Данная компиляция материалов из открытых источников имеет целью сформировать у читателя наиболее полное представление об ответственности за различные правонарушения в области персональных данных.
Чем грозит несоответствие требованиям законодательства РФ в области ПДн
Федеральный закон № 152 и нормативно-правовые акты, развивающие его положения, обязывают оператора принять множество мер для построения системы защиты персональных данных, как организационного, так и инженерно-технического характера. За нарушение этих требований предусмотрена ответственность, весьма критичная для бизнеса.
Ответственность
В процессе своей деятельности любая организация осуществляет обработку как минимум тех персональных данных, которые касаются её работников. А значит, в соответствии с федеральным законом «О персональных данных», выступает в роли «оператора персональных данных» и выполняет «обработку персональных данных». Следовательно, она обязана соблюдать ряд требований, определённых российским законодательством.
Помимо ФЗ «О персональных данных», нормы о персональных данных содержатся в гражданском, трудовом, налоговом, семейном законодательстве. Такие данные могут охраняться и охраняются в настоящее время различными режимами ограниченного доступа, такими как государственная, коммерческая, профессиональная, врачебная, нотариальная, адвокатская, банковская, семейная тайна, тайна усыновления и т. д.
Множество нормативных актов РФ содержат весьма обширные, а иногда и противоречивые требования к обработке персональных данных и вызывают у большинства операторов сложности при реализации. Однако нарушение этих требований в области ПДн влечёт засобой гражданскую, уголовную, административную, дисциплинарную и иную ответственность.
Законодательством РФ предусмотрены различные санкции, которые могут быть наложены на организацию-оператора, её руководителей и должностных лиц. В числе таких санкций – административное приостановление деятельности; арест; дисциплинарная и материальная ответственность. Это могут быть исправительные работы, конфискация (несертифицированных средств защиты информации, в том числе основного оборудования и программного обеспечения информационных систем, используемых средств шифрования); лишение права занимать определённые должности или заниматься определённой деятельностью; лишение свободы на определённый срок. Могут быть приняты меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства. Могут быть направлены в органы прокуратуры и другие правоохранительные органы материалы для решения вопроса о возбуждении дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных. Может быть приостановлено действие лицензий, без которых деятельность по обработке персональных данных становится незаконной. Могут применяться штрафные санкции и в целом возможно привлечение к административной, гражданской и уголовной ответственности.
Преступлениями, влекущими за собой уголовную ответственность, являются, например, незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (ст. 137 УК РФ); неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 УК РФ); неправомерный доступ к охраняемым законом компьютерным данным, т. е. информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети (ст. 272 УК РФ).
В статье 17 ФЗ РФ «Об информации, информационных технологиях и о защите информации»предусмотрено, что лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, могут обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.
Статья 90 ТК РФ предусматривает ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника в виде дисциплинарной, материальной административной, гражданско-правовой и уголовной ответственности. Однако, как показывает практика, чаще всего операторы, нарушающие законодательство, привлекаются к административной ответственности.
На настоящий момент административная ответственность для операторов предусмотрена за следующие виды нарушений: нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11 КоАП РФ); нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (ст. 13.12 КоАП РФ); использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (ст. 13.12 КоАП РФ); грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (ст. 13.12 КоАП РФ); занятие видами деятельности в области защиты информации без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с ФЗ обязательно (обязательна) (ст. 13.13 КоАП РФ).
Согласно статье 5.27 КоАП РФ, нарушение законодательства о труде и об охране труда влечёт наложение административного штрафа на должностных лиц или административное приостановление деятельности на срок до девяноста суток.
Согласно статье 5.39 КоАП РФ, неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации влечёт наложение административного штрафа.
Все о надзоре
С целью предупреждения, выявления и пресечения нарушений государственный контроль и надзор за соблюдением законодательства и иных нормативных правовых актов, содержащих нормы о персональных данных осуществляют Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Федеральная служба по труду и занятости (Роструд), Федеральная служба по техническому и экспортному контролю (ФСТЭК России), Федеральная служба безопасности РФ (ФСБ России) в рамках своих полномочий.
Отношения в области организации и осуществления государственного контроля и надзора регулируются Федеральным законом от 26.12.08 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», который является обязательным для всех без исключения органов государственного контроля (надзора), и устанавливает порядок проведения проверок, а также административными регламентами надзорных органов, которые разрабатываются на основании и в соответствии с этим законом. Также Приказом Минэкономразвития России от 30.04.09 № 141 «О реализации положений Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»» утверждены типовые формы документов, применяемых при проведении проверок.
Закон определяет порядок проведения, виды и сроки мероприятий по контролю, порядок оформления их результатов, а также процедуры взаимодействия органов государственного и муниципального контроля при организации и проведении проверок. Предусмотрены плановые и внеплановые проверки, которые могут осуществляться в виде документарной проверки или выездной.
Предметом плановых проверок является соблюдение субъектом предпринимательства в процессе осуществления своей деятельности обязательных требований. Плановые проверки проводятся только в соответствии с принятым ежегодным планом проведения проверок. До сведения заинтересованных лиц его доводят, размещая на официальных сайтах органов власти либо иным доступным способом. Срок проведения каждой из проверок не может превышать 20 рабочих дней, за исключением субъектов малого предпринимательства, где общий срок проведения плановой выездной проверки не может превышать 50 часов для малого предприятия и 15 часов для микропредприятия в год. В исключительных случаях общий срок для всех субъектов предпринимательства может быть увеличен, но только на определённый законом срок.
Предметом внеплановых проверок, помимо соблюдения предпринимателями обязательных требований, является проведение мероприятий по предотвращению причинения вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, по обеспечению безопасности государства, по предупреждению возникновения чрезвычайных ситуаций природного и техногенного характера, по ликвидации последствий причинения такого вреда.
По результатам каждой проверки должностными лицами органа государственного контроля (надзора), органа муниципального контроля, проводящими проверку, составляется акт установленной формы в двух экземплярах.
Информация о порядке проведения проверок, в том числе план их проведения, предоставляется на официальных сайтах проверяющих органов, а также в сводном плане проверок на сайте прокуратуры.
Роструд
Органами Роструда порядок обработки персональных данных может проверяться в рамках проверок соблюдения трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права.
При проведении проверки инспектор по труду вправе проверить соблюдение работодателем правильности отнесения той или иной информации о работнике к персональным данным, правила сбора и хранения такой информации, а также доступ к ней третьих лиц. Также проверяется соблюдение требований, предъявляемых к обработке персональных данных работника, и гарантии их защиты, установленные главой 14 ТК РФ.
Деятельность Роструда по осуществлению надзора и контроля за соблюдением трудового законодательства, включая права должностных лиц, уполномоченных на проведение надзора и контроля в установленной сфере деятельности, а также требования к её осуществлению и порядок проведения инспекционных проверок, подчиняются строгому регламенту. Он установлен Положением о Федеральной службе по труду и занятости, утверждённым Постановлением Правительства РФ от 30.06.04 № 324, Приказом Роструда от 03.06.09 № 127 «О мерах по реализации положений Федерального закона от 26.12.08 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (вместе с «Методическими рекомендациями по применению положений Федерального закона от 26.12.08 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»» при осуществлении надзора и контроля за соблюдением трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права»), Трудовым кодексом РФ, ратифицированными РФ конвенциями Международной организации труда по вопросам инспекции труда, иными федеральными законами, а также решениями Правительства РФ.
Так как ФЗ от 27.12.09 № 365-ФЗ отложил введение в действие ФЗ № 294-ФЗ для Роструда до 1 января 2011 года, порядок инспектирования работодателей пока определяется статьёй 360 ТК РФ, а значит, инспектор имеет право беспрепятственного допуска на любое рабочее место в любое время суток, при этом он может и не уведомлять работодателя о предстоящей проверке.
Роскомнадзор
Как уполномоченный орган по защите прав субъектов персональных данных, а также контролю и надзору за соответствием обработки персональных данных требованиям законодательства, Роскомнадзор осуществляет плановые проверки, а также внеплановые проверки по заявлениям и обращениям физических и юридических лиц, контролю предписаний об устранении нарушений.
На основании ФЗ № 294 Приказом Роскомнадзора от 01.12.09 № 630 утверждён «Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных». Он определяет сроки и последовательность административных процедур, а также порядок взаимодействия с операторами персональных данных в рамках проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных.
В ходе проведения проверки Роскомнадзор может обследовать информационные системы ПДн в части, касающейся персональных данных субъектов этих данных, обрабатываемых в ней, а также рассматривать документы оператора. В их числе: уведомление об обработке персональных данных, поступившее от оператора; документы, необходимые для проверки фактов, содержащих признаки нарушения законодательства РФ в области персональных данных, изложенных в обращениях граждан и информации; документы, подтверждающие выполнение оператором предписаний об устранении ранее выявленных нарушений законодательства РФ; письменное согласие субъекта персональных данных на обработку его персональных данных; документы, подтверждающие соблюдение требований законодательства РФ при обработке специальных категорий и биометрических персональных данных; документы, регламентирующие порядок и условия трансграничной передачи персональных данных; документы, регламентирующие порядок обработки персональных данных, осуществляемой без использования средств автоматизации; документы, устанавливающие режим конфиденциальности при обработке персональных данных; документы, содержащие сведения, подтверждающие уничтожение оператором персональных данных субъектов этих данных по достижении цели обработки; локальные акты оператора, регламентирующие порядок и условия обработки персональных данных; документы об иной деятельности, связанной с обработкой персональных данных.
Также регламентом определён примерный перечень документов, запрашиваемых при документарной проверке: учредительные документы оператора; копия уведомления об обработке персональных данных; положение о порядке обработки персональных данных; положение о подразделении, осуществляющем функции по организации защиты персональных данных; должностные регламенты лиц, имеющих доступ и (или) осуществляющих обработку персональных данных; план мероприятий по защите персональных данных; план внутренних проверок состояния защиты персональных данных; приказ о назначении ответственных лиц по работе с персональными данными; типовые формы документов, предполагающие или допускающие содержание персональных данных; журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта этих данных на территорию, на которой находится оператор, или в иных аналогичных целях; договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных; выписки из Единого государственного реестра юридических лиц, содержащие актуальные данные на момент проведения проверки; приказы об утверждении мест хранения материальных носителей персональных данных; письменное согласие субъектов ПДн на обработку их персональных данных (типовая форма); распечатки электронных шаблонов полей, содержащие персональные данные; справки о постановке на балансовый учёт персональных компьютеров и иного оборудования, на котором осуществляется обработка персональных данных; заключения экспертизы ФСБ и ФСТЭК России об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке; приказ о создании комиссии и акты проведения классификации информационных систем персональных данных; журналы (книги) учёта обращений граждан; акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки); иные документы, отражающие исполнение оператором требований законодательства РФ в области персональных данных.
ФСБ и ФСТЭК России
Пунктом 3 статьи 19 ФЗ № 152 контроль и надзор за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационных системах ПДн, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, установленных Правительством РФ возлагается на ФСБ и ФСТЭК России, в пределах их полномочий.
ФСБ России является уполномоченным органом в области обеспечения безопасности РФ: при формировании и реализации государственной и научно-технической политики в области обеспечения информационной безопасности, в том числе с использованием инженерно-технических и криптографических средств; при обеспечении криптографическими и инженерно-техническими методами безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в РФ и её учреждениях, находящихся за пределами РФ.
Нормативно-правовое регулирование вопросов противодействия техническим разведкам и технической защиты информации осуществляет ФСТЭК России, на которую возложены функции в области государственной безопасности по вопросам: обеспечения безопасности информации в системах информационной и телекоммуникационной инфраструктуры; противодействия иностранным техническим разведкам на территории РФ; обеспечения защиты (некриптографическими методами) информации с ограниченным доступом, предотвращения её утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях её добывания, уничтожения, искажения и блокирования доступа к ней на территории РФ; защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств; осуществления экспортного контроля.
Федеральный закон № 152 и нормативно-правовые акты, развивающие его положения, обязывают оператора принять множество мер для построения системы защиты персональных данных, как организационного, так и инженерно-технического характера. Причём за нарушение этих требований предусмотрена ответственность, весьма критичная для бизнеса.
Как показывает практика, для большинства операторов построение корректной системы защиты персональных данных требует значительных финансовых, временн`ых и трудовых затрат и является весьма проблематичным. По этой причине перед ними часто возникает дилемма: использовать ресурсы собственных сотрудников или привлекать специальные компании, обладающие необходимыми лицензиями, штатом высококвалифицированных специалистов, опытом и знаниями с учётом специфичности требований федерального законодательства в области ПДн. В любом случае защиту персональных данных обеспечивать необходимо.
Автор: Евгения Заяц
Источник: cnews.ru
Постатейный разбор правонарушений в области персональных данных
Статья 24 Закона № 152-ФЗ
Статья 24 Закона № 152-ФЗ: «Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность».
Статья 13.11. КоАП РФ. Нарушение законодательства РФ в области персональных данных
Кодекс об административных правонарушениях. Раздел II. ОСОБЕННАЯ ЧАСТЬ. Глава 13. АДМИНИСТРАТИВНЫЕ ПРАВОНАРУШЕНИЯ В ОБЛАСТИ СВЯЗИ И ИНФОРМАЦИИ. Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных (С КОММЕНТАРИЕМ).
1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, –
влечет наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц – от десяти тысяч до двадцати тысяч рублей; на юридических лиц – от шестидесяти тысяч до ста тысяч рублей.
1.1. Повторное совершение административного правонарушения, предусмотренного частью 1 настоящей статьи, –
влечет наложение административного штрафа на граждан в размере от четырех тысяч до двенадцати тысяч рублей; на должностных лиц – от двадцати тысяч до пятидесяти тысяч рублей; на индивидуальных предпринимателей – от пятидесяти тысяч до ста тысяч рублей; на юридических лиц – от ста тысяч до трехсот тысяч рублей.
2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, –
влечет наложение административного штрафа на граждан в размере от шести тысяч до десяти тысяч рублей; на должностных лиц – от двадцати тысяч до сорока тысяч рублей; на юридических лиц – от тридцати тысяч до ста пятидесяти тысяч рублей.
2.1. Повторное совершение административного правонарушения, предусмотренного частью 2 настоящей статьи, –
влечет наложение административного штрафа на граждан в размере от десяти тысяч до двадцати тысяч рублей; на должностных лиц – от сорока тысяч до ста тысяч рублей; на индивидуальных предпринимателей – от ста тысяч до трехсот тысяч рублей; на юридических лиц – от трехсот тысяч до пятисот тысяч рублей.
3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных –
влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до трех тысяч рублей; на должностных лиц – от шести тысяч до двенадцати тысяч рублей; на индивидуальных предпринимателей – от десяти тысяч до двадцати тысяч рублей; на юридических лиц – от тридцати тысяч до шестидесяти тысяч рублей.
4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, –
влечет наложение административного штрафа на граждан в размере от двух тысяч до четырех тысяч рублей; на должностных лиц – от восьми тысяч до двенадцати тысяч рублей; на индивидуальных предпринимателей – от двадцати тысяч до тридцати тысяч рублей; на юридических лиц – от сорока тысяч до восьмидесяти тысяч рублей.
5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, –
влечет наложение административного штрафа на граждан в размере от двух тысяч до четырех тысяч рублей; на должностных лиц – от восьми тысяч до двадцати тысяч рублей; на индивидуальных предпринимателей – от двадцати тысяч до сорока тысяч рублей; на юридических лиц – от пятидесяти тысяч до девяноста тысяч рублей.
5.1. Повторное совершение административного правонарушения, предусмотренного частью 5 настоящей статьи, –
влечет наложение административного штрафа на граждан в размере от двадцати тысяч до тридцати тысяч рублей; на должностных лиц – от тридцати тысяч до пятидесяти тысяч рублей; на индивидуальных предпринимателей – от пятидесяти тысяч до ста тысяч рублей; на юридических лиц – от трехсот тысяч до пятисот тысяч рублей.
6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния –
влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до четырех тысяч рублей; на должностных лиц – от восьми тысяч до двадцати тысяч рублей; на индивидуальных предпринимателей – от двадцати тысяч до сорока тысяч рублей; на юридических лиц – от пятидесяти тысяч до ста тысяч рублей.
7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных –
влечет наложение административного штрафа на должностных лиц в размере от шести тысяч до двенадцати тысяч рублей.
8. Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети “Интернет”, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, –
влечет наложение административного штрафа на граждан в размере от тридцати тысяч до пятидесяти тысяч рублей; на должностных лиц – от ста тысяч до двухсот тысяч рублей; на юридических лиц – от одного миллиона до шести миллионов рублей.
9. Повторное совершение административного правонарушения, предусмотренного частью 8 настоящей статьи, –
влечет наложение административного штрафа на граждан в размере от пятидесяти тысяч до ста тысяч рублей; на должностных лиц – от пятисот тысяч до восьмисот тысяч рублей; на юридических лиц – от шести миллионов до восемнадцати миллионов рублей.
Примечание. За административные правонарушения, предусмотренные частями 8 и 9 настоящей статьи, статьями 13.31, 13.35 – 13.37, 13.39, 13.40 и 13.46 настоящего Кодекса, лица, осуществляющие предпринимательскую деятельность без образования юридического лица, несут административную ответственность как юридические лица.
Комментарии к ст. 13.11 КоАП РФ
Комментируемая ст. 13.11 КоАП РФ устанавливает административную ответственность за распространение информации о свободных рабочих местах или вакантных должностях, содержащей ограничения дискриминационного характера.
Отметим, что предыдущая редакция ст. 13.11 КоАП РФ устанавливала административную ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Новая редакция содержит семь составов административных правонарушений, дифференцированных по конкретным обязанностям оператора персональных данных, за неисполнение которых наступает административная ответственность.
Объектом правонарушения по ст. 13.11 КоАП РФ являются общественные отношения, связанные с интересом личности в информационной сфере. Дополнительным объектом являются правоотношения в сфере защиты информации. Непосредственным объектом правонарушения является право лица (субъекта персональных данных) на неприкосновенность частной жизни, личную и семейную тайну, а также право на защиту его персональных данных, закрепленное в Федеральном законе от 27.07.2006 N 152-ФЗ “О персональных данных” (далее – Закон N 152-ФЗ).
К персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Закона N 152-ФЗ).
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ).
С субъективной стороны правонарушения ч. ч. 1 и 2 могут быть совершены только умышленно, остальные правонарушения – как умышленно, так и по неосторожности.
Возбуждение дел об административных правонарушениях по ст. 13.11 с 1 июля 2017 года уполномочены осуществлять должностные лица Роскомнадзора.
Субъектом рассматриваемых правонарушений являются операторы персональных данных, их должностные лица. В роли операторов персональных данных могут выступать граждане, индивидуальные предприниматели, юридические лица, государственные и муниципальные органы. Субъектом правонарушения по ч. 7 ст. 13.11 КоАП РФ являются должностные лица государственных и муниципальных органов.
Текст комментария: Под общ. Л.В. Чистяковой “ПОСТАТЕЙНЫЙ КОММЕНТАРИЙ К КОДЕКСУ РФ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ. ЧАСТЬ ПЕРВАЯ. ГЛАВА 9-14. ТОМ 2”
Авторы: Чистякова Л.В. Амелин Р.В. Колоколов А.В. Колоколова М.Д. Липатов Э.Г. Свечникова И.В. Чаннова С.Е.
Издание: Издательство “РосБух”, 2019 год
КоАП РФ. Статья 13.14. Разглашение информации с ограниченным доступом
Разглашение информации, доступ к которой ограничен федеральным законом «О персональных данных» (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 настоящего Кодекса, (Ст.14.33- недобросовестная конкуренция) влечет наложение административного штрафа…
КоАП РФ. Статья 5.39. Отказ в предоставлении гражданину информации
Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом «О персональных данных», либо предоставление гражданину неполной или заведомо недостоверной информации – влечет наложение административного штрафа…
УК РФ. Статья 137. Нарушение неприкосновенности частной жизни
1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации – наказываются штрафом, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев…
УК РФ. Статья 140. Отказ в предоставлении гражданину информации
Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, – наказываются штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет…
УК РФ. Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, – наказывается штрафом, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет…»
Суммарная таблица видов ответственности за нарушение закона о персональных данных
Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.
Таблица 1. “Виды ответственности за нарушение закона о персональных данных”
| Вид ответственности | Нарушение | Санкция | Норма |
| Административная | Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации | Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб. | Статья 5.39 КоАП РФ |
| Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных | Предупреждение или административный штраф:на граждан – от 1 тыс. до 3 тыс. руб.;на должностных лиц – от 5 тыс. до 10 тыс. руб.;на юридических лиц – от 30 тыс. до 50 тыс. руб. | Часть 1 ст. 13.11 КоАП РФ | |
| Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие | Административный штраф:на граждан – от 3 тыс. до 5 тыс. руб.;на должностных лиц – от 10 тыс. до 20 тыс. руб.;на юридических лиц – от 15 тыс. до 75 тыс. руб. | Часть 2 ст. 13.11 КоАП РФ | |
| Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных | Предупреждение или административный штраф:на граждан – от 700 до 1 тыс. руб.;на должностных лиц – от 3 тыс. до 6 тыс. руб.;на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.;на юридических лиц – от 15 тыс. до 30 тыс. руб. | Часть 3 ст. 13.11 КоАП РФ | |
| Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных | Предупреждение или административный штраф:на граждан – от 1 тыс. до 2 тыс. руб.;на должностных лиц – от 4 тыс. до 6 тыс. руб.;на индивидуальных предпринимателей – от 10 тыс. до 15 тыс. руб.;на юридических лиц – от 20 тыс. до 40 тыс. руб. | Часть 4 ст. 13.11 КоАП РФ | |
| Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки) | Предупреждение или административный штраф:на граждан – от 1 тыс. до 2 тыс. руб.;на должностных лиц – от 4 тыс. до 10 тыс. руб.;на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;на юридических лиц – от 25 тыс. до 45 тыс. руб. | Часть 5 ст. 13.11 КоАП РФ | |
| Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них | Административный штраф:на граждан – от 700 до 2 тыс. руб.;на должностных лиц – от 4 тыс. до 10 тыс. руб.;на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;на юридических лиц – от 25 тыс. до 50 тыс. руб. | Часть 6 ст. 13.11 КоАП РФ | |
| Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов | Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб. | Часть 7 ст. 13.11 КоАП РФ | |
| Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде | Административный штраф:на граждан – от 100 до 300 руб.;на должностных лиц – от 300 до 500 руб.;на юридических лиц – от 3 тыс. до 5 тыс. руб. | Статья 19.7 КоАП РФ | |
| Уголовная | Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ | Штраф до 200 тыс. руб., либо обязательные работы на срок до 360 часов, либо исправительные работы на срок до одного года, либо принудительные работы на срок до двух лет (с лишением права занимать определенные должности на срок до трех лет или без такового), либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет (с лишением права занимать определенные должности на срок до трех лет) | Статья 137 Уголовного кодекса |
| То же деяние, совершенное с использованием служебного положения | Штраф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет или без такового), либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет) | ||
| Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий | Штраф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительные работы на срок до пяти лет (с лишением права занимать определенные должности на срок до шести лет или без такового), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет (с лишением права занимать определенные должности на срок до шести лет) | ||
| Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан | Штраф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет | Статья 140 УК РФ | |
| Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование | Штраф до 200 тыс. руб., либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительные работы на срок до двух лет, либо лишение свободы на тот же срок | Статья 272 УК РФ | |
| Гражданско-правовая | Причинение лицу убытков в результате нарушения правил обработки его персональных данных.Под убытками при этом понимаются:расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права;утрата или повреждение его имущества;неполученные доходы, которые лицо получило бы, не будь его право нарушено. | Возмещение убытков | Статья 15 Гражданского кодекса |
| Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных | Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков) | Статья 24 закона о персональных данных, ст. 151 ГК РФ | |
| Дисциплинарная | Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей | Увольнение | Подпункт “в” п. 6 ч. 1 ст. 81 Трудового кодекса |
| Иные нарушения в области персональных данных при их обработке | Замечание или выговор | Статья 90, ст. 192 ТК РФ |