Меню

Актуально









Зарплата, Табель, Кадры!!! Скачай и Работай! 1838 рублей, включая 2НДФЛ, персучет


Публикация

29 Августа 2017Персональные данные: новые штрафы для турагентств и гостиниц


С 01.07.2017 вступил в силу Федеральный закон от 07.02.2017 № 13‑ФЗ, которым была полностью переписана ст. 13.11 КоАП РФ, устанавливающая ответственность за нарушения в сфере обращения с персональными данными (ПД). Эти поправки привлекли внимание профессионального сообщества. Обратим внимание, что положения Закона № 152‑ФЗ[1] в части требований по защите ПД остались неизменными. Приведем новые нормы ст. 13.11 КоАП РФ и кратко прокомментируем соответствующие предписания Закона № 152‑ФЗ.

Итак, организации туристической отрасли и сферы гостеприимства должны были выполнять требования Закона № 152‑ФЗ и до 01.07.2017. Однако нередко они не делали этого, поскольку максимальный штраф в размере 10 000 руб. был вполне посильным. Теперь же вместо одного (за любые нарушения Закона № 152‑ФЗ) были описаны сразу семь видов правонарушений (последнее касается государственных и муниципальных органов), при совершении каждого из которых санкции суммируются. Вот почему максимальный штраф теперь может составить для юридического лица 290 000 руб. По оценкам экспертов, отрасль ожидают масштабные проверки. Чиновники оценивают долю туристических компаний, которые уведомили Роскомнадзор об осуществлении обработки ПД, в 1 % (по состоянию на июнь 2017 года). Безусловно, в план проверок попадут не только они. Кстати, за неподачу уведомления штраф невелик – до 5 000 руб. для юридического лица (ст. 19.7 КоАП РФ).

Норма ст. 13.11 КоАП РФ, санкция

Состав правонарушения

Пояснения

Часть 1.

Предупреждение или наложение административного штрафа: на граждан – от 1 000 до 3 000 руб.; на должностных лиц – от 5 000 до 10 000 руб.; на юридических лиц – от 30 000 до 50 000 руб.

Обработка ПД в случаях, не предусмотренных законодательством РФ в области ПД, несовместимая с целями сбора ПД обработка, за исключением случаев, предусмотренных ч. 2 названной статьи, если эти действия не содержат признаков уголовно наказуемого деяния

Формулировка, использованная в ч. 1 ст. 13.11 КоАП РФ, является общей и подразу­мевает любую незаконную обработку ПД (кроме обработки в отсутствие согласия субъекта). Обратившись к Закону № 152‑ФЗ, можно найти случаи, когда обработка ПД не должна осуществляться. К примеру:

–оператор обязан прекратить обработку, уничтожить ПД в течение 30 дней с даты достижения цели обработки ПД, если иное не предусмотрено договором с субъектом ПД либо если оператор не вправе осуществлять обработку ПД без согласия субъекта (ч. 7 ст. 5, ч. 4 ст. 21). Так, если ПД были предоставлены физическим лицом гостинице для целей регистрации по месту пребывания, но впоследствии лицо отказалось от заселения в гостиницу, ПД должны быть уничтожены в течение 30 дней. Несоблюдение этого срока – административное правонарушение, за которое ранее к ответственности привлекали по ст. 13.11 КоАП РФ (Постановление мирового судьи Судебного участка № 2 Плесецкого района Архангельской области от 29.08.2016 по делу № 4‑799/2016);

–обработка ПД должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПД, несовместимая с целями их сбора (ч. 2 ст. 5). Например, нарушением будет, если турагент собирает ПД туристов для заключения договора о реализации турпродукта и передачи туроператору для исполнения этого договора, а впоследствии передает данные третьим лицам для формирования базы данных для рекламных рассылок

Часть 2.

Наложение административного штрафа: на граждан – от 3 000 до 5 000 руб.; на должностных лиц – от 10 000 до 20 000 руб.; на юридических лиц – от 15 000 до 75 000 руб.

Обработка ПД без согласия в письменной форме субъекта на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области ПД, если эти действия не содержат признаков уголовно наказуемого деяния

Случаи, когда обработка ПД допускается без согласия субъекта, перечислены в п. 2 – 11 ч. 1 ст. 6 Закона № 152‑ФЗ. К примеру, если обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект будет являться выгодоприобретателем или поручителем. Действительно, для заключения и исполнения договора о реализации турпродукта необходимы ПД туриста (ФИО, паспортные данные, дата рождения, место проживания, контактные данные).

Однако если такие сведения собирает одно лицо (турагент, туроператор), но в целях исполнения договора передает их третьим лицам (туроператору, авиаперевозчикам, отельерам, визовым центрам и т. д.), согласием необходимо заручиться, поскольку в силу ст. 7 Закона № 152‑ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено федеральным законом.

Необходимость получить согласие для передачи ПД компании, оказывающей бухгалтерские услуги, и туроператорам подтверждена в Постановлении мирового судьи Судебного участка № 16 Кировского судебного района г. Самары от 24.05.017 по делу № 5‑251/2017.

Обращаем особое внимание, что согласие должно быть дано каждым туристом лично (кроме несовершеннолетних, за которых согласие выражает законный представитель), а не только лицом, заключающим договор (заказчиком) (Постановление мирового судьи Судебного участка № 32 Свердловского судебного района города Костромы от 24.02.2016 по делу № 7‑152/2016). Заказчик не вправе подписывать согласие за всех туристов, в интересах которых он приобретает турпродукт, за исключением случаев, когда он может подтвердить соответствующие полномочия доверенностью или иным документом. На туристов, в интересах которых заказчик приобретает тур, не являющихся стороной договора, не распространяется действие п. 5 ч. 1 ст. 6 Закона № 152‑ФЗ (см. Постановление мирового судьи Судебного участка № 4 Центрального района г. Челябинска от 06.04.2016 по делу № 3‑83/2016), значит, их согласие всегда обязательно, даже если оператор самостоятельно оказывает все услуги и не передает ПД третьим лицам

Обработка ПД с нарушением установленных законодательством РФ в области ПД требований к составу сведений, включаемых в согласие в письменной форме субъекта на обработку его персональных данных

Требования к обязательным данным, включаемым в согласие субъекта ПД, приведены в ст. 9 Закона № 152‑ФЗ.

Компании не следует включать согласие субъекта ПД на обработку таких данных в условия типового договора, поскольку оператор должен предоставлять право потребителю дать согласие на обработку ПД или отказаться (см. Постановление Пятнадцатого арбитражного апелляционного суда от 22.12.2016 № 15АП-15935/2016 по делу № А53-20407/2016).

Также подчеркнем, что в силу ч. 2 ст. 18 Закона № 152‑ФЗ, если предоставление ПД является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту ПД юридические последствия отказа предоставить

его данные. К примеру, без ПД гостиница не сможет заселить гостя, а турагент – обеспечить приобретение тура и получение визы.

Кроме того, следует помнить, что особое согласие субъекта ПД необходимо на трансграничную передачу ПД на территории иностранных государств, не обеспечивающих адекватную защиту прав субъектов ПД (это страны, не являющиеся стороной Конвенции о защите физических лиц при автоматизированной обработке персональных данных, ратифицированной Федеральным законом от 19.12.2005 № 160‑ФЗ, а также не входящие в перечень стран, обеспечивающих адекватную защиту прав субъектов ПД, утвержденный Приказом Роскомнадзора от 15.03.2013 № 274) (ч. 4 ст. 14 Закона № 152‑ФЗ)

Часть 3.

Предупреждение или наложение административного штрафа: на граждан – от 700 до 1 500 руб.; на должностных лиц – от 3 000 до 6 000 руб.; на индивидуальных предпринимателей – от 5 000 до 10 000 руб.; на юридических лиц – от 15 000 до 30 000 руб.

Невыполнение оператором предусмотренной законодательством РФ в области ПД обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПД, или сведениям о реализуемых требованиях к защите ПД

Обязанность оператора – юридического лица издать документы, определяющие политику оператора в отношении обработки ПД, предусмотрена п. 2 ч. 1 ст. 18.1 Закона № 152‑ФЗ. В свою очередь, обязанность обеспечить неограниченный доступ к политике в отношении обработки ПД или информации о реализуемых мерах по защите ПД установлена для оператора в ч. 2 указанной статьи. Как правило, речь идет о публикации в Интернете

Часть 4.

Предупреждение или наложение административного штрафа: на граждан – от 1 000 до 2 000 руб.; на должностных лиц – от 4 000 до 6 000 руб.; на индивидуальных предпринимателей – от 10 000 до 15 000 руб.; на юридических лиц – от 20 000 до 40 000 руб.

Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту ПД информации, касающейся обработки его ПД

Согласно ч. 1 ст. 20 Закона № 152‑ФЗ оператор обязан сообщить субъекту ПД или его представителю информацию о наличии ПД, относящихся к соответствующему субъекту, а также предоставить возможность ознакомления с этими данными при обращении субъекта ПД или его представителя либо в течение 30 дней с даты получения запроса субъекта ПД или его представителя.

Статья 14 Закона № 152‑ФЗ конкретизирует требования к запросу (например, запрос в электронной форме должен быть подписан электронной подписью) (ч. 3), составу информации, касающейся обработки ПД (ч. 7)

Часть 5.

Предупреждение или наложение административного штрафа: на граждан – от 1 000 до 2 000 руб.; на должностных лиц – от 4 000 до 10 000 руб.; на индивидуальных предпринимателей – от 10 000 до 20 000 руб.; на юридических лиц – от 25 000 до 45 000 руб.

Невыполнение оператором в сроки, установленные законодательством РФ в области ПД, требования субъекта ПД или его представителя либо уполномоченного органа по защите прав субъектов ПД об уточнении ПД, их блокировании или уничтожении в случае, если ПД неполные, устаревшие, неточные, незаконно получены или не необходимы для заявленной цели обработки

Право субъекта ПД требовать уточнения, блокирования, уничтожения ПД, если они являются неполными, устаревшими, неточными, незаконно полученными или избыточными с точки зрения заявленной цели обработки, предусмотрено ч. 1 ст. 14 Закона № 152‑ФЗ.

Срок, в течение которого оператор должен выполнить указанную обязанность, составляет семь рабочих дней со дня получения от субъекта ПД (его представителя) сведений, подтверждающих, что имеющиеся у оператора данные неполные, неточные, неактуальные, незаконно получены (см. ч. 3 ст. 20, ч. 2 ст. 21 Закона № 152‑ФЗ)

Часть 6.

Наложение административного штрафа: на граждан – от 700 до 2 000 руб.; на должностных лиц – от 4 000 до 10 000 руб.; на индивидуальных предпринимателей – от 10 000 до 20 000 руб.; на юридических лиц – от 25 000 до 50 000 руб.

Невыполнение оператором при обработке ПД без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области ПД сохранность ПД при хранении материальных носителей ПД и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к ПД, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении ПД, при отсутствии признаков уголовно наказуемого деяния

Четко описанные в данной норме вредные последствия неправомерного деяния (невыполнения обязанности) являются обязательным элементом состава правонарушения. К примеру, в июне компьютеры нескольких туроператоров были заблокированы вирусом-шифровальщиком (известным как «Petya»). Принятые компаниями меры по обеспечению сохранности ПД при хранении (в частности, размещение на отдельных серверах) оказались достаточными для избежания негативных последствий.

Напомним, что под обработкой ПД без использования средств автоматизации нужно понимать обработку, в рамках которой использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов ПД осуществляются при непосредственном участии человека (п. 1 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687)

Рассматриваемые поправки – это давно (с 2014 года) продвигаемая инициатива представителей Роскомнадзора с целью ужесточить контроль данной сферы общественных отношений. Кроме увеличения штрафов, еще одним способом достижения той же цели стало наделение должностных лиц органа, осуществляющего функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), полномочиями составлять протоколы об указанных административных правонарушениях (п. 58 ч. 2 ст. 28.3 КоАП РФ). Прокуратура по‑прежнему вправе делать это на основании ч. 1 ст. 28.4 КоАП РФ (при осуществлении надзора за соблюдением Конституции РФ и исполнением законов, действующих на территории РФ).

* * *

Подведем итог. Компаниям, обрабатывающим ПД туристов, гостей, необходимо как минимум:

–уведомить Роскомнадзор об обработке ПД;

–разработать, опубликовать и соблюдать политику в отношении обработки ПД;

–получать согласие физических лиц на обработку ПД;

–уделять внимание информационной безопасности.


[1] Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных».

Источник: Журнал "Туристические и гостиничные услуги"



Последние публикации

16 Августа 2018

Бизнесмены Зауралья теперь смогут проверить подноготную потенциальных партнеров через сервис ФНС

В Курганской области налоговая служба начала публиковать через специальный сервис в интернете сведения о налогоплательщиках, раньше считавшиеся налоговой тайной. Чем этот ресурс полезен для предпринимателей и обычных граждан, расскажем в данной статье.

Резонансное письмо ФНС России об аннулировании налоговых деклараций: профилактика нарушений или дискредитация конституционных прав?

10 июля 2018 года ФНС России опубликовала очередное письмо, направленное на профилактику нарушений налогового законодательства (письмо ФНС России от 10 июля 2018 г. № ЕД-4-15/13247 "О профилактике нарушений налогового законодательства"). Оно подготовлено в рамках реализации мероприятий приоритетной программы "Реформа контрольно-надзорной деятельности" и Стандарта комплексной профилактики нарушений обязательных требований. Обозначенная ведомством ключевая цель письма заключается в профилактике нарушений законодательства о налогах и сборах, связанных с представлением в налоговые органы деклараций по налогу на прибыль и НДС, которые формально соответствуют требованиям Налогового кодекса, от лица компаний, подпадающих под ряд признаков, свидетельствующих о фиктивной деятельности таких юридических лиц.

Очередная партия обновленных форм от Росстата по труду и зарплате

Обновленные формы мало чем отличаются от прежних. Они содержат небольшие техправки. Например, в порядке заполнения формы N П-4 "предыдущий год" заменен на "2017 год". Аналогичные правки предусмотрели для формы N П-4 (НЗ). Впрочем, несколько важных изменений в отчетах и порядках их заполнения все же есть. Рассмотрим их.

15 Августа 2018

Минфин: Экологический налог не повысит расходы бизнеса

Замена экологического сбора на налог не повысит расходы бизнеса, обещает Минфин. Министерство выступило с разъяснениями для прояснения ситуации с законопроектом об экологическом налоге.

Перечислены условия, при которых срок проверки деклараций по акцизам может быть сокращен

ФНС рассказала, когда камеральная проверка деклараций по акцизам может быть завершена до истечения трехмесячного срока (п. 2 ст. 88 Налогового кодекса). Это связано c применением риск-ориентированного подхода при проведении камеральных налоговых проверок налоговых деклараций по акцизам на этиловый спирт, алкогольную и (или) подакцизную спиртосодержащую продукцию.



ТОП статьи

Учетная политика организации (предприятия) на 2018 год скачать образец

О новом варианте формы 6 НДФЛ и ошибках при ее заполнении

Налоговая амнистия – 2018: кому и что простят?

Налоговые изменения с 1 января 2018 года

Новшества в «зарплатных» налогах и отчетности в 2018 году



Налоговые новости

17 Августа 2018

Минфин посоветовал, как ускорить отмену приостановления операций по счетам

Порядок формирования кассового чека коррекции зависит от версии применяемого формата фискальных документов

При пересчете иностранной валюты в рубли дата списания средств со счета покупателя не учитывается

Покупаем электронные услуги у иностранной компании: условия вычета НДС с 2019 года

Задолженность можно признать сомнительной при нарушении срока оплаты по договору

16 Августа 2018

Сомнительное требование налоговиков лучше исполнить

Минфин рассказал о том, как срок для освобождения от НДС исчисляется для новых компаний и ИП

Уведомление о контролируемых сделках необходимо представлять в налоговый орган по новой форме

ФНС России сообщила о снижении налога на имущество физлиц по объектам недвижимости: часть жилых домов, гараж, машино-место

При прощении "старых" долгов физлицам прощается и НДФЛ

15 Августа 2018

Как нельзя увольнять топ-менеджера: ВС РФ разбирался с делом о "золотом парашюте"

Предлагается скорректировать коэффициенты дифференциации по субъектам РФ, применяемые для расчета тарифа страхового взноса на ОМС неработающего населения

Определены особенности налогообложения международных холдинговых компаний

Разъяснено, как заполняются два раздела 2 декларации по налогу на имущество организации

ФНС России рассказала об изменениях в едином реестре субъектов малого и среднего предпринимательства

читать все Новости