

Обработка ПД в случаях, не предусмотренных законодательством РФ в области ПД, несовместимая с целями сбора ПД обработка, за исключением случаев, предусмотренных ч. 2 названной статьи, если эти действия не содержат признаков уголовно наказуемого деяния

Формулировка, использованная в ч. 1 ст. 13.11 КоАП РФ, является общей и подразу­мевает любую незаконную обработку ПД (кроме обработки в отсутствие согласия субъекта). Обратившись к Закону № 152‑ФЗ, можно найти случаи, когда обработка ПД не должна осуществляться. К примеру:

–оператор обязан прекратить обработку, уничтожить ПД в течение 30 дней с даты достижения цели обработки ПД, если иное не предусмотрено договором с субъектом ПД либо если оператор не вправе осуществлять обработку ПД без согласия субъекта (ч. 7 ст. 5, ч. 4 ст. 21). Так, если ПД были предоставлены физическим лицом гостинице для целей регистрации по месту пребывания, но впоследствии лицо отказалось от заселения в гостиницу, ПД должны быть уничтожены в течение 30 дней. Несоблюдение этого срока – административное правонарушение, за которое ранее к ответственности привлекали по ст. 13.11 КоАП РФ (Постановление мирового судьи Судебного участка № 2 Плесецкого района Архангельской области от 29.08.2016 по делу № 4‑799/2016);

–обработка ПД должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПД, несовместимая с целями их сбора (ч. 2 ст. 5). Например, нарушением будет, если турагент собирает ПД туристов для заключения договора о реализации турпродукта и передачи туроператору для исполнения этого договора, а впоследствии передает данные третьим лицам для формирования базы данных для рекламных рассылок

Часть 2.

Наложение административного штрафа: на граждан – от 3 000 до 5 000 руб.; на должностных лиц – от 10 000 до 20 000 руб.; на юридических лиц – от 15 000 до 75 000 руб.

Обработка ПД без согласия в письменной форме субъекта на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области ПД, если эти действия не содержат признаков уголовно наказуемого деяния

Случаи, когда обработка ПД допускается без согласия субъекта, перечислены в п. 2 – 11 ч. 1 ст. 6 Закона № 152‑ФЗ. К примеру, если обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект будет являться выгодоприобретателем или поручителем. Действительно, для заключения и исполнения договора о реализации турпродукта необходимы ПД туриста (ФИО, паспортные данные, дата рождения, место проживания, контактные данные).

Однако если такие сведения собирает одно лицо (турагент, туроператор), но в целях исполнения договора передает их третьим лицам (туроператору, авиаперевозчикам, отельерам, визовым центрам и т. д.), согласием необходимо заручиться, поскольку в силу ст. 7 Закона № 152‑ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено федеральным законом.

Необходимость получить согласие для передачи ПД компании, оказывающей бухгалтерские услуги, и туроператорам подтверждена в Постановлении мирового судьи Судебного участка № 16 Кировского судебного района г. Самары от 24.05.017 по делу № 5‑251/2017.

Обращаем особое внимание, что согласие должно быть дано каждым туристом лично (кроме несовершеннолетних, за которых согласие выражает законный представитель), а не только лицом, заключающим договор (заказчиком) (Постановление мирового судьи Судебного участка № 32 Свердловского судебного района города Костромы от 24.02.2016 по делу № 7‑152/2016). Заказчик не вправе подписывать согласие за всех туристов, в интересах которых он приобретает турпродукт, за исключением случаев, когда он может подтвердить соответствующие полномочия доверенностью или иным документом. На туристов, в интересах которых заказчик приобретает тур, не являющихся стороной договора, не распространяется действие п. 5 ч. 1 ст. 6 Закона № 152‑ФЗ (см. Постановление мирового судьи Судебного участка № 4 Центрального района г. Челябинска от 06.04.2016 по делу № 3‑83/2016), значит, их согласие всегда обязательно, даже если оператор самостоятельно оказывает все услуги и не передает ПД третьим лицам

Обработка ПД с нарушением установленных законодательством РФ в области ПД требований к составу сведений, включаемых в согласие в письменной форме субъекта на обработку его персональных данных

Требования к обязательным данным, включаемым в согласие субъекта ПД, приведены в ст. 9 Закона № 152‑ФЗ.

Компании не следует включать согласие субъекта ПД на обработку таких данных в условия типового договора, поскольку оператор должен предоставлять право потребителю дать согласие на обработку ПД или отказаться (см. Постановление Пятнадцатого арбитражного апелляционного суда от 22.12.2016 № 15АП-15935/2016 по делу № А53-20407/2016).

Также подчеркнем, что в силу ч. 2 ст. 18 Закона № 152‑ФЗ, если предоставление ПД является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту ПД юридические последствия отказа предоставить

его данные. К примеру, без ПД гостиница не сможет заселить гостя, а турагент – обеспечить приобретение тура и получение визы.

Кроме того, следует помнить, что особое согласие субъекта ПД необходимо на трансграничную передачу ПД на территории иностранных государств, не обеспечивающих адекватную защиту прав субъектов ПД (это страны, не являющиеся стороной Конвенции о защите физических лиц при автоматизированной обработке персональных данных, ратифицированной Федеральным законом от 19.12.2005 № 160‑ФЗ, а также не входящие в перечень стран, обеспечивающих адекватную защиту прав субъектов ПД, утвержденный Приказом Роскомнадзора от 15.03.2013 № 274) (ч. 4 ст. 14 Закона № 152‑ФЗ)

Часть 3.

Предупреждение или наложение административного штрафа: на граждан – от 700 до 1 500 руб.; на должностных лиц – от 3 000 до 6 000 руб.; на индивидуальных предпринимателей – от 5 000 до 10 000 руб.; на юридических лиц – от 15 000 до 30 000 руб.

Невыполнение оператором предусмотренной законодательством РФ в области ПД обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПД, или сведениям о реализуемых требованиях к защите ПД

Обязанность оператора – юридического лица издать документы, определяющие политику оператора в отношении обработки ПД, предусмотрена п. 2 ч. 1 ст. 18.1 Закона № 152‑ФЗ. В свою очередь, обязанность обеспечить неограниченный доступ к политике в отношении обработки ПД или информации о реализуемых мерах по защите ПД установлена для оператора в ч. 2 указанной статьи. Как правило, речь идет о публикации в Интернете

Часть 4.

Предупреждение или наложение административного штрафа: на граждан – от 1 000 до 2 000 руб.; на должностных лиц – от 4 000 до 6 000 руб.; на индивидуальных предпринимателей – от 10 000 до 15 000 руб.; на юридических лиц – от 20 000 до 40 000 руб.

Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту ПД информации, касающейся обработки его ПД

Согласно ч. 1 ст. 20 Закона № 152‑ФЗ оператор обязан сообщить субъекту ПД или его представителю информацию о наличии ПД, относящихся к соответствующему субъекту, а также предоставить возможность ознакомления с этими данными при обращении субъекта ПД или его представителя либо в течение 30 дней с даты получения запроса субъекта ПД или его представителя.

Статья 14 Закона № 152‑ФЗ конкретизирует требования к запросу (например, запрос в электронной форме должен быть подписан электронной подписью) (ч. 3), составу информации, касающейся обработки ПД (ч. 7)

Часть 5.

Предупреждение или наложение административного штрафа: на граждан – от 1 000 до 2 000 руб.; на должностных лиц – от 4 000 до 10 000 руб.; на индивидуальных предпринимателей – от 10 000 до 20 000 руб.; на юридических лиц – от 25 000 до 45 000 руб.

Невыполнение оператором в сроки, установленные законодательством РФ в области ПД, требования субъекта ПД или его представителя либо уполномоченного органа по защите прав субъектов ПД об уточнении ПД, их блокировании или уничтожении в случае, если ПД неполные, устаревшие, неточные, незаконно получены или не необходимы для заявленной цели обработки

Право субъекта ПД требовать уточнения, блокирования, уничтожения ПД, если они являются неполными, устаревшими, неточными, незаконно полученными или избыточными с точки зрения заявленной цели обработки, предусмотрено ч. 1 ст. 14 Закона № 152‑ФЗ.

Срок, в течение которого оператор должен выполнить указанную обязанность, составляет семь рабочих дней со дня получения от субъекта ПД (его представителя) сведений, подтверждающих, что имеющиеся у оператора данные неполные, неточные, неактуальные, незаконно получены (см. ч. 3 ст. 20, ч. 2 ст. 21 Закона № 152‑ФЗ)

Часть 6.

Наложение административного штрафа: на граждан – от 700 до 2 000 руб.; на должностных лиц – от 4 000 до 10 000 руб.; на индивидуальных предпринимателей – от 10 000 до 20 000 руб.; на юридических лиц – от 25 000 до 50 000 руб.

Невыполнение оператором при обработке ПД без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области ПД сохранность ПД при хранении материальных носителей ПД и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к ПД, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении ПД, при отсутствии признаков уголовно наказуемого деяния

Четко описанные в данной норме вредные последствия неправомерного деяния (невыполнения обязанности) являются обязательным элементом состава правонарушения. К примеру, в июне компьютеры нескольких туроператоров были заблокированы вирусом-шифровальщиком (известным как «Petya»). Принятые компаниями меры по обеспечению сохранности ПД при хранении (в частности, размещение на отдельных серверах) оказались достаточными для избежания негативных последствий.

Напомним, что под обработкой ПД без использования средств автоматизации нужно понимать обработку, в рамках которой использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов ПД осуществляются при непосредственном участии человека (п. 1 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687)

Рассматриваемые поправки – это давно (с 2014 года) продвигаемая инициатива представителей Роскомнадзора с целью ужесточить контроль данной сферы общественных отношений. Кроме увеличения штрафов, еще одним способом достижения той же цели стало наделение должностных лиц органа, осуществляющего функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), полномочиями составлять протоколы об указанных административных правонарушениях (п. 58 ч. 2 ст. 28.3 КоАП РФ). Прокуратура по‑прежнему вправе делать это на основании ч. 1 ст. 28.4 КоАП РФ (при осуществлении надзора за соблюдением Конституции РФ и исполнением законов, действующих на территории РФ).

* * *

Подведем итог. Компаниям, обрабатывающим ПД туристов, гостей, необходимо как минимум:

–уведомить Роскомнадзор об обработке ПД;

–разработать, опубликовать и соблюдать политику в отношении обработки ПД;

–получать согласие физических лиц на обработку ПД;

–уделять внимание информационной безопасности.


[1] Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных».

Источник: Журнал "Туристические и гостиничные услуги"



Последние публикации

20 Февраля 2019

Правила расчета резерва на оплату отпусков в бухучете

Составляя бухотчетность за 2018 г., надо, в частности, определить сумму резерва на оплату отпусков на 31.12.2018. Как правильно ее рассчитать? Надо ли выводить точные суммы затрат, связанных с оплатой неотгулянных дней отпуска, по каждому работнику или есть менее трудозатратный способ?

Сельхозпроизводителям предложили проверить кадастровую стоимость земли

С 1 января 2020 года земельный налог в Крыму начнут начислять не по нормативной стоимости участка, как было последние годы, а по кадастровой. Оценку уже провели, и в прошлом году республиканский Совмин утвердил ее. В результате на многие сельхозземли налог вырастет в несколько раз.

Иностранных работников предложено обложить новым налогом

МВД России предлагает с 2020 года распространить обязанность уплаты авансовых платежей, которые выплачиваются иностранными гражданами, работающими в России на основании патента, на иностранцев, имеющих вид на жительство или разрешение на проживание и работающих на территории страны. Проект соответствующего закона полицейские разместили для общественного обсуждения на портале проектов нормативных правовых актов.

18 Февраля 2019

Плата "Платону" не уменьшит транспортный налог

В 2019 г. организации, владеющие большегрузными автомобилями, больше не смогут уменьшать транспортный налог на плату "Платону". Однако плательщики налога на прибыль, ЕСХН и те, кто применяет "доходно-расходную" упрощенку, смогут учитывать всю сумму "отъезженной" платы в расходах.

"Вредность" - не всегда повод для уплаты взносов по доптарифам

Если плательщик не заполнит разделы 1.3.1 и 1.3.2 расчета по страховым взносам, в то время как рабочим местам по итогам проведения спецоценки присвоен вредный или опасный класс условий труда, то велик риск, что налоговики потребуют представить уточненный расчет.



ТОП статьи

Сдача электронной налоговой отчетности через интернет в ФСС, ФНС, ИФНС, Пенсионный фонд, Росстат.






Налоговые новости

20 Февраля 2019

Удерживать ли НДФЛ с чаевых, поступивших на банковскую карту официанта или счет ресторана?

Начисленные пени и штрафы по результатам налоговой проверки можно взыскать с руководителя юрлица в качестве убытков

Минфин: компенсация затрат на проезд к месту работы и обратно облагается взносами

Налогоплательщик не вправе ссылаться на окончание налоговой проверки, если документы истребуются в рамках допмероприятий

Минфин России уточнит перечень репетиторских услуг, которые могут быть освобождены от НДФЛ

Иностранные организации будут вставать на налоговый учет по новым правилам

18 Февраля 2019

ФНС России запустила новый интерактивный сервис "Налоговый калькулятор по расчету налоговой нагрузки"

ТПП предложила вдвое сократить срок блокировки счетов малых компаний

При определении налоговой базы по НДС дата перехода права собственности на товар не имеет значения

Минфин России разъяснил, по какой ставке земельного налога облагаются участки с несколькими видами разрешенного использования

Три года на возврат НДФЛ считают с даты уплаты налога, а не с окончательного расчета базы за год

13 Февраля 2019

Минфин пояснил, является ли дефектная ведомость "первичкой" для учреждения

С 17 февраля компании должны будут сообщать в военкомат о работниках, не вставших на воинский учет

Долго шло по почте: суд восстановил срок обжалования решения ФСС и поддержал плательщика взносов

ФНС исключила из своего "черного" списка девять стран

читать все Новости