Меню

Актуально









Зарплата, Табель, Кадры!!! Скачай и Работай! 1838 рублей, включая 2НДФЛ, персучет


Публикация

29 Августа 2017Персональные данные: новые штрафы для турагентств и гостиниц


С 01.07.2017 вступил в силу Федеральный закон от 07.02.2017 № 13‑ФЗ, которым была полностью переписана ст. 13.11 КоАП РФ, устанавливающая ответственность за нарушения в сфере обращения с персональными данными (ПД). Эти поправки привлекли внимание профессионального сообщества. Обратим внимание, что положения Закона № 152‑ФЗ[1] в части требований по защите ПД остались неизменными. Приведем новые нормы ст. 13.11 КоАП РФ и кратко прокомментируем соответствующие предписания Закона № 152‑ФЗ.

Итак, организации туристической отрасли и сферы гостеприимства должны были выполнять требования Закона № 152‑ФЗ и до 01.07.2017. Однако нередко они не делали этого, поскольку максимальный штраф в размере 10 000 руб. был вполне посильным. Теперь же вместо одного (за любые нарушения Закона № 152‑ФЗ) были описаны сразу семь видов правонарушений (последнее касается государственных и муниципальных органов), при совершении каждого из которых санкции суммируются. Вот почему максимальный штраф теперь может составить для юридического лица 290 000 руб. По оценкам экспертов, отрасль ожидают масштабные проверки. Чиновники оценивают долю туристических компаний, которые уведомили Роскомнадзор об осуществлении обработки ПД, в 1 % (по состоянию на июнь 2017 года). Безусловно, в план проверок попадут не только они. Кстати, за неподачу уведомления штраф невелик – до 5 000 руб. для юридического лица (ст. 19.7 КоАП РФ).

Норма ст. 13.11 КоАП РФ, санкция

Состав правонарушения

Пояснения

Часть 1.

Предупреждение или наложение административного штрафа: на граждан – от 1 000 до 3 000 руб.; на должностных лиц – от 5 000 до 10 000 руб.; на юридических лиц – от 30 000 до 50 000 руб.

Обработка ПД в случаях, не предусмотренных законодательством РФ в области ПД, несовместимая с целями сбора ПД обработка, за исключением случаев, предусмотренных ч. 2 названной статьи, если эти действия не содержат признаков уголовно наказуемого деяния

Формулировка, использованная в ч. 1 ст. 13.11 КоАП РФ, является общей и подразу­мевает любую незаконную обработку ПД (кроме обработки в отсутствие согласия субъекта). Обратившись к Закону № 152‑ФЗ, можно найти случаи, когда обработка ПД не должна осуществляться. К примеру:

–оператор обязан прекратить обработку, уничтожить ПД в течение 30 дней с даты достижения цели обработки ПД, если иное не предусмотрено договором с субъектом ПД либо если оператор не вправе осуществлять обработку ПД без согласия субъекта (ч. 7 ст. 5, ч. 4 ст. 21). Так, если ПД были предоставлены физическим лицом гостинице для целей регистрации по месту пребывания, но впоследствии лицо отказалось от заселения в гостиницу, ПД должны быть уничтожены в течение 30 дней. Несоблюдение этого срока – административное правонарушение, за которое ранее к ответственности привлекали по ст. 13.11 КоАП РФ (Постановление мирового судьи Судебного участка № 2 Плесецкого района Архангельской области от 29.08.2016 по делу № 4‑799/2016);

–обработка ПД должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПД, несовместимая с целями их сбора (ч. 2 ст. 5). Например, нарушением будет, если турагент собирает ПД туристов для заключения договора о реализации турпродукта и передачи туроператору для исполнения этого договора, а впоследствии передает данные третьим лицам для формирования базы данных для рекламных рассылок

Часть 2.

Наложение административного штрафа: на граждан – от 3 000 до 5 000 руб.; на должностных лиц – от 10 000 до 20 000 руб.; на юридических лиц – от 15 000 до 75 000 руб.

Обработка ПД без согласия в письменной форме субъекта на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области ПД, если эти действия не содержат признаков уголовно наказуемого деяния

Случаи, когда обработка ПД допускается без согласия субъекта, перечислены в п. 2 – 11 ч. 1 ст. 6 Закона № 152‑ФЗ. К примеру, если обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект будет являться выгодоприобретателем или поручителем. Действительно, для заключения и исполнения договора о реализации турпродукта необходимы ПД туриста (ФИО, паспортные данные, дата рождения, место проживания, контактные данные).

Однако если такие сведения собирает одно лицо (турагент, туроператор), но в целях исполнения договора передает их третьим лицам (туроператору, авиаперевозчикам, отельерам, визовым центрам и т. д.), согласием необходимо заручиться, поскольку в силу ст. 7 Закона № 152‑ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено федеральным законом.

Необходимость получить согласие для передачи ПД компании, оказывающей бухгалтерские услуги, и туроператорам подтверждена в Постановлении мирового судьи Судебного участка № 16 Кировского судебного района г. Самары от 24.05.017 по делу № 5‑251/2017.

Обращаем особое внимание, что согласие должно быть дано каждым туристом лично (кроме несовершеннолетних, за которых согласие выражает законный представитель), а не только лицом, заключающим договор (заказчиком) (Постановление мирового судьи Судебного участка № 32 Свердловского судебного района города Костромы от 24.02.2016 по делу № 7‑152/2016). Заказчик не вправе подписывать согласие за всех туристов, в интересах которых он приобретает турпродукт, за исключением случаев, когда он может подтвердить соответствующие полномочия доверенностью или иным документом. На туристов, в интересах которых заказчик приобретает тур, не являющихся стороной договора, не распространяется действие п. 5 ч. 1 ст. 6 Закона № 152‑ФЗ (см. Постановление мирового судьи Судебного участка № 4 Центрального района г. Челябинска от 06.04.2016 по делу № 3‑83/2016), значит, их согласие всегда обязательно, даже если оператор самостоятельно оказывает все услуги и не передает ПД третьим лицам

Обработка ПД с нарушением установленных законодательством РФ в области ПД требований к составу сведений, включаемых в согласие в письменной форме субъекта на обработку его персональных данных

Требования к обязательным данным, включаемым в согласие субъекта ПД, приведены в ст. 9 Закона № 152‑ФЗ.

Компании не следует включать согласие субъекта ПД на обработку таких данных в условия типового договора, поскольку оператор должен предоставлять право потребителю дать согласие на обработку ПД или отказаться (см. Постановление Пятнадцатого арбитражного апелляционного суда от 22.12.2016 № 15АП-15935/2016 по делу № А53-20407/2016).

Также подчеркнем, что в силу ч. 2 ст. 18 Закона № 152‑ФЗ, если предоставление ПД является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту ПД юридические последствия отказа предоставить

его данные. К примеру, без ПД гостиница не сможет заселить гостя, а турагент – обеспечить приобретение тура и получение визы.

Кроме того, следует помнить, что особое согласие субъекта ПД необходимо на трансграничную передачу ПД на территории иностранных государств, не обеспечивающих адекватную защиту прав субъектов ПД (это страны, не являющиеся стороной Конвенции о защите физических лиц при автоматизированной обработке персональных данных, ратифицированной Федеральным законом от 19.12.2005 № 160‑ФЗ, а также не входящие в перечень стран, обеспечивающих адекватную защиту прав субъектов ПД, утвержденный Приказом Роскомнадзора от 15.03.2013 № 274) (ч. 4 ст. 14 Закона № 152‑ФЗ)

Часть 3.

Предупреждение или наложение административного штрафа: на граждан – от 700 до 1 500 руб.; на должностных лиц – от 3 000 до 6 000 руб.; на индивидуальных предпринимателей – от 5 000 до 10 000 руб.; на юридических лиц – от 15 000 до 30 000 руб.

Невыполнение оператором предусмотренной законодательством РФ в области ПД обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПД, или сведениям о реализуемых требованиях к защите ПД

Обязанность оператора – юридического лица издать документы, определяющие политику оператора в отношении обработки ПД, предусмотрена п. 2 ч. 1 ст. 18.1 Закона № 152‑ФЗ. В свою очередь, обязанность обеспечить неограниченный доступ к политике в отношении обработки ПД или информации о реализуемых мерах по защите ПД установлена для оператора в ч. 2 указанной статьи. Как правило, речь идет о публикации в Интернете

Часть 4.

Предупреждение или наложение административного штрафа: на граждан – от 1 000 до 2 000 руб.; на должностных лиц – от 4 000 до 6 000 руб.; на индивидуальных предпринимателей – от 10 000 до 15 000 руб.; на юридических лиц – от 20 000 до 40 000 руб.

Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту ПД информации, касающейся обработки его ПД

Согласно ч. 1 ст. 20 Закона № 152‑ФЗ оператор обязан сообщить субъекту ПД или его представителю информацию о наличии ПД, относящихся к соответствующему субъекту, а также предоставить возможность ознакомления с этими данными при обращении субъекта ПД или его представителя либо в течение 30 дней с даты получения запроса субъекта ПД или его представителя.

Статья 14 Закона № 152‑ФЗ конкретизирует требования к запросу (например, запрос в электронной форме должен быть подписан электронной подписью) (ч. 3), составу информации, касающейся обработки ПД (ч. 7)

Часть 5.

Предупреждение или наложение административного штрафа: на граждан – от 1 000 до 2 000 руб.; на должностных лиц – от 4 000 до 10 000 руб.; на индивидуальных предпринимателей – от 10 000 до 20 000 руб.; на юридических лиц – от 25 000 до 45 000 руб.

Невыполнение оператором в сроки, установленные законодательством РФ в области ПД, требования субъекта ПД или его представителя либо уполномоченного органа по защите прав субъектов ПД об уточнении ПД, их блокировании или уничтожении в случае, если ПД неполные, устаревшие, неточные, незаконно получены или не необходимы для заявленной цели обработки

Право субъекта ПД требовать уточнения, блокирования, уничтожения ПД, если они являются неполными, устаревшими, неточными, незаконно полученными или избыточными с точки зрения заявленной цели обработки, предусмотрено ч. 1 ст. 14 Закона № 152‑ФЗ.

Срок, в течение которого оператор должен выполнить указанную обязанность, составляет семь рабочих дней со дня получения от субъекта ПД (его представителя) сведений, подтверждающих, что имеющиеся у оператора данные неполные, неточные, неактуальные, незаконно получены (см. ч. 3 ст. 20, ч. 2 ст. 21 Закона № 152‑ФЗ)

Часть 6.

Наложение административного штрафа: на граждан – от 700 до 2 000 руб.; на должностных лиц – от 4 000 до 10 000 руб.; на индивидуальных предпринимателей – от 10 000 до 20 000 руб.; на юридических лиц – от 25 000 до 50 000 руб.

Невыполнение оператором при обработке ПД без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области ПД сохранность ПД при хранении материальных носителей ПД и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к ПД, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении ПД, при отсутствии признаков уголовно наказуемого деяния

Четко описанные в данной норме вредные последствия неправомерного деяния (невыполнения обязанности) являются обязательным элементом состава правонарушения. К примеру, в июне компьютеры нескольких туроператоров были заблокированы вирусом-шифровальщиком (известным как «Petya»). Принятые компаниями меры по обеспечению сохранности ПД при хранении (в частности, размещение на отдельных серверах) оказались достаточными для избежания негативных последствий.

Напомним, что под обработкой ПД без использования средств автоматизации нужно понимать обработку, в рамках которой использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов ПД осуществляются при непосредственном участии человека (п. 1 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687)

Рассматриваемые поправки – это давно (с 2014 года) продвигаемая инициатива представителей Роскомнадзора с целью ужесточить контроль данной сферы общественных отношений. Кроме увеличения штрафов, еще одним способом достижения той же цели стало наделение должностных лиц органа, осуществляющего функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), полномочиями составлять протоколы об указанных административных правонарушениях (п. 58 ч. 2 ст. 28.3 КоАП РФ). Прокуратура по‑прежнему вправе делать это на основании ч. 1 ст. 28.4 КоАП РФ (при осуществлении надзора за соблюдением Конституции РФ и исполнением законов, действующих на территории РФ).

* * *

Подведем итог. Компаниям, обрабатывающим ПД туристов, гостей, необходимо как минимум:

–уведомить Роскомнадзор об обработке ПД;

–разработать, опубликовать и соблюдать политику в отношении обработки ПД;

–получать согласие физических лиц на обработку ПД;

–уделять внимание информационной безопасности.


[1] Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных».

Источник: Журнал "Туристические и гостиничные услуги"



Последние публикации

21 Июня 2018

Изменения, внесенные в Единый план счетов

Минюстом 26.04.2018 зарегистрирован Приказ Минфина РФ от 31.03.2018 № 64н, вносящий значительные поправки в Инструкцию № 157н. Указанные изменения вызваны необходимостью приведения положений Инструкции № 157н в соответствие положениям федеральных стандартов бухгалтерского учета для организаций государственного сектора, вступивших в силу 01.01.2018.

Рост платежей за недвижимость предложили затормозить

В России может измениться порядок расчета налога, который платят граждане за свою недвижимость. Такие поправки вчера в первом чтении рассмотрела Госдума. Они призваны сдержать рост платежей собственников, вызванный кадастровой реформой. Поручение решить проблему по итогам Послания Федеральному Собранию дал президент Владимир Путин.

Мобильный "Личный кабинет" налогоплательщика стал доступен по отпечатку пальца

Граждане, которые пользуются мобильным "Личным кабинетом" Федеральной налоговой службы (ФНС), теперь могут заходить туда со смартфона, используя собственные биометрические данные.

20 Июня 2018

Об изменениях, направленных на усиление ответственности за нарушение порядка составления и представления отчетности

В целях совершенствования законодательства об административных правонарушениях в части применения мер ответственности за совершение должностными лицами организаций государственного сектора нарушений, выраженных в несоблюдении ими порядка составления и представления бюджетной, бухгалтерской (финансовой) отчетности, составления, утверждения и ведения казенными учреждениями бюджетных смет, формирования и представления сведений, необходимых для осуществления бюджетного процесса, а также расширения перечня должностных лиц органов исполнительной власти, осуществляющих функции по контролю и надзору в финансово-бюджетной сфере, обладающих полномочиями рассматривать дела об административных правонарушениях, Правительством РФ разработан и внесен в Госдуму РФ проект федерального закона «О внесении изменений в отдельные статьи глав 15 и 23 Кодекса Российской Федерации об административных правонарушениях».

Об изменениях в Инструкции № 157н

8 мая вступил в силу Приказ Минфина РФ от 31.03.2018 № 64н, которым внесены изменения в Инструкцию № 157н. Применять эти поправки нужно при формировании учетной политики на 2018 год. В данной статье приведем обзор основных новшеств в самой инструкции.



ТОП статьи

Учетная политика организации (предприятия) на 2018 год скачать образец

О новом варианте формы 6 НДФЛ и ошибках при ее заполнении

Налоговая амнистия – 2018: кому и что простят?

Налоговые изменения с 1 января 2018 года

Новшества в «зарплатных» налогах и отчетности в 2018 году



Налоговые новости

22 Июня 2018

Правительство РФ разработало целый ряд поправок в законопроект для юрлиц и ИП на общей системе налогообложения

Авансы по налогам и взносам – нарушение норм Бюджетного кодекса

Финансисты приравняли чаевые официантам к подаркам

Новые правила расчета пеней и налогообложения доходов участников организаций приняли в первом чтении

Депутаты приняли во втором чтении срочные поправки об онлайн-кассах

Минфином России утвержден порядок формирования и применения кодов бюджетной классификации

21 Июня 2018

Если срок сдачи отчетности продлили, то штраф за просрочку не грозит даже за старые нарушения

Амортизационную группу некоторых основных средств следует перепроверить

Какие государственные учреждения должны применять онлайн-кассы с 1 июля 2018 года?

Количество дней, на протяжении которых педагоги могут привлекаться к работе во время каникул, не ограничено

ФНС России разъяснила нюансы заполнения расчета по налогу на имущество организаций с учетом льгот

20 Июня 2018

С 21 июня уточнят правила назначения скидок к тарифу взносов на травматизм: учтите изменения

При приобретении товаров с НДС для деятельности, не облагаемой этим налогом, можно заявить вычет

При внесении исправлений в счет-фактуру можно использовать только определенную форму

Правительство РФ предлагает расширить перечень финансовых операций, подлежащих обязательному контролю

читать все Новости