Ответственность за нарушение закона о персональных данных

Введение

Уже десять лет в России действует федеральный закон от 27.07.2006 «О персональных данных» №152-ФЗ (далее — ФЗ «О персональных данных»). За это время он наделал много шума, но так и не вызвал должного отклика у российских компаний. Выполнять его требования по-прежнему довольно сложно и затратно, поэтому многие предпочитают игнорировать его требования полностью или частично.

7 февраля 2017 года Президент Российской Федерации подписал федеральный закон № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее — ФЗ №13), который вступает в силу 1 июля этого года. Закон закрепляет увеличение штрафов за нарушение законодательства о персональных данных.

https://www.youtube.com/watch?v=https:tv.youtube.com

При этом важно, что ФЗ №13 вносит изменения в статью 13.11. КоАП РФ и вместо одного нарушения устанавливает семь. Прежде чем мы перейдем к самим нарушениям, стоит обратить внимание, что изменилось название самой статьи. На данный момент оно звучит так: «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)».

Категории персональных данных

1. Общедоступные ПДн – данные, не обладающие условиями конфиденциальности, либо с согласия субъекта РФ являются доступными неограниченному кругу лиц (справочники, адресные книги и т.д.). Могут быть исключены из источников по требованию суда или самого субъекта.

2. Специальные категории ПДн – данные, касающиеся национальной и расовой принадлежности, состояния здоровья, убеждений в области философии и религии, политических взглядов. Обработка данной категории персональных данных допускается только при письменном согласии на то субъекта (доверенность не допускается), в случаях общедоступности данных и невозможности получения согласия субъекта в связи с состоянием его здоровья, а также в случаях обработки ПДН в целях оперативно-розыскной деятельности или в соответствии с требованием уголовно-исполнительного законодательства РФ

Ответственность за нарушение закона о персональных данных

3. Категории ПДн, обрабатываемые в информационных системах (ИСПДн).

4. Биометрические персональные данные– информация о физиологических особенностях человека, позволяющих установить его личность.Биометрические ПДн обрабатываются в соответствии со статьей 11 ФЗ Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и при наличии письменного согласия субъекта ПДн (за исключением случаев обеспечения правосудия, выполнения оперативно-розыскной деятельности, связанных с государственной службой, уголовно-исполнительным законодательством). К биометрическим персональным данным относятся фото- и видеоизображения субъектов.

Нарушение первое

Часть 1 статьи 13.11 КоАП РФ гласит: «Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, — влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от тридцати тысяч до пятидесяти тысяч рублей».

Условно здесь содержится два разных нарушения:

  • обработка персональных данных в случаях, не предусмотренных законодательством;
  • обработка персональных данных, несовместимая с целями сбора персональных данных.

Эти нормы отсылают нас к статьям 5 и 6 ФЗ «О персональных данных».

Статья 6 содержит исключительный перечень случаев, когда мы вообще можем обрабатывать персональные данные, а статья 5 определяет принципы обработки и содержит требование об обработке персональных данных в соответствии с установленными целями. Соответствие целям обработки всегда вызывало немало трудностей у операторов и большинство актов по результатам плановых проверок содержало в себе нарушение той или иной части статьи 5.

Это и проблемы с составом личного дела работников, и сбор излишних данных с соискателей или клиентов, и обработка персональных данных после достижения цели обработки, и еще сотни и сотни других случаев обработки с нарушением требований статьи 5. Такие нарушения всегда пользовались популярностью у контролирующего органа и после вступления в силу поправок в КоАП своей популярности не утратят.

«1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем».

Возьмем простой пример. Потенциальный заемщик пришел в банк для получения кредита. Прежде всего, сотрудники банка просят его заполнить заявку на кредит. В ней, помимо своих данных, он заполняет данные, например, своей супруги (ФИО, дата и место рождения, контактный телефон, адрес места жительства, место работы, уровень заработной платы и т. д.).

Счастливый банковский сотрудник принимает эту заявку, и с этого момента банк начинает процесс обработки персональных данных. Причем не только вероятного заемщика, но и его супруги. Чтобы понять, есть ли здесь нарушение требований законодательства или нет, нужно ответить на ряд вопросов: к какому из перечисленных в статье 6 ФЗ «О персональных данных» случаев относится обработка персональных данных супруги заемщика?

Конечно, нужно задать еще десяток уточняющих вопросов. И, конечно, все будет зависеть от ответов. Но в целом проблема ясна. При работе с персональными данными необходимо внимательно относиться к принципам и условиям обработки персональных данных. Их несоблюдение с 1 июля 2017 года может повлечь нарушение части 1 статьи 13.11 КоАП РФ.

Персональные данные работника

В гражданском законодательстве РФ существует понятие о персональных данных работника, которое предполагает общие сведения о физическом лице, необходимые работодателю в связи с возникновением трудовых правоотношений. Также, как и защита чести, достоинства и деловой репутации, защита персональных данных работника регулируется статьями действующего ГК РФ, и может рассматриваться несколькими аспектами:

  1. Гарантии – совокупность норм и правил, которыми регулируются отношения, касающиеся персональных данных работника.
  2. Комплекс организационно-правовых мероприятий, направленных на реализацию законодательных актов в целях выражения политики работодателя.
  3. Обеспечение субъективного права работника на защиту личных персональных данных.
ПОДРОБНЕЕ:  Статьям 25 26 закона об отпусках

Ответственность за нарушение закона о персональных данных

В соответствии со ст. 89 Трудового кодекса РФ свое право на охрану и защиту ПДн каждый работник может реализовать посредством следующих действий:

  • свободный бесплатный доступ к своим персональным данным, в том числе получение копии любой записи, в которой содержатся ПДн работника;
  • определение личного представителя для защиты своих персональных данных;
  • получение полной информации о ПДн и их обработке;
  • выставление требований об исключении или исправлении персональных данных, содержащих неверную информацию либо, если они были обработаны с нарушением требований законодательства;
  • обжалование в суде неправомерных действий работодателя, а также его бездействии при обработке и защите ПДн.

На основании п. 2 ст. 86 ТК РФ объем и содержание персональных данных работника определяются работодателем в соответствии с Конституцией РФ, Трудового кодекса и иными федеральными законами. Как правило, деятельность любой организации предполагает использование работодателем в документообороте два основных вида документов:

  1. Документы, которые предоставляются работником при заключении трудового договора (ст. 65 ТК РФ). К данной категории относятся документы, содержащие фотоизображение работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности (паспорт, страховое свидетельство государственного пенсионного страхования, военный билет и т.д.).
  2. Документы, которые формируются работодателем самостоятельно (первичная учетная документация по учету труда и его оплаты). Данная категория включает в себя приказы или распоряжения о приеме работника, расторжении трудового договора, поощрении работника, личная карточка, документы по оплате труда.

Нарушение второе

Часть 2 статьи 13.11 КоАП РФ (с 01.07.2017) гласит: «Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, — влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от пятнадцати тысяч до семидесяти пяти тысяч рублей».

Здесь также можно выделить два нарушения:

  • обработка персональных данных без согласия в письменной форме в случаях, установленных законом;
  • нарушение состава сведений в письменном согласии.

В свою очередь, статья 9 пункт 4 гласит: «В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных».

Сам ФЗ «О персональных данных» содержит в себе шесть случаев, когда письменное согласие субъекта обязательно:

  • часть 1 статьи 8;
  • пункт 1 часть 2 статьи 10;
  • пункт 5 части 2 статьи 10;
  • часть 1 статьи 11;
  • часть 4 статьи 12;
  • часть 2 статьи 16.

В различных законодательных актах содержатся и другие случаи, когда письменное согласие субъекта является обязательным. Самым ярким примером является статья 88 Трудового кодекса Российской Федерации: «При передаче персональных данных работника работодатель должен соблюдать следующие требования:

  • не сообщать персональные данные работника третьей стороне без письменного согласияработника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;
  • не сообщать персональные данные работника в коммерческих целях без его письменного согласия.

Таких случаев передачи персональных данных работника может быть несколько десятков. Важно следить за ними и вовремя брать согласия.

Ответственность за нарушение закона о персональных данных

Что касается второго нарушения по этой норме, то в случаях, установленных законом, согласие должно быть не просто письменным, но и содержать в себе обязательные сведения, установленные законодательством. Перечень этих сведений установлен частью 4 статьи 9 ФЗ «О персональных данных». Часто бывают случаи, когда в согласии забывают указать способы отзыва согласия или, еще чаще, сведения о лице, которому оператор поручает обработку персональных данных.

Нарушение третье

https://www.youtube.com/watch?v=upload

Часть 3 статьи 13.11 КоАП РФ устанавливает (с 1 июля 2017): «Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных — влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей;

ФЗ «О персональных данных» в части 1 статьи 18.1 предписывает операторам издать документы, определяющие политику оператора в отношении обработки персональных данных. В части 2 статьи 18.1 указанный закон устанавливает: «Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных».

Исходя из практики, в данном случае под опубликованием или обеспечением неограниченного доступа к документу, определяющему политику, можно понимать  размещение этого документа как на сайте оператора, так и, например, в офисе оператора по месту его нахождения. Четких требований нет. При этом законодательство устанавливает два случая, когда оператор обязан опубликовать документ, определяющий политику на своем сайте.

В части 2 статьи 18.1 ФЗ «О персональных данных» сказано: «Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети».

Соответственно, если оператор осуществляет сбор персональных данных на своем сайте, например, через форму обратной связи (дискуссия на тему того, какой набор данных будет считаться персональными данными, а какой нет — тема для отдельной статьи), то оператор обязан опубликовать на сайте документ, определяющий его политику в отношении обработки персональных данных.

Ответственность за нарушение закона о персональных данных

Игнорирование данного требования — одно из самых популярных нарушений требований законодательства о персональных данных в последние годы. Но не потому, что операторы выполняют остальные требования закона, а потому что Роскомнадзор освоил такую форму контроля как мероприятия систематического наблюдения, в ходе проведения которых сотрудники управления просматривают сайты операторов, где осуществляется сбор персональных данных, на наличие документа, определяющего политику в отношении обработки персональных данных.

ПОДРОБНЕЕ:  Об утверждении Положения о Советнике Президента Российской Федерации (утратило силу на основании Указа Президента РФ от 28.06.2005 N 736)

Необходимо обратить внимание на тот факт, что не важно, как будет называться этот документ. Многие операторы считают, что он должен называться именно политикой. Это не обязательно. ФЗ «О персональных данных» таких требований не устанавливает. Главное, чтобы в этом документе было написано, что он определяет политику оператора в отношении обработки персональных данных.

Защита персональных данных, ответственность за нарушение законодательства

Необходимо понимать, что деятельность оператора ПДн — это в первую очередь деятельность сотрудников организации в части работы с персональными данными. При проведении мер по защите персональных данных важно не только разработать организационно-распорядительные документы, установить систему средств защиты, но и ознакомить, а в ряде случаев и обучить сотрудников правилам работы с персональными данными. Ведь в случае недобросовестной работы сотрудника с персональными данными пострадает сама организация.

Таким образом, необходимо, чтобы работники помнили, что в соответствии с ТК РФ разглашение персональных данных, а также нарушение норм, регулирующих получение, обработку и защиту персональных данных работников, может грозить работнику организации увольнением (ст. 81, 90 ТК).

В частности пункт «в» статьи 81 ТК РФ предусматривает, что трудовой договор может быть расторгнут в случае разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей.

Также согласно статье 90 ТК РФ лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

1. Действующее законодательство в сфере защиты персональных данных сравнительно молодое и содержит массу нерешенных однозначно вопросов. Соответственно, представляется целесообразным в спорных ситуациях обращаться для решения вопросов в суд. Причем результат рассмотрения дела предсказать довольно сложно.

09.02.2010

АС Иркутской области — отказано КБ в признании ненормативного правового акта недействительным полностью, т. е. признан правомерным вывод Роскомнадзора о том, что в случае обработки информации в программе необходимо обязательно предоставить уведомление в Роскомнадзор.

14.05.2010

Апелляционная инстанция — решение суда оставлено без изменения.

17.08.2010

ФАС Восточно-Сибирского округа — отмена ранее принятого решения, дело направлено на новое рассмотрение.

28.10.2010

АС Иркутской области — в иске КБ вновь отказано. Приведен следующий вывод: если средства автоматизации применялись, значит такая обработка персональных данных должна быть признана автоматизированной.

Также, как и патентное право, персональные данные каждого российского гражданина защищены действующей законодательной базой РФ, которая предусматривает несколько видов ответственности за нарушение требований законов в сфере защиты персональных данных, в частности существует гражданско-правовая, дисциплинарная, материальная, административная и уголовная ответственность.

В соответствии со ст. 150 Гражданского кодекса РФ неприкосновенность частной жизни, личной и семейной тайны относится к числу неотчуждаемых нематериальных прав, находящихся под защитой действующих законов.

Гражданско-правовая ответственностьимеет прямую связь с категорией морального вреда, то есть, если гражданину был причинен моральный вред, выраженный в действиях, нарушающих его личные неимущественные права, он вправе выставить правонарушителю требования о выплате денежной компенсации в судебном порядке.

В соответствии с п. 7 ст. 243 ТК РФ материальная ответственность работника за разглашение информации, которая напрямую связана с персональными данными других лиц, возлагается на правонарушителя в полном размере причиненного ущерба.

Ответственность за нарушение закона о персональных данных

На работника, распространившего персональные данные другого работника, может возлагаться дисциплинарная ответственность в виде увольнения. На основании ст.1 92 ТК РФ работодатель обладает правом привлечь работника, нарушившего закон, к ответственности. При этом, в зависимости от степени и тяжести совершенного правонарушения, увольнение может быть заменено иным дисциплинарным наказанием, например, в виде выговора или замечания.

Административная ответственностьза нарушение порядка сбора, хранения и распространения персональных данных влечет за собой предупреждение или штраф в размере: от 1000 до 3000 рублей — для физических лиц; от 5000 до 10000 рублей — должностных лиц, от 20 тысяч до 50 тысяч рублей – для юридических лиц (ст. 13.11 КоАП РФ).

Уголовная ответственность за нарушение неприкосновенности частной жизни, в частности персональных данных, регулируется ст. 137 УК РФ и предусматривает наказание в виде:

  • штрафа в размере 200 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 18 месяцев;обязательных работ на срок от 120 до 180 часов;
  • исполнительных работ на срок до 12 месяцев;
  • ареста на срок до 4-х месяцев.

Нарушение неприкосновенности частной жизни, в частности персональных данных, лицом при использовании своего служебного положения предусматривает наказание в виде:

  • штрафа в размере от 100 до 300 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 1-2 лет;
  • лишения права занимать определенные должности на срок от 2 до 5 лет;
  • ареста на срок от 4 до 6 месяцев.

Нарушение четвертое

Обновленная часть 4 статьи 13.11 КоАП РФ звучит так: «Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, — влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей;

ПОДРОБНЕЕ:  Жизненный цикл и законы развития организации

Статья 14 ФЗ «О персональных данных» предусматривает право субъекта обратиться к оператору персональных данных с целью получения информации, касающейся обработки его персональных данных. В свою очередь, статья 20 регламентирует обязанность оператора ответить на такое обращение субъекта в течение тридцати дней с даты получения запроса субъекта или его представителя. Сведения, которые оператор обязан предоставить субъекту, установлены в части 7 статьи 14 ФЗ «О персональных данных».

Нарушение пятое

Часть 5 статьи 13.11. КоАП РФ устанавливает: «Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, — влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей;

Статья 21 ФЗ «О персональных данных» устанавливает различные сроки, в которые оператор по требованию субъекта обязан обеспечивать блокирование, удаление или уточнение персональных данных, если они являются неполными, неточными, незаконно полученными и т. д. На наш взгляд, нарушение данной обязанности оператора будет довольно частым, так как уже сейчас существенная часть жалоб субъектов персональных данных в уполномоченный орган приходится на кредитные организации и коллекторов именно по поводу того, что субъекты требуют от операторов прекратить обработку их персональных данных, а операторы, в свою очередь, игнорируют эти запросы.

Нарушение шестое

Часть 6 статьи 13.11. КоАП РФ (с 01.07.2017) гласит: «Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния — влечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей;

Постановление Правительства № 687 от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» в пункте 15 устанавливает обязанность оператора при обработке персональных данных без использования средств автоматизации по соблюдению условий, обеспечивающих сохранность материальных носителей персональных данных и исключающих несанкционированный к ним доступ.

https://www.youtube.com/watch?v=ytabout

С 1 июля 2017 года уполномоченный орган будет применять наказание за нарушение этих требований только если это повлекло неправомерный или случайный доступ к персональным данным и т. д. Скорее всего, этот пункт будет хорошо работать в случаях с утратой материальных носителей персональных данных по вине работников.

Нарушение седьмое

И последнее нарушение, признанное многими экспертами как «нерабочее», содержится в части 7 статьи 13.11. КоАП РФ: «Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных — влечет предупреждение или наложение административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей».

 А «нерабочий» этот пункт потому, что действующее законодательство практически не содержит требований для государственных или муниципальных органов по обезличиванию персональных данных.

Заключение

календарь учителя

Итак, подводя итоги анализа возможных нарушений, можно смело сказать, что в плановых проверках в 90% случаев будут фигурировать первые три. Остальные будут использоваться в частных случаях: части 4 и 5 — в основном по жалобам субъектов, часть 6, как уже упоминалось — при утрате материальных носителей. Проверим данное предположение в конце года, когда Роскомнадзор «наработает» практику.

Части 2 и 3 статьи 1 ФЗ №13 также вносят изменения в порядок возбуждения административных дел: «2) пункт 58 части 2 статьи 28.3 после слов «частями 1 и 2 статьи 13.5,» дополнить словами «статьей 13.11,»; 3) в части 1 статьи 28.4 цифры «13.11,» исключить».

Таким образом, с 1 июля 2017 года возбуждать дела об административном производстве за нарушение статьи 13.11. КоАП органы прокуратуры уже не будут. Составлять протоколы об административных правонарушениях будет сам Роскомнадзор.

Сейчас ведутся серьезные споры по поводу того, будут ли операторов наказывать по всем пунктам сразу или же только по какому-то одному. Ответ на этот вопрос безусловно дает статья 4.4. КоАП РФ: «Назначение административных наказаний за совершение нескольких административных правонарушений

1. При совершении лицом двух и более административных правонарушений административное наказание назначается за каждое совершенное административное правонарушение».  

     Так как с 1 июля 2017 г. статья 13.11. КоАП РФ будет содержать семь различных правонарушений, то и наказывать оператора смогут за каждое. Однако важно отметить, что если, например, у вас пятьдесят согласий и все они неправильной формы, то накажут вас один раз, а не пятьдесят.

https://www.youtube.com/watch?v=ytcreators

     Подводя общий итог, хочется отметить, что анализ ФЗ № 13 лишь подтверждает факт того, что Роскомнадзор на проверках всегда уделял и будет уделять повышенное внимание не пакету документов (и уж тем более не средствам защиты), а принципам и условиям обработки персональных данных.  

Понравилась статья? Поделиться с друзьями:
Adblock
detector