Административная ответственность за нарушение в области персональных данных

Ужесточение ответственности за нарушения в области персональных данных

С 1 июля 2021 г. вступают в силу поправки, внесенные в ст. 13.11 Кодекса РФ об административных правонарушениях (далее — КоАП РФ), которая устанавливает наказания за нарушение порядка сбора, хранения, использования или распространения персональных данных граждан.

В статье мы расскажем о том, какие поправки были внесены в данную норму и как изменится размер штрафов.

Что есть сейчас?

Со дня принятия КоАП РФ — с 30 декабря 2001 г. — и до 7 февраля 2021 г. формулировка его ст. 13.11 не изменялась. За это время только лишь Федеральным законом от 22.06.

2007 № 116-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части изменения способа выражения денежного взыскания, налагаемого за административное правонарушение» (далее — Федеральный закон № 116-ФЗ) были увеличены размеры штрафов за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных граждан.

Таким образом, за любое нарушение, которое подпадало под санкции ст. 13.11 КоАП РФ, с момента вступления в силу Федерального закона № 116-ФЗ наказание было одинаковое: штраф для граждан в размере от 300 до 500 руб.; для должностных лиц — от 500 до 1000 руб.; для юридических лиц — от 5000 до 10 000 руб.

Зачем нужны изменения?

Как сказано в пояснительной записке к проекту федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», он разработан по результатам правоприменительной практики Роскомнадзора.

По информации ведомства, отмечена тенденция роста количества жалоб и обращений субъектов персональных данных (граждан) на незаконные действия операторов, осуществляющих обработку персональных данных с нарушением законодательства Российской Федерации в области персональных данных и, соответственно, количества выявленных нарушений.

В пояснительной записке отмечается, что предлагаемые законопроектом составы правонарушений соответствуют тем, которые Роскомнадзор чаще всего выявляет в ходе проверок.

При этом разработчики законопроекта замечают, что штраф за нарушение законодательства в области персональных данных в европейских странах по размеру значительно превышает российский. Так, в Германии за соответствующее нарушение предусмотрены административный штраф в размере до 300 000 евро и конфискация незаконно полученной прибыли.

Что изменится?

Федеральным законом от 07.02.2021 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее — Федеральный закон № 13-ФЗ), вступающим в силу с 1 июля 2021 г., вводится новая редакция статьи 13.11 КоАП РФ, в которой вместо одного состава правонарушений в области персональных данных появится семь.

При этом составы административных правонарушений в области персональных данных конкретизированы, а также введены дополнительные составы, предусматривающие ответственность за невыполнение оператором конкретных обязанностей, установленных законом. Например:

• за обработку персональных данных без письменного согласия субъекта этих данных в случаях, когда такое согласие должно быть получено;

• невыполнение оператором обязанности по обеспечению неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных;

• невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных;

• невыполнение оператором требования субъекта персональных данных о блокировании или уничтожении персональных данных.

В новой редакции ст. 13.11 КоАП РФ существенно увеличены размеры административных штрафов. Теперь в зависимости от вида совершенного правонарушения они составляют: для граждан — от 700 до 5000 руб.; для должностных лиц — от 3000 до 20 000 руб.; для индивидуальных предпринимателей — от 5000 до 20 000 руб.; для юридических лиц — от 15 000 до 75 000 руб.

Максимальные размеры штрафов для всех категорий нарушителей предусмотрены за обработку персональных данных без письменного согласия их субъекта либо обработку персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие. Физическое лицо может быть оштрафовано на сумму от 3000 до 5000 руб., должностное лицо — от 10 000 до 20 000 руб., а юридическое лицо — от 15 000 до 75 000 руб.

По некоторым составам преступлений предусмотрены предупреждения: для граждан — по ч. 1, 3, 4 и 5 ст. 13.11 КоАП РФ; для должностных лиц — по ч. 7 ст. 13.11 КоАП РФ.

Полномочия по возбуждению дел об административных правонарушениях в области персональных данных переданы от прокуроров должностным лицам Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор):

• пунктом 2 ст. 1 Федерального закона № 13-ФЗ внесены изменения в п. 58 ч. 2 ст. 28.3 КоАП РФ: в перечень статей, которыми предусмотрены административные правонарушения, по которым протоколы вправе составлять должностные лица Роскомнадзора, введена статья 13.11 КоАП РФ;

• соответственно, пунктом 3 ст. 1 Федерального закона № 13-ФЗ ст. 13.11 КоАП РФ исключена из ч. 1 ст. 28.4 КоАП РФ. Тем самым полномочия по возбуждению дел об административных правонарушениях в области персональных данных исключены из полномочий прокуроров.

М. В. Журавлева,
методист по кадровому учету

Источник: https://www.profiz.ru/kr/3_2021/izmenenie_koap/

Персональные данные: что грозит за нарушение закона

Работодатель, принимая сотрудника на работу, запрашивает у него определенные сведения. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и какая ответственность за их несоблюдение ждет нарушителей.

Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

К персональным данным могут быть отнесены:

• фамилия, имя, отчество;
• пол, возраст;
• образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
• место жительства;
• семейное положение, наличие детей, родственные связи;
• факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Кстати, сведения о заработной плате относятся к персональным данным.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Можно ли номер телефона отнести к персональным данным?

Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств.

Из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.

Поэтому номер телефона сам по себе не относится к персональным данным.

А вот фотография относится к биометрическим персональным данным.

Так как это изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (См.

Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).

Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2021 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст.

23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее.

Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции.

Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.

11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2021 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Практическая ситуация

В коллективном договоре закреплено, что одним из видов поощрения работников является размещение фотографии работника на Доске почета. Работник обратился к работодателю с требованием не размещать его фотографию для всеобщего обозрения. Какие риски несет работодатель, если разместит фотографию без согласия работника?

Согласно Закону о персональных данных фотографию работника можно отнести к персональным данным. Доска почета, размещенная публично, является общедоступным источником персональных данных.

Статья 8 Закона о персональных данных устанавливает, что в общедоступные источники персональных данных сведения о персональных данных могут включаться только с письменного согласия субъекта персональных данных.

То есть работодатель должен перед размещением фотографии на доске почета запросить письменное разрешение работника. Если фотография работника размещена без его согласия, работодатель может быть привлечен к административной ответственности с наложением штрафа до 75 тыс. руб., при этом работник может также потребовать компенсации морального вреда за нарушение его прав.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа (ст. 13.14 КоАП РФ) (за исключением случаев, если такое разглашение влечет уголовную ответственность):

• на граждан — от 500 до 1 000 руб.;
• на должностных лиц — от 4 000 до 5 000 руб.

С работником, допущенным к обработке персональных данных, подписывается обязательство о неразглашении персональных данных.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

• штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
• либо обязательными работами на срок от 120 до 180 часов;
• либо исправительными работами на срок до одного года;
• либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

• штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
• либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
• либо арестом на срок от четырех до шести месяцев.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

• от всех ли работников получено согласие на обработку персональных данных;
• ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
• должным ли образом осуществляется хранение и защита персональных данных;
• соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: https://School.Kontur.ru/publications/1624

Ужесточили ответственность за нарушение законодательства о персональных данных

С 1 июля 2021 года вступили в силу поправки в Кодекс РФ об административных правонарушениях, внесенные Федеральным законом от 07.02.2021 № 13-ФЗ, ужесточающие ответственность за нарушение порядка обработки персональных данных. Рассмотрим суть новшеств.

Размер штрафа

Целью поправок является дифференциация составов административных правонарушений в области персональных данных с учетом ущерба, причиненного нарушением. Кроме того, полномочия по возбуждению дел данной категории предоставлены органам Роскомнадзора, в то время как ранее такими полномочиями обладала только прокуратура.

При этом законом не предусмотрено возложение на операторов персональных данных новых обязанностей и/или изменение содержания существующих обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных.

Суть поправок заключается в ужесточении ответственности за нарушение порядка обращения персональных данных.

С 1 июля 2021 года размер максимального штрафа для юридических лиц вырос с 10 000 до 75 000 руб. При этом вырос и порог минимально возможного штрафа для юридических лиц с 5000 до 15 000 руб.

Как отмечается в пояснительной записке к законопроекту «К проекту Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», «составы коррелируются с типовыми нарушениями, которые чаще всего выявляются Роскомнадзором в ходе контрольно-надзорной деятельности».

Самый высокий штраф предусмотрен за обработку персональных данных без письменного согласия субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, либо в случае, если обработка персональных данных происходит с нарушением установленных законодательством РФ требований к составу сведений, включаемых в письменное согласие субъекта персональных данных на обработку его персональных данных.

Помимо возросшего штрафа, новая редакция ст. 13.11 КоАП РФ теперь предусматривает семь различных составов административного правонарушения в области защиты персональных данных вместо одного общего состава, предусмотренного предыдущей редакцией.

Интересно отметить, что на этапе рассмотрения законопроекта разработчиками предлагалось восемь составов административного правонарушения в данной сфере, однако один из них – обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости, – был в последующем исключен.

За что штрафуют?

Новая редакция ст. 13.11 КоАП РФ, по сути, не только пересматривает размер штрафа (он, безусловно, стал более существенным), но и вводит новую систему составов административных правонарушений.

До 1 июля 2021 года ст. 13.11 КоАП РФ предусматривала ответственность даже за незначительное правонарушение, не повлекшее существенных негативных последствий.

Таковыми могли являться, например, нарушения, связанные с хранением материальных носителей, содержащих персональные данные (п.

15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 № 687).

Теперь же к административной ответственности оператора привлекут только в случае наступления неблагоприятных последствий, связанных с невыполнением условий, обеспечивающих сохранность данных при хранении материальных носителей.

В качестве примеров неблагоприятных последствий ч. 6 ст. 13.11 КоАП РФ называет неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение.

В таблице указаны новые составы административных правонарушений, а также примеры норм законодательства, нарушение которых влечет административную ответственность по ст. 13.11 КоАП РФ.

Рекомендации для бизнеса

В связи с вышеизложенным еще раз напомним об основных правилах обращения с персональными данными.

Персональные данные – это любая информация, прямо или косвенно относящаяся к определенному физическому лицу, а их обработка – это любое действие, совершаемое с персональными данными.

Обработка персональных данных всегда должна ограничиваться достижением конкретных, заранее определенных и законных целей.

При обработке персональных данных нужно обеспечить точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

При сборе персональных данных, в том числе посредством сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Часть ст. 13.11 КоАП РФСостав административного правонарушения1ОтветственностьНорма законодательства (примеры)

Часть 1	Обработка персональных данных2 в случаях, не предусмотренных законодательством РФ в области ПД либо обработка ПД, несовместимая с целями сбора ПД	ПРЕДУПРЕЖДЕНИЕ ИЛИ ШТРАФ–для граждан – от 1000 до 3000 руб.–для должностных лиц3 – от 5000 до 10 000 руб.–для юридических лиц – от 30 000 до 50 000 руб.	Часть 2 ст. 5 Закона «О персональных данных»Статья 10 Закона «О персональных данных»Статья 11 Закона «О персональных данных»
Часть 2	Обработка ПД без согласия в письменной форме субъекта ПД на обработку его ПД в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ либо обработка ПД с нарушением установленных законодательством РФ требований к составу сведений, включаемых в письменное согласие субъекта ПД на обработку его ПД	ШТРАФ– для граждан – от 3000 до 5000 руб.– для должностных лиц – от 10 000 до 20 000 руб.– для юридических лиц – от 15 000 до 75 000 руб.	Пункт 1 ч. 1 ст. 6 Закона «О персональных данных»Статья 7 Закона «О персональных данных»Часть 1 ст. 8 Закона «О персональных данных»Статья 9 Закона «О персональных данных»Пункт 3 ст. 86 ТК РФСтатья 88 ТК РФ
Часть 3	Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПД, или сведениям о реализуемых требованиях к защите ПД	ПРЕДУПРЕЖДЕНИЕ ИЛИ ШТРАФ–для граждан – от 700 до 1500 руб.–для должностных лиц – от 3000 до 6000 руб.–для индивидуальных предпринимателей – от 5000 до 10 000 руб.–для юридических лиц – от 15 000 до 30 000 руб.	Часть 2 ст. 18.1 Закона «О персональных данных»
Часть 4	Невыполнение оператором обязанности по предоставлению субъекту ПД информации, касающейся обработки его ПД	ПРЕДУПРЕЖДЕНИЕ ИЛИ ШТРАФ– для граждан – от 1000 до 2000 руб.– для должностных лиц – от 4000 до 6000 руб.– для индивидуальных предпринимателей – от 10 000 до 15 000 руб.– для юридических лиц – от 20 000 до 40 000 руб.	Статья 14 Закона «О персональных данных»Статья 20 Закона «О персональных данных»
Часть 5	Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта ПД или его представителя либо уполномоченного органа по защите прав субъектов ПД об уточнении ПД, их блокировании или уничтожении в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки	ПРЕДУПРЕЖДЕНИЕ ИЛИ ШТРАФ– для граждан – от 1000 до 2000 руб.– для должностных лиц – от 4000 до 10 000 руб.– для индивидуальных предпринимателей – от 10 000 до 20 000 руб.– для юридических лиц – от 25 000 до 45 000 руб.	Статья 21 Закона «О персональных данных»
Часть 6	Невыполнение оператором при обработке ПД без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность ПД при хранении материальных носителей ПД и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к ПД, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении ПД	ШТРАФ– для граждан – от 700 до 2000 руб.– для должностных лиц – от 4000 до 10 000 руб.– для индивидуальных предпринимателей – от 10 000 до 20 000 руб.– для юридических лиц – от 25 000 до 50 000 руб.	Пункт 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
Часть 7	Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ в области ПД обязанности по обезличиванию ПД либо несоблюдение установленных требований или методов по обезличиванию ПД	ПРЕДУПРЕЖДЕНИЕ ИЛИ ШТРАФ– для должностных лиц – от 3000 до 6000 руб.	Приказ Роскомнадзора от 05.09.2013 «Об утверждении требований и методов по обезличиванию персональных данных»
1 Для удобства изложения и восприятия информации в таблице указана только суть состава административного правонарушения (кратко).2 Далее в таблице – ПД.3 Напомним, что индивидуальные предприниматели несут ответственность как должностные лица, если КоАП РФ не предусмотрено иное (примечание к ст. 2.4 КоАП РФ). Ввиду того что ч. 1 и 2 ст. 13.11 КоАП РФ не предусматривают отдельного штрафа для индивидуальных предпринимателей, размер штрафа для последних равен размеру штрафа для должностных лиц.

Источник: https://www.eg-online.ru/article/351651/

Изменения в законодательстве об ответственности за нарушения в области персональных данных | Правоведус

Федеральный закон № 13-ФЗ от 07.02.2021 г. «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» вступил в силу 01 июля 2021 г. Действие Закона направлено на повышения эффективности в осуществлении мер административной ответственности в сфере персональных данных и обеспечение защиты прав субъектов этой сферы.

Что такое персональные данные

Согласно нормам действующего законодательства (ст. 3 Закона о персональных данных) под персональными данными понимается любая информация, которая прямо или косвенно относится к определенному физическому лицу – субъекту этих данных. Такой информацией может быть:

• фамилия имя отчество, включая прежние; 
• гражданство; 
• дата и место рождения; 
• адрес места жительства, включая место регистрации; 
• семейное положение;
• имущественное и социальное положение; 
• образование;
• профессия и специальность; 
• номера контактных телефонов; 
• сведения об имуществе и имущественных обязательствах; 
• сведения о доходах. 

Стоит отметить, что перечень персональных данных, который обрабатывается в связи с осуществлением трудовых и служебных отношений либо в связи с оказанием государственных или муниципальных услуг, утверждается приказом органа государственной власти (например, перечень данных, который обрабатывается в МВД, утвержден Приказом МВД РФ от 29.12.2021 г. № 925 «О некоторых вопросах обработки персональных данных в МВД России»).

Какая предусмотрена ответственность в области персональных данных?

Согласно статье 90 Трудового кодекса РФ лица, виновные в нарушении положений законодательства РФ в сфере персональных данных, при обработке данных работника, привлекаются к материальной и дисциплинарной ответственности. Также за нарушение в данной сфере лицо могут привлечь к гражданско-провавой, административной и уголовной ответственности в порядке, предусмотренном действующим законодательством.

Административная ответственность за правонарушение в сфере персональных данных

Административным правонарушением признается противоправное виновное действие/бездействие юридического или физического лица, за которое КоАП РФ предусмотрена административная ответственность. Статья 13.11 КоАП РФ определяет ответственность за совершение правонарушений в сфере персональных данных.

Напомним, что до вступления в силу изменений, максимальный размер штрафа за правонарушения в сфере персональных данных для юридических лиц составлял 10 000 рублей, при этом данная редакция статьи 13.

11 КоАП РФ в полной мере не позволяла обеспечить эффективность в защите прав и интересов субъектов персональных данных, включая соблюдение принципа неотвратимости наказания за совершение данного правонарушения.

Также нормы статьи не учитывали тяжесть негативных последствий за совершение правонарушения. Изменения, внесенные нормами Федерального законом 13-ФЗ от 07.02.2021 г.

«О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», позволили увеличить эффективность реализации мер административной ответственности путем дифференцирования состава правонарушения с учетом ущерба, причиненного этим нарушением.

Итак, на основании части 1 статьи 13.11 КоАП РФ, обработка персональных данных в тех случаях, которые не предусмотрены законодательством РФ в сфере персональных данных, либо когда обработка данных несовместима с целями их сбора, если эти действия не содержат уголовно наказуемого деяния, влечет предупреждение или штраф в размере:

• для физических лиц – от 1000 до 3000 рублей; 
• для должностных лиц – от 5 000 до 10 000 рублей; 
• для организаций – от 30 000 до 50 000 рублей. 

Разъяснение:
В соответствии с законом государственный орган обязан утвердить правила обработки персональных данных, которые устанавливают процедуры, позволяющие выявить и предотвратить нарушение законодательства РФ в области персональных данных.

Часть 2 статьи 13.11 КоАП РФ устанавливает, что обработка персональных данных без согласия в письменной форме субъекта этих данных на обработку, в случае, когда такое согласие должно быть получено в соответствии с законодательством РФ, влечет штраф в размере:

• для физических лиц – от 3 000 до 5 000 рублей; 
• для должностных лиц – от 10 000 до 20 000 рублей; 
• для организаций – от 15 000 до 75 000 рублей. 

Разъяснение:
В соответствии со статьей 9 закона о персональных данных, субъект персональных данных принимает решение о предоставлении данных и дает согласие на их обработку свободно, по своей воле и в своих интересах.

Согласие должно быть информированным, конкретным и сознательным. Согласие на обработку может быть дано субъектом или его представителем в любой форме, позволяющей подтвердить такое согласие, если иное не предусмотрено законодательством.

Согласно статьи 7 Закона операторы или иные лица, имеющие доступ к персональным данным, обязаны не раскрывать третьим лицам персональные данные без согласия субъекта этих данных, если иное не предусмотрено российскими законами.

Часть 3 статьи 13.11 КоАП РФ устанавливает, что невыполнение оператором обязанности по опубликованию документа, определяющего его политику в отношении обработки персональных данных либо сведений о реализуемых требованиях к их защите или обеспечению иным образом неограниченного доступа к ним влечет предупреждение или штраф в размере:

• для физических лиц – от 700 до 1 000 рублей; 
• для должностных лиц – от 3 000 до 6 000 рублей; 
• для организаций – от 15 000 до 30 000 рублей. 

Разъяснение:
В силу статьи 3 Закона о персональных данных оператором является государственный или муниципальный орган, физическое или юридическое лицо. В соответствии с частью 2 статьи 18.

1 Закона оператор обязан опубликовать документ, определяющий его политику в области обработки персональных данных, включая сведения о реализуемых требованиях, о защите персональных данных либо иным образом обеспечить неограниченный доступ к ним.

Часть 4 статьи 13.11 КоАП РФ определяет, что невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, которая касается обработки его данных, влечет предупреждение или штраф в размере:

• для граждан – от 1 000 до 2 000 рублей;
• для должностных лиц – от 4 000 до 6 000 рублей; 
• для индивидуальных предпринимателей – от 10 000 до 15 000 рублей; 
• для организаций – от 20 000 до 40 000 рублей. 

Разъяснение:
В соответствии с частью 7 статьи 14 Закона о персональных данных субъект данных вправе получать информацию, которая касается обработки его персональных данных, включая ту, которая содержит:

1. подтверждение факта обработки данных оператором;
2. основания и цели обработки данных; 
3. способы обработки, применяемые оператором;
4. наименование и место нахождения оператора, сведения о лицах, которые имеют доступ к данным или которым данные могут быть раскрыты на основании договора с оператором; 
5. обрабатываемые персональные данные, которые относятся к соответствующему субъекту данных, источник их получения; 
6. сроки обработки данных и их хранения;
7. сведения о выполненной или предполагаемой трансграничной передаче данных;
8. порядок осуществления субъектом персональных данных прав; 
9. наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если их обработка была поручена третьему лицу; 
10. иные сведения, предусмотренные законодательством. 

Важно! Случаи, когда право субъекта персональных данных на доступ к его данным может быть ограничено, зафиксированы в части 8 статьи 14 Закона. 

Кроме того, статья 20 Закона устанавливает, что оператор обязан сообщить субъекту данных либо его представителю информацию о наличии этих данных, а также предоставить возможность ознакомления с ними при обращении субъекта или его представителя.

Часть 5 статьи 13.11 КоАП РФ устанавливает, что невыполнение оператором в установленные сроки требования субъекта персональных данных об уточнении этих данных, их блокировки или уничтожения в случае, если данные неполные, устарели или получены незаконно либо не являются необходимыми для заявленной цели обработки, ведет к предупреждению или наложению штрафа в размере:

• для физических лиц – в размере от 1 000 до 2 000 рублей;
• для должностных лиц – от 4 000 до 10 000 рублей;
• для организаций – от 25 000 до 45 000 рублей. 

Разъяснение:
Статья 21 Закона о персональных данных фиксирует обязанность для оператора устранить нарушения законодательства, которые были допущены при обработке данных, по уточнению, блокировке или уничтожению этих данных.

Так, в случае выявления неточности при обращении субъекта персональных данных, оператор обязан заблокировать персональные данные, относящиеся к этому субъекту или обеспечить их блокировку, если обработка осуществлялась третьим лицом по его поручению.

При этом, в случае подтверждения факта неточности, на основании сведений, предоставленных субъектом данных или его представителем, оператор обязан уточнить персональные данные в течении 7 дней со дня предоставления таких сведений, после чего снять блокировку с персональных данных.

Согласно части 6 статьи 13.

11 КоАП РФ невыполнение оператором при обработке данных без использования средств автоматизации обязанности по соблюдению условий, которые обеспечивают сохранность данных при хранении материальных носителей, исключающих незаконный доступ к ним, если это повлекло случайный доступ к данным, их уничтожение, изменение или блокировку, копирование или распространение либо иные неправомерные действия в отношении этих данных, влечет наложение штрафа в размере:

• для граждан – в размере от 700 до 2 000 рублей; 
• для должностных лиц – от 4 000 до 10 000 рублей; 
• для организаций – от 25 000 до 50 000 рублей.

Разъяснение:
Особенности обработки персональных данных, которая осуществляется без использования средств автоматизации, установлены Положением, утвержденным Постановлением Правительства РФ № 687 от 15.09.2008 г.

Согласно пункту 3 этого Положения обработка данных реализуется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места их хранения и установить перечень лиц, выполняющих эту обработку или имеющих доступ к ним.

Важно обеспечить раздельное хранение персональных данных, обработка которых выполняется в различных целях.

При этом, при хранении материальных носителей, обязательно соблюдаются условия, обеспечивающие сохранность данных и исключающие незаконный доступ к ним. Перечень мер, которые обеспечивают такие условия, а также порядок их принятия, устанавливаются оператором.

Часть 7 статьи 13.11 КоАП РФ фиксирует, что невыполнение государственным органом обязанности по обезличиванию персональных данных или несоблюдение требований и методов их обезличиванию, влечет предупреждение или наложение на должностное лицо штрафа в размере от 3 000 до 6 000 рублей.

Разъяснение:

Под обезличиванием персональных данных следует понимать действия, после которых становится невозможно определить принадлежность конкретных данных к определенному субъекту этих данных. При этом обезличивание должно не только обеспечить защиту данных от незаконного использования, но и возможность их обработки, для чего обезличенные данные должны обладать свойствами, сохранившими основные характеристики персональных данных.

Основные требования и методы обезличивания данных прописаны в приказе Роскомнадзора № 996 от 05.09.2013 г.

Источник: https://pravovedus.ru/practical-law/administrative/izmeneniya-v-zakonodatelstve-ob-otvetstvennosti-za-narusheniya-v-oblasti-personalnykh-dannykh/

Нарушение обработки персональных данных: административная ответственность и размеры штрафов по КоАП РФ

Сведения о частной жизни граждан РФ находятся под серьезной законодательной защитой — сразу несколько нормативных актов регулируют вопросы нарушений в области персональных данных.

Наиболее развернутые пояснения к теме неправомерного использования и разглашения персональных сведений о физических лицах, а также меры ответственности за содеянное содержатся в Кодексе об административных правонарушениях РФ (далее — КоАП РФ). Рассмотрим некоторые основополагающие нормы.

Защита персональных данных в Кодексе об административных правонарушениях РФ

Теме законодательных нарушений в сфере персональных данных посвящена одноименная Статья 13.11 раздела КоАП, которая содержит перечень всех составов данного деяния с указанием соответствующих санкционных мер для правонарушителя.

Данная статья рассказывает о типовых способах решения вопроса, но каждый случай уникальный. Если вы хотите узнать, как решить именно Вашу проблему, звоните по телефонам:

Или задайте вопрос юристу на сайте. Это быстро и бесплатно!

Следует заметить тот факт, что в феврале 2021 года данный документ претерпел значительные коррективы — Федеральный закон №13 от 7 февраля 2021 года внес ряд изменений, согласно которым были определены целых семь составов правонарушения в области персональных данных (ранее был один).

Статья 13.11 КоАП РФ теперь содержит описание каждой категории нарушения, а также соответствующую меру ответственности, которые несколько ужесточились после внесения законодательных поправок. С 1 июля 2021 года штрафы, которые назначаются за нарушение порядка обработки и разглашения персональных данных, заметно выросли.

Какие меры ответственности за разглашение персональных данных предусматривает КоАП

Статья 13.11 КоАП РФ состоит из семи частей, описывающих различные составы преступления, за которые предусматриваются конкретные меры административной ответственности:

1. Сбор и обработка личных данных граждан в случаях, когда это не предполагается согласно законодательным нормам — за данное правонарушение физические лица могут заплатить штраф от 1 до 3 тыс. рублей, должностные — от 5 до 10 тыс. рублей, юридические лица — от 30 до 50 тыс. рублей.
2. Если же сбор и обработка персональных данных гражданина производится без оформленного надлежащим образом письменного согласия лица, виновника данной процедуры могут обязать уплатить штраф в размере от 3 до 5 тыс. рублей (для физических лиц). Должностным лицам может грозить финансовая санкция в размере от 10 до 20 тыс. рублей, а организациям — от 15 до 70 тыс. рублей.
3. В том случае, если уполномоченный на обработку персональных данных оператор нарушает правила и нормы их опубликования или доступа, он будет вынужден уплатить штраф в размере от 700 до 1700 рублей. От 3 до 6 тыс. рублей — таким будет штраф за аналогичное деяние для должностных лиц. А вот юридическим лицам грозит финансовая санкция в размере от 15 до 30 тыс. рублей.
4. За нарушение регламента предоставления информации касательно обработки персональных данных гражданина могут наказать штрафом в размере от 1 до 2 тыс. рублей, должностное лицо — от 4 до 6 тыс. рублей, организацию — от 20 до 40 тыс. рублей.
5. Нарушение регламента передачи, хранения, а также сроков самой обработки личных сведений о гражданах чревато для виновных финансовыми санкциями в размере от 1 до 2 тыс. рублей для физических лиц, от 4 до 6 тыс. рублей для должностных, от 25 до 40 тыс. рублей — для организаций.
6. Если же нарушения в работе стали причиной случайного или умышленного разглашения персональных сведений и конфиденциальной информации, виновника (физическое лицо) обяжут уплатить штраф в размере 2 тыс. рублей. Гораздо серьезнее санкции предписываются в данном случае для должностных и юридических лиц — до 10 тыс. рублей, а также до 50 тыс. рублей – соответственно.
7. Если же законодательные требования по защите персональных данных нарушаются уполномоченным работником государственных или муниципальных служб, виновнику могут назначить штраф в размере до 6 тыс. рублей.

Какими законами РФ регулируется вопрос защиты персональных данных граждан

Помимо Статьи 13.11 КоАП РФ, законодательную базу вопроса обеспечения защиты персональных данных также составляют несколько нормативных документов:

1. Закон “О персональных данных” (ФЗ №152-ФЗ от 27 июня 2006 года), который содержит основополагающие моменты касательно понятий, принципов, условий обработки информации, прав субъекта и регламента обеспечения конфиденциальности личных данных.
2. Статья 81 Трудового кодекса РФ, регламентирующая нормы дисциплинарной ответственности для должностного лица, по чьей вине произошло разглашение персональных данных в связи с выполнением служебных обязанностей.
3. Статья 137 Уголовного кодекса РФ содержит меры уголовной ответственности за деяния, связанные с посягательством на информацию, касающуюся частной жизни граждан — незаконный сбор и распространение персональных сведений без ведома и согласия того или иного частного лица.

Таким образом, защита персональных данных граждан РФ соблюдается рядом законодательных актов, в которых регламентируются нормы дисциплинарной, административной и уголовной ответственности за нарушение порядка сбора, обработки личной информации, случайное или умышленное ее распространение. В зависимости от обстоятельств состава преступления виновник может быть привлечен к уплате административного штрафа, а в некоторых случаях — к принудительным работам и даже лишению свободы на несколько лет.

Дорогие читатели, каждый случай индивидуален. Если вы хотите узнать, как решить именно Вашу проблему, звоните по телефонам:

Или задайте вопрос юристу на сайте. Это быстро и бесплатно!

Источник: https://pravo.team/uk-i-koap/personalnye-dannye/mery-otvetstvennosti-2.html