За нарушение требований о защите персональных данных предусмотрена

За нарушение требований о защите персональных данных предусмотрена

Проблема защиты интересов личности в информационной сфере — это, в частности, и проблема защиты персональных данных, которая касается любой сферы деятельности человека, общества и государства в целом. От понимания важности и необходимости создания эффективного механизма защиты персональных данных отдельного лица зависит благосостояние как отдельного человека, так и государства в целом. На своем пути к приближению к стандартам Европейского Союза по защите персональных данных лиц, Украины осуществила важный шаг, приняв закон Украины «О защите персональных данных»

( далее — Закон ), вступивший в силу 1 января 2011, и ратифицировав Конвенцию о защите лиц в связи с обработкой персональных данных и Дополнительный протокол к Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных относительно органов надзора и трансграничных потоков данных. Принятие этого Закона и ратификация Конвенции имели целью приблизить украинское общество к европейским стандартам защиты информации, а именно персональных данных, гармонизировать украинское законодательство и привести его в соответствие с этими нормативно-правовых актов, как Конвенция о защите лиц в связи с автоматизированной обработкой данных личного характера, подписанное 28 января 1981 в г. Страсбурге, и Директива 95/46/ЕС Европарламента и Совета от 24 октября 1995 о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных.

Недостатки и несовершенства

Несмотря на многочисленные преимущества Закона, он содержит и ряд существенных недостатков и несовершенств, требующих скорейшего их устранения путем принятия ряда новых нормативно-правовых актов и внесения изменений в уже существующих. Один из таких недостатков — Закон не устанавливает ответственности субъектов отношений, связанных с персональными данными, за нарушение требований настоящего Закона и не предусматривает права физических лиц на возмещение вреда, причиненного вследствие утраты или незаконного разглашения персональных данных о них. Зато в. 10 Конвенции о защите лиц в связи с автоматизированной обработкой данных личного характера содержит соответствующую норму о взятии каждой стороной (государством — членом Совета Европы) на себя обязательство «предусмотреть соответствующие санкции и средства правовой защиты от нарушений положений внутреннего законодательства, вводящие основополагающие принципы защиты данных ».

Сейчас в украинском законодательстве существует ст. 182 Уголовного кодекса Украины, предусматривающей уголовную ответственность за «незаконный сбор, хранение, использование или распространение конфиденциальной информации о лице без его согласия или распространение этой информации в публичном выступлении, произведении, публично демонстрируется, или в средствах массовой информации». За такие действия законодатель предусмотрел наказание в виде штрафа в размере не менее 50 необлагаемых минимумов доходов граждан или исправительных работ на срок до двух лет, либо ареста на срок до шести месяцев, или ограничение свободы на срок до трех лет.Административная же ответственность за нарушение законодательства о защите персональных данных сих пор не была предусмотрена.

Шанс на исправление

С целью устранения вышеупомянутого недостатка и урегулирования вопроса ответственности за нарушение законодательства о защите персональных данных Кабинет министров Украины подал на рассмотрение Верховной Рады Украины проект Закона «О внесении изменений в некоторые законодательные акты Украины относительно нарушения законодательства о защите персональных данных» № 7355, который был принят в первом чтении. Проектом предусмотрено усовершенствование и введение в действие нескольких статей Уголовного кодекса, Кодекса Украины об административных правонарушениях, и Закона Украины «Об информации» о нарушении обработки персональных данных. В законопроекте предусмотрено, что в случае его принятия как закона последний набирать силу одновременно с вступлением в силу Закона Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI, то есть с 1 января 2011 Законопроект имеет целью установить административную и уголовную ответственность за нарушение требований по защите персональных данных. Это, в свою очередь, усилит защиту права человека, закрепленного в ст. 32 Конституции Украины, согласно которой не допускается сбор, хранение, использование и распространение конфиденциальной информации о лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния.

Будет и ответственность

Как отметил законодатель, законопроект был разработан также с целью приведения законодательства Украины в части установления ответственности за нарушение требований по защите персональных данных в соответствие с положениями Конвенции Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных и Дополнительного протокола к ней отношении органов надзора и трансграничных потоков данных, ратифицированных Законом Украины от 06.07.2010 г. № 2438-VI, Директивы 95/46/ЕС Европарламента и Совета от 24 октября 1995 о защите лиц в связи с обработкой персональных данных и о свободной передаче таких данных, а также Закона Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI.

Согласно законопроекту предполагается дополнить Кодекс Украины об административных правонарушениях новой статьей, согласно которой:

— Уклонение от регистрации базы персональных данных, создание или работа с базами персональных данных в проведении государственной регистрации таких баз данных в установленном законодательством порядке, нарушения порядка доступа к персональным данным, которые обрабатываются в базах персональных данных, необеспечение защиты такой информации от доступа к ней посторонних лиц, что привело к ее разглашение или потери, тянуть за собой наложение штрафа на граждан в размере 5,1-8,5 тыс. грн, на должностных лиц — 8,5-17 тыс. грн;

— Неуведомление или несвоевременное уведомление уполномоченного государственного органа по вопросам защиты персональных данных или его территориальные органы об изменении сведений, представляемых для регистрации базы персональных данных, тянуть за собой наложение штрафа на граждан в размере 1,7-3,4 тыс. грн, на должностных лиц — 3,4-6,8 тыс. грн;

— Неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением информации о нем в базу персональных данных, цель сбора этих данных и лиц, которым эти данные передаются, тянуть за собой наложение штрафа на граждан в размере 3, 4-5,1 тыс. грн, на должностных лиц — 3,4-6,8 тыс. грн.

Также законопроектом предлагается дополнить Кодекс Украины об административных правонарушениях. Нарушение установленных законодательством требований по защите информации о лице караться наложением штрафа на граждан в размере 13,6-17 тыс. грн, на должностных лиц — 17-34 тыс. грн ..

Рассмотрение дел о вышеупомянутых административных правонарушениях будет отнесено к полномочиям Государственной службы по вопросам защиты персональных данных. От имени уполномоченного государственного органа по вопросам защиты персональных данных рассматривать такие дела и налагать административные взыскания имеют право его руководитель, заместители руководителя и начальники территориальных органов, осуществляющих контроль в сфере защиты персональных данных. Указом Президента Украины 06.04.2011 г. было принято «Положение о Государственной службе по вопросам защиты персональных данных» № 390/2011, которое определило основные задачи, права и обязанности этого органа исполнительной власти. Однако на сегодняшний день до сих пор нормативно не установлен Порядок ведения государственного реестра баз персональных данных и Порядок обработки персональных данных в базах персональных данных, что, по нашему мнению, является негативным фактором в законодательном урегулировании вопроса защиты персональных данных.

Законопроектом также предусматривается установить уголовную ответственность за:

· Нарушение установленных Законом требований относительно защиты информации о лице, которое привело к несанкционированному распространению или искажения этой информации и причинило значительный ущерб лицу, которое будет караться штрафом 13,6-34 тыс. грн. или исправительными работами на срок до 2 лет, либо арестом на срок до 6 месяцев, или ограничением свободы на срок до 2 лет;

· Умышленное предоставление владельцем, распорядителем базы персональных данных или уполномоченным лицом доступа к информации о лице или его умышленная передача третьим лицам с нарушением закона, что привело к несанкционированному распространению или искажения этой информации и причинило значительный ущерб лицу, которое будет караться штрафом в размере 8,5 -17 тыс. грн. или исправительными работами на срок до 2 лет, либо арестом на срок до 3 месяцев.

При этом предусмотрено, что в делах о преступлениях, предусмотренных новыми ст. 1821 и 1822, которыми предлагается дополнить Уголовный кодекс Украины, досудебное следствие осуществляться тем органом, к подследственности которого относится преступление, в связи с которым возбуждено данное дело.

Проанализировав нормы, предложенные в вышеупомянутом законопроекте, можно отметить следующие основные его недостатки. Во-первых, санкция за совершенные правонарушения и / или преступления в большинстве случаев связана не с фактом нарушения прав физического лица — субъекта персональных данных, а непосредственно с нарушением требований, установленных Государственной службой по вопросам защиты персональных данных, является достаточно негативным фактором в противовес мировой практике. Во-вторых, ст. 23 Закона Украины «Об информации» предложено изложить в новой редакции, согласно которой « информация о личности — это сведения или совокупность сведений о лице, которое идентифицировано или может быть конкретно идентифицирована ». Согласно определению Закона Украины «О защите персональных данных» « персональные данные — это сведения или совокупность сведений о физическом лице, которая идентифицирована или может быть конкретно идентифицирована » .Таким образом, определение информации о лице и персональных данных оказываются тождественными. То есть в законопроекте термин «информация о лице» фактически отождествляются с термином «персональные данные», что само по себе является необоснованным и, по нашему мнению, ошибочным. Ведь «персональные данные» гораздо уже и специфичной понятие, чем обобщающий термин «информация о лице».

Мы считаем, что предложенный Кабинетом министров и принят Верховной Радой в первом чтении законопроект «О внесении изменений в некоторые законодательные акты Украины относительно нарушения законодательства о защите персональных данных» № 7355 способствовать урегулированию вопроса ответственности за нарушение законодательства по вопросам защиты персональных данных. Однако вышеупомянутый законопроект требует доработки и совершенствования с целью устранения вышеуказанных недостатков.

4 комментария к статье “Защита персональных данных: придется отвечать”

Был заключён договор с компанией воля кабельное.была задолженость которая возникла в следствии того.что человека забрали в ато. теперь нам приходят письма от не понятной компании ТОВ РОСВЕН инвест украина,о том ,что мы должны им деньги.долг воли и непонятные какието ещё 80 гр. хотелось бы знать были ли законные основания передавать ПД и что это за 80гр.

этот сайт распространяет персональные данные.
http://nomerorg.com/allukraina/

как их наказать.

Здравствуйте мой номер поместили на сайте я знаю кто это, они могут быть наказаны?!У меня есть фото емейла с объявления но так как я узнала они удалили все и поменяли е-мейл и аккаунт но фото у меня осталос.Стоит обащаются в ми
лицию?

здравствуйте, это Днепропетровск. позвонила в клуб Fit4U с телефона, который даю только знакомым. продиктовала имя и свой (другой) контактный номер. на следующий же день на оба номера начал сыпаться спам. Клуб продает информацию спамщикам (groshi до зарплаты и др.) считаю, что они нарушили закон и должны быть наказаны

Штрафы за нарушения в закона о защите персональных данных: как защитить себя с 1 июля?

Непросто соблюсти простые правила, если они бессмысленны

Государственная служба по вопросам защиты персональных данных (ГСЗПД) получает с 1 июля 2012 года законодательное подкрепление своим полномочиям в виде весьма значительных административных штрафов. Насколько значительными являются эти санкции можно понять из простого сравнения. За невыполнение законных требований должностного лица налоговой службы полагается штраф в размере от 85 до 170 гривен (статья 1633 КоАП). Уклонение должностного лица от выполнения законных требований прокурора может вылиться в штраф от 34 до 85 гривен (статья 1858 КоАП). За невыполнение же законных требований должностного лица ГСЗПД должностному лицу предприятия или гражданину – СПД грозит штраф в размере от 1700 до 3400 гривен (статья 18840 КоАП с 1 июля 2012 года). Справедливости ради стоит отметить, что суровость санкций за невыполнение требований должностных лиц различных органов в КоАП установлены часто в размере, прямо не связанном с действительной значимостью для общества той сферы, в которой имеет место нарушение (другими словами, ГСЗПД не важнее прокуратуры в 40 раз). Скорее наоборот, чем меньше у определенного органа других рычагов воздействия на нарушителя, тем выше может быть административный штраф, применяемый к нему либо к его должностным лицам. Кстати за невыполнение законных требований должностного лица ГСЗПД вводится санкция только в отношении должностного лица и гражданина-СПД. Это весьма резонно, поскольку рядовые граждане вряд ли смогут примерить на себя роль нарушителя тех норм законодательства о защите персональных данных, за нарушения которых установлена административная ответственность. По этой же причине ниже мы рассматриваем административные санкции за прочие нарушения только в отношении должностных лиц и граждан-СПД.

Оставим невыполнение требований ГСЗПД. Основаниями для возможных санкций, не связанных с реакцией на запросы должностных лиц ГСЗПД остаются:

Нарушение

Санкция статьи 18839 КоАП

Как не стать нарушителем?

Неуведомление либо несвоевременное уведомления субъекта персональных данных (физического лица, чьи данные обрабатываются) о его правах в связи с внесением его персональных данных в базу, о цели сбора этих данных и лицах, которым они передаются

штраф в размере 5100 – 6800 гривен (6800 – 11900 гривен при повторном в течение года нарушении)

Уведомление (содержащее информацию о правах субъекта в связи с обработкой, цели сбора данных, лицах, которым будут передаваться данные) должно быть совершено в письменном виде в течение 10 рабочих дней после включения персональных данных в базу. Уведомление можно не осуществлять если персональные данные собираются из общедоступных источников. Минюст под таковыми понимает печатные СМИ, средства телерадиовещания, Интернет-порталы, публичные выступления и прочие источники информации, к которым лица имеют свободный, неограниченный законодательством доступ (разъяснение от 21.12.2011 г. «Некоторые вопросы практического применения Закона Украины «О защите персональных данных». )

Неуведомление либо несвоевременное уведомления ГСЗПД об изменении ведомостей, которые подаются для государственной регистрации базы персональных данных

штраф в размере 3400 – 6800 гривен (6800 – 11900 гривен при повторном в течение года нарушении)

Уведомление осуществляется на протяжении 10 рабочих дней с даты изменений путем направления в ГСЗПД заявления, форма которого утверждена приказом Минюста № 1824/5 от 8 июля 2011 года.

Уклонение от государственной регистрации баз персональных данных

штраф в размере 8500 – 17000 гривен

По мнению представителей ГСЗПД, об уклонении в условиях действующего законодательства может идти речь, в случае если по результатам проверки будет установлено наличие незарегистрированной базы персональных данных, после чего ГСЗПД издаст предписание об устранении нарушения, которое владелец базы неправомерно не удовлетворит. В этом случае возможно составление уполномоченным должностным лицом Службы протокола об административном нарушении, который далее подлежит направлению в местный суд для принятия решения о привлечении к ответственности.

Несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе, которое повлекло незаконный доступ к ним

штраф в размере 5100 – 17000 гривен

Некоторые требования к системе защиты персональных данных уже установлены Типовым порядком обработки персональных данных в базах персональных данных, утвержденным приказом Минюста № 3659/5 от 30.12.2012 г.

Для обработки персональных данных в автоматизированной системе установлены требования авторизации и идентификации при допуске к обработке, обеспечение антивирусной защиты и бесперебойного питания элементов системы. Для обработки в картотеках предусмотрено их хранение в помещениях (шкафах, сейфах) под замком либо с контролем доступа. Стоить учесть, что Типовой порядок обязывает создать условия для защиты персональных данных и не указывает, что если приведенные выше минимальные требования выполнены, то порядок защиты считается соблюденным. В случае несанкционированного доступа к персональным данным нарушение может считаться совершенным ввиду самой реализованной возможности несанкционированного доступа

Как можно заметить, соблюсти условия, которые помогут не стать нарушителем, возможно. Пусть даже те, кому эти правила выполнять, в подавляющем большинстве своем не видят в них смысла и ценности. В условиях действия санкций за нарушения законодательства о защите персональных данных остается полагаться на благоразумие ГСЗПД и Министерства юстиции (которое уже несколько раз, пусть не системно, но разъяснило нормы законодательства, держась ближе к здравому смыслу, нежели к формально-логическому толкованию закона). Далее, надеемся, последуют законодательные изменения, направленные на усиление защиты так называемых уязвимых персональных данных, а не открытой информации о гражданах, которой мы обмениваемся ежедневно безо всяких регистраций, уведомлений и зачитывания друг другу прав.

БЕСПЛАТНЫЙ СЕМИНАР

СПЕЦПРЕДЛОЖЕНИЕ

КОНСУЛЬТАЦИЯ

ТЕМАТИЧЕСКИЕ СТАТЬИ

ОТВЕТСТВЕННОСТЬ СОГЛАСНО ЗАКОНУ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

В соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.

Уголовная ответственность

  • Штраф 300 000 рублей
  • Лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет
  • Арест на срок до 6 месяцев
  • Лишение свободы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет
  • Штраф 300 000 рублей
  • Лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет
  • Обязательные работы на срок до 480 часов
  • Принудительные работы на срок до 4 лет
  • Арест на срок до 4 месяцев
  • Лишение свободы на срок до 4 лет
  • Штраф 200 000 рублей
  • Лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет
  • Штраф 500 000 рублей
  • Обязательные работы на срок до 480 часов
  • Арест на срок до 6 месяцев
  • Штраф 500 000 рублей
  • Лишение права занимать определенные должности или заниматься определенной деятельностью до 3 лет
  • Лишение свободы на срок до 7 лет

Административная ответственность

  • Штраф 40 000 рублей
  • Штраф 45 000 рублей
  • Штраф 50 000 рублей
  • Штраф 6000 рублей
  • Штраф 80 000 рублей
  • Приостановление деятельности организации на срок до 90 суток
  • Дисквалификация должностного лица на срок от 1 до 3 лет
  • Штраф 25 000 рублей с конфискацией средств защиты информации
  • Приостановление деятельности организации на срок до 90 суток
  • Штраф 50 000 рублей
  • Штраф 100 000 рублей (в случае повторного нарушения)
  • Штраф 20 000 рублей
  • Дисквалификация должностного лица на срок до 3 лет
  • Штраф 50 000 рублей
  • Дисквалификация должностного лица на срок до 3 лет
  • Штраф 250 000 рублей
  • Приостановление деятельности организации на срок до 90 суток
  • Штраф в двукратном размере суммы неуплаченного административного штрафа
  • Арест на срок до 15 суток
  • Обязательные работы на срок до 50 часов

Ответственность согласно Трудовому кодексу РФ

Ответственность согласно Федеральному закону № 152 «О персональных данных» (с изменениями, внесенными Федеральным законом от 21.07.2014 N 242-ФЗ)

  • Требование блокирования или уничтожения персональных данных обрабатываемых с нарушением законодательства Российской Федерации в области персональных данных
  • Ограничение доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, в порядке, установленном законодательством Российской Федерации (в том числе внесение оператора в Реестр нарушителей прав субъектов персональных данных)
  • Принятие в установленном законодательством Российской Федерации порядке мер по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона
  • Направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью
  • Привлечение к административной ответственности лиц, виновных в нарушении настоящего Федерального закона
  • Отзыв лицензии на осуществление определенного вида деятельности, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных
  • Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.
  • Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), как уполномоченный орган по защите прав субъектов персональных данных ежегодно осуществляет многочисленные проверки соблюдения положений ФЗ №152 «О персональных данных».

Уполномоченный орган вправе выдавать предписания, при условии невыполнения которых могут быть наложены административные штрафы, также впоследствии может последовать уголовное преследование.

Следует помнить о дисквалификации руководителя, что влечет длительное ограничение занимать соответствующую должность и заниматься определенным видом деятельности, а также о потенциальной возможности приостановления деятельности организации на срок до 90 рабочих дней.

Немаловажным фактором являются репутационные риски невыполнения требований законодательства, что может снизить доверие к компании со стороны партнеров, клиентов, а также со стороны сотрудников.

Кроме того, штрафы накладываются за зафиксированное нарушение. И это не означает, что за это же нарушение нельзя оштрафовать снова. Законы требуют полного устранения выявленных нарушений.

Административная ответственность за нарушение в области персональных данных

Автор: А. Гусев

01.07.2017 вступит в силу Федеральный закон от 07.02.2017 № 13-ФЗ, направленный на повышение эффективности реализации мер административной ответственности в области персональных данных, обеспечение защиты прав субъектов персональных данных. Об этих изменениях рассказал эксперт журнала.

01.07.2017 вступит в силу Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее – Федеральный закон № 13-ФЗ), направленный на повышение эффективности реализации мер административной ответственности в области персональных данных, обеспечение защиты прав субъектов персональных данных. Об этих изменениях мы и расскажем в статье.

Что поднимется под персональными данными?

Напомним, что под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Закона о персональных данных[1]).

К персональным данным можно отнести любую информацию, которая получена от работника, или информацию о работнике, которая позволяет идентифицировать именно его.

К такой информации, в частности, можно отнести следующие сведения:

  • ФИО, в том числе прежние;
  • дату и место рождения;
  • гражданство;
  • адрес места жительства (места регистрации);
  • семейное, социальное и имущественное положение;
  • образование, специальность, профессию;
  • номера контактных телефонов;
  • сведения о доходах, имуществе и имущественных обязательствах.

Заметим, что перечень персональных данных, обрабатываемых в учреждении в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций, должен быть утвержден приказом органа государственной власти (п. 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных, утвержденного Постановлением Правительства РФ от 21.03.2012 № 211). Например, перечень персональных данных, обрабатываемых МВД, утвержден Приказом МВД РФ от 29.12.2016 № 925 «О некоторых вопросах обработки персональных данных в МВД России».

За что предусмотрена ответственность?

В соответствии со ст. 90 ТК РФ лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом и иными федеральными законами, а также к гражданско-правовой, административной и уголовной ответственности в порядке, предусмотренном федеральными законами.

Административная ответственность за совершение правонарушения в области персональных данных определена в ст. 13.11 КоАП РФ.

Напомним, что административным правонарушением признается противоправное, виновное действие (бездействие) физического или юридического лица, за которое КоАП РФ установлена административная ответственность (ч. 1 ст. 2.1 КоАП РФ). Юридические лица подлежат административной ответственности за совершение административных правонарушений в случаях, предусмотренных статьями разд. II КоАП РФ или законами субъектов РФ об административных правонарушениях (ч. 1 ст. 2.10 КоАП РФ). Юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него была возможность соблюдения правил и норм, за нарушение которых КоАП РФ или законами субъекта РФ предусмотрена административная ответственность, но оно не приняло все зависящие от него меры по их соблюдению (ч. 2 ст. 2.1 КоАП РФ).

Согласно ст. 2.4 КоАП РФ административной ответственности подлежит должностное лицо в случае совершения им административного правонарушения в связи с неисполнением либо ненадлежащим исполнением своих служебных обязанностей. Под должностным лицом понимается лицо, постоянно, временно или в соответствии со специальными полномочиями осуществляющее функции представителя власти, то есть наделенное в установленном законом порядке распорядительными полномочиями в отношении лиц, не находящихся в служебной зависимости от него, а равно лицо, выполняющее организационно-распорядительные или административно-хозяйственные функции в государственных органах, органах местного самоуправления, государственных и муниципальных организациях, а также в Вооруженных Силах РФ, других войсках и воинских формированиях РФ.

Необходимо отметить, что до вступления в силу изменений, внесенных в КоАП РФ Федеральным законом № 13-ФЗ, максимальный размер штрафа за нарушение требований законодательства РФ о персональных данных для юридических лиц составлял 10 000 руб. При этом данная редакция ст. 13.11 КоАП РФ не позволяла в полной мере обеспечить эффективную защиту прав и интересов субъектов персональных данных, соблюдение принципа неотвратимости наказания за совершенное правонарушение в области персональных данных. Кроме того, состав данной статьи не учитывал тяжесть негативных последствий совершенных правонарушений.

В целях повышения эффективности реализации мер административной ответственности в области персональных данных Федеральным законом № 13-ФЗ дифференцированы составы административных правонарушений в области персональных данных с учетом ущерба, причиненного нарушением, путем изменения действующей редакции ст. 13.11 КоАП РФ и установлены дополнительные составы административных правонарушений в области персональных данных.

Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо их обработка, несовместимая с целями сбора персональных данных.

Согласно ст. 3 Закона о персональных данных под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (их распространение, предоставление, доступ к ним), обезличивание, блокирование, удаление и уничтожение.

Заметим, что государственный орган обязан утвердить правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований. Так, порядок обработки персональных данных в центральном аппарате Минобороны утвержден Приказом Минобороны РФ от 16.06.2012 № 1500.

На основании ч. 1 ст. 13.11 КоАП РФ (в редакции, вступающей в силу 01.07.2017) обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями их сбора, за исключением случаев, определенных ч. 2 данной статьи, если эти действия не содержат уголовно наказуемого деяния, влечет предупреждение или наложение административного штрафа:

  • на граждан – в размере от 1 000 до 3 000 руб.;
  • на должностных лиц – от 5 000 до 10 000 руб.;
  • на юридических лиц – от 30 000 до 50 000 руб.

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на их обработку.

Статьей 9 Закона о персональных данных предусмотрено, что субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.

Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт получения такого согласия форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта проверяются оператором.

В соответствии со ст. 7 Закона о персональных данных операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта, если иное не предусмотрено данным законом.

Согласно ч. 8 ст. 9 Закона о персональных данных персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в п. 2 – 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных.

Исходя из ч. 2 ст. 13.11 КоАП РФ (в редакции, которая вступит в силу 01.07.2017) обработка персональных данных без согласия в письменной форме субъекта персональных данных на их обработку в случае, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта на обработку его персональных данных, влечет наложение административного штрафа:

  • на граждан – в размере от 3 000 до 5 000 руб.;
  • на должностных лиц – от 10 000 до 20 000 руб.;
  • на юридических лиц – от 15 000 до 75 000 руб.

Невыполнение обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику учреждения силовых ведомств в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных.

Напомним, что в силу ст. 3 Закона о персональных данных оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В соответствии с ч. 2 ст. 18.1 Закона о персональных данных оператор обязан опубликовать документ, определяющий его политику в отношении обработки персональных данных, сведения о реализуемых требованиях о защите персональных данных или иным образом обеспечить неограниченный доступ к ним. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Невыполнение оператором обязанности по опубликованию документа, определяющего политику оператора в отношении обработки персональных данных, или сведений о реализуемых требованиях к защите персональных данных или обеспечению иным образом неограниченного доступа к ним влечет предупреждение или наложение административного штрафа (ч. 3 ст. 13.11 КоАП РФ (вступает в силу 01.07.2017)):

  • на граждан – в размере от 700 до 1 000 руб.;
  • на должностных лиц – от 3 000 до 6 000 руб.;
  • на юридических лиц – от 15 000 до 30 000 руб.

Невыполнение обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.

Согласно ч. 7 ст. 14 Закона о персональных данных субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые оператором способы обработки персональных данных;
  • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;
  • информацию об осуществленной или предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если их обработка поручена или будет поручена такому лицу;
  • иные сведения.

При этом ч. 8 ст. 14 Закона о персональных данных предусмотрены случаи, когда право субъекта персональных данных на доступ к его персональным данным может быть ограничено.

В соответствии со ст. 20 Закона о персональных данных оператор обязан сообщить в порядке, предусмотренном ст. 14 закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта или его представителя либо в течение 30 дней с даты получения запроса субъекта или его представителя.

Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, влечет предупреждение или наложение административного штрафа (ч. 4 ст. 13.11 КоАП РФ):

  • на граждан – в размере от 1 000 до 2 000 руб.;
  • на должностных лиц – от 4 000 до 6 000 руб.;
  • на индивидуальных предпринимателей – от 10 000 до 15 000 руб.;
  • на юридических лиц – от 20 000 до 40 000 руб.

Несоблюдение сроков выполнения требований по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении.

Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных установлены в ст. 21 Закона о персональных данных. Так, в силу ч. 1 этой статьи в случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан заблокировать персональные данные, относящиеся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.При этом в случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

Невыполнение оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, приведет к предупреждению или наложению административного штрафа (ч. 5 ст. 13.11 КоАП РФ, которая начнет действовать 01.07.2017):

  • на граждан – в размере от 1 000 до 2 000 руб.;
  • на должностных лиц – от 4 000 до 10 000 руб.;
  • на юридических лиц – от 25 000 до 45 000 руб.

Невыполнение требований о сохранности персональных данных при их обработке без использования средств автоматизации.

Напомним, что особенности обработки персональных данных, осуществляемой без использования средств автоматизации, установлены Положением, утвержденным Постановлением Правительства РФ от 15.09.2008 № 687. В силу п. 13 указанного положения обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

В соответствии с ч. 6 ст. 13.11 КоАП РФ (вступает в силу 01.07.2017) невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный доступ к ним, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния влечет наложение административного штрафа:

  • на граждан – в размере от 700 до 2 000 руб.;
  • на должностных лиц – от 4 000 до 10 000 руб.;
  • на юридических лиц – от 25 000 до 50 000 руб.

Невыполнение государственным органом обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по их обезличиванию. Совершение данного деяния чревато предупреждением или наложением на должностных лиц административного штрафа в размере от 3 000 до 6 000 руб. (ч. 7 ст. 13.11 КоАП РФ, вступает в силу 01.07.2017).

В соответствии со ст. 3 Закона о персональных данных под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. При этом обезличивание персональных данных должно обеспечивать не только их защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.

Требования и методы по обезличиванию персональных данных приведены в Приказе Роскомнадзора от 05.09.2013 № 996.

Итак, мы смогли убедиться, что в соответствии с изменениями, внесенными в КоАП РФ Федеральным законом № 13-ФЗ, с 01.07.2017 в целях повышения эффективности реализации мер административной ответственности в области персональных данных дифференцируются составы административных правонарушений в области персональных данных с учетом ущерба, причиненного нарушением, путем изменения действующей редакции ст. 13.11 КоАП РФ и устанавливаются дополнительные составы административных правонарушений в области персональных данных.

[1] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».