Нарушения по персональным данным, за которые с 1 июля 2017 новые штрафы
Содержание:
- Согласие на обработку персональных данных
- Внешняя и внутренняя защита персональных данных
- Ответственность за нарушение персональной тайны
- Нарушение первое
- Комментарии к ст. 13.11 КОАП РФ
- Судебная практика
- Нарушение пятое
- Персональные данные не будут переданы третьим лицам
- Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных
- Куда обращаться если ваши персональные данные были распространены без согласия
Согласие на обработку персональных данных
В соответствии со ст. 9 закона «О персональных…» от 27.07.2006 № 152-ФЗ субъект персональных данных самостоятельно принимает решение о предоставлении права на обработку и использование этой информации третьими лицами. Согласие оформляется в письменном виде (а если данные передаются через интернет, в электронном).
Сторона, получающая личные сведения, обязана:
- заручиться согласием их владельца на обработку и использование;
- обеспечивать конфиденциальность;
- хранить документ, подтверждающий, что владелец разрешил работать с ними.
Нарушение этих требований влечет за собой применение к оператору персональных данных мер ответственности.
Внешняя и внутренняя защита персональных данных
Угрозы для хранящихся персональных данных, условно, можно разделить на внешние и внутренние.
Если говорить о защите от внешних угроз, то в локальных актах имеет смысл прописать особый режим доступа в помещения, где хранится информация, содержащая персональные данные. В частности, можно предусмотреть пропускной режим и контроль за посетителями офиса.
Что же касается внутренней защиты, то целесообразно регламентировать состав работников, обязанности которых требуют доступа к персональным данным. Конкретный перечень работников и случаи получения информации следует утвердить приказом или распоряжением (в котором оговорить, что, например, юристы компании могут получать персональные данные для оформления доверенностей).
Ответственность за нарушение персональной тайны
Правонарушения, связанные с нарушением обработки персональных данных, до первого июля 2017 карались в виде административной и гражданско-правовой ответственности. Наказания были минимальными. В случае правонарушения накладывали штрафы за нарушение персональных данных в размере 1000 рублей для физического лица, и 10 000 руб. — для предприятия.
Теперь последствия за нарушение персональных данных намного серьезней. Нынешний вариант закона предусматривает следующие нарушения со стороны организаций:
- Отсутствие публикации, связанной с политикой обработки личной информации. Правонарушение карается штрафом в размере от пятнадцати до тридцати тысячи рублей.
- Обработка информации без получения письменного разрешения. В этом случае нарушителю сулит штраф от пятнадцати до семидесяти тысяч рублей.
- Обработка личной информации в случаях, когда она не предусмотрена законодательно. Размер штрафа составляет от тридцати до пятидесяти тысяч рублей.
Наказания за нарушение персональных данных различные. Нарушителя можно привлечь к административной, дисциплинарной или уголовной ответственности. С него также есть возможность взыскать средства в качестве компенсации за нанесенный моральный ущерб.
Главное, действовать решительно. Если права гражданина нарушены, необходимо решать проблему на законных основаниях. Существует эффективный инструментарий, чтобы наказать злоумышленника, разгласившего личную информацию.
Нарушение первое
Часть 1 статьи 13.11 КоАП РФ гласит: «Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, — влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от тридцати тысяч до пятидесяти тысяч рублей».
Условно здесь содержится два разных нарушения:
- обработка персональных данных в случаях, не предусмотренных законодательством;
- обработка персональных данных, несовместимая с целями сбора персональных данных.
Эти нормы отсылают нас к статьям 5 и 6 ФЗ «О персональных данных».
Статья 6 содержит исключительный перечень случаев, когда мы вообще можем обрабатывать персональные данные, а статья 5 определяет принципы обработки и содержит требование об обработке персональных данных в соответствии с установленными целями. Соответствие целям обработки всегда вызывало немало трудностей у операторов и большинство актов по результатам плановых проверок содержало в себе нарушение той или иной части статьи 5. Это и проблемы с составом личного дела работников, и сбор излишних данных с соискателей или клиентов, и обработка персональных данных после достижения цели обработки, и еще сотни и сотни других случаев обработки с нарушением требований статьи 5. Такие нарушения всегда пользовались популярностью у контролирующего органа и после вступления в силу поправок в КоАП своей популярности не утратят.
Что касается статьи 6 ФЗ «О персональных данных», то она устанавливает довольно простые для понимания и весьма сложные для выполнения требования. Она содержит одиннадцать случаев, в которых допускается обработка персональных данных. Самые популярные случаи:
«1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем».
Возьмем простой пример. Потенциальный заемщик пришел в банк для получения кредита. Прежде всего, сотрудники банка просят его заполнить заявку на кредит. В ней, помимо своих данных, он заполняет данные, например, своей супруги (ФИО, дата и место рождения, контактный телефон, адрес места жительства, место работы, уровень заработной платы и т. д.). Счастливый банковский сотрудник принимает эту заявку, и с этого момента банк начинает процесс обработки персональных данных. Причем не только вероятного заемщика, но и его супруги. Чтобы понять, есть ли здесь нарушение требований законодательства или нет, нужно ответить на ряд вопросов: к какому из перечисленных в статье 6 ФЗ «О персональных данных» случаев относится обработка персональных данных супруги заемщика? У вас есть согласие супруги на обработку ее персональных данных? У вас есть закон, дающий вам право или обязывающий вас обрабатывать эту информацию? У вас есть договор с супругой? Или, может быть, она является поручителем или выгодоприобретателем по какому-то другому договору?
Конечно, нужно задать еще десяток уточняющих вопросов. И, конечно, все будет зависеть от ответов. Но в целом проблема ясна. При работе с персональными данными необходимо внимательно относиться к принципам и условиям обработки персональных данных. Их несоблюдение с 1 июля 2017 года может повлечь нарушение части 1 статьи 13.11 КоАП РФ.
Комментарии к ст. 13.11 КОАП РФ
1. Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных» информация о гражданах (персональные данные) определяется как любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ч. 1 ст. 3 указанного Закона). Свойства данной информации — обеспечивать идентификацию конкретного лица — предопределяют отнесение ее к категории конфиденциальной, т.е. информации с ограниченным доступом. Обеспечения конфиденциальности персональных данных не требуется в случае обезличивания персональных данных (для статистических или иных научных целей), а также в отношении общедоступных персональных данных (ч. 3 ст. 6, ст. 7). Указанный режим персональной информации обусловливает необходимость правовой защиты ее конфиденциальной части.
Такая защита обеспечивается в первую очередь путем установления конституционного запрета осуществлять сбор, хранение, использование и распространение информации о частной жизни лица без его согласия, а также требованием судебного решения для ограничения тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (ст. ст. 23 и 24 Конституции РФ). Статьей 19 Конституции РФ запрещаются также любые формы ограничения прав граждан по признакам социальной, расовой, национальной, языковой или религиозной принадлежности.
Федеральный закон » О персональных данных» рассматривает согласие субъекта персональных данных на обработку сведений о его частной жизни в числе одного из принципов правового регулирования отношений в сфере информации, информационных технологий и защиты информации, включая информацию персонального характера.
Из данного основополагающего принципа согласия могут иметь место исключения, предусмотренные в законодательном порядке, в том числе в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством РФ о безопасности, оперативно-розыскной деятельности, государственной службе, уголовно-исполнительным законодательством РФ, законодательством РФ о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, а также в случаях, связанных с медицинскими и медико-профилактическими целями (п. п. 2 — 7 ч. 2 и ч. 3 ст. 10, ч. 2 ст. 11, п. п. 2 — 5 ч. 3 ст. 12 Федерального закона «О персональных данных»).
2. Комментируемая статья закрепляет в качестве основания применения административной ответственности нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Упомянутый Федеральный закон регулирует данный порядок, устанавливая принципы и условия обработки персональных данных (ст. 5, ч. 1 ст. 6; ст. ст. 9 — 13), обеспечивающие, в том числе порядок реализации права субъекта данных на согласие; порядок осуществления иных прав субъекта персональных данных, включая право на доступ субъекта к своим персональным данным (ст. 14); права субъекта данных при обработке его персональных данных (ст. ст. 15 — 16); право на обжалование действий или бездействия оператора (ст. 17); обязанности оператора по обработке персональных данных (ст. ст. 18 — 22).
3. Объектами административных правонарушений являются общественные отношения, складывающиеся в области защиты информации. Объективная сторона правонарушений состоит в нарушении норм федерального законодательства, регулирующих вопросы работы с информацией о гражданах (персональными данными).
4
Субъектами правонарушений могут быть граждане, должностные, юридические лица, умышленно или по неосторожности допускающие указанные нарушения
Законодательство РФ устанавливает обязанности представителей определенных профессий (врачей, адвокатов, нотариусов и др.) по сохранению в тайне полученной информации и указывает на уголовную, гражданскую и административную ответственность за разглашение таких сведений. УК РФ и ГК РФ предусматривают такую ответственность (см. ст. ст. 137, 138, 155 УК РФ, ст. 152 ГК РФ).
Помимо комментируемой статьи, КоАП РФ предусматривает также ответственность граждан и должностных лиц за нарушение правил защиты информации (ст. 13.12), за разглашение информации с ограниченным доступом (ст. 13.14), а также ответственность должностных лиц за отказ в предоставлении информации (ст. 5.39).
5. Дела о правонарушениях, предусмотренных комментируемой статьей, возбуждаются прокурорами (ч. 1 ст. 28.4) и рассматриваются судьями (ч. 1 ст. 23.1).
Судебная практика
К 2020 году число преступлений против личной неприкосновенности значительно возросло. Чего только стоят виртуальные недоброжелатели или недобросовестные предприниматели, которые, к примеру, продают информацию о долгах и жизни клиентов коллекторам.
Серьезный протест и неприятие получило введение нового закона, согласно которому государство имеет право следить за личной перепиской или звонками каждого гражданина своей страны.
Тотальный контроль такого характера непонятен многим. Ведь государство должно являться гарантом прав и свобод, закрепленных в Конституции РФ, а не нарушать их.
Сложность квалификации уголовного деяния заключается в том, что некоторые профессии, в частности, журналисты имеют право, прописанное специальном законе, разглашать личные данные.
При этом такое разглашение должно быть осуществлено в рамках общественных интересов. Где грань между интересами общества и нарушением закона – непонятно.
Как правило, в судах такие дела заканчиваются примирением. Если же этого не происходит чаще в качестве меры наказания применяются денежные взыскания.
Однако, в ситуациях, которые кстати сегодня широко распространены, когда обвиняемый выкладывает в общем доступе в Интернете интимные видео или фото своих бывших подруг, используются принудительные или исправительные работы. Ч.1 ст. 137 УК РФ рассматриваться будет в мировом суде.
Персональные данные — предмет, который хоть и не имеет точной материальной ценности, но защищается государством в полной мере.
Очень жаль, что многие не понимают, что, распуская сплетни или намеренно передавая или даже продавая сведения о личной жизни других людей, они нарушают гарантированные права и свободы, ущемляют безопасность окружающих и порождают ненужные конфликты.
Нарушение пятое
Часть 5 статьи 13.11. КоАП РФ устанавливает: «Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, — влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до сорока пяти тысяч рублей».
Статья 21 ФЗ «О персональных данных» устанавливает различные сроки, в которые оператор по требованию субъекта обязан обеспечивать блокирование, удаление или уточнение персональных данных, если они являются неполными, неточными, незаконно полученными и т. д. На наш взгляд, нарушение данной обязанности оператора будет довольно частым, так как уже сейчас существенная часть жалоб субъектов персональных данных в уполномоченный орган приходится на кредитные организации и коллекторов именно по поводу того, что субъекты требуют от операторов прекратить обработку их персональных данных, а операторы, в свою очередь, игнорируют эти запросы.
Персональные данные не будут переданы третьим лицам
Так, обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных (ст. 15 ФЗ от 27.07.
2006 № 152-ФЗ «О персональных данных»). Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных лишь в том случае, если оператор (хозяйствующий субъект) не докажет, что такое согласие было им получено в установленном порядке.
Как уже было сказано выше получение согласия субъекта на обработку персональных данных не требуется, если это непосредственно связано с исполнением и (или) заключением договора. Очевидно, что достижение маркетинговых целей юридического лица не связано с исполнением обязательств по договору.
Передача персональных данных третьим лицам
Любая деятельность, связанная с этими операциями в отношении персональных данных, должна осуществляться с соблюдением требований законодательства. А в случае несоблюдения таких требований нарушитель может быть привлечен к административной ответственности.
Наиболее широко персональные данные физических лиц используются кредитными организациями, в отношениях с которыми физические лица выступают потребителями предлагаемых экономических продуктов. При этом существует сразу несколько возможных нарушений требований законодательства о защите персональных данных со стороны кредитных организаций.
Первой группой нарушений является использование персональных данных физических лиц кредитными организациями при заключении ими договоров с так называемыми «коллекторами».
Меры по защите персональных даных сотрудников
Зачастую применение мер ответственности также осложняется спецификой общественных отношений, в рамках которых было совершено нарушение норм действующего законодательства.
С учетом специфики экономической деятельности объектом административного правонарушения, как правило, становятся охраняемые законом персональные данные физического лица.
При этом защита персональных данных чаще всего осуществляется в рамках общественных отношений, в которых физическое лицо выступает в качестве более слабой (с правовой точки зрения) стороны, а потому нуждается в существенной правовой поддержке со стороны законодателя.
Защита персональных данных физических лиц регулируется положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
При этом такая защита подразумевается и имеет особо важное значение при осуществлении с такими данными следующих операций: хранение, обработка и передача
Имеет ли право ук передавать мои персональные данные третьим лицам?
Поэтому компаниям важно не только тщательно отслеживать актуальные изменения законодательства, но и анализировать подходы судебных органов, чтобы избежать ответственности за нарушение требований о защите персональных данных. Для передачи персональных данных клиента нужно его прямое письменное согласие Общие правила привлечения юридического лица к административной ответственности установлены в КоАП РФ
Для передачи персональных данных клиента нужно его прямое письменное согласие Общие правила привлечения юридического лица к административной ответственности установлены в КоАП РФ.
Однако особенностью данного вида ответственности является необходимость полного установления фактических обстоятельства дела в момент принятия решения о привлечении к ответственности или об отказе в привлечении.
То есть уполномоченный орган должен не только соблюсти порядок привлечения лица к ответственности, но и установить весь объем обстоятельств, который позволил бы установить виновность именно данного лица в совершении правонарушения.
Analytics publications
Однако законодатель предусмотрел ряд случаев, в которых такая передача возможна и без согласия заемщика.
В частности, оператор вправе проводить обработку персональных данных без согласия физического лица, если такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (физическое лицо).
Также исключением являются случаи, в которых обработка персональных данных без согласия субъекта необходима для осуществления прав и законных интересов оператора (п. 5, 7 ст. 6; п. 2 ст. 9 ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных»).
Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных
С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст. 23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.
За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.
Дисциплинарная ответственность
Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).
Материальная ответственность
Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.
Административная ответственность
С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.
То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.
Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.
Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.
Уголовная ответственность
Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):
- штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
- либо обязательными работами на срок от 120 до 180 часов;
- либо исправительными работами на срок до одного года;
- либо арестом на срок до четырех месяцев.
Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):
- штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
- либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
- либо арестом на срок от четырех до шести месяцев.
Куда обращаться если ваши персональные данные были распространены без согласия
Чтобы наказать нарушителя, разгласившего личные сведения без вашего согласия, нужно написать жалобу о нарушении персональных данных в Роскомнадзор. Уполномоченный орган рассмотрит ее, и примет меры. Нарушитель будет наказан в соответствии с действующим законодательством Российской Федерации.
Дополнительно обратитесь в прокуратуру. Напишите заявление, в котором изложите обстоятельства случившегося. Желательно перед этим проконсультироваться с компетентным юристом, который поможет вам правильно написать заявление. Прокуратура рассмотрит обращение, и если в случившемся будет обнаружен состав преступления, виновные в разглашении ваших персональных сведений накажут.
Направить жалобу или заявление в соответствующие органы несложно. Это можно сделать либо по почте, либо через интернет, прямо на сайте органа надзора. Какой вариант выбрать решать вам. Мы рекомендуем направлять жалобы и заявления в письменном виде по почте в виде письма с уведомлением.