Новые штрафы за нарушения при работе с персональными данными (М.Е. Смолева, журнал "Руководитель автономного учреждения", N 3, март 2017 г.)

Новые штрафы за нарушения при работе с персональными данными

М.Е. Смолева,

эксперт журнала "Руководитель автономного учреждения"

Журнал "Руководитель автономного учреждения", N 3, март 2017 г., с. 28-35.

Операторам персональных данных (ПД), в число которых входят и государственные (муниципальные) учреждения, нужно готовиться к ужесточению "правил игры": с 1 июля 2017 года штрафы за нарушения в области ПД возрастут в несколько раз. Федеральный закон от 07.02.2017 N 13-ФЗ внес соответствующие поправки в КоАП РФ. В чем суть нововведений?

Меры станут жестче

Необходимость пересмотра системы наказаний за нарушения в области ПД назрела достаточно давно. Законопроект, предлагающий усилить административную ответственность за несоблюдение требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ), был разработан еще в 2013 году. В декабре 2014 года проект был внесен в Государственную думу (под номером 683952-6), статус же федерального закона поправки в КоАП РФ обрели только в феврале 2017 года.

За это время их содержание изменилось. Прежде всего из них исчезла самая строгая мера наказания - за незаконную обработку специальных категорий персональных данных (информации о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, судимости). Напомним, что законопроект предусматривал за это штрафы до 25 000 руб. (для должностных лиц) и до 300 000 руб. (для юридических лиц).

В целом меры ответственности все же ужесточились. Если действующая редакция ст. 13.11 КоАП РФ содержит лишь одно общее основание для привлечения к административной ответственности (нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных), с 1 июля текущего года таких оснований будет семь. Увеличатся и сами суммы штрафов: сейчас их предельный размер составляет 1 000 руб. (для должностных лиц) и 10 000 руб. (для юридических лиц), а в будущем максимум возрастет до 20 000 и 75 000 руб. соответственно.

Вместе с суммами штрафов законодатели изменили и порядок возбуждения дел об административных правонарушениях в области ПД. В настоящее время полномочиями по возбуждению таких дел наделены прокуроры (п. 1 ст. 28.4 КоАП РФ), но с 1 июля указанные полномочия будут переданы должностным лицам Роскомнадзора (пп. 58 п. 2 ст. 28.3 КоАП РФ в новой редакции). Как считают законодатели, это позволит ускорить процесс привлечения нарушителей к ответственности и обеспечит неотвратимость наказания.

Семь составов правонарушений в области ПД, которые вводятся с 1 июля, можно условно разделить на две группы. Рассмотрим их.

Обработка персональных данных

Первая группа связана с нарушениями, которые операторы ПД допускают при обработке личных данных граждан.

1. Незаконная обработка ПД либо обработка, несовместимая с целями сбора этих данных (п. 1 ст. 13.11 КоАП РФ в новой редакции). За такое нарушение предусмотрены предупреждение или наложение штрафа: на должностных лиц - от 5 000 до 10 000 руб., на юридических лиц - от 30 000 до 50 000 руб.

В частности, если учреждение запрашивает у своих работников избыточный объем сведений, хранит копии паспортов, военных билетов, свидетельств о заключении брака, рождении ребенка и т.д., это противоречит нормам ст. 86 ТК РФ и ч. 5 ст. 5 Закона N 152-ФЗ. К данному виду нарушений может быть отнесена и незаконная обработка специальных категорий ПД, которую изначально планировалось выделить в отдельный состав правонарушений. Следовательно, штрафы за сбор и использование "специальных" сведений тоже увеличатся, но не настолько существенно, как предлагалось раньше.

А вот обработка личных данных без согласия гражданина сюда не входит - ответственность за этот проступок установлена отдельно.

Примечание. Сейчас предельный размер штрафов составляет 1 000 руб. (для должностных лиц) и 10 000 руб. (для юридических лиц), а в будущем максимум возрастет до 20 000 и 75 000 руб. соответственно.

2. Обработка персональных данных без письменного согласия субъекта ПД либо обработка с нарушением требований к составу сведений, включаемых в такое согласие (п. 2 ст. 13.11 КоАП РФ в новой редакции). Если учреждение допустит подобную ситуацию, ему грозит штраф в размере от 10 000 до 20 000 руб. и от 15 000 до 75 000 руб. (для должностных и юридических лиц соответственно). Эти суммы - самые большие из всех установленных ст. 13.11 КоАП РФ в новой редакции. Более того, они даже выросли по сравнению с диапазонами, предлагаемыми в законопроекте: например, максимальный штраф для операторов ПД изначально ограничивался 50 000 руб.

Напомним, что требование о получении согласия от субъекта ПД содержится в п. 1 ч. 1 ст. 6 Закона N 152-ФЗ. Такое согласие необходимо получать от потребителей услуг учреждения, соискателей, а в отдельных случаях и от работников (если, например, ведение кадрового и бухгалтерского учета передано на аутсорсинг).

В то же время если обработка личных данных необходима для осуществления и выполнения функций, полномочий и обязанностей, возложенных законодательством на оператора ПД, согласие получать не нужно. Сюда, в частности, относятся случаи, когда объем личных данных персонала, обрабатываемых работодателем, не превышает установленные перечни и соответствует целям обработки, предусмотренным трудовым законодательством. Другой пример - законодательно утвержденная обязанность медицинских и образовательных учреждений по обработке ПД сотрудников (в том числе по размещению этих сведений в Интернете)*(1).

Что касается содержания письменного согласия, требования к нему определены в ч. 4 ст. 9 Закона N 152-ФЗ. В состав сведений, в частности, должны входить:

фамилия, имя, отчество, адрес субъекта ПД, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;

наименование и адрес оператора, получающего согласие субъекта ПД;

цель обработки ПД;

перечень ПД, на обработку которых гражданин дает согласие;

перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;

срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено законодательством о ПД;

подпись субъекта ПД.

Административная ответственность грозит учреждению и в тех ситуациях, когда объем запрашиваемых сведений избыточен (например, оператор ПД может затребовать у гражданина - получателя услуг информацию о семейном положении, уровне доходов и др.) и не соответствует целям обработки (в частности, сведения о семейном и имущественном положении не нужны при предоставлении медицинских услуг).

3. Утечка персональных данных - невыполнение оператором ПД обязанности по соблюдению условий, обеспечивающих сохранность личных данных, если это повлекло неправомерный или случайный доступ к ПД, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении ПД (п. 6 ст. 13.11 КоАП РФ в новой редакции). Подобный проступок может обернуться для должностных лиц штрафом в размере от 4 000 до 10 000 руб., для юридических лиц - от 25 000 до 50 000 руб.

Важно, что речь здесь идет об утечке только тех личных сведений, которые обрабатываются без использования средств автоматизации и хранятся на материальных носителях (например, о персональных данных, содержащихся в бумажных документах учреждения). Меры ответственности за утечки ПД, которые обрабатываются автоматизированным способом, ст. 13.11 КоАП РФ (в новой редакции) не предусмотрены.

Обратите внимание! Все три обозначенные нормы содержат оговорку о том, что установленная административная ответственность наступает тогда, когда действия оператора ПД не содержат уголовно наказуемого деяния или его признаков. В противном случае применяются ст. 137, 272 УК РФ.

4. Невыполнение обязанности по обезличиванию ПД либо несоблюдение установленных требований или методов по обезличиванию (п. 7 ст. 13.11 КоАП РФ в новой редакции). Этот вид нарушений относится только к тем операторам ПД, которые являются государственным или муниципальным органом. Ответственность здесь определена лишь для должностных лиц - предупреждение или штраф в размере от 3 000 до 6 000 руб.

Информационное взаимодействие с субъектом ПД

Вторая группа нарушений в области персональных данных охватывает случаи взаимодействия оператора ПД и гражданина.

1. Неопубликование документа, определяющего политику в отношении обработки персональных данных, или сведений о реализуемых требованиях к защите ПД (п. 3 ст. 13.11 КоАП РФ в новой редакции). Если учреждение не разместит в открытом доступе такие документы или иным образом не обеспечит неограниченный доступ к ним, за этим проступком может последовать предупреждение или наложение штрафа: на должностных лиц - от 3 000 до 6 000 руб., на юридических лиц - от 15 000 до 30 000 руб.

2. Невыполнение обязанности по предоставлению гражданину информации, касающейся обработки его личных данных (п. 4 ст. 13.11 КоАП РФ в новой редакции). За это предусмотрено предупреждение либо наложение штрафа: на должностных лиц - от 4 000 до 6 000 руб., на юридических лиц - от 20 000 до 40 000 руб.

Иными словами, административная ответственность может наступить в случае, когда учреждение игнорирует обращения граждан, в которых они просят проинформировать их о целях, способах, сроках обработки их личных данных, о составе используемых ПД (на основании ч. 7 ст. 14 Закона N 152-ФЗ). Учреждение должно ответить на такой запрос в течение 30 дней с момента его получения (ч. 1 ст. 20 Закона N 152-ФЗ).

3. Невыполнение требования об уточнении, блокировании или уничтожении ПД, если они неполные, устаревшие, неточные, незаконно получены или не нужны для заявленной цели обработки (п. 5 ст. 13.11 КоАП РФ в новой редакции). Если гражданин, его представитель либо уполномоченный орган по защите прав субъектов ПД (Роскомнадзор) обратился по одному из этих вопросов к оператору ПД, а тот вовремя не отреагировал на обращение, проступок повлечет предупреждение или наложение штрафа: на должностных лиц - от 4 000 до 10 000 руб., на юрлиц - от 25 000 до 45 000 руб.

Срок, в течение которого должна последовать реакция оператора ПД, указан в ст. 21 Закона N 152-ФЗ. С момента обращения и на период проверки спорная информация должна быть заблокирована. Ответные действия по уточнению личных данных учреждение должно совершить в течение семи рабочих дней со дня предоставления гражданином или его представителем сведений, подтверждающих неполноту, неточность или неактуальность ПД. При обнаружении факта неправомерной обработки ПД она должна быть прекращена в течение трех рабочих дней. Если же обеспечить правомерность обработки невозможно, оператор ПД должен уничтожить такие данные - в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки. О принятых мерах учреждению необходимо уведомить гражданина, его представителя или уполномоченный орган.

Споры с участием операторов ПД

Нарушения, за которые с 1 июля вводятся новые штрафы, уже являются предметом разбирательств в суде. В одних ситуациях контролирующие органы налагают штрафы на операторов ПД, а они, в свою очередь, оспаривают эти решения в судебных инстанциях.

В других случаях инициаторами разбирательств становятся граждане - клиенты и работники. Правда, суды далеко не всегда встают на сторону субъектов персональных данных: действия операторов ПД могут признаваться незаконными, а могут квалифицироваться как правомерные.

Примечание. Чтобы не попасть под новые санкции, учреждениям целесообразно проанализировать сложившуюся у них систему работы с персональными данными граждан и устранить выявленные недочеты. На это есть чуть более трех месяцев.

Один из наиболее распространенных поводов для спора - обработка личных данных без согласия гражданина. Но нередко суды принимают решения о том, что подобное согласие уже получено от субъекта ПД при заключении с ним договора, а потому оператор ПД законно осуществляет обработку личных сведений (см. Апелляционное определение Московского областного суда от 09.03.2016 по делу N 33-6136/2016).

Противоположные решения тоже встречаются. Например, Самарский областной суд в Постановлении от 22.08.2016 N 4а-907/2016 поддержал территориальное управление Роскомнадзора, привлекшее к административной ответственности по ст. 13.11 КоАП РФ должностное лицо оператора ПД (руководителя организации). Основанием стало отсутствие в листе кандидата поля, в котором он мог бы поставить отметку о своем согласии на обработку ПД, осуществляемую без использования средств автоматизации (вероятно, указанные листы предназначены для кандидатов на открытые вакансии). В силу пп. "б" п. 7 Положения*(2), утвержденного Постановлением Правительства РФ от 15.09.2008 N 687, типовая форма документов, характер информации в которых предполагает или допускает включение в них персональных данных, должна предусматривать такое поле - при необходимости получения письменного согласия. Причем ответственность возложена именно на руководителя организации, поскольку он должным образом не проконтролировал действия подчиненных лиц (комиссии, ответственной за обработку ПД) и не принял надлежащие меры по недопущению нарушений в сфере персональных данных.

Предметом разбирательств оказывается и избыточный объем личных данных, которые затребует оператор. Так, АС УО в Постановлении от 22.12.2016 N Ф09-10782/16 по делу N А76-5164/2016 тоже поддержал позицию территориального органа Роскомнадзора, который выдал оператору ПД предписание об устранении выявленных нарушений. Одним из них стала обработка ПД в случае, не предусмотренном Законом N 152-ФЗ, - обработка изложенных в заявлении-анкете персональных данных членов семьи, проживающих совместно с клиентом, совершеннолетних детей, проживающих отдельно от клиента, его родителей. Эти действия противоречили нормам ч. 5 ст. 5 Закона N 152-ФЗ, согласно которым обрабатываемые сведения не должны быть избыточными по отношению к заявленным целям их обработки.

Неопубликование политики в отношении обработки ПД - еще один повод для споров. Прокуроры возбуждают административные дела и по этому основанию, а судьи соглашаются с надзорным органом. В частности, Тамбовский областной суд в Постановлении от 04.10.2016 по делу N 4А-288/2016 посчитал правомерным наложение на оператора ПД штрафа в размере 1 000 руб. Организация была оштрафована за неразмещение в открытом доступе политики в области ПД и сведений о реализуемых требованиях к защите ПД. Интересно, что сама организация не признавала себя оператором ПД и заявляла, что не осуществляет сбор личных сведений путем заполнения пользователями сайта формы обратной связи. Однако вывод суда оказался иным.

Наконец, споры возникают относительно ненаправления оператором ПД ответа на запрос гражданина. Здесь судьи принимают разные решения: в одних случаях признают претензии граждан необоснованными (см., например, Апелляционное определение Новосибирского областного суда от 25.08.2016 по делу N 33-8398/2016), в других обязывают оператора ПД предоставить гражданину информацию об обработке его личных данных (см. Апелляционное определение Московского городского суда от 14.12.2015 по делу N 33-47059/2015). Обстоятельства второго дела таковы. Суд первой инстанции вынес решение о несоответствии запроса гражданина требованиям закона и об отсутствии нарушения со стороны оператора ПД. Однако вышестоящая инстанция встала на сторону субъекта ПД: факт обращения гражданина к оператору ПД суд посчитал подтвержденным и признал организацию виновной в том, что она не ответила заявителю в 30-дневный срок.

Заключение

Как видим, нарушения, за которые операторам вскоре будут грозить увеличенные в несколько раз штрафы, допускаются и сегодня. Однако в будущем оснований для привлечения к административной ответственности станет больше: за каждый вид проступка предусмотрена отдельная мера, учитывающая степень вреда, причиненного оператором ПД.

Чтобы не попасть под новые санкции, учреждениям целесообразно проанализировать сложившуюся у них систему работы с персональными данными граждан (работников, потребителей услуг и др.) и устранить выявленные недочеты. При анализе в первую очередь следует ориентироваться на составы правонарушений, прописанные в новой редакции ст. 13.11 КоАП РФ. На исправление ошибок у учреждений есть чуть более трех месяцев.

-------------------------------------------------------------------------

*(1) Указанные случаи подробно рассмотрены в Разъяснениях Роскомнадзора от 24.12.2012 "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве".

*(2) "Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".