Как происходит утечка персональных данных
В Подмосковье на одной из нелегальных свалок местные жители обнаружили документы Минфина с персональными данными сотрудников ведомства. Пресс-служба министерства, комментируя происшествие, сообщила, что документы на свалку попали по вине подрядчика. Подобные истории происходят каждый месяц. Организации и учреждения случайно выбрасывают документы с личными данными сотрудников вместе с мусором.
Почему документы попали на свалку, обычно выясняет полиция. Результаты расследования МВД отправляет в Роскомнадзор, который решает, как наказать компанию.
Роскомнадзор может и без предписания полиции проверить, почему компания нарушила порядок обработки персданных. С 2019 года основанием для проведения внеплановых проверок могут стать жалобы граждан и иная информация о нарушениях, например сообщения в СМИ (подп. «б» п. 54 Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных, утв. постановлением Правительства от 13.02.2019 № 146). В этом случае решение о проведении внеплановой проверки принимает руководитель после рассмотрения докладной записки.
Сложно проследить за тем, как отделы избавляются от устаревших и ненужных документов. Чтобы организация не попала в заголовки СМИ, как это получилось у Минфина, и не пришлось искать крайнего, необходимо проследить, как отделы работают с документами, в которых содержится личная информация сотрудников. Разработайте план для проведения внутреннего контроля обработки персданных (п. 4 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Создайте комиссию, которая будет анализировать документы, изучать процессы обработки личных данных и давать рекомендации по их защите и уничтожению.
Установите порядок уничтожения персональных данных. Разработайте локальный акт об уничтожении. В нем определите, какие способы уничтожения документов и носителей личной информации использовать. Документы, содержащие персональные данные, можно уничтожить в шредере. Можно заключить договор со специализированной организацией об уничтожении документов. Но учитывая, что в похожих ситуациях документы часто попадали на свалку, безопаснее не пользоваться услугами подрядчиков. Переложить на них ответственность за распространение персональных данных ваших сотрудников или клиентов не получится.
Важная деталь
Уничтожением персональных данных должна заниматься комиссия, которую приказом назначает руководитель.
Уничтожением должна заниматься комиссия, которую приказом назначает руководитель. В ее состав включите председателя и не менее двух сотрудников. Одним из членов комиссии назначьте сотрудника отдела, в котором хранились и использовались документы с персданными. Комиссия должна составить перечень документов для уничтожения с учетом сроков их хранения. Уничтожение документов зарегистрируйте в специальном журнале или оформите об этом акт. Роскомнадзор разрешает организациям самим разработать типовые формы акта и журнала (информация Роскомнадзора от 25.09.2015).
Определенных правил, как организации уничтожать персональные данные сотрудников, пока нет. Но чиновники планируют это исправить.
Персональные данные сотрудников в организации хранятся не только на бумаге, но и в базах данных компьютера. Их утечка может произойти по вине сотрудников организации и в результате хакерских атак. В последнее время взломы информационных баз компаний происходят все чаще. Самая громкая история, когда личные данные почти всех сотрудников РЖД появились в сети. Об утечке сообщил специалист по корпоративной защите данных, техдиректор DeviceLock Ашот Оганесян. По его словам, в сеть попали личные данные 703 000 сотрудников, их Ф. И. О., даты рождения, адреса, номера СНИЛС, фотографии, должности, телефоны.
Ответственность за утечку цифровых персданных законом не установлена. Но наказать могут за нарушения требований к безопасности, из-за которых она произошла (ч. 6 ст. 13.11 КоАП).
Привлечь компанию к ответственности могут работники или клиенты, чьи данные попали в сеть. Они вправе потребовать выплатить им компенсацию. Работодатель в этом случае может взыскать эти суммы с сотрудника, который допустил утечку персданных (ст. 241—243 ТК).
Ответственный за организацию обработки персональных данных назначается приказом руководителя (ч. 1 ст. 22.1 Закона № 152-ФЗ). Как правило, он отвечает за сохранность информации на бумажных носителях и в электронном виде. Часто в небольших компаниях ответственным назначают кадрового работника или того, кто выполняет его функции. Некоторые организации назначают двух ответственных. Один из них контролирует работу с персональными данными на бумажных носителях, например специалист отдела кадров. Другой — работу с персональными данными в электронном виде, например системный администратор или работник отдела безопасности.
Если организация небольшая и персданные хранятся только в компьютере бухгалтера или кадровика, то защищать надо их компьютеры. Например, все бухгалтерские программы, базу данных, а также пакет офисных программ, операционную систему, монитор и принтер.
Чтобы обеспечить такую защиту, мало просто установить антивирусную программу. Надо еще принять меры для защиты рабочего места и помещения, где стоят компьютеры. Требования к обработке персданных в информационных системах компании перечислены в постановлении Правительства от 01.11.2012 № 1119 и приказе ФСТЭК от 18.02.2013 № 21.
Надо разработать режим безопасности помещений, где стоят компьютеры с персданными. Назначить лиц, ответственных за такую безопасность. Чтобы обеспечить контроль защищенности, один раз в три года проводить контрольные проверки. На договорной основе к таким проверкам можно привлечь специализированные организации.
Общие правила
В этой главе напомним о частых и опасных нарушениях, которым не уделили внимания в предыдущих главах. Тем не менее о рисках важно помнить.
Хорошо, что бизнес может оплачивать некоторые штрафы со скидкой 50 процентов (ч. 1.3-1 ст. 32.2 КоАП). Штраф уменьшится вдвое, если заплатить его не позднее 20 календарных дней со дня вынесения постановления. Похожий порядок действовал и раньше, но только для штрафов за нарушение правил дорожного движения. Например, за превышение скорости. Какие конкретно штрафы можно будет оплатить со скидкой, читайте далее.
Есть и ограничения. Правило о скидке не действует, когда на оплату штрафа получили отсрочку или рассрочку. Так, если лицо, которому назначили штраф, не может оплатить его вовремя, оно вправе просить отсрочку на один месяц или рассрочку на три (ст. 31.5 КоАП). Но просить отсрочку или рассрочку невыгодно. Если суд или ведомство, которые вынесли постановление о штрафе, предоставят рассрочку или отсрочку, сумму штрафа придется заплатить в полном объеме.
Еще одна поправка увеличила срок оплаты штрафов. По общему правилу заплатить штраф нужно не позднее 60 календарных дней с даты, когда вступило в силу постановление (ч. 1 ст. 32.2 КоАП). Если дали отсрочку или рассрочку, то этот срок начинает отсчитываться со дня, когда истек срок такой отсрочки или рассрочки. Если компания и предприниматель относятся к субъектам малого и среднего бизнеса и штраф не удалось заплатить в короткий срок, сделать это можно в течение 180 дней после того, как постановление о штрафе вступило в силу (ст. 19.1 Федерального закона от 01.04.2020 № 98-ФЗ).
Некоторые штрафы придется платить по старым срокам. В течение 60 дней в любом случае придется заплатить штрафы за нарушение ПДД, продажу этилового спирта, алкогольной продукции, невыполнение правил поведения при чрезвычайной ситуации или угрозе ее возникновения.
Важная деталь
Заплатить штраф должен тот, кого привлекли к ответственности. Если за нарушителя перечислит деньги кто-то другой, то штраф будет считаться неоплаченным.
Что будет, если вовремя не заплатить штраф. Если нарушить срок, в течение которого необходимо заплатить штраф, то компанию или физлицо привлекут к дополнительной ответственности (ч. 1 ст. 20.25 КоАП). Это может быть штраф в двукратном размере, но не менее 1000 руб., административный арест до 15 суток, обязательные работы до 50 часов. Если дело дойдет до приставов, заплатить придется и исполнительный сбор (ч. 5 ст. 32.2 КоАП). Его размер составляет 7 процентов от суммы штрафа, но не менее 10 000 руб.
На какие штрафы действует льгота. Заплатить со скидкой можно не любой штраф. Пока список закрытый. Если эксперимент признают успешным и собираемость штрафов вырастет, то список дополнят. Многие «льготные» нарушения — для банков. К примеру, со скидкой можно будет оплатить штраф за непредставление отчетности в Банк России (ст. 19.7.3 КоАП). Но есть и нарушения, которые может допустить любая компания. Перечень — в таблице ниж.
Что делать, если постановление затерялось. Если копию постановления получили с опозданием, кодекс предусматривает возможность восстановить срок для оплаты со скидкой. Такое возможно, если документ вам отправили заказным письмом. Подайте ходатайство в суд или орган, который вынес постановление. К заявлению приложите почтовый конверт с отметкой. Если ходатайство отклонят, определение можно обжаловать (ст. 30.2 КоАП).
За какие нарушения можно заплатить штраф со скидкой
| Нарушение | Пример | Статья КоАП |
|---|---|---|
| Неисполнение акционерным обществом обязанности по хранению документов | Потеряли копию протокола общего собрания акционеров | 13.25 |
| Незаконное получение или предоставление кредитного отчета или информации из кредитной истории | Банк поделился с компанией кредитной историей ее сотрудника, хотя не имел на это права | 14.29 |
| Нарушение порядка сбора, хранения и обработки информации, составляющей кредитную историю | Банк без разрешения передал компании информацию о заемщике: его Ф. И. О., паспортные данные, ИНН, СНИЛС | 14.30 |
| Непредставление или просрочка подачи документов о споре, связанном с созданием компании, управлением или участием в ней | Компания не предоставила своему акционеру по его запросу документы об участии в судебном споре | 14.36 |
| Недобросовестная эмиссия ценных бумаг | Документы на госрегистрацию выпуска акций компания представила с нарушением срока или не представила вовсе | 15.17 |
| Неисполнение законных требований представлять и раскрывать информацию на финансовых рынках | АО не опубликовало в интернете аудиторское заключение или НАО с числом акционеров более 50, не раскрыло свой годовой отчет | 15.19 |
| Нарушение порядка подготовки и проведения общих собраний акционеров, участников ООО | Компания несвоевременно и неправильно оформила протокол общего собрания | 15.23.1 |
| Нарушение законодательства о банках и банковской деятельности | Кредитная организация занимается производственной, торговой или страховой деятельностью, хотя это запрещено | 15.26 |
| Нарушение правил приобретения более 30 процентов акций ОАО | После приобретения крупного пакета акций акционер обязан соблюдать особую процедуру, связанную с выкупом акций у остальных акционеров, — направить обязательное предложение | 15.28 |
| Манипулирование рынком | Недобросовестный инвестор распространил ложную информацию в СМИ и получил от этого прибыль при продаже ценных бумаг | 15.30 |
Неправильное хранение документов
С 26 октября 2020 года в 10 раз выросли штрафы для директора и главбуха, которые неправильно хранят, комплектуют, учитывают или используют архивные документы. За такое же нарушение теперь оштрафуют и компанию. Изменения внесли в статью 13.20 КоАП (Федеральный закон от 15.10.2020 № 341-ФЗ).
Раньше в статье 13.20 КоАП не было санкций для компаний за неправильное хранение документов. Росархив, Роспечать, прокуратура могли составить протокол со штрафом только на должностное лицо организации. Теперь наказать смогут и компанию, и ее директора. Причем штраф на должностных лиц вырос. Раньше он составлял максимум 500 руб., а сейчас — 5000 руб. Сводная таблица всех санкций.
Штрафы за нарушение валютного законодательства
| Нарушение | На кого распространяется | Штраф | Новые ограничения применения штрафа | |
|---|---|---|---|---|
| было | стало | |||
| Компания не получила оплату в срок, указанный в контракте с иностранными компаниями за оказанные услуги или поставленные товары | Компании, предприниматели | За каждый день просрочки — 1/150 ставки рефинансирования ЦБ от суммы, зачисленной с нарушением установленного срока. Используется ставка, действовавшая в период просрочки или от 3/4 до одного размера от суммы | За каждый день просрочки — 1/150 ставки рефинансирования ЦБ от суммы, зачисленной с нарушением установленного срока. Используется ставка, действовавшая в период просрочки или от 3 до 10 процентов от суммы по контрактам в рублях, от 5 до 30 процентов от суммы по контрактам в иностранной валюте, от 5 до 30 процентов от суммы по договорам займа независимо от валюты | 1. Сумма контракта не превышает 200 000 руб. Сумма в иностранной валюте пересчитывается в рубли. 2. Для исправления нарушения дается 45 календарных дней. 3. Деньги были зачислены на свой счет в иностранном банке и в течение 45 календарных дней перечислены в российский банк. Если перечислена только часть денег за это время, штраф не применяется только в отношении части этих перечисленных средств |
| Компании, в том числе профучастники ВЭД, в срок, предусмотренный контрактом, не выполнили свои обязательства (за исключением, например, валютной выручки) | Компании, предприниматели | Ранее штраф предусмотрен не был | От 5 до 30 процентов от суммы | Для исправления нарушения дается 45 календарных дней |
| Должностные лица, к примеру директор | Ранее штраф предусмотрен не был | От 20 000 до 30 000 руб. | ||
| Компании-профучастники ВЭД в срок, предусмотренный контрактом, не получили валютную выручку на свой банковский счет или счет финансового агента (фактора) | Компании, предприниматели | Ранее штраф предусмотрен не был | От 3 до 5 процентов от суммы | Для исправления нарушения дается 45 календарных дней |
| Должностные лица, к примеру директор | Ранее штраф предусмотрен не был | От 20 000 до 30 000 руб. | ||
| Компания не вернула аванс, перечисленный иностранному поставщику за неоказанную услугу или непоставленный товар | Компании, предприниматели | За каждый день просрочки — 1/150 ставки рефинансирования ЦБ от суммы, зачисленной с нарушением установленного срока. Используется ставка, действовавшая в период просрочки или от 3/4 до одного размера от суммы | За каждый день просрочки — 1/150 ставки рефинансирования ЦБ от суммы, зачисленной с нарушением срока. Используется ставка, действовавшая в период просрочки или от 3 до 10 процентов, если расчет в рублях, от 5 до 30 процентов, если расчет в другой валюте | Для исправления нарушения дается 45 календарных дней |
| Профучастники ВЭД не вернули аванс, перечисленный иностранному поставщику за неоказанную услугу или непоставленный товар | Компании, предприниматели | Ранее штраф предусмотрен не был | От 3 до 5 процентов от суммы | Для исправления нарушения дается 45 календарных дней |
| Компания нарушила срок представления в банк форм учета и отчетности по валютным операциям, подтверждающих документов, информации либо в инспекцию не представила отчет о движении денежных средств в зарубежном банке | На компании | Штраф в зависимости от количества дней просрочки представления: не более чем 10 календарных дней — максимально 15 000 руб., не более чем 30 календарных дней — максимально 30 000 руб. Более чем на 30 дней — 50 000 руб. | Утратила силу, за исключением отчета о движении денежных средств на зарубежных счетах | — |
| Должностные лица, к примеру директор | Штраф в зависимости от количества дней просрочки: не более чем 10 календарных дней — максимально 1000 руб., не более чем 30 календарных дней — максимально 3000 руб. Более чем на 30 календарных дней 5000 руб. | Утратила силу, за исключением отчета о движении денежных средств на зарубежных счетах | — | |
| Компания нарушила срок сдачи в банк документов и информации более чем на 90 дней | Компании | Ранее штраф предусмотрен не был | От 40 000 до 50 000 руб. | — |
| Должностные лица, к примеру директор | Ранее штраф предусмотрен не был | От 4000 до 5000 руб. | — | |
Повысить штрафы решили для того, чтобы стимулировать руководство компаний правильно хранить архив. Зачастую сложно найти такие документы компаний, как передаточные акты, разделительные, ликвидационные балансы, положения об оплате труда, бумаги по продаже движимого имущества, ведомости на выплату дивидендов по ценным бумагам.
С 18 февраля действует новый перечень документов, которые должна хранить компания, а также новые сроки их хранения (приказ Росархива от 20.12.2019 № 236). В перечне упоминаются бухгалтерские, кадровые и другие управленческие документы. К примеру, трудовые договоры, документы о приеме, увольнении надо хранить 50/75 лет.
Санкции за неправильное хранение документов
| Кто ответит за нарушение | Как было раньше | Какие санкции действуют с 26 октября 2020 года |
|---|---|---|
| Должностное лицо компании, например директор | Штраф от 300 до 500 руб. | Штраф от 3000 до 5000 руб. |
| Компания или предприниматель | Ответственности не было | Предупреждение или штраф от 5000 до 10 000 руб. |
