Ну и что?
. Источники: Федеральный закон № 152-ФЗ, Федеральный закон № 13-ФЗ

Всем, у кого есть сайт! С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей

В феврале внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Они вступят в силу 1 июля 2017 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные.

Штрафы разделили по видам нарушений и увеличили в десятки раз. Например, если не разместить на сайте политику конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а компанию — на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юрлица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч. Если нарушений несколько, то и штрафов будет несколько.

Нужно срочно привести в порядок свои сайты. Проверки уже идут 💻

Сейчас протоколы о нарушениях может выписывать только прокуратура. Штраф не зависит от вида нарушения и составляет для ИП или директора максимум 1000 рублей, а для юрлица — 10 тысяч рублей. Процедура занимает много времени, штрафы маленькие, поэтому проверяют редко и не всех.

С 1 июля выписывать протоколы будет Роскомнадзор — дело пойдет быстрее.

Как узнать, являюсь ли я оператором персональных данных?

Персональные данные — это любые данные о человеке, по которым его можно идентифицировать. В законе нет перечня таких данных, поэтому приходится догадываться самим. Например, по имени или логину нельзя понять, что это за человек, а по имени и телефону или имени и электронной почте — можно.

Скорее всего, вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:

  • фамилию,
  • имя,
  • отчество,
  • какой-то физический адрес,
  • электронную почту,
  • телефон,
  • дату или место рождения,
  • фотографию,
  • ссылку на персональный сайт или соцсети,
  • профессию,
  • образование,
  • уровень доходов,
  • семейное положение.

Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, — это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения — это тоже обработка персональных данных.

А если я записываю телефон друга или электронную почту девушки на сайте знакомств, мне нужно соблюдать этот закон?

Нет, не нужно. На данные для личных и семейных нужд закон не распространяется. Но если передать телефон друга коллекторам или опубликовать объявление с почтой девушки на форуме женоненавистников — это уже нарушение.

Как правильно работать с персональными данными, чтобы не нарушить закон?

Как минимум нужно:

  • получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
  • публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
  • запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
  • использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
  • сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
  • удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
  • хранить базы данных в надежном месте, защищать их от взлома и утечки;
  • научить сотрудников работать с персональными данными;
  • зарегистрироваться в Роскомнадзоре.

Что? Я должен еще где-то зарегистрироваться?

Да, по закону операторы персональных данных должны уведомить Роскомнадзор. Причем сделать это нужно до начала обработки данных или как можно скорее. Роскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более — распространяться;
  • человек сам опубликовал эти данные в общем доступе;
  • у вас есть только ФИО клиента и больше ничего.

У меня есть сайт, и я получаю персональные данные. Что мне делать?

Если вы до сих пор ничего не сделали, то вы уже нарушаете закон и вас уже сейчас могут оштрафовать. Даже если ваш сайт обслуживает веб-студия или удаленный айтишник, штраф всё равно выпишут на ту компанию или ИП, которые указаны на сайте.

Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны на всех страницах. Это может быть пользовательское соглашение, как у «Ламоды», правила продажи, как у «Читай-города», официальное уведомление, как у «М-видео», политика конфиденциальности, как у «Рестора», «Адидаса» или «Озона». Можно прописать условия обработки персональных данных в обычном договоре или оферте, как это делает Сбербанк.

Не используйте чужие документы. Их можно взять для ориентира, но список данных и цели использования нужно прописывать свои. То, что нужно банку для оформления кредита или интернет-магазину для доставки товара, не понадобится для электронной рассылки или доски объявлений. Запрашивать ненужные данные — нарушение закона и повод для штрафа.

Реализуйте решение, которое позволит четко установить, что человек согласился на обработку персональных данных. Это может быть галочка в форме регистрации или предупреждение при оформлении заказа. Для надежности заверьте веб-страницы у нотариуса.

Подготовьте внутренние документы о хранении персональных данных и ответственности сотрудников, которые с ними работают. Приказы, регламенты и должностные инструкции не нужно выкладывать в общий доступ.

Если нужно, отправьте уведомление в Роскомнадзор. Если уверены, что уведомление отправлять не нужно, оформите документы так, чтобы это было понятно при проверке. Например, пропишите в политике, что используете персональные данные только для исполнения конкретного договора. Или укажите, что создаете ресурс, на котором данные размещаются в общем доступе по желанию пользователя.

Если не знаете, нужно ли вам отправлять уведомление, лучше отправьте.

Это правда, что хранить персональные данные можно только на российских серверах? Если у меня хостинг в Европе, я нарушаю закон?

В законе много непонятного по этому поводу. С одной стороны, собирать, обрабатывать и хранить базы данных нужно на российских серверах. Но при этом есть отдельная статья про трансграничную передачу данных. На сайте Минкомсвязи опубликованы разъяснения по этому поводу, но в них тоже много противоречий.

Сами делайте выводы, где хранить данные. Если не знаете, что делать, отправьте запрос в Роскомнадзор или Минкомсвязи. Еще можно обратиться к своему хостеру: чаще всего у таких компаний есть готовые решения.

Да успокойтесь вы все! Никого не будут штрафовать из-за каких-то форм на сайте и ненужных бумаг.

В Тамбовской области прокуратура оштрафовала юридическую компанию за заполнение формы обратной связи без согласия пользователя на обработку персональных данных. Суды поддержали.

Директора управляющей компании оштрафовали за то, что он передал юристам данные должников, чтобы составить исковые заявления. Согласие на обработку персональных данных у жильцов он не получил. Конституционный суд ему не помог.

В Астрахани прокуроры штрафуют владельцев сайтов за формы обратной связи по алфавиту.

Постановление Тамбовского областного суда № 4А−288/2016

Определение КС № 100-О от 28.01.16 по делу директора УК

О штрафах в Астрахани в газете «Волга»

Кроме штрафов в пользу государства за нарушение правил обработки персональных данных могут взыскать компенсацию морального вреда и даже посадить в тюрьму.

Ну и что?
. Источник: Кремль

Максимальный взнос на инвестиционный счет увеличен до 1 млн рублей

Соответствующие поправки внесены в закон «О рынке ценных бумаг». Речь идет о сумме, которую можно внести на индивидуальный инвестиционный счет (ИИС) в банке или брокерской компании в течение года. Раньше лимит составлял 400 000 Р в год.

Новые правила действуют с 19 июня. Тем, кто уже внес 400 000 Р в этом году, разрешено внести дополнительные 600 000 Р.

Что за инвестиционные счета?

Индивидуальные инвестиционные счета — это особый тип брокерских счетов с налоговыми льготами. Вы инвестируете в акции и облигации в течение трех лет, а государство дает вам налоговые льготы. У одного человека может быть только один счет, а льготы бывают двух видов:

Налоговый вычет до 400 000 Р. Если у вас белая зарплата или есть другие доходы, с которых вы платите НДФЛ, то сумму налогооблагаемой базы можно уменьшить на сумму инвестиций, но не более 400 000 Р в год. Таким образом можно вернуть до 52 000 Р уплаченных за год налогов: 52 000 Р — это 13% от 400 000 Р.

Это приятная штука, потому что дает гарантированные 13% в дополнение к той доходности, которую вы получите на бирже.

Например, вы получаете 40 000 Р в месяц, с которых удерживается НДФЛ 5200 Р. Если умножить обе цифры на 12 месяцев, то за год налогооблагаемая база составит 480 000 Р, а удержанный налог — 62 400 Р. Если в течение того же года вы инвестируете 400 000 Р на инвестиционный счет, то налоговая база уменьшится на сумму инвестиций и составит 80 000 Р, а государство вернет вам 52 000 Р уплаченных налогов. Не обязательно инвестировать именно 400 000 Р, можно меньше и частями. Для возврата налогов нужно подать декларацию 3-НДФЛ за прошедший год.

Освобождение от налога дохода по операциям на инвестиционном счете. Если вы ни разу не воспользовались вычетом из предыдущего абзаца, то по прошествии трех лет прибыль от операций на инвестиционном счете освобождается от налога на доход.

Тут всё просто: купили за 100 Р, продали за 200 Р — налог на прибыль не платите. Купили за 200 Р, продали 100 Р — ну, не повезло.

Что изменилось и стоит ли теперь связываться с ИИС?

Что изменилось?

До 19 июня на инвестиционный счет можно было внести не более 400 000 Р в год. Теперь можно внести миллион. Однако максимальная сумма налогового вычета по первому типу льготы не изменилась и составляет 400 000 Р, а максимальная сумма возврата — 52 000 Р.

По сути, изменения касаются только тех, кто выбрал второй тип льготы — освобождение от налога на доход прибыли от операций по ИИС. По некоторым оценкам это всего 10% ИИС. Судя по всему, гражданам интереснее гарантированный доход в виде 13% от суммы инвестиций, чем освобождение от налога будущей прибыли, которой может и не быть.

В Центральном банке и Минфине же считают, что первый тип счетов помогает гражданам «доить бюджет». На прошедшей в июне конференции НАУФОР первый зампред ЦБ Сергей Швецов, обращаясь к брокерам, заявил:

«Как Центральный Банк мы не очень поддерживаем дальнейшее развитие счетов первого типа (…), потому что физическое лицо получает вычет сразу. Но подумайте, что вы продаете? Вы продаете то, что помогаете физическим лицам доить бюджет, а вовсе не зарабатывать на фондовом рынке».

Стоит ли связываться с ИИС?

Открытие ИИС не накладывает каких-то жестких ограничений. Закрыть счет и забрать деньги можно в любое время, просто придется вернуть государству уже полученный возврат налогов в случае счетов первого типа, а в случае счетов второго типа брокер налоги начислит. Поэтому дополнительных рисков открытие ИИС не несет, в худшем случае получите результат как по обычному счету.

При этом учитывать налоговые льготы по ИИС в долгосрочных планах нужно с осторожностью. Мечтая о привлечении на фондовый рынок «длинных» денег от населения, российские власти не отличаются особой последовательностью или продуманностью решений. Инвестиционные счета появились только два года назад — еще не существует людей, прошедших весь трехгодичный цикл ИИС, а Центральный банк и Минфин уже недовольны существованием вычета на сумму инвестиций. Льготы как ввели, так и отменят.

Ну и что?
. Источник: Письмо Роструда № ТЗ/942-03-3 от 28.02.17

Если не организовать медосмотр для офисных работников, можно попасть на штраф

Роструд разрешил работодателям не проводить медосмотры офисных сотрудников, если есть заключение, что на рабочем месте всё в порядке с нормами излучения от компьютеров. На самом деле это почти ничего не значит, но стоит иметь в виду.

Вроде как теперь можно провести экспертизу и не тратиться на медосмотры секретарей, бухгалтеров, копирайтеров, программистов, менеджеров и операторов колцентров. И тогда фирму не должны оштрафовать на 110 тысяч рублей.

В любом случае готовьте деньги: на экспертизу, медосмотры или штрафы
Что за медосмотры, кто должен их проводить и за что штрафуют

Кому и зачем нужно проводить медосмотры?

По закону все работодатели должны проводить медосмотры сотрудников, когда это положено по закону. Так нужно делать до того, как человека приняли на работу, и потом, когда он уже работает. Как часто — зависит от должности и условий работы, но всё прописано в законе.

Медосмотры нужно проводить не для всех сотрудников, но для многих. Есть очевидное: например, обязательно отправлять на медосмотр военных, учителей, пожарных, сталеваров, горняков и водителей. Но есть и неочевидные требования. Скорее всего, у вас в компании тоже есть такие должности.

Например, это касается всех, кто больше половины рабочего времени проводит за компьютером: пишет текст, заполняет таблицы, настраивает рассылки, ведет соцсети, выписывает документы, что-то читает с монитора или подключил гарнитуру и отвечает на вопросы клиентов в чате.

До того как принять человека на такую должность, нужно, чтобы он прошел медосмотр и принес справку, что годен к работе. И потом через два года его опять надо отправить на медосмотр. А потом опять.

Если не провести обязательный или периодический медосмотр, компанию оштрафуют минимум на 110 тысяч рублей, а директора и ИП — на 15 тысяч.

Зачем проводить медосмотры для офисных сотрудников? Какие противопоказания могут быть для такой работы? И как она может навредить?

Медосмотры нужно проводить, потому что так положено по закону. Это прямо прописано в трудовом кодексе. Еще по этому поводу есть отдельные документы Минздрава, Роспотребнадзора и Роструда.

Медосмотры нужно проводить для тех сотрудников, которые больше половины рабочего времени проводят за компьютером или используют другую оргтехнику, от которой есть электромагнитное излучение. Минздрав считает, что такая работа может наносить вред и не все люди к ней готовы, хотя и думают иначе. Если человек собирается много работать за компьютером, его должен проверить окулист и невролог.

Например, противопоказания для такой работы — катаракта или нервные расстройства. Такие болезни могут уже быть у кандидата на должность секретаря или бухгалтера или появиться потом. Точно сможет сказать только врач по итогам медосмотра.

Обязанность работодателя — узнать об этом заранее или вовремя обнаружить.

Кто должен за всё это платить? Медосмотры ведь не бесплатные.

Медосмотры не бесплатные, и проводить их может не любой врач и не любой медцентр. У организации, которая проводит медосмотры, должна быть специальная лицензия.

Платить за всё это должен работодатель. Нельзя обязать работника оплачивать периодические медосмотры каждые два года. И даже за новых сотрудников придется платить фирме. То есть человек еще не принес никакой пользы компании, а из-за него уже нужно нести какие-то расходы.

Так что по этому поводу сказал Роструд? Вроде бы можно не проводить медосмотры?

Роструд говорит, что иногда можно не проводить медосмотры для сотрудников, которые работают за компьютерами. Для этого нужно получить официальное заключение, что условия труда у редактора, оператора, бухгалтера и менеджера не вредные и не опасные, а излучение в норме. Заключение выдают по итогам экспертизы. Экспертизу проведет организация, у которой есть такое право. Это тоже платно.

Раньше тот же Роструд считал по-другому, даже несмотря на то, что Минздрав и Роспотребнадзор были с ним не согласны.

Вот какие документы выпускали разные ведомства на этот счет:

Аргументы и тогда и сейчас выглядели логично. Почему мнение поменялось, каким оно будет завтра или в конкретной ситуации, непонятно.

Интересно, что в этом письме Роструд не утверждает, не заявляет и даже не считает, что медосмотры можно не проводить. Он всего лишь «полагает», что у работодателя нет такой обязанности.

В любом случае такие разъяснения — это не нормативные документы. Если кого-то всё-таки оштрафуют даже при наличии заключений об условиях труда, письма могут повлиять на позицию суда. А могут и не повлиять.

Например, в деле «Норильского никеля» заключение об условиях труда не спасло: компанию наказали за то, что у операторов видеотерминалов не было медосмотров. Компания дошла до Верховного суда, но не помогло. Хотя понятно, что с юридической помощью там всё было хорошо.

Что делать, чтобы не попасть на штрафы и не переплачивать из-за медосмотров?

Проводить медосмотры. Это надежнее всего и точно поможет избежать огромных штрафов. Обычно этим занимаются кадровики или специалисты по охране труда. Если их нет в штате, придется изучить правила для медосмотров и оформить все документы. Медосмотры проводят по направлению. Как его составить, тоже написано в нормативных документах.

Медосмотр — это не обычная диспансеризация в поликлинике. Нельзя путать эти мероприятия и заменять одно другим. И просто так отправить самого сотрудника за справкой тоже нельзя.

Договориться с медцентром о скидке. Если сотрудников много, можно найти медицинский центр, который будет обслуживать вашу организацию дешевле, но постоянно. Цена медосмотра зависит от должности и количества исследований, которые нужно пройти. Для офисных работников это обычно стоит одну-три тысячи рублей. Чем больше сотрудников, тем дешевле.

Правильно оформляйте документы, чтобы не пришлось платить за предварительный медосмотр неподходящих кандидатов.

Получить заключение об условиях труда. Найдите экспертную организацию в своем городе и проверьте, есть ли она в реестре Минтруда. Узнайте, сколько это стоит и как долго будут действовать результаты. Может быть, дешевле провести медосмотр. Или аттестацию придется проводить заново, если вы переедете в новый офис или купите еще один компьютер, и вам это невыгодно.

Если выберете оценку условий труда, проконсультируйтесь с юристом или опытным кадровиком, как всё оформить в вашем случае. Следите за позициями ведомств, чтобы вовремя подстроиться под новые тренды.

Опять душат бизнес?

Роструд защищает интересы работников и хочет, чтобы они были здоровыми. Конечно, предпринимателям дешевле не проводить никаких медосмотров, и эти требования Роструда — дополнительная нагрузка на бизнес. Но, с другой стороны, здоровье дороже.

А еще этим требованиям много лет. Их придумали не вчера. Соблюдать эти правила и проводить медосмотры даже для офисных сотрудников нужно было и раньше. Мы, может, и не написали бы об этом, если бы Роструд не изменил позицию. Соблюдайте закон: обычно это дешевле штрафов и проще судов.