prestima.ru

Ответственность оператора персональных данных

Ответственность оператора персональных данных - картинка 1
Предлагаем ознакомиться со статьей на тему: "Ответственность оператора персональных данных". На странице собрана информация с авторитетных источников и сделаны выводы. На все сопуствующие вопросы вам ответит дежурный консультант.

Ответственность за нарушение закона о персональных данных

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Таблица 1. «Виды ответственности за нарушение закона о персональных данных»

Вид ответственности

Нарушение

Санкция

Норма

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации

Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.

Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных

Предупреждение или административный штраф:

Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных

Предупреждение или административный штраф:

Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

Предупреждение или административный штраф:

Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)

Предупреждение или административный штраф:

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов

Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.

Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ

Ш траф до 200 тыс. руб., либо обязательные работы на срок до 360 ч асов , либо исправительны е работы на срок до одного года, либо принудительные работы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет или без такового ) , либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет )

То же деяние, совершенное с использованием служебного положения

Ш траф от 100 тыс. до 300 тыс. руб. , либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет или без такового ) , либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет )

Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий

Ш траф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительны е работ ы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет или без такового ), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет )

Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан

Ш траф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование

Ш траф до 200 тыс. руб. , либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительны е работ ы на срок до двух лет, либо лишение свободы на тот же срок

Причинение лицу убытков в результате нарушения правил обработки его персональных данных.

Под убытками при этом понимаются:

Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных

Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)

Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей

Иные нарушения в области персональных данных при их обработке

Ответственность за нарушение закона о защите персональных данных

В ходе аудита ИТ-инфраструктуры нередко обнаруживаются нарушения в сфере закона о защите персональных данных (152-ФЗ), за которые предусмотрена ответственности. Мы предлагаем комплекс мер по защите персональных данных во избежание наступления ответственности за нарушение 152-ФЗ «О персональных данных».

Законодательство регламентирует ответственность оператора персональных данных за их несанкционированную утечку или разглашение. Современные реалии таковы, что обработка и сбор информации переведены в электронную плоскость. Каждая организация, компания, промышленное предприятие располагает базами с личными данными работников, клиентов, партнеров, покупателей.

Ответственность за нарушение 152-ФЗ о защите персональных данных бывает:

  • гражданской – на нарушителя закона налагаются имущественные санкции;
  • административной – выплата штрафа, приостановление деятельности, запрет занимать определенные должности;
  • уголовной – лишение свободы на срок, определенный законодательством по конкретному случаю;
  • дисциплинарной – налагается на работника в виде замечания, выговора или увольнения.

Нарушение ФЗ-152 предполагает ответственность по КоАП (Кодекс об административных правонарушениях). Зачастую отсутствие у оператора регламента предоставления информации влечет наложение штрафных санкций. Под этим подразумевается несвоевременное предоставление или предоставление заведомо недостоверных данных гражданам. Согласно законодательству, налагается штраф от 1000 до 3000 рублей.

Ответственность за нарушение ФЗ-152 о персональных данных по КоАП наступает за нарушение действующего регламента по сбору, обработке и защите информации. То есть несоблюдение определенных алгоритмов приводит к штрафным санкциям. В группе риска находятся частные предприниматели, интернет-магазины и порталы.

Уголовный кодекс предусматривает наказание за неправомерный доступ к компьютерной информации, охраняемой законом, которая повлекла нарушение неприкосновенности частной жизни. Здесь подразумевается ответственность за нарушение ФЗ-152, которая лежит в плоскости незаконного сбора и распространения информации о частной жизни граждан. В этом случае уголовный кодекс предусматривает следующие виды наказания:

  • для физических лиц – штраф до 200 000 рублей или лишение свободы сроком до двух лет;
  • для должностных лиц – штраф от 100 000 рублей или лишение свободы до четырех лет.

Во втором случае, ответственность за нарушение требований 152-ФЗ несут граждане, имеющие доступ к компьютеру. То есть, каждый работник, включая руководство, несет ответственность за утечку информации, может заплатить штраф или сесть в тюрьму.

Что такое неправомерный доступ к компьютерной информации

Если отойти от сухих формулировок законодательных актов, то становится понятно, что все, кто связан со сбором и обработкой информации находятся в группе риска. Ответственность за нарушение закона о защите персональных данных наступает при любой утечке информации, неправильном ее сборе или несвоевременном предоставлении.

Это означает, что за взлом баз отвечает гражданин, должностное лицо, которое с ними работает. Ответственность ужесточается в зависимости от степени вреда, причиненной несанкционированным доступом к информации.

Как избежать ответственности за нарушение 152-ФЗ

Утечка персональных данных, наложение штрафных санкций – урон репутации бизнесу. В современных условиях такое происшествие спровоцирует отток клиентов. Особенно, если персональная информация была использована для незаконного оформления кредитов, участия в рекламных, предвыборных кампаниях.

Наши специалисты минимизируют риски, повысят уровень безопасности информационной защиты после проведения аудита ИТ-инфраструктуры. Аудит позволяет выявить:

  • уязвимые места в системе (выявляются при мониторинге программного обеспечения);
  • проблемы действующего регламента сбора и обработки информации (или необходимость его создания, если он отсутствует);
  • возможности по оптимизации, модернизации оборудования;
  • недостаточный уровень компетенции сотрудников по пресечению попыток несанкционированного доступа к персональной информации.

Наши специалисты помогут избежать ответственности за нарушение 152-ФЗ, минимизировать репутационные риски.

Об обработке персональных данных

Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?

Персональные данные – это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.

Обработка персональных данных – любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.

К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.

При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.

Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.

Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.

Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные. Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому управляющие организации являются операторами по обработке персональных данных.

Роскомнадзор об обработке персональных данных

С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?

Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.

Об операторе по обработке персональных данных

Кто является оператором персональных данных?

В соответствии с законом оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.

Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.

Кого должна уведомить УО о том, что она является оператором персональных данных?

Как указано в статье 22 Федерального закона N 152-ФЗ, оператор персональных данных до начала своей деятельности по обработке ПД должен направить уведомление в Роскомнадзор.

В части 2 этой же статьи есть перечень случаев, когда такое уведомление не требуется. Например, уведомление не нужно, если персональные данные обрабатываются в соответствии с главой 14 Трудового кодекса РФ.

Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.

Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ.

Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.

Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.

Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили, вероятнее всего попадут в план проверок.

Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ.

О согласии на обработку персональных данных

Когда нужно заручиться согласием на обработку персональных данных?

Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.

Так, например, части 15, 16 статьи 155 ЖК РФ дают управляющим организациям возможность привлекать платёжных агентов для расчёта за пользование услугами собственниками жилья. При этом согласия субъекта на передачу персональных данных не требуется. Это законное основание не собирать согласие на обработку.

В ряде случаев необходимо получение согласия в письменной форме – в отношении специальных категорий персональных данных. Формат письменной формы установлен статьёй 9 закона «О персональных данных». Например, письменным согласием нужно заручиться для обработки биометрических персональных данных (ч. 1 ст. 11 N 152-ФЗ).

Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?

Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.

Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.

Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?

Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в отсутствии иных законных оснований на обработку ПД не допускается.

Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.

Об ответственности за нарушение законодательства о персональных данных

Какие штрафы существуют и кто их выписывает?

До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ. Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.

Механизм был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.

С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.

Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, – 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

  • штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
  • либо обязательными работами на срок от 120 до 180 часов;
  • либо исправительными работами на срок до одного года;
  • либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

  • штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
  • либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • либо арестом на срок от четырех до шести месяцев.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Практическая ситуация

В коллективном договоре закреплено, что одним из видов поощрения работников является размещение фотографии работника на Доске почета. Работник обратился к работодателю с требованием не размещать его фотографию для всеобщего обозрения. Какие риски несет работодатель, если разместит фотографию без согласия работника?

Согласно Закону о персональных данных фотографию работника можно отнести к персональным данным. Доска почета, размещенная публично, является общедоступным источником персональных данных. Статья 8 Закона о персональных данных устанавливает, что в общедоступные источники персональных данных сведения о персональных данных могут включаться только с письменного согласия субъекта персональных данных.

То есть работодатель должен перед размещением фотографии на доске почета запросить письменное разрешение работника. Если фотография работника размещена без его согласия, работодатель может быть привлечен к административной ответственности с наложением штрафа до 75 тыс. руб., при этом работник может также потребовать компенсации морального вреда за нарушение его прав.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа (ст. 13.14 КоАП РФ) (за исключением случаев, если такое разглашение влечет уголовную ответственность):

  • на граждан — от 500 до 1 000 руб.;
  • на должностных лиц — от 4 000 до 5 000 руб.

С работником, допущенным к обработке персональных данных, подписывается обязательство о неразглашении персональных данных.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Персональные данные: что грозит за нарушение закона

Ответственность оператора персональных данных - картинка 7

Работодатель, принимая сотрудника на работу, запрашивает у него определенные сведения. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и какая ответственность за их несоблюдение ждет нарушителей.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст. 23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Какие данные являются персональными

Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

К персональным данным могут быть отнесены:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Кстати, сведения о заработной плате относятся к персональным данным.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Можно ли номер телефона отнести к персональным данным?

Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств. Из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Поэтому номер телефона сам по себе не относится к персональным данным.

А вот фотография относится к биометрическим персональным данным. Так как это изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (См. Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).

Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Персональные данные: обязанности и ответственность оператора

С 01.07.2017 вступают в силу изменения в ст. 13.11 Кодекса РФ об административных правонарушениях, в соответствии с которыми расширяется перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных. Кроме того, существенно вырастают размеры штрафов. Если предусмотренный до настоящего времени штраф для юридических лиц не мог превышать 10 тыс. руб., то сейчас максимальный размер штрафа для них варьируется от 30 тыс. до 75 тыс. руб.

Законодательные изменения

Относительно недавно в данной сфере появилось еще одно важное нововведение – Федеральным законом от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» обязанности оператора персональных данных были дополнены требованиями к их «локализации», то есть обязанностью оператора обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием по общему правилу баз данных, находящихся на территории России (ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Одновременно тем же Законом № 242-ФЗ в Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» была введена ст. 15.5, устанавливающая возможность на основании судебного акта ограничить доступ к информации в сети Интернет, обрабатываемой с нарушением законодательства РФ в области персональных данных. Тем самым нарушение законодательства в области персональных данных пополнило перечень оснований для блокировки сайтов, организуемой Роскомнадзором и приводимой в жизнь операторами связи.

Эти законодательные изменения являются явными сигналами к тому, что государство в последнее время достаточно внимательно относится к выполнению требований по защите персональных данных.

Учитывая возрастающие риски ответственности за нарушение законодательства о персональных данных и достаточно широкую сферу применения Закона № 152-ФЗ, всем, кто собирает или обрабатывает информацию о гражданах, следует еще раз обратить внимание на ключевые положения законодательства в этой сфере.

Лица, которые обрабатывают персональные данные (при этом обработкой считаются любые действия с персональными данными), определяют цели и порядок их обработки, признаются операторами персональных данных (ч. 2 ст. 3 Закона № 152-ФЗ), деятельность которых по общему правилу должна соответствовать Закону № 152-ФЗ. Исключениями являются, например, случаи обработки персональных данных для личных и семейных нужд, если не нарушаются права субъектов персональных данных, а также случаи обработки сведений, составляющих государственную тайну (п. 2 ст. 1 Закона № 152-ФЗ).

Таким образом, практически любой хозяйствующий субъект так или иначе сталкивается с персональными данными.

Условия и принципы

Вопросы обработки персональных данных особенно актуальны в свете растущего числа персональных данных, которые собираются через сеть Интернет. Это связано в том числе с ростом рынка электронной коммерции, а также со стремлением большинства компаний обеспечить присутствие в сети Интернет. Использование Интернета для коммуникации с потребителями, как правило, подразумевает получение их персональных данных для целей организации доставки товаров или оказания услуг, распространения таргетированной рекламы (то есть сообщений, демонстрируемых строго определенной выборке пользователей), публикации отзывов и так далее. Очевидно, что такие санкции за нарушение законодательства, как блокировки интернет-сайтов, создают серьезные риски для организации, активно использующей Интернет в повседневной хозяйственной деятельности.

В первую очередь, следует помнить, что обработка персональных данных допускается при наличии хотя бы одного из условий, предусмотренных в ч. 1 ст. 6 Закона № 152-ФЗ. Наиболее типичными условиями являются: наличие согласия субъекта персональных данных на их обработку (п. 1); обработка необходима для исполнения договора, стороной/выгодоприобретателем в котором является субъект персональных данных (п. 5); а также обработка персональных данных, сделанных общедоступными их субъектом (п. 10).

При этом операторам важно учитывать содержащиеся в ст. 5 Закона № 152-ФЗ принципы обработки, среди которых надо отдельно выделить следующие:

–соответствие обрабатываемых персональных данных, их содержания и объема целям обработки (ч. 4, 5 ст. 5);

– хранение персональных данных не дольше срока, отвечающего целям обработки персональных данных (ч. 7 ст. 5).

Следует обратить внимание, что такие принципы не являются исключительно декларативными. Их нарушение само по себе будет основанием для привлечения к ответственности. Более того, в новой редакции ст. 13.11 КоАП РФ (вступает в силу с 01.07.2017) ч. 1 посвящена случаям нарушений, когда имеет место обработка персональных данных без согласия субъекта или обработка не в соответствии с заявленными целями сбора персональных данных. Для юридических лиц предусмотрен штраф до 50 тыс. руб.

В этом смысле показательным является дело № А53-13327/2013, в рамках рассмотрения которого ФАС СКО в Постановлении от 21.04.2014 пришел к выводу, что «для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом документа, удостоверяющего личность, в котором содержатся все необходимые сведения». В то же время суд счел, что хранение на рабочем месте копий паспорта, страниц военного билета, свидетельства о заключении брака, свидетельства о рождении ребенка превышает объем обрабатываемых персональных данных работника, является обработкой избыточных персональных данных, по сравнению с теми, которые определены к заявленным целям их обработки, что является нарушением ч. 5 ст. 5 Закона № 152-ФЗ.

Вышеуказанные принципы могут также приниматься во внимание и в потребительских спорах. Так, в Постановлении Тринадцатого арбитражного апелляционного суда от 03.06.2014 по делу № А56-56137/2013 суд пришел к выводу, что бланк согласия, предложенный потребителю, содержит избыточные персональные данные (такие, как семейное и имущественное положение и т. д.), и признал правомерным привлечение медицинской организации к ответственности по ч. 1 ст. 14.4 КоАП РФ за отказ в предоставлении услуг в нарушение лицензионных требований.

Обязанности оператора

Одной из ключевых обязанностей оператора, которой посвящена отдельная ст. 7 Закона № 152-ФЗ, является обязанность обеспечить конфиденциальность персональных данных – запрет раскрывать персональные данные третьим лицам без согласия субъекта. Однако в целом обязанности оператора можно условно разделить на юридические (то есть выражающиеся в совершении юридически значимых действий, принятии документов и т. д.) и на организационно-технические меры, которые имеют своей целью защиту персональных данных гражданина от разглашения.

К юридическим мерам относятся:

1. Получение согласия субъекта персональных данных (когда иные условия их обработки отсутствуют) в форме, обеспечивающей возможность доказать факт получения согласия (п. 1 ст. 9 Закона № 152-ФЗ), либо в определенных законом случаях в письменной форме. Когда речь идет о передаче данных в страну, не обеспечивающую адекватной защиты персональных данных (подп. 1 п. 4 ст. 12 Закона № 152-ФЗ), когда обрабатываются биометрические данные для целей установления личности (п. 1 ст. 11 Закона № 152-ФЗ) или когда имеет место обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (подп. 1 п. 2 ст. 10 Закона № 152-ФЗ). Согласно вступающей в силу с 01.07.2017 ч. 2 ст. 13.11 КоАП РФ неполучение письменного согласия является самостоятельным составом правонарушения, за которое предусмотрен штраф до 75 тыс. руб. для юридических лиц.

2. Опубликование политики конфиденциальности или иного документа, определяющего его политику в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных, а также обеспечивание возможности доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети (п. 2 ст. 18.1 Закона № 152-ФЗ). С 01.07.2017 нарушение такой обязанности повлечет штраф в размере 30 тыс. руб. (ч. 3 ст. 13.11 КоАП РФ).

3. Издание локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений (подп. 2 п. 1 ст. 18.1 Закона № 152-ФЗ).

4. Уведомление Роскомнадзора до начала обработки персональных данных (ч. 1 ст. 22 Закона № 152-ФЗ). Такое уведомление не требуется в определенных случаях, предусмотренных ч. 2 ст. 22, к числу одних из самых распространенных среди которых относятся: обработка в соответствии с трудовым законодательством; обработка в связи с исполнением договора; обработка общедоступных персональных данных или персональных данных; а также обработка только Ф. И. О. субъектов; обработка для целей однократного пропуска субъекта на охраняемую территорию.

Неисполнение обязанности по уведомлению Роскомнадзора образует административное правонарушение, предусмотренное ст. 19.7 КоАП РФ (непредставление сведений в государственный орган). К ответственности по данной статье привлекаются, в частности, интернет-магазины с функцией регистрации личного кабинета покупателя (Постановление Нижегородского областного суда от 25.07.2014 по делу № 7п-371/2014).

К организационно-техническим мерам относятся:

1. Обеспечение безопасности информационных систем и необходимого уровня защищенности персональных данных (ст. 19 Закона № 152-ФЗ; Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», а также принятые в соответствии с ним приказы ФСБ России от 10.07.2014 № 378, ФСТЭК России от 18.02.2013 № 21).

2. Назначение лица, ответственного за обработку персональных данных (для операторов, являющихся юридическими лицами) (ст. 22.1 Закона № 152-ФЗ).

3. Обеспечение невозможности несанкционированного доступа к материальному носителю (кроме бумажных носителей и носителей внутри информационной системы оператора) биометрических персональных данных, а также иных требований, установленных Постановлением Правительства РФ от 06.07.2008 № 512. С 01.07.2017 нарушение такой обязанности будет признаваться самостоятельным нарушением, за которое предусмотрен штраф в размере до 50 тыс. руб. (ч. 6 ст. 13.11 КоАП РФ).

4. Обеспечение сохранения персональных данных граждан РФ на территории России (ч. 5 ст. 18 Закона № 152-ФЗ). Согласно разъяснениям Минкомсвязи России у оператора нет необходимости удалять аналогичные данные из зарубежных баз, содержащих данные россиян.

Рассматривая ответственность за нарушение законодательства в области персональных данных, надо, помимо административной, помнить и про иные виды ответственности.

Так, субъект персональных данных, права которого нарушены, вправе претендовать в суде на возмещение убытков и (или) компенсацию морального вреда. Иными словами, оператор находится под риском гражданско-правовой ответственности, которая может повлечь определенные денежные потери, связанные с нарушением.

Не следует забывать и о том, что нарушение норм Закона № 152-ФЗ может в определенных случаях быть признано составом преступления: нарушением неприкосновенности частной жизни (ст. 137 УК РФ) и / или неправомерным доступом к компьютерной информации (ст. 272 УК РФ).

Добавить комментарий

Мы в соцсетях

Подписывайтесь на наши группы в социальных сетях