Ответственность за несоблюдение требований в области защиты персональных данных (А. Репин, журнал "Ревизии и проверки финансово-хозяйственной деятельности государственных (муниципальных) учреждений", N 4, апрель 2017 г.)

Ответственность за несоблюдение требований в области защиты персональных данных

А. Репин,

эксперт журнала "Ревизии и проверки финансово-хозяйственной деятельности

государственных (муниципальных) учреждений"

Журнал "Ревизии и проверки финансово-хозяйственной деятельности государственных (муниципальных) учреждений", N 4, апрель 2017 г., с. 55-65.

В силу ст. 90 ТК РФ лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном названным кодексом и иными федеральными законами, а также к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами. В статье мы поговорим об административной ответственности за нарушения законодательства в области персональных данных.

Какие сведения относятся к персональным данным?

Исходя из ст. 3 Закона о персональных данных*(1) под такими данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Соответственно, к персональным данным можно отнести любую информацию, которая получена от работника или о работнике и позволит идентифицировать именно этого работника. К названной информации, в частности, можно отнести следующие сведения:

- Ф.И.О., в том числе прежние;

- дата и место рождения;

- гражданство;

- адрес места жительства (места регистрации);

- семейное, социальное и имущественное положение;

- образование, специальность, профессия;

- номера контактных телефонов;

- информация о доходах, имуществе и имущественных обязательствах.

Заметим, что перечень персональных данных, обрабатываемых в учреждении в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций, должен быть утвержден приказом органа государственной власти (п. 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных, утвержденного Постановлением Правительства РФ от 21.03.2012 N 211).

Что является административным правонарушением?

В силу ч. 1 ст. 2.1 КоАП РФ административным правонарушением признается противоправное, виновное действие (бездействие) физического или юридического лица, за которое данным кодексом установлена административная ответственность. Юридические лица подлежат названной ответственности за совершение указанных нарушений в случаях, предусмотренных статьями разд. II КоАП РФ или законами субъектов РФ об административных правонарушениях. Юридическое лицо признается виновным в совершении такого правонарушения, если будет установлено, что у него имелась возможность соблюдать правила и нормы, за нарушение которых обозначенным кодексом или законами субъекта РФ введена административная ответственность, но оно не приняло все зависящие от него меры по их соблюдению.

На основании ст. 2.4 КоАП РФ административной ответственности подлежит должностное лицо в случае совершения им нарушения в связи с неисполнением либо ненадлежащим исполнением своих служебных обязанностей. Под должностным лицом понимается лицо, постоянно, временно или в соответствии со специальными полномочиями осуществляющее функции представителя власти, то есть наделенное в установленном законом порядке распорядительными полномочиями в отношении лиц, не находящихся в служебной зависимости от него, а также лицо, выполняющее организационно-распорядительные или административно-хозяйственные функции в государственных органах, органах местного самоуправления, государственных и муниципальных организациях, в Вооруженных Силах, других войсках и воинских формированиях РФ.

За что предусмотрена ответственность?

Административная ответственность за совершение правонарушения в области персональных данных установлена ст. 13.11 КоАП РФ. В настоящее время максимальный размер штрафа за нарушение требований законодательства РФ о персональных данных для юридических лиц составляет 10 000 руб. Но текущая редакция ст. 13.11 не позволяет в полной мере обеспечить эффективную защиту прав и интересов субъектов персональных данных, соблюдение принципа неотвратимости наказания за совершенное правонарушение в этой области. Кроме того, состав указанной статьи не учитывает тяжесть негативных последствий совершенных правонарушений. С целью устранения упомянутых противоречий, а также оптимизации и повышения эффективности контрольно-надзорных функций, повышения эффективности реализации мер административной ответственности в области персональных данных, а также обеспечения защиты прав субъектов персональных данных был принят Федеральный закон от 07.02.2017 N 13-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях", вступающий в силу с 01.07.2017.

В целях повышения эффективности мер административной ответственности в области персональных данных Федеральным законом N 13-ФЗ дифференцированы составы соответствующих административных правонарушений с учетом ущерба, причиненного нарушением, изменена действующая редакция ст. 13.11 КоАП РФ и установлены дополнительные составы административных правонарушений в области персональных данных. Рассмотрим поправки более подробно.

Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо их обработка, несовместимая с целями сбора персональных данных. Согласно ст. 3 Закона о персональных данных под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Заметим, что государственный орган обязан утвердить правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

В силу ч. 1 ст. 13.11 КоАП РФ обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных ч. 2 названной статьи, если эти действия не содержат уголовно наказуемого деяния, повлечет предупреждение или наложение на граждан административного штрафа в размере от 1 000 до 3 000 руб., на должностных лиц - от 5 000 до 10 000 руб., а на юридических лиц - от 30 000 до 50 000 руб.

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных. Статьей 9 Закона о персональных данных предусмотрено, что субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия названного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

В соответствии со ст. 7 Закона о персональных данных операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено поименованным законом.

Исходя из ч. 8 ст. 9 Закона о персональных данных персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных.

В силу ч. 2 ст. 13.11 КоАП РФ обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, влечет наложение на граждан административного штрафа в размере от 3 000 до 5 000 руб., на должностных лиц - от 10 000 до 20 000 руб., а на юридических лиц - от 15 000 до 75 000 руб.

Невыполнение обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику учреждения силовых ведомств в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных. Напомним, что в силу ст. 3 Закона о персональных данных оператором являются государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. На основании ч. 2 ст. 18.1 Закона о персональных данных оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных повлечет предупреждение или наложение на граждан административного штрафа в размере от 700 до 1 000 руб., на должностных лиц - от 3 000 до 6 000 руб., а на юридических лиц - от 15 000 до 30 000 руб. (ч. 3 ст. 13.11 КоАП РФ).

Невыполнение обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных. Согласно ч. 7 ст. 14 Закона о персональных данных субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных оператором;

- правовые основания и цели обработки персональных данных;

- цели и применяемые оператором способы обработки персональных данных;

- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или Ф.И.О. и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

- иные сведения.

При этом ч. 8 ст. 14 Закона о персональных данных предусмотрены случаи, когда право субъекта персональных данных на доступ к его персональным данным может быть ограничено.

В соответствии со ст. 20 Закона о персональных данных оператор обязан сообщить в порядке, предусмотренном ст. 14 названного закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 30 дней с даты получения запроса субъекта персональных данных или его представителя.

Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, влечет предупреждение или наложение на граждан административного штрафа в размере от 1 000 до 2 000 руб., на должностных лиц - от 4 000 до 6 000 руб., на индивидуальных предпринимателей - от 10 000 до 15 000 руб., на юридических лиц - от 20 000 до 40 000 руб. (ч. 4 ст. 13.11 КоАП РФ).

Несоблюдение сроков выполнения требований по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных установлены в ст. 21 Закона о персональных данных. Так, в силу ч. 1 упомянутой статьи в случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

Невыполнение оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, повлечет предупреждение или наложение на граждан административного штрафа в размере от 1 000 до 2 000 руб., на должностных лиц - от 4 000 до 10 000 руб., а на юридических лиц - от 25 000 до 45 000 руб. (ч. 5 ст. 13.11 КоАП РФ).

Невыполнение требований по сохранности персональных данных при их обработке без использования средств автоматизации. Напомним, что особенности обработки персональных данных, осуществляемой без использования средств автоматизации, установлены Постановлением Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". В силу п. 13 указанного постановления обработка персональных данных, осуществляемая без использования средств автоматизации, должна производиться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. Перечень мер, необходимых для обеспечения названных условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

В соответствии с ч. 6 ст. 13.11 КоАП РФ невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный доступ к ним, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния влечет наложение на граждан административного штрафа в размере от 700 до 2 000 руб., на должностных лиц - от 4 000 до 10 000 руб., а на юридических лиц - от 25 000 руб. до 50 000 руб.

Невыполнение государственным органом обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных. Совершение названного деяния повлечет предупреждение или наложение на должностных лиц административного штрафа в размере от 3 000 до 6 000 руб. (ч. 7 ст. 13.11 КоАП РФ).

В соответствии ст. 3 Закона о персональных данных под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.

Требования и методы по обезличиванию персональных данных приведены в Приказе Роскомнадзора от 05.09.2013 N 996.

Какой орган может привлечь к ответственности?

В соответствии с ч. 1 ст. 28.1 КоАП РФ поводами к возбуждению дела об административном правонарушении, в частности, являются:

- непосредственное обнаружение должностными лицами, уполномоченными составлять протоколы об административных правонарушениях, достаточных данных, указывающих на наличие события административного правонарушения;

- поступившие из правоохранительных органов, а также из других государственных органов, органов местного самоуправления, от общественных объединений материалы, содержащие данные, указывающие на наличие события административного правонарушения;

- сообщения и заявления физических и юридических лиц, сообщения в средствах массовой информации, содержащие данные, указывающие на наличие события административного правонарушения.

Начиная с 01.07.2017 составлять протоколы по ст. 13.11 КоАП РФ будут вправе должностные лица Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ). Напомним, что именно Роскомнадзор осуществляет контроль и надзор за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (ст. 23 Закона о персональных данных). В настоящее время такие дела могут возбуждаться прокурорами (ч. 1 ст. 28.4 КоАП РФ). Рассматривают дела о правонарушениях в области персональных данных соответствующие суды.

* * *

В заключение еще раз отметим, что с 01.07.2017 в целях повышения эффективности реализации мер административной ответственности в области персональных данных дифференцируются составы административных правонарушений в области персональных данных с учетом ущерба, причиненного нарушением, а также устанавливаются дополнительные составы административных правонарушений в области персональных данных.

-------------------------------------------------------------------------

*(1) Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных".