Коап ответственность за персональные данные

Коап ответственность за персональные данные

Ответственность за нарушение закона о персональных данных

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Таблица 1. «Виды ответственности за нарушение закона о персональных данных»

Вид ответственности

Нарушение

Санкция

Норма

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации

Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.

Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 3 тыс. руб.;
  • на должностных лиц – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 30 тыс. до 50 тыс. руб.

Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие

  • на граждан – от 3 тыс. до 5 тыс. руб.;
  • на должностных лиц – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 75 тыс. руб.

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных

Предупреждение или административный штраф:

  • на граждан – от 700 до 1 тыс. руб.;
  • на должностных лиц – от 3 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 30 тыс. руб.

Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 15 тыс. руб.;
  • на юридических лиц – от 20 тыс. до 40 тыс. руб.

Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 45 тыс. руб.

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них

  • на граждан – от 700 до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 50 тыс. руб.

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов

Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.

Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде

  • на граждан – от 100 до 300 руб.;
  • на должностных лиц – от 300 до 500 руб.;
  • на юридических лиц – от 3 тыс. до 5 тыс. руб.

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ

Ш траф до 200 тыс. руб., либо обязательные работы на срок до 360 ч асов , либо исправительны е работы на срок до одного года, либо принудительные работы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет или без такового ) , либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет )

То же деяние, совершенное с использованием служебного положения

Ш траф от 100 тыс. до 300 тыс. руб. , либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет или без такового ) , либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет )

Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий

Ш траф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительны е работ ы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет или без такового ), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет )

Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан

Ш траф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование

Ш траф до 200 тыс. руб. , либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительны е работ ы на срок до двух лет, либо лишение свободы на тот же срок

Причинение лицу убытков в результате нарушения правил обработки его персональных данных.

Под убытками при этом понимаются:

  • расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права;
  • утрата или повреждение его имущества;
  • неполученные доходы, которые лицо получило бы, не будь его право нарушено.

Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных

Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)

Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей

Иные нарушения в области персональных данных при их обработке

Как изменилась ст. 13.11 КоАП РФ: семь новых составов правонарушений

Чем интересна статья: вы узнаете, как в связи с ужесточением ответственности за нарушения законодательства в области защиты персональных данных изменился подход Роскомнадзора к проверкам, в т.ч. и в кредитных кооперативах

Расширение ст. 13.11 КоАП РФ до семи составов правонарушений, диктует новые правила и новые рекомендации руководителям кредитных кооперативов, которые помогут пройти проверку Роскомнадзора. Что нужно сделать:

  1. Проверьте на сайте Роскомнадзора попали ли Вы в план проверок на 2017 год.
  2. Проверьте наличие уведомления на обработку персональных данных и актуальность указанных в нем данных. Достаточно зайти на сайт Роскомнадзора и ввести ИНН организации.
  3. Проверьте, не нарушаете ли вы КоАП, ведь с 1 июля 2017 года появятся новые штрафы в сфере персональных данных.

Как было

Статья 13.11 КоАП РФ. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) — влечет предупреждение или наложение административного штрафа

  • на граждан в размере от 300 до 500 рублей ;
  • на должностных лицот 500 до 1 000 рублей ;
  • на юридических лицот 5 000до 10 000 рублей .


Как стало

1. Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, — влечет предупреждение или наложение административного штрафа

  • на граждан в размере от 1 000 до 3 000 рублей ;
  • на должностных лицот 5 000 до 10 000 рублей ;
  • на юридических лицот 30 000 до 50 000 рублей .

Рекомендации

Осуществлять обработку персональных данных только на законных основаниях, предусмотренных законодательством РФ в области персональных данных

2. Обработка персональных данных без согласия в письменной форме субъектаперсональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, — влечет наложение административного штрафа

  • на граждан в размере от 3 000 до 5 000 рублей ;
  • на должностных лицот 10 000 до 20 000 рублей ;
  • на юридических лицот 15 000 до 75 000 рублей .

Рекомендации

Вести обработку персональных данных только при наличии письменного согласии субъекта персональных данных, когда такое согласие должно быть получено в соответствии с законодательством РФ

3. Невыполнение операторомпредусмотренной законодательством РФ в области персональных данныхобязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных — влечет предупреждение или наложение административного штрафа

  • на граждан в размере от 700 до 1 500 рублей ;
  • на должностных лицот 3 000 до 6 000 рублей ;
  • на индивидуальных предпринимателейот 5 000 до 10 000 рублей;
  • на юридических лицот 15 000 до 30 000 рублей .

Рекомендации

Необходимо разместить на сайте КПК или обеспечить доступ другим образом к документу (в офисе КПК) «Политику оператора в отношении обработки персональных данных»

4. Невыполнение оператором предусмотренной законодательством РФ в области персональных данныхобязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, — влечет предупреждение или наложение административного штрафа

  • на граждан в размере от 1 000 до 2 000 рублей ;
  • на должностных лицот 4 000 до 6 000 рублей ;
  • на индивидуальных предпринимателейот 10 000 до 15 000 рублей ;
  • на юридических лицот 20 000 до 40 000 рублей .

Рекомендации

Оператор должен выполнять обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных. Разработать соответствующее положение по предоставлению информации на заявления от субъектов персональных данных, касающиеся обработки их персональных данных, шаблоны форм ответов, журнал учета обращений от граждан (субъектов персональных данных).

5. Невыполнение оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, — влечет предупреждение или наложение административного штрафа

  • на граждан в размере от 1 000 до 2 000 рублей ;
  • на должностных лицот 4 000 до 10 000 рублей ;
  • на индивидуальных предпринимателейот 10 000 до 20 000 рублей ;
  • на юридических лицот 25 000 до 45 000 рублей .

Рекомендации

Оператору необходимо в срок выполнять требования субъекта персональных данных / (его представителя либо уполномоченного органа по защите прав субъектов персональных данных) об уточнении его персональных данных, их блокировки или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Разработать соответствующее положение с учетом сроков по выполнению требованния субъекта персональных данных в части их блокировки или уничтожении (в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными), при обработке их персональных данных.

6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния — влечет наложение административного штрафа

  • на граждан в размере от 700 до 2 000 рублей ;
  • на должностных лицот 4 000 до 10 000 рублей ;
  • на индивидуальных предпринимателейот 10 000 до 20 000 рублей ;
  • на юридических лицот 25 000 тысяч до 50 000 рублей .

Рекомендации

Оператор при обработке персональных данных без использования средств автоматизации обязан соблюдать условия, обеспечивающие сохранность персональных данных при хранении материальных носителей ПДн и исключающих несанкционированный к ним доступ (для предотвращения их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных). Разработать соответствующее положение об обработке ПДн без использования средств автоматизации, приказ о допуске сотрудников к обработке персональных данных не автоматизированным способом, приказ о местах хранения материальных носителей содержащих ПДн и назначение ответственных за их хранение, обеспечить места хранения (режим ограниченного доступа в эти помещения, в не рабочее время сдача на охранно пожарную сигнализацию (ОПС), запираемые хранилища (бух. шкафы) для хранения в них материальных носителей содержащих ПДн).

7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФв области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных — влечет предупреждение или наложение административного штрафа

  • на должностных лиц в размере от 3 000 до 6 000 рублей .

Рекомендации

Оператор (государственный или муниципальный органом), обязан выполнять требования по обезличиванию персональных данных, в КПК или коммерческих организациях — это требование не обязательно и выполняется по мере возможности или по необходимости. Необходимо разработать положение об обезличивании ПДн (с отметкой в левом верхнем углу титульного листа «не используется») и приложить пояснительную записку о невозможности данной процедурой в связи с отсутствием технической возможности (особенность обработки в БД).

Вывод

Необходимо выполнить все рекомендации, что бы у Роскомнадзора не было оснований привлечь кооператив к ответственности по новым составам правонарушений. Не стоит ждать, что повышение штрафов, кардинальным образом изменит отношение к обработке и защите ПДн. Но это заставит КПК и коммерческие организации более внимательно относится к вопросам обработке ПДн. Повышение штрафов, приведет к увеличению количества проверок со стороны РКН, новые составы правонарушений увеличат количество организаций попавших под административную ответственность.

Популярную статью 19.7 КоАП РФ о привлечении юридических лиц к ответственности за не предоставление или несвоевременное представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор) , таких сведений (информации) в неполном объеме или в искаженном виде (штраф — 3-5 тысяч рублей) сменит статья 13.11 КоАП РФ с семью составами правонарушений и вполне внушительными штрафами от 15 до 75 тысяч рублей.

Ужесточили ответственность за нарушение законодательства о персональных данных

С 1 июля 2017 года вступили в силу поправки в Кодекс РФ об административных правонарушениях, внесенные Федеральным законом от 07.02.2017 № 13-ФЗ, ужесточающие ответственность за нарушение порядка обработки персональных данных. Рассмотрим суть новшеств.

Размер штрафа

Целью поправок является дифференциация составов административных правонарушений в области персональных данных с учетом ущерба, причиненного нарушением. Кроме того, полномочия по возбуждению дел данной категории предоставлены органам Роскомнадзора, в то время как ранее такими полномочиями обладала только прокуратура.

При этом законом не предусмотрено возложение на операторов персональных данных новых обязанностей и/или изменение содержания существующих обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных.

Суть поправок заключается в ужесточении ответственности за нарушение порядка обращения персональных данных.

С 1 июля 2017 года размер максимального штрафа для юридических лиц вырос с 10 000 до 75 000 руб. При этом вырос и порог минимально возможного штрафа для юридических лиц с 5000 до 15 000 руб. Как отмечается в пояснительной записке к законопроекту «К проекту Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», «составы коррелируются с типовыми нарушениями, которые чаще всего выявляются Роскомнадзором в ходе контрольно-надзорной деятельности».

Самый высокий штраф предусмотрен за обработку персональных данных без письменного согласия субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, либо в случае, если обработка персональных данных происходит с нарушением установленных законодательством РФ требований к составу сведений, включаемых в письменное согласие субъекта персональных данных на обработку его персональных данных.

Помимо возросшего штрафа, новая редакция ст. 13.11 КоАП РФ теперь предусматривает семь различных составов административного правонарушения в области защиты персональных данных вместо одного общего состава, предусмотренного предыдущей редакцией.

Интересно отметить, что на этапе рассмотрения законопроекта разработчиками предлагалось восемь составов административного правонарушения в данной сфере, однако один из них – обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости, – был в последующем исключен.

За что штрафуют?

Новая редакция ст. 13.11 КоАП РФ, по сути, не только пересматривает размер штрафа (он, безусловно, стал более существенным), но и вводит новую систему составов административных правонарушений.

До 1 июля 2017 года ст. 13.11 КоАП РФ предусматривала ответственность даже за незначительное правонарушение, не повлекшее существенных негативных последствий. Таковыми могли являться, например, нарушения, связанные с хранением материальных носителей, содержащих персональные данные (п. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 № 687).

Теперь же к административной ответственности оператора привлекут только в случае наступления неблагоприятных последствий, связанных с невыполнением условий, обеспечивающих сохранность данных при хранении материальных носителей. В качестве примеров неблагоприятных последствий ч. 6 ст. 13.11 КоАП РФ называет неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение.

В таблице указаны новые составы административных правонарушений, а также примеры норм законодательства, нарушение которых влечет административную ответственность по ст. 13.11 КоАП РФ.

Рекомендации для бизнеса

В связи с вышеизложенным еще раз напомним об основных правилах обращения с персональными данными.

Персональные данные – это любая информация, прямо или косвенно относящаяся к определенному физическому лицу, а их обработка – это любое действие, совершаемое с персональными данными.

Обработка персональных данных всегда должна ограничиваться достижением конкретных, заранее определенных и законных целей. При обработке персональных данных нужно обеспечить точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

При сборе персональных данных, в том числе посредством сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Ужесточение ответственности за нарушения в области персональных данных

С 1 июля 2017 г. вступают в силу поправки, внесенные в ст. 13.11 Кодекса РФ об административных правонарушениях (далее — КоАП РФ), которая устанавливает наказания за нарушение порядка сбора, хранения, использования или распространения персональных данных граждан.

В статье мы расскажем о том, какие поправки были внесены в данную норму и как изменится размер штрафов.

ЧТО ЕСТЬ СЕЙЧАС?

Со дня принятия КоАП РФ — с 30 декабря 2001 г. — и до 7 февраля 2017 г. формулировка его ст. 13.11 не изменялась. За это время только лишь Федеральным законом от 22.06.2007 № 116-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части изменения способа выражения денежного взыскания, налагаемого за административное правонарушение» (далее — Федеральный закон № 116-ФЗ) были увеличены размеры штрафов за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных граждан.

Таким образом, за любое нарушение, которое подпадало под санкции ст. 13.11 КоАП РФ, с момента вступления в силу Федерального закона № 116-ФЗ наказание было одинаковое: штраф для граждан в размере от 300 до 500 руб.; для должностных лиц — от 500 до 1000 руб.; для юридических лиц — от 5000 до 10 000 руб.

Зачем нужны изменения?

Как сказано в пояснительной записке к проекту федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», он разработан по результатам правоприменительной практики Роскомнадзора. По информации ведомства, отмечена тенденция роста количества жалоб и обращений субъектов персональных данных (граждан) на незаконные действия операторов, осуществляющих обработку персональных данных с нарушением законодательства Российской Федерации в области персональных данных и, соответственно, количества выявленных нарушений.

В пояснительной записке отмечается, что предлагаемые законопроектом составы правонарушений соответствуют тем, которые Роскомнадзор чаще всего выявляет в ходе проверок.

При этом разработчики законопроекта замечают, что штраф за нарушение законодательства в области персональных данных в европейских странах по размеру значительно превышает российский. Так, в Германии за соответствующее нарушение предусмотрены административный штраф в размере до 300 000 евро и конфискация незаконно полученной прибыли.

ЧТО ИЗМЕНИТСЯ?

Федеральным законом от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее — Федеральный закон № 13-ФЗ), вступающим в силу с 1 июля 2017 г., вводится новая редакция статьи 13.11 КоАП РФ, в которой вместо одного состава правонарушений в области персональных данных появится семь.

При этом составы административных правонарушений в области персональных данных конкретизированы, а также введены дополнительные составы, предусматривающие ответственность за невыполнение оператором конкретных обязанностей, установленных законом. Например:

• за обработку персональных данных без письменного согласия субъекта этих данных в случаях, когда такое согласие должно быть получено;

• невыполнение оператором обязанности по обеспечению неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных;

• невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных;

• невыполнение оператором требования субъекта персональных данных о блокировании или уничтожении персональных данных.

В новой редакции ст. 13.11 КоАП РФ существенно увеличены размеры административных штрафов. Теперь в зависимости от вида совершенного правонарушения они составляют: для граждан — от 700 до 5000 руб.; для должностных лиц — от 3000 до 20 000 руб.; для индивидуальных предпринимателей — от 5000 до 20 000 руб.; для юридических лиц — от 15 000 до 75 000 руб.

Максимальные размеры штрафов для всех категорий нарушителей предусмотрены за обработку персональных данных без письменного согласия их субъекта либо обработку персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие. Физическое лицо может быть оштрафовано на сумму от 3000 до 5000 руб., должностное лицо — от 10 000 до 20 000 руб., а юридическое лицо — от 15 000 до 75 000 руб.

По некоторым составам преступлений предусмотрены предупреждения: для граждан — по ч. 1, 3, 4 и 5 ст. 13.11 КоАП РФ; для должностных лиц — по ч. 7 ст. 13.11 КоАП РФ.

Полномочия по возбуждению дел об административных правонарушениях в области персональных данных переданы от прокуроров должностным лицам Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор):

• пунктом 2 ст. 1 Федерального закона № 13-ФЗ внесены изменения в п. 58 ч. 2 ст. 28.3 КоАП РФ: в перечень статей, которыми предусмотрены административные правонарушения, по которым протоколы вправе составлять должностные лица Роскомнадзора, введена статья 13.11 КоАП РФ;

• соответственно, пунктом 3 ст. 1 Федерального закона № 13-ФЗ ст. 13.11 КоАП РФ исключена из ч. 1 ст. 28.4 КоАП РФ. Тем самым полномочия по возбуждению дел об административных правонарушениях в области персональных данных исключены из полномочий прокуроров.

М. В. Журавлева,
методист по кадровому учету

Материал публикуется частично. Полностью его можно прочитать в журнале «Кадровые решения» № 3, 2017.

Нарушения по персональным данным, за которые с 1 июля 2017 новые штрафы

В июле вступает в силу новая редакция ст. 13.11 КоАП РФ. Она предусматривает штрафы за нарушение Закона о персональных данных. Только теперь вместо одного состава нарушения с максимальным штрафом на организацию 10 тыс. рублей эта статья содержит семь составов нарушений с максимальным штрафом 75 тыс. рублей. Поэтому стоит понять, какие нарушения под какие части обновленной статьи подпадают. Узнать это поможет данная Актуальная тема. Она создана на основе анализа более 100 судебных решений по ст. 13.11 КоАП РФ, часть которых представлена в качестве примеров нарушений по новым частям этой статьи.

Использование номера телефона для рекламной рассылки

1) обработку персональных данных в случаях, не предусмотренных законодательством;

2) обработку, несовместимую с целями их сбора.

Санкции: предупреждение или штраф:

  • на граждан – от 1 до 3 тыс. рублей;
  • на должностных лиц – от 5 до 10 тыс. рублей;
  • на юридических лиц – от 30 до 50 тыс. рублей

1. К обработке персональных данных в случаях, не предусмотренных законодательством, относятся, например, следующие ситуации.

1.1. Требование об указании сведений о родственниках в заявлении на получение кредита

Банк включил в заявление-анкету на предоставление кредита графы для указания персональных данных родственников: родителей, мужа/жены и совершеннолетних детей. С точки зрения банка он имеет право запрашивать у заемщика эти сведения, так как кредитные обязательства родственников могут повлиять на расчет кредита для него.

Однако это нарушает Закон № 152-ФЗ.

Родственники заемщика ни клиентами, ни заемщиками банка не являются, и кредитный договор с ними не заключается. Согласия на передачу и обработку своих персональных данных они банку также не давали. Поэтому возложение банком на заемщика обязанности указать информацию о них в заявлении-анкете является прямым нарушением ст. 6 Закона № 152-ФЗ, – решили Роскомнадзор и судьи (Постановление Арбитражного суда Уральского округа от 22.12.2016 № Ф09-10782/16, Постановление Самарского областного суда от 08.08.2016 № 4а-847/2016).

1.2. Предоставление персональных сведений о гражданах по адвокатскому запросу

Адвокат обратился в отдел УФМС с адвокатским запросом о выдаче адресной справки на гражданина для предоставления мировому судье. Чиновники отказали в этом, сославшись на Закон «О персональных данных».

Адвокат пожаловался на них в суд, но судьи решили, что миграционная служба была права, поскольку предоставление информации о персональных данных субъекта по адвокатскому запросу федеральным законодательством не предусмотрено.

Закрепленное же в Законе об адвокатуре право адвоката собирать сведения, необходимые для оказания юридической помощи, и обязанность соответствующего органа предоставить такую информацию, не распространяются на установленные законом конфиденциальные сведения (Определение Верховного Суда РФ от 12.05.2010 № 49-В10-5).

2. К обработке персданных, несовместимой с целями их сбора, относятся, например, следующие ситуации.

2.1. Использование телефонного номера для рассылки рекламных сообщений

Гражданин при оформлении кредита в банке подписал согласие на обработку своих персональных данных. В числе этих данных был указан номер мобильного телефона. Банк стал присылать на этот номер сообщения рекламного характера. В них говорилось о предварительном одобрении кредита на определенную сумму по определенной ставке и предлагалось получить его в отделении.

Прокуратура и суд признали данную рассылку обработкой персональных данных, несовместимой с целями сбора этих данных. Гражданин предоставил их банку в целях оформления кредита, а не для получения на свой номер телефона рекламных рассылок. Направление данных СМС-сообщений с предложением взять у банка кредит не имеет отношения к ранее заключенному кредитному договору с банком. Следовательно, направление банком этих сообщений являлось незаконным (Апелляционное определение Новосибирского областного суда от 02.04.2015 № 33-2662/2015).

2.2. Использование личных данных гражданина из одного дела для другого дела

Адвокат обратился в районный суд для ознакомлении с материалами гражданского дела о взыскании ущерба от затопления квартиры. Сфотографировал материалы, но полученную информацию, в том числе персональные данные гражданина-истца – паспортные данные, данные о месте работы и занимаемой должности, сведения о личной жизни и состоянии здоровья, – использовал не в интересах коллегии адвокатов, а в личных интересах по уголовному делу частного обвинения.

Суд решил, что адвокат нарушил Закон № 152-ФЗ, так как использовал полученные персданные на в тех целях, в которых он их получил (Постановление Тюменского областного суда от 20.07.2011 № 7-3-307/2011).

Можно привести пример, когда подозреваемое нарушение на самом деле не имеет места: компания хранит персональные данные уволенных сотрудников: Ф.И.О., пол, дату рождения, паспортные данные, адрес регистрации).

Тот факт, что люди уже уволены и не находятся с компанией в каких-либо договорных отношения, не означает, что она не имеет права хранить (то есть обрабатывать) их персональные данные. Ведь в силу ст. 17 Закона об архивном деле организации и ИП обязаны обеспечивать сохранность архивных документов, в том числе документов по личному составу, в течение сроков их хранения, установленных федеральными законами и иными нормативными правовыми актами. Поэтому в данной ситуации компания не нарушает Закон о персональных данных (Постановление Ярославского областного суда от 15.02.2013 № 4А-21/2013).

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС «Консультант Плюс»

Отсутствие доступа к политике сайта по работе с личными данными

Санкции: предупреждение или штраф:

  • на граждан – от 700 до 1,5 тыс. рублей;
  • на должностных лиц – от 3 до 6 тыс. рублей;
  • на индивидуальных предпринимателей – от 5 до 10 тыс. рублей;
  • на юридических лиц – от 15 до 30 тыс. рублей

К случаям невыполнения оператором названной обязанности относится, например, следующий.

К форме обратной связи не прикреплена ссылка на политику обработки персональных данных

На сайте организации размещена форма обратной связи, состоящая из трех элементов: «Ваше имя», «Тема сообщения», «Сообщение». Компания заблуждалась, полагая, что эти сведения не подпадают под персональные данные. Подпадают. Поэтому организация должна была опубликовать и обеспечить неограниченный доступ к документу, определяющему политику организации в отношении обработки персональных данных, а также к сведениям о реализуемых требованиях к защите персональных данных (Постановление Тамбовского областного суда от 04.10.2016 № 4А-288/2016).

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС «Консультант Плюс»

Отказ сообщить гражданину о правилах обработки его данных

Санкции: предупреждение или штраф:

  • на граждан – от 1 до 2 тыс. рублей;
  • на должностных лиц – от 4 до 6 тыс. рублей;
  • на индивидуальных предпринимателей – от 10 до 5 тыс. рублей;
  • на юридических лиц – от 20 до 40 тыс. рублей.

Под данный состав подпадает нарушение ч. 7 ст. 14 Закона № 152-ФЗ, согласно которой субъект персональных данных имеет право на получение следующей информации относительно обработки своих данных:

  • подтверждение факта обработки;
  • правовые основания и цели обработки;
  • сроки обработки и хранения данных;
  • цели и применяемые оператором способы обработки;
  • наименование и место нахождения оператора;
  • лица, которые имеют доступ к данным;
  • обрабатываемые персональные данные, источник их получения;
  • порядок осуществления гражданином прав, предусмотренных Законом № 152-ФЗ;
  • информация о состоявшейся или предполагаемой трансграничной передаче данных;
  • наименование или Ф.И.О. и адрес лица, осуществляющего обработку данных по поручению оператора;
  • иные сведения, предусмотренные законом или другими федеральными законами.

Практики привлечения к ответственности за данное нарушение в рамках прежней редакции ст. 13.11 КоАП РФ не имеется.

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС «Консультант Плюс»

Отказ уточнить или удалить персональные данные

Санкции: предупреждение или штраф:

  • на граждан – от 1 до 2 тыс. рублей;
  • на должностных лиц – от 4 до 10 тыс. рублей;
  • на индивидуальных предпринимателей, на должностных лиц – от 4 до 6 тыс. рублей;
  • на юридических лиц – от 25 до 45 тыс. рублей.

К случаям невыполнения оператором названного требования относится, например, следующий.

Отказ закрыть доступ к интернет-базе с личными данными предпринимателей

В Управление Роскомнадзора поступило обращение индивидуального предпринимателя. Он жаловался на компанию, которая предоставляла любым юридическим и физическим лицам платные услуги по формированию для них выписок из ЕГРЮЛ и ЕГРИП. Выписки содержали персональные данные граждан – индивидуальных предпринимателей: Ф.И.О., дату и место рождения, гражданство, пол, регистрационные данные.

Роскомнадзор счел, что компания фактически является оператором, обрабатывающим персональные данные граждан без их на то согласия, и потребовал прекратить эту деятельность. Суд поддержал чиновников (Апелляционное определение Омского областного суда от 17.09.2014 № 33-5967/2014).

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС «Консультант Плюс»

Необеспечение сохранности данных, повлекшее доступ к ним

  • на граждан – от 700 до 2 тыс. рублей;
  • на должностных лиц – от 4 до 10 тыс. рублей;
  • на индивидуальных предпринимателей – от 10 до 20 тыс. рублей;
  • на юридических лиц – от 25 до 50 тыс. рублей

Данный новый состав нарушения ослабил ответственность за несохранность данных. Дело в том, что он предусматривает наложение санкций только в том случае, когда необеспечение сохранности привело к каким-либо негативным последствиям: неправомерному или случайному доступу к персональным данным. В то время как ранее штраф мог налагаться за сам факт необеспечения сохранности. Пример такого случая ниже.

Анкеты с персональными данными хранятся в картонных коробках в шкафу без замка

Коллекторское бюро было уличено в том, что анкеты заемщиков (должников), содержащие персональные данные, и использование которых уже было завершено, в установленном порядке не были уничтожены. При этом они хранились в картонных коробках в шкафу без запирающего устройства.

За отсутствие актов об уничтожении использованных персональных данных и за то, что агентство не обеспечило ограничение доступа третьих лиц к указанным данным, был назначен штраф (Постановление Псковского областного суда от 14.07.2016 N 4А-103/2016).

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС «Консультант Плюс»

Оформление пропуска по паспорту – только с согласия его владельца

В соответствии с ч. 1 ст. 11 Закона «О персональных данных» обработка биометрических персональных данных в подобных случаях может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.

Исключением являются случаи, предусмотренные ч. 2 данной статьи: связанные с осуществлением правосудия и исполнением судебных актов, предусмотренные законодательством об обороне, безопасности, противодействии терроризму, транспортной безопасности, противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательстве, о порядке выезда из страны и въезда в нее.

В иных случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Закона «О персональных данных» не регулируются. Соответственно, обработка сведений в данных случаях осуществляется согласно общим требованиям, установленным данным законом.

Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность.

РАЗЪЯСНЕНИЯ Роскомнадзора
«О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»

Документ включен в СПС «Консультант Плюс»

Смотрите еще:

  • Раздел экологии объектом изучения которого является биосфера земли называется экология (самостоятельная работа) ТЕСТЫ ДЛЯ САМОКОНТРОЛЯ Социально-экономические аспекты экологии Тема: Основы экономики природопользования 1. Определение экологической, здравоохранительной, социальной, религиознокультовой и иной […]
  • Мировой суд участок 3 чебоксары Судебный участок 3 Ленинского района Ижевска Жалобы на решения мирового судьи судебного участка №3 рассматривает Ленинский районный суд г. Ижевска. Прием граждан осуществляется ежедневно в течении рабочего дня сотрудниками канцелярии […]
  • Регистрация ооо с упрощенкой Регистрация ооо с упрощенкой При УСН юридическое лицо освобождается от уплаты НДС, налога на прибыль и налога на имущество организаций. Остальные налоги уплачиваются в соответствии с законодательством о налогах и сборах. Поможем открыть […]
  • Какого размера должен быть аванс Аванс - это сколько процентов от зарплаты? Актуально на: 23 января 2018 г. Первая часть заработной платы за месяц традиционно называется авансом. Но аванс – это какая часть зарплаты? Расскажем в нашей консультации, сколько процентов от […]
  • Михайлов стас алименты 90% билетов на концерты Стаса Михайлова покупаются на алименты Рейтинг — суммарное количество голосов за созданные тобой открытки. Твой рейтинг 0 . Лимит в сутки на создание открыток зависит от твоего рейтинга. При рейтинге: меньше -10: […]
  • Калькулятор расчет пени земельного налога Онлайн-калькулятор по расчету пеней по налогам на 2017 г. Калькулятор пеней по налогам 2017 года поможет правильно рассчитать пени по своевременно не оплаченным налогам. Алгоритм онлайн-программы включает в себя формулу, утвержденную […]
admin

Обсуждение закрыто.