Меню

Актуально








Рубрикатор

Сервера и комплектующие в наличии


ВЕЧЕРНИЕ КУРСЫ ПОВЫШЕНИЯ КВАЛИФИКАЦИИ ЮРИСТОВ (1-5 мес.)


Публикация

29 Августа 2017Персональные данные: новые штрафы для турагентств и гостиниц


С 01.07.2017 вступил в силу Федеральный закон от 07.02.2017 № 13‑ФЗ, которым была полностью переписана ст. 13.11 КоАП РФ, устанавливающая ответственность за нарушения в сфере обращения с персональными данными (ПД). Эти поправки привлекли внимание профессионального сообщества. Обратим внимание, что положения Закона № 152‑ФЗ[1] в части требований по защите ПД остались неизменными. Приведем новые нормы ст. 13.11 КоАП РФ и кратко прокомментируем соответствующие предписания Закона № 152‑ФЗ.

Итак, организации туристической отрасли и сферы гостеприимства должны были выполнять требования Закона № 152‑ФЗ и до 01.07.2017. Однако нередко они не делали этого, поскольку максимальный штраф в размере 10 000 руб. был вполне посильным. Теперь же вместо одного (за любые нарушения Закона № 152‑ФЗ) были описаны сразу семь видов правонарушений (последнее касается государственных и муниципальных органов), при совершении каждого из которых санкции суммируются. Вот почему максимальный штраф теперь может составить для юридического лица 290 000 руб. По оценкам экспертов, отрасль ожидают масштабные проверки. Чиновники оценивают долю туристических компаний, которые уведомили Роскомнадзор об осуществлении обработки ПД, в 1 % (по состоянию на июнь 2017 года). Безусловно, в план проверок попадут не только они. Кстати, за неподачу уведомления штраф невелик – до 5 000 руб. для юридического лица (ст. 19.7 КоАП РФ).

Норма ст. 13.11 КоАП РФ, санкция

Состав правонарушения

Пояснения

Часть 1.

Предупреждение или наложение административного штрафа: на граждан – от 1 000 до 3 000 руб.; на должностных лиц – от 5 000 до 10 000 руб.; на юридических лиц – от 30 000 до 50 000 руб.

Обработка ПД в случаях, не предусмотренных законодательством РФ в области ПД, несовместимая с целями сбора ПД обработка, за исключением случаев, предусмотренных ч. 2 названной статьи, если эти действия не содержат признаков уголовно наказуемого деяния

Формулировка, использованная в ч. 1 ст. 13.11 КоАП РФ, является общей и подразу­мевает любую незаконную обработку ПД (кроме обработки в отсутствие согласия субъекта). Обратившись к Закону № 152‑ФЗ, можно найти случаи, когда обработка ПД не должна осуществляться. К примеру:

–оператор обязан прекратить обработку, уничтожить ПД в течение 30 дней с даты достижения цели обработки ПД, если иное не предусмотрено договором с субъектом ПД либо если оператор не вправе осуществлять обработку ПД без согласия субъекта (ч. 7 ст. 5, ч. 4 ст. 21). Так, если ПД были предоставлены физическим лицом гостинице для целей регистрации по месту пребывания, но впоследствии лицо отказалось от заселения в гостиницу, ПД должны быть уничтожены в течение 30 дней. Несоблюдение этого срока – административное правонарушение, за которое ранее к ответственности привлекали по ст. 13.11 КоАП РФ (Постановление мирового судьи Судебного участка № 2 Плесецкого района Архангельской области от 29.08.2016 по делу № 4‑799/2016);

–обработка ПД должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПД, несовместимая с целями их сбора (ч. 2 ст. 5). Например, нарушением будет, если турагент собирает ПД туристов для заключения договора о реализации турпродукта и передачи туроператору для исполнения этого договора, а впоследствии передает данные третьим лицам для формирования базы данных для рекламных рассылок

Часть 2.

Наложение административного штрафа: на граждан – от 3 000 до 5 000 руб.; на должностных лиц – от 10 000 до 20 000 руб.; на юридических лиц – от 15 000 до 75 000 руб.

Обработка ПД без согласия в письменной форме субъекта на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области ПД, если эти действия не содержат признаков уголовно наказуемого деяния

Случаи, когда обработка ПД допускается без согласия субъекта, перечислены в п. 2 – 11 ч. 1 ст. 6 Закона № 152‑ФЗ. К примеру, если обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект будет являться выгодоприобретателем или поручителем. Действительно, для заключения и исполнения договора о реализации турпродукта необходимы ПД туриста (ФИО, паспортные данные, дата рождения, место проживания, контактные данные).

Однако если такие сведения собирает одно лицо (турагент, туроператор), но в целях исполнения договора передает их третьим лицам (туроператору, авиаперевозчикам, отельерам, визовым центрам и т. д.), согласием необходимо заручиться, поскольку в силу ст. 7 Закона № 152‑ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено федеральным законом.

Необходимость получить согласие для передачи ПД компании, оказывающей бухгалтерские услуги, и туроператорам подтверждена в Постановлении мирового судьи Судебного участка № 16 Кировского судебного района г. Самары от 24.05.017 по делу № 5‑251/2017.

Обращаем особое внимание, что согласие должно быть дано каждым туристом лично (кроме несовершеннолетних, за которых согласие выражает законный представитель), а не только лицом, заключающим договор (заказчиком) (Постановление мирового судьи Судебного участка № 32 Свердловского судебного района города Костромы от 24.02.2016 по делу № 7‑152/2016). Заказчик не вправе подписывать согласие за всех туристов, в интересах которых он приобретает турпродукт, за исключением случаев, когда он может подтвердить соответствующие полномочия доверенностью или иным документом. На туристов, в интересах которых заказчик приобретает тур, не являющихся стороной договора, не распространяется действие п. 5 ч. 1 ст. 6 Закона № 152‑ФЗ (см. Постановление мирового судьи Судебного участка № 4 Центрального района г. Челябинска от 06.04.2016 по делу № 3‑83/2016), значит, их согласие всегда обязательно, даже если оператор самостоятельно оказывает все услуги и не передает ПД третьим лицам

Обработка ПД с нарушением установленных законодательством РФ в области ПД требований к составу сведений, включаемых в согласие в письменной форме субъекта на обработку его персональных данных

Требования к обязательным данным, включаемым в согласие субъекта ПД, приведены в ст. 9 Закона № 152‑ФЗ.

Компании не следует включать согласие субъекта ПД на обработку таких данных в условия типового договора, поскольку оператор должен предоставлять право потребителю дать согласие на обработку ПД или отказаться (см. Постановление Пятнадцатого арбитражного апелляционного суда от 22.12.2016 № 15АП-15935/2016 по делу № А53-20407/2016).

Также подчеркнем, что в силу ч. 2 ст. 18 Закона № 152‑ФЗ, если предоставление ПД является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту ПД юридические последствия отказа предоставить

его данные. К примеру, без ПД гостиница не сможет заселить гостя, а турагент – обеспечить приобретение тура и получение визы.

Кроме того, следует помнить, что особое согласие субъекта ПД необходимо на трансграничную передачу ПД на территории иностранных государств, не обеспечивающих адекватную защиту прав субъектов ПД (это страны, не являющиеся стороной Конвенции о защите физических лиц при автоматизированной обработке персональных данных, ратифицированной Федеральным законом от 19.12.2005 № 160‑ФЗ, а также не входящие в перечень стран, обеспечивающих адекватную защиту прав субъектов ПД, утвержденный Приказом Роскомнадзора от 15.03.2013 № 274) (ч. 4 ст. 14 Закона № 152‑ФЗ)

Часть 3.

Предупреждение или наложение административного штрафа: на граждан – от 700 до 1 500 руб.; на должностных лиц – от 3 000 до 6 000 руб.; на индивидуальных предпринимателей – от 5 000 до 10 000 руб.; на юридических лиц – от 15 000 до 30 000 руб.

Невыполнение оператором предусмотренной законодательством РФ в области ПД обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПД, или сведениям о реализуемых требованиях к защите ПД

Обязанность оператора – юридического лица издать документы, определяющие политику оператора в отношении обработки ПД, предусмотрена п. 2 ч. 1 ст. 18.1 Закона № 152‑ФЗ. В свою очередь, обязанность обеспечить неограниченный доступ к политике в отношении обработки ПД или информации о реализуемых мерах по защите ПД установлена для оператора в ч. 2 указанной статьи. Как правило, речь идет о публикации в Интернете

Часть 4.

Предупреждение или наложение административного штрафа: на граждан – от 1 000 до 2 000 руб.; на должностных лиц – от 4 000 до 6 000 руб.; на индивидуальных предпринимателей – от 10 000 до 15 000 руб.; на юридических лиц – от 20 000 до 40 000 руб.

Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту ПД информации, касающейся обработки его ПД

Согласно ч. 1 ст. 20 Закона № 152‑ФЗ оператор обязан сообщить субъекту ПД или его представителю информацию о наличии ПД, относящихся к соответствующему субъекту, а также предоставить возможность ознакомления с этими данными при обращении субъекта ПД или его представителя либо в течение 30 дней с даты получения запроса субъекта ПД или его представителя.

Статья 14 Закона № 152‑ФЗ конкретизирует требования к запросу (например, запрос в электронной форме должен быть подписан электронной подписью) (ч. 3), составу информации, касающейся обработки ПД (ч. 7)

Часть 5.

Предупреждение или наложение административного штрафа: на граждан – от 1 000 до 2 000 руб.; на должностных лиц – от 4 000 до 10 000 руб.; на индивидуальных предпринимателей – от 10 000 до 20 000 руб.; на юридических лиц – от 25 000 до 45 000 руб.

Невыполнение оператором в сроки, установленные законодательством РФ в области ПД, требования субъекта ПД или его представителя либо уполномоченного органа по защите прав субъектов ПД об уточнении ПД, их блокировании или уничтожении в случае, если ПД неполные, устаревшие, неточные, незаконно получены или не необходимы для заявленной цели обработки

Право субъекта ПД требовать уточнения, блокирования, уничтожения ПД, если они являются неполными, устаревшими, неточными, незаконно полученными или избыточными с точки зрения заявленной цели обработки, предусмотрено ч. 1 ст. 14 Закона № 152‑ФЗ.

Срок, в течение которого оператор должен выполнить указанную обязанность, составляет семь рабочих дней со дня получения от субъекта ПД (его представителя) сведений, подтверждающих, что имеющиеся у оператора данные неполные, неточные, неактуальные, незаконно получены (см. ч. 3 ст. 20, ч. 2 ст. 21 Закона № 152‑ФЗ)

Часть 6.

Наложение административного штрафа: на граждан – от 700 до 2 000 руб.; на должностных лиц – от 4 000 до 10 000 руб.; на индивидуальных предпринимателей – от 10 000 до 20 000 руб.; на юридических лиц – от 25 000 до 50 000 руб.

Невыполнение оператором при обработке ПД без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области ПД сохранность ПД при хранении материальных носителей ПД и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к ПД, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении ПД, при отсутствии признаков уголовно наказуемого деяния

Четко описанные в данной норме вредные последствия неправомерного деяния (невыполнения обязанности) являются обязательным элементом состава правонарушения. К примеру, в июне компьютеры нескольких туроператоров были заблокированы вирусом-шифровальщиком (известным как «Petya»). Принятые компаниями меры по обеспечению сохранности ПД при хранении (в частности, размещение на отдельных серверах) оказались достаточными для избежания негативных последствий.

Напомним, что под обработкой ПД без использования средств автоматизации нужно понимать обработку, в рамках которой использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов ПД осуществляются при непосредственном участии человека (п. 1 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687)

Рассматриваемые поправки – это давно (с 2014 года) продвигаемая инициатива представителей Роскомнадзора с целью ужесточить контроль данной сферы общественных отношений. Кроме увеличения штрафов, еще одним способом достижения той же цели стало наделение должностных лиц органа, осуществляющего функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), полномочиями составлять протоколы об указанных административных правонарушениях (п. 58 ч. 2 ст. 28.3 КоАП РФ). Прокуратура по‑прежнему вправе делать это на основании ч. 1 ст. 28.4 КоАП РФ (при осуществлении надзора за соблюдением Конституции РФ и исполнением законов, действующих на территории РФ).

* * *

Подведем итог. Компаниям, обрабатывающим ПД туристов, гостей, необходимо как минимум:

–уведомить Роскомнадзор об обработке ПД;

–разработать, опубликовать и соблюдать политику в отношении обработки ПД;

–получать согласие физических лиц на обработку ПД;

–уделять внимание информационной безопасности.


[1] Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных».

Источник: Журнал "Туристические и гостиничные услуги"



Последние публикации

24 Марта 2020

Минфин разъяснил нюансы получения вычетов при покупке недвижимости

При покупке квадратных метров гражданам, претендующим на получение имущественного налогового вычета, важно обратить внимание на статус недвижимости: жилая она или нет. Разъяснения Минфина опубликовала Федеральная налоговая служба (ФНС).

Работа без "зарплатного карантина": выплаты в условиях коронавируса

В силу прямых указаний Трудового кодекса трудовые отношения носят возмездный характер. Получение своевременной и в полном объеме заработной платы является одним из ключевых прав работника, а своевременная и в полном размере ее выплата – главной обязанностью работодателя. При этом в случае выполнения работником работы никакие внешние факторы – чрезвычайные обстоятельства, бедствия или угрозы бедствия (пожары, наводнения, голод, землетрясения, эпидемии или эпизоотии) и иные случаи, ставящие под угрозу жизнь или нормальные жизненные условия всего населения или его части, не должны препятствовать реализации этого права и обязанности. Хотя некоторые оговорки по этому поводу в ТК РФ все же имеются.

Максимальная продолжительность проверок юрлица с филиалами: 60 дней на все или каждую из них?

Согласно закону срок проведения как документарной, так и выездной проверки не может превышать 20 рабочих дней. В случае, когда юридическое лицо осуществляет деятельность на территории нескольких регионов, продолжительность любой из этих проверок определяется отдельно для каждого его филиала, представительства или обособленного структурного подразделения. При этом, как установлено, общий срок проведения проверки не может быть более 60 рабочих дней. Мнения судов по поводу того, какой срок здесь имеется в виду: всех проверок в отношении юридического лица и его филиалов и подразделений, или проверки каждого из них, расходятся, и это явно иллюстрирует одно из рассмотренных недавно Верховным Судом Российской Федерации дел.

18 Марта 2020

Выплаты врачам в рамках госпрограммы «Земский доктор»

В качестве социальной гарантии медицинским работникам выступают компенсации за работу в сельской местности. На каких условиях осуществляются такие выплаты и подлежат ли они обложению НДФЛ, расскажем в статье.

День общероссийского голосования: нюансы оплаты труда работников

11 марта Госдума приняла в третьем, окончательном, чтении Закон РФ о поправке к Конституции Российской Федерации "О совершенствовании регулирования отдельных вопросов организации и функционирования публичной власти". Напомним, законом предусмотрено внесение точечных корректировок в отдельные статьи глав 3-8 Основного закона государства, касающихся установления дополнительных социальных гарантий, расширения полномочий органов публичной власти, уточнения порядка формирования Правительства РФ и т. д.



ТОП статьи

Конфигуратор сервера hp proliant hpe dell с ценами

Продажа серверного и сетевого оборудования

Налог на прибыль – 2017: новый год и новые правила

О новой форме 4-ФСС 2017

Новшества в части контроля за применением онлайн-ККТ


Налоговые новости

24 Марта 2020

ФНС разработала методичку о переходе с ЕНВД на другие режимы с 2021 года

Возмещение работникам стоимости медосмотров страховыми взносами не облагается

ФНС и Роскомнадзор приостановили проверки до 1 мая

Налоговая служба рассказала об условиях предоставления инвестиционного вычета по НДФЛ

Налоговая служба подготовила проект новой декларации 3-НДФЛ

18 Марта 2020

Переход на онлайн-ККТ не избавил бизнес от контрольных закупок

На вычет НДС при возврате товара дается только год, а не три!

Скорректированы перечни продуктов, облагаемых НДС по ставке 10%

Минтруд России разъяснил, как в СЗВ-ТД заполнить сведения о присвоении новой профессии

Минтруд России рассказал, когда начнется назначение новой ежемесячной выплаты на детей в возрасте от 3 до 7 лет

16 Марта 2020

Выплаты земским врачам и учителям освободят от НДФЛ

Суд: неоплата командировочных расходов не является основанием для приостановления работы

Уточнен порядок исправления ошибок в бухотчетности

Госдума рассказала, как вернуть деньги за сорвавшуюся из-за коронавируса турпоездку

Для педагогов и медиков вновь предлагают установить повышенный размер минимальной зарплаты

читать все Новости