Ужесточили ответственность за нарушение законодательства о персональных данных

| статьи | печать

С 1 июля 2017 года вступили в силу поправки в Кодекс РФ об административных правонарушениях, внесенные Федеральным законом от 07.02.2017 № 13-ФЗ, ужесточающие ответственность за нарушение порядка обработки персональных данных. Рассмотрим суть новшеств.

Размер штрафа

Целью поправок является дифференциация составов административных правонарушений в области персональных данных с учетом ущерба, причиненного нарушением. Кроме того, полномочия по возбуждению дел данной категории предоставлены органам Роскомнадзора, в то время как ранее такими полномочиями обладала только прокуратура.

При этом законом не предусмотрено возложение на операторов персональных данных новых обязанностей и/или изменение содержания существующих обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных.

Суть поправок заключается в ужесточении ответственности за нарушение порядка обращения персональных данных.

С 1 июля 2017 года размер максимального штрафа для юридических лиц вырос с 10 000 до 75 000 руб. При этом вырос и порог минимально возможного штрафа для юридических лиц с 5000 до 15 000 руб. Как отмечается в пояснительной записке к законопроекту «К проекту Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», «составы коррелируются с типовыми нарушениями, которые чаще всего выявляются Роскомнадзором в ходе контрольно-надзорной деятельности».

Самый высокий штраф предусмотрен за обработку персональных данных без письменного согласия субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, либо в случае, если обработка персональных данных происходит с нарушением установленных законодательством РФ требований к составу сведений, включаемых в письменное согласие субъекта персональных данных на обработку его персональных данных.

Помимо возросшего штрафа, новая редакция ст. 13.11 КоАП РФ теперь предусматривает семь различных составов административного правонарушения в области защиты персональных данных вместо одного общего состава, предусмотренного предыдущей редакцией.

Интересно отметить, что на этапе рассмотрения законопроекта разработчиками предлагалось восемь составов административного правонарушения в данной сфере, однако один из них – обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости, – был в последующем исключен.

За что штрафуют?

Новая редакция ст. 13.11 КоАП РФ, по сути, не только пересматривает размер штрафа (он, безусловно, стал более существенным), но и вводит новую систему составов административных правонарушений.

До 1 июля 2017 года ст. 13.11 КоАП РФ предусматривала ответственность даже за незначительное правонарушение, не повлекшее существенных негативных последствий. Таковыми могли являться, например, нарушения, связанные с хранением материальных носителей, содержащих персональные данные (п. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 № 687).

Теперь же к административной ответственности оператора привлекут только в случае наступления неблагоприятных последствий, связанных с невыполнением условий, обеспечивающих сохранность данных при хранении материальных носителей. В качестве примеров неблагоприятных последствий ч. 6 ст. 13.11 КоАП РФ называет неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение.

В таблице указаны новые составы административных правонарушений, а также примеры норм законодательства, нарушение которых влечет административную ответственность по ст. 13.11 КоАП РФ.

Рекомендации для бизнеса

В связи с вышеизложенным еще раз напомним об основных правилах обращения с персональными данными.

Персональные данные – это любая информация, прямо или косвенно относящаяся к определенному физическому лицу, а их обработка – это любое действие, совершаемое с персональными данными.

Обработка персональных данных всегда должна ограничиваться достижением конкретных, заранее определенных и законных целей. При обработке персональных данных нужно обеспечить точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

При сборе персональных данных, в том числе посредством сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Часть ст. 13.11 КоАП РФ

Состав административного правонарушения1

Ответственность

Норма законодательства (примеры)

Часть 1

Обработка персональных данных2 в случаях, не предусмотренных законодательством РФ в области ПД либо обработка ПД, несовместимая с целями сбора ПД

ПРЕДУПРЕЖДЕНИЕ ИЛИ ШТРАФ

–для граждан – от 1000 до 3000 руб.

–для должностных лиц3 – от 5000 до 10 000 руб.

–для юридических лиц – от 30 000 до 50 000 руб.

Часть 2 ст. 5 Закона «О персональных данных»

Статья 10 Закона «О персональных данных»

Статья 11 Закона «О персональных данных»

Часть 2

Обработка ПД без согласия в письменной форме субъекта ПД на обработку его ПД в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ либо обработка ПД с нарушением установленных законодательством РФ требований к составу сведений, включаемых в письменное согласие субъекта ПД на обработку его ПД

ШТРАФ

– для граждан – от 3000 до 5000 руб.

– для должностных лиц – от 10 000 до 20 000 руб.

– для юридических лиц – от 15 000 до 75 000 руб.

Пункт 1 ч. 1 ст. 6 Закона «О персональных данных»

Статья 7 Закона «О персональных данных»

Часть 1 ст. 8 Закона «О персональных данных»

Статья 9 Закона «О персональных данных»

Пункт 3 ст. 86 ТК РФ

Статья 88 ТК РФ

Часть 3

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПД, или сведениям о реализуемых требованиях к защите ПД

ПРЕДУПРЕЖДЕНИЕ ИЛИ ШТРАФ

–для граждан – от 700 до 1500 руб.

–для должностных лиц – от 3000 до 6000 руб.

–для индивидуальных предпринимателей – от 5000 до 10 000 руб.

–для юридических лиц – от 15 000 до 30 000 руб.

Часть 2 ст. 18.1 Закона «О персональных данных»

Часть 4

Невыполнение оператором обязанности по предоставлению субъекту ПД информации, касающейся обработки его ПД

ПРЕДУПРЕЖДЕНИЕ ИЛИ ШТРАФ

– для граждан – от 1000 до 2000 руб.

– для должностных лиц – от 4000 до 6000 руб.

– для индивидуальных предпринимателей – от 10 000 до 15 000 руб.

– для юридических лиц – от 20 000 до 40 000 руб.

Статья 14 Закона «О персональных данных»

Статья 20 Закона «О персональных данных»

Часть 5

Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта ПД или его представителя либо уполномоченного органа по защите прав субъектов ПД об уточнении ПД, их блокировании или уничтожении в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки

ПРЕДУПРЕЖДЕНИЕ ИЛИ ШТРАФ

– для граждан – от 1000 до 2000 руб.

– для должностных лиц – от 4000 до 10 000 руб.

– для индивидуальных предпринимателей – от 10 000 до 20 000 руб.

– для юридических лиц – от 25 000 до 45 000 руб.

Статья 21 Закона «О персональных данных»

Часть 6

Невыполнение оператором при обработке ПД без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность ПД при хранении материальных носителей ПД и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к ПД, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении ПД

ШТРАФ

– для граждан – от 700 до 2000 руб.

– для должностных лиц – от 4000 до 10 000 руб.

– для индивидуальных предпринимателей – от 10 000 до 20 000 руб.

– для юридических лиц – от 25 000 до 50 000 руб.

Пункт 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации

Часть 7

Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ в области ПД обязанности по обезличиванию ПД либо несоблюдение установленных требований или методов по обезличиванию ПД

ПРЕДУПРЕЖДЕНИЕ ИЛИ ШТРАФ

– для должностных лиц – от 3000 до 6000 руб.

Приказ Роскомнадзора от 05.09.2013 «Об утверждении требований и методов по обезличиванию персональных данных»

1 Для удобства изложения и восприятия информации в таблице указана только суть состава административного правонарушения (кратко).

2 Далее в таблице – ПД.

3 Напомним, что индивидуальные предприниматели несут ответственность как должностные лица, если КоАП РФ не предусмотрено иное (примечание к ст. 2.4 КоАП РФ). Ввиду того что ч. 1 и 2 ст. 13.11 КоАП РФ не предусматривают отдельного штрафа для индивидуальных предпринимателей, размер штрафа для последних равен размеру штрафа для должностных лиц.