Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных» является основным документом, регулирующим деятельность по обработке и использованию персональных данных. Он вступил в силу шесть лет назад, в 2011 году, и за это время претерпел некоторые изменения и был не раз дополнен. С 1 июля 2017 года вступает в силу новое изменение – ужесточение административной ответственности работодателя (оператора персональных данных). Закон от 7 февраля 2017 г. №13-ФЗ расширил перечень оснований для привлечения работодателя к ответственности в области защиты персональных данных, штрафы также увеличились. Так, в частности, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., ИП – на сумму от 5 000 до 20 000 руб., организации – на сумму от 15 000 до 75 000 руб.

Финансовые взыскания можно получить в том случае, если:

• была произведена обработка персональных данных в случаях, не предусмотренных российским законодательством; штраф также будет наложен, если субъект, чьи данные были обработаны, не дал своего письменного согласия на это;
• оператор не опубликовал или не предоставил возможность неограниченного доступа к документу с политикой по обработке персональных данных или сведениями по их защите;
• субъекту персональных данных не была предоставлена информация по их обработке;
• оператор отказался предоставить по требованию субъекта персональных данных или его представителя информацию об уточнении, блокировке, уничтожении данных. В случае, если данные неполные, устаревшие, неточные, незаконно получены или не являются необходимыми для заявленной цели обработки;
• оператором при обработке персональных данных без использования средств автоматизации не была обеспечена должная сохранность персональных данных при хранении их материальных носителей, в том случае, если это повлекло за собой неправомерный или случайный доступ к персональным данным. А это, в свою очередь, стало причиной их уничтожения, распространения, блокирования, изменения, копирования, предоставления, либо любого другого действия, являющегося неправомерным;
• невыполнение должностными лицами государственного или муниципального органа – оператора персональных данных обязанностей по обезличиванию персональных данных либо за нарушение требований к этому процессу.

Source: blog.ucmsgroup.ru