Содержание:

Ответственность за нарушение закона о персональных данных

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Таблица 1. «Виды ответственности за нарушение закона о персональных данных»

Вид ответственности

Нарушение

Санкция

Норма

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации

Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.

Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 3 тыс. руб.;
  • на должностных лиц – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 30 тыс. до 50 тыс. руб.

Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие

  • на граждан – от 3 тыс. до 5 тыс. руб.;
  • на должностных лиц – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 75 тыс. руб.

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных

Предупреждение или административный штраф:

  • на граждан – от 700 до 1 тыс. руб.;
  • на должностных лиц – от 3 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 30 тыс. руб.

Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 15 тыс. руб.;
  • на юридических лиц – от 20 тыс. до 40 тыс. руб.

Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 45 тыс. руб.

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них

  • на граждан – от 700 до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 50 тыс. руб.

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов

Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.

Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде

  • на граждан – от 100 до 300 руб.;
  • на должностных лиц – от 300 до 500 руб.;
  • на юридических лиц – от 3 тыс. до 5 тыс. руб.

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ

Ш траф до 200 тыс. руб., либо обязательные работы на срок до 360 ч асов , либо исправительны е работы на срок до одного года, либо принудительные работы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет или без такового ) , либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет )

То же деяние, совершенное с использованием служебного положения

Ш траф от 100 тыс. до 300 тыс. руб. , либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет или без такового ) , либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет )

Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий

Ш траф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительны е работ ы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет или без такового ), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет )

Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан

Ш траф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование

Ш траф до 200 тыс. руб. , либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительны е работ ы на срок до двух лет, либо лишение свободы на тот же срок

Причинение лицу убытков в результате нарушения правил обработки его персональных данных.

Под убытками при этом понимаются:

  • расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права;
  • утрата или повреждение его имущества;
  • неполученные доходы, которые лицо получило бы, не будь его право нарушено.

Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных

Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)

Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей

Иные нарушения в области персональных данных при их обработке

Новый штраф за персональные данные — 75 000 рублей и блокировка

Обращение с персональными данными граждан — очень тонкая сфера, которая таит в себе множество подводных камней. Действующим КоАП установлены целых 7 составов административных правонарушений за нарушения требований законодательства в этой области, но и их оказалось недостаточно. Минкомсвязи предложило установить штрафы в размере до 75 000 рублей за нарушение требований конфиденциальности персональных данных.

Что случилось?

Минкомсвязь России опубликовало на едином портале для размещения проектов нормативно-правовых актов законопроект с поправками в статью 13.11 КоАП РФ , которой установлены семь составов правонарушений в области персональных данных. Чиновники хотят дополнить их восьмым составом и установить административную ответственность

за невыполнение оператором или иным лицом, получившими доступ к персональным данным, обязанности по соблюдению требований конфиденциальности персональных данных, нераскрытию третьим лицам и нераспространению персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Кроме того, чиновники намерены усилить административную ответственность за нарушение нормы, установленной частью 5 статьи 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а именно невыполнение обязанности оператора при сборе персональных данных обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан с использованием баз данных, находящихся на территории Российской Федерации.

Персональные данные должны быть конфиденциальными

Хотя сейчас статьей 13.11 КоАП РФ предусмотрены значительные штрафы за нарушение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», некоторые его требования пока не охвачены административной ответственностью. Чиновники решили исправить этот пробел. В пояснительной записке к законопроекту, в частности, сказано:

Законопроектом также предусмотрено введение нового состава административного правонарушения за невыполнение оператором или иным лицом, получившими доступ к персональным данным, обязанности по соблюдению требований конфиденциальности персональных данных, нераскрытию третьим лицам и нераспространению персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Указанная обязанность оператора установлена статьей 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Однако в действующей редакции статьи 13.11 КоАП РФ состав административного правонарушения за несоблюдение оператором и иным лицом, получившим доступ к персональным данным, требований конфиденциальности персональных данных не установлен.

В Минкомсвязи уверены, что введение нового состава даст возможность Роскомнадзору оперативно приостанавливать противоправную деятельность, связанную с незаконной обработкой персональных данных, а также повысить эффективность государственного контроля (надзора) в этой сфере. Авторы инициативы уверены, что необходимо вовремя предотвращать правонарушения, которые могут причинить значительный ущерб субъектам персональных данных.

Размер штрафов

За новый состав административных правонарушений чиновники предлагают установить ответственность в виде административных штрафов в размере:

  • для граждан — от 3000 до 5000 рублей;
  • для должностных лиц — от 10 000 до 20 000 рублей;
  • для юридических лиц от — 15 000 до 75 000 рублей.

Кроме того, Роскомнадзор получит возможность блокировать ресурсы в сети интернет, которые нарушают требования законодательства.

Публичное обсуждение законопроекта продлится до 17 мая 2018 года, после чего инициатива будет передана на рассмотрение в Правительство РФ.

Что делать

О том, кто является оператором персональных данных, а кто — нет, подробно рассказано в Справке.

Владельцам сайтов, на которых есть личные кабинеты и информационные рассылки, нужно (если этого до сих пор не сделано):

  • разместить Политику обработки персональных данных (или Пользовательское соглашение);
  • продумать техническое решение, благодаря которому пользователь явно выражает согласие на обработку его персданных;
  • зарегистрироваться в качестве оператора персональных данных в реестре Роскомнадзора (не всем; кому нужно и как это сделать — читайте в статье).

Всем (в том числе работодателям, которые хранят у себя личные данные сотрудников) нужно подготовить пакет локальных нормативных актов, касающихся обработки персональных данных, как минимум:

Закон 152-ФЗ о персональных данных: как обезопасить бизнес от новых штрафов с 1 июля 2017

Штрафы за несоблюдение требований Федерального закона «О персональных данных» были повышены в соответствии с Федеральным законом от 07.02.2017 № 13-ФЗ. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей. При этом, если раньше в КоАП существовал только один, общий для всех случаев состав правонарушения в области персданных (ст.13.11 КоАП РФ), то теперь в данной статье появилось целых семь составов.

Чтобы избежать штрафов по 152-ФЗ, компаниям и ИП с 1 июля 2017 года следует внимательнее подходить к соблюдению требований закона о персональных данных.

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

1. С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона «О персональных данных».

2. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей.

3. Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. Закон не содержит конкретного перечня таких организаций.

4. Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре.

5. Обезопасить себя от штрафов можно, соблюдая 6 правил:

  • исключить случаи нецелевого сбора и обработки данных;
  • получать письменное согласие граждан на обработку их данных;
  • знакомить граждан с политикой обработки персональных данных;
  • отвечать на вопросы граждан о том, каким образом используются их персональные данные;
  • выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении;
  • обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д.

6. С 01.07.2017 начинает действовать упрощенный порядок привлечения к административной ответственности. Дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры.

Кого коснутся новые штрафы

Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. По закону они отнесены к операторам персональных данных и обязаны соблюдать законодательные ограничения.

Закон не содержит конкретного перечня таких организаций. Однако к ним можно отнести банки, страховые компании, операторов мобильной связи и интернета, медицинские организации, транспортные компании, учебные заведения и все те компании, при обращении в которые граждан просят указать личные данные или заполнить анкету.

Но и это еще не все. Закон распространяется на работодателей, получающих сведения от сотрудников как по трудовым договорам, так и по договорам гражданско-правового характера. Работодатели тоже являются операторами персональных данных с небольшой оговоркой. Если работодатель состоит с гражданином в трудовых или гражданско-правовых отношениях, ему не требуется уведомлять Роскомнадзор об обработке личной информации (ч. 2 ст. 22 Федерального закона № 152-ФЗ).

Также к операторам персональных данных относятся компании, имеющие собственные сайты с обратной формой связи и регистрацией пользователей, у которых запрашиваются личные сведения.

Подробнее о том, кто может не подавать уведомление в Роскомнадзор, читайте в статье «Кому не нужно уведомлять Роскомнадзор об обработке персональных данных».

Как обезопасить себя от штрафов: 6 правил

1. Исключить случаи нецелевого сбора и обработки данных.

Под данное нарушение попадают и случаи сбора излишней информации о гражданах. Например, когда сайт для новостной рассылки по e-mail требует от посетителей предоставить, скажем, паспортные данные. Это считается обработкой данных не по назначению, поэтому исключите подобные случаи из практики работы своей компании и сайта.

Данные действия образуют состав правонарушения по ч. 1 ст. 13.11 КоАП РФ. Штраф для предпринимателей – от 5 до 10 тысяч рублей, а для организаций – от 30 до 50 тысяч рублей.

2. Получать письменное согласие граждан на обработку их данных.

Согласие граждан на обработку персональных данных, когда это требуется по закону, операторы получают в соответствии с ч. 4 ст. 9 Федерального закона № 152-ФЗ. Исключений из этого правила не так много. Например, не требуется письменного согласия при получении персональных данных в личных, семейных целях (ч. 2 ст. 1 Федерального закона № 152-ФЗ).

В большинстве же случаев дополнительно к основному договору стороны должны подписывать соглашение об обработке персональных данных. Это соглашение может включаться в текст основного договора, или выступать в качестве отдельного документа. Согласие должно поступить лично от гражданина. Без его ведома передавать данные нельзя.

Самый банальный пример злоупотреблений в этой части – когда, например, оператор мобильной связи передает контакты абонентов без их ведома сторонним компаниям, и на телефонные номера граждан начинает поступать всевозможный спам.

Если письменного соглашения на обработку данных у компании нет, на граждан (ИП) наложат штраф в размере от 3 до 5 тысяч рублей, на должностных лиц от 10 до 20 тысяч рублей, а на юрлиц – от 15 до 75 тысяч рублей (ч.2 ст.13.11 КоАП РФ). Судя по судебной практике, ИП первый раз штрафуют как физлиц, а если нарушение повторяется, то уже как должностных лиц — руководителей ИП, так как во втором случае штраф выше.

Последствия неполучения письменного согласия контролерам будут неважны, а важен будет сам факт наличия или отсутствия такого согласия в письменной форме.

3. Знакомить граждан с политикой обработки персональных данных.

Эта информация должна находиться в свободном доступе и с ней должен иметь возможность ознакомиться каждый. Например, сайты вывешивают информацию о порядке работы с персданными на отдельных своих страницах.

В противном случае наступит ответственность по ч. 3 ст. 13.11 КоАП РФ. ИП заплатят штраф в размере от 5 до 10 тысяч рублей, а организации в размере от 15 до 30 тысяч рублей.

4. Отвечать на вопросы граждан о том, каким образом используются их персональные данные.

На практике бывают случаи, когда данные «утекают» третьим лицам, и клиентам компании начинает поступать всевозможная реклама от магазинов, медицинских центров и кредитных организаций. В этом случае клиент может потребовать от оператора персональных данных предоставить информацию о том, как используются и хранятся его личные сведения.

За игнорирование обращений граждан операторы персданных несут ответственность по ч. 4 ст. 13.11 КоАП РФ. Штраф для ИП – от 10 до 15 тысяч рублей, а для юрлиц – от 20 до 40 тысяч рублей.

5. Выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении.

Это нужно делать в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Неисполнение этой обязанности грозит штрафом по ч. 5 ст. 13.11 КоАП РФ. Для ИП штраф составит от 10 до 20 тысяч рублей, для организаций – от 25 до 45 тысяч рублей.

6. Обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д.

Ответственность за необеспечение сохранности личных сведений установлена ч. 6 ст. 13.11 КоАП РФ. Для предпринимателей – от 10 до 20 тысяч рублей, для компаний – от 25 до 50 тысяч рублей.

Ответственность для государственных и муниципальных органов власти

Штрафная ответственность предусмотрена и для государственных и муниципальных органов власти (ч. 7 ст. 13.11 КоАП РФ).

В своих документах (протоколах, сводках, решениях и т.д.) они должны обезличивать персональные данные граждан, не допуская указания их места жительства и полных ФИО.

В противном случае придется заплатить штраф в размере от 3 до 6 тысяч рублей.

Регистрация операторов персональных данных в Роскомнадзоре

Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре. Для этого необходимо подать уведомление об обработке (о намерении осуществлять обработку) персональных данных (ч. 3 ст. 22 Федерального закона № 152-ФЗ).

Для подачи уведомления об обработке персональных данных необходимо заполнить электронную форму на Портале персональных данных Роскомнадзора. Электронная форма уведомления об обработке персональных данных и порядок его заполнения также размещены на Едином портале государственных и муниципальных услуг (функций).

После заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных ее следует отправить в информационную систему Уполномоченного органа по защите прав субъектов персональных данных. Затем заполненную форму нужно распечатать и заверить надлежащим образом, скрепив подписью и печатью организации, после чего направить в соответствующий территориальный орган Роскомнадзора по месту регистрации компании-оператора персональных данных.

Что делать сайтам

Что касается сайтов (а сейчас они есть практически у любой компании), то основная масса нарушений здесь связана именно с нецелевым сбором и использованием персональных данных (ч. 1 ст. 13.11 КоАП РФ).

Например, нередко в форме регистрации на сайте используются такие поля, как «дата рождения» и «телефон», а в форме профиля пользователя — «отчество», «дата рождения», «место жительства» (страна, область/край, город).

Следует понимать, что для регистрации пользователя на большинстве сетевых ресурсов не требуется знать такие данные, как телефон и место жительства/регистрации пользователя. Из формы регистрации эти сведения следует убрать.

А из формы личного профиля лучше убрать такие сведения, как «профессия», «www-страница», Skype (или другой мессенджер) и «дата рождения».

Посторонним лицам (а ваша компания и является таким лицом) знать эту информацию ни к чему. Форма подписки на новости сайта должна собирать информацию только об e-mail пользователей. Форма регистрации может собирать имя, фамилию, e-mail и пол пользователя.

Сбор лишней информации при проверке могут посчитать нарушением.

Выполнение вышеописанных правил и знание закона позволят избежать ответственности за его нарушение. При этом следует учитывать одно немаловажное обстоятельство. Если раньше закон о персональных данных обходил вашу компанию стороной и никакой ответственности за его нарушение вы не несли, то с 1 июля все может измениться кардинальным образом.

Дело в том, что с этой даты начинает действовать упрощенный порядок привлечения к административной ответственности. Раньше дела в этой сфере возбуждала прокуратура (ст. 28.1 КоАП РФ). По новым же правилам (п. 58 ч. 2 ст. 28.3 КоАП РФ) дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры. На практике это означает, что количество штрафов и доведенных до суда дел может значительно увеличиться, и уйти от ответственности станет значительно сложнее.

Новые штрафы за обработку персональных данных

Новости по теме

Минкомсвязь предлагает включить в КоАП РФ новые составы правонарушений в области обработки персональных данных.

Минкомсвязи предлагает ввести в статью 13.11 КоАП два новых состава правонарушений.

Так, оператора персональных данных оштрафуют, если:

первое — не выполнил обязанности по записи, систематизации, накоплению, хранению, уточнению, извлечению информации о гражданах РФ с использованием баз данных, находящихся на территории России. Штраф от 15 тыс. до 75 тыс. рублей.

второе — не обеспечил условия, которые необходимы, чтобы сохранить конфиденциальность персональных данных, не разгласить данные третьим лицам и не распространить их без согласия субъекта. Штраф от 20 тыс. до 40 тыс. рублей.

Сейчас статья 13.11 КоАП включает в себя семь составов. Максимальный размер одного штрафа — 75 тыс. рублей. В рамках одной проверки Роскомнадзор может обнаружить несколько разных нарушений. Тогда он взыщет сразу несколько штрафов.

Коллеги из Системы Юрист описали семь составов правонарушений в одной таблице, рассказали какие обязанности надо выполнять, чтобы избежать штрафа по каждому из них.

Еще читайте об этом

Обзоры последних изменений

Главные изменения в законодательстве в 2018 году
Посмотрите изменения, которые вступают или уже вступили в силу в 2018 году.

Директоров и учредителей станут чаще привлекать по долгам компании
И другие выводы из Обзора практики Верховного суда № 2/2018 от 04.07.2018

Закупки по Закону № 44-ФЗ с 1 июля: все изменения в одной инструкции
С 1 июля все конкурентные закупки можно проводить в электронном виде, правила для закупок в бумажном виде тоже изменились. Законодатели ввели в Закон № 44-ФЗ новые статьи, которые срочно нужно изучить.

Изменения в КоАП РФ в 2018 году
Все поправки в одной таблице.

Срочное сообщение для юриста! В офис пришла полиция

Подпишитесь на журнал «Юрист компании»
со скидкой 10% и получите в подарок чайник.

Нарушения по персональным данным, за которые с 1 июля 2017 новые штрафы

В июле вступает в силу новая редакция ст. 13.11 КоАП РФ. Она предусматривает штрафы за нарушение Закона о персональных данных. Только теперь вместо одного состава нарушения с максимальным штрафом на организацию 10 тыс. рублей эта статья содержит семь составов нарушений с максимальным штрафом 75 тыс. рублей. Поэтому стоит понять, какие нарушения под какие части обновленной статьи подпадают. Узнать это поможет данная Актуальная тема. Она создана на основе анализа более 100 судебных решений по ст. 13.11 КоАП РФ, часть которых представлена в качестве примеров нарушений по новым частям этой статьи.

Использование номера телефона для рекламной рассылки

1) обработку персональных данных в случаях, не предусмотренных законодательством;

2) обработку, несовместимую с целями их сбора.

Санкции: предупреждение или штраф:

  • на граждан – от 1 до 3 тыс. рублей;
  • на должностных лиц – от 5 до 10 тыс. рублей;
  • на юридических лиц – от 30 до 50 тыс. рублей

1. К обработке персональных данных в случаях, не предусмотренных законодательством, относятся, например, следующие ситуации.

1.1. Требование об указании сведений о родственниках в заявлении на получение кредита

Банк включил в заявление-анкету на предоставление кредита графы для указания персональных данных родственников: родителей, мужа/жены и совершеннолетних детей. С точки зрения банка он имеет право запрашивать у заемщика эти сведения, так как кредитные обязательства родственников могут повлиять на расчет кредита для него.

Однако это нарушает Закон № 152-ФЗ.

Родственники заемщика ни клиентами, ни заемщиками банка не являются, и кредитный договор с ними не заключается. Согласия на передачу и обработку своих персональных данных они банку также не давали. Поэтому возложение банком на заемщика обязанности указать информацию о них в заявлении-анкете является прямым нарушением ст. 6 Закона № 152-ФЗ, – решили Роскомнадзор и судьи (Постановление Арбитражного суда Уральского округа от 22.12.2016 № Ф09-10782/16, Постановление Самарского областного суда от 08.08.2016 № 4а-847/2016).

1.2. Предоставление персональных сведений о гражданах по адвокатскому запросу

Адвокат обратился в отдел УФМС с адвокатским запросом о выдаче адресной справки на гражданина для предоставления мировому судье. Чиновники отказали в этом, сославшись на Закон «О персональных данных».

Адвокат пожаловался на них в суд, но судьи решили, что миграционная служба была права, поскольку предоставление информации о персональных данных субъекта по адвокатскому запросу федеральным законодательством не предусмотрено.

Закрепленное же в Законе об адвокатуре право адвоката собирать сведения, необходимые для оказания юридической помощи, и обязанность соответствующего органа предоставить такую информацию, не распространяются на установленные законом конфиденциальные сведения (Определение Верховного Суда РФ от 12.05.2010 № 49-В10-5).

2. К обработке персданных, несовместимой с целями их сбора, относятся, например, следующие ситуации.

2.1. Использование телефонного номера для рассылки рекламных сообщений

Гражданин при оформлении кредита в банке подписал согласие на обработку своих персональных данных. В числе этих данных был указан номер мобильного телефона. Банк стал присылать на этот номер сообщения рекламного характера. В них говорилось о предварительном одобрении кредита на определенную сумму по определенной ставке и предлагалось получить его в отделении.

Прокуратура и суд признали данную рассылку обработкой персональных данных, несовместимой с целями сбора этих данных. Гражданин предоставил их банку в целях оформления кредита, а не для получения на свой номер телефона рекламных рассылок. Направление данных СМС-сообщений с предложением взять у банка кредит не имеет отношения к ранее заключенному кредитному договору с банком. Следовательно, направление банком этих сообщений являлось незаконным (Апелляционное определение Новосибирского областного суда от 02.04.2015 № 33-2662/2015).

2.2. Использование личных данных гражданина из одного дела для другого дела

Адвокат обратился в районный суд для ознакомлении с материалами гражданского дела о взыскании ущерба от затопления квартиры. Сфотографировал материалы, но полученную информацию, в том числе персональные данные гражданина-истца – паспортные данные, данные о месте работы и занимаемой должности, сведения о личной жизни и состоянии здоровья, – использовал не в интересах коллегии адвокатов, а в личных интересах по уголовному делу частного обвинения.

Суд решил, что адвокат нарушил Закон № 152-ФЗ, так как использовал полученные персданные на в тех целях, в которых он их получил (Постановление Тюменского областного суда от 20.07.2011 № 7-3-307/2011).

Можно привести пример, когда подозреваемое нарушение на самом деле не имеет места: компания хранит персональные данные уволенных сотрудников: Ф.И.О., пол, дату рождения, паспортные данные, адрес регистрации).

Тот факт, что люди уже уволены и не находятся с компанией в каких-либо договорных отношения, не означает, что она не имеет права хранить (то есть обрабатывать) их персональные данные. Ведь в силу ст. 17 Закона об архивном деле организации и ИП обязаны обеспечивать сохранность архивных документов, в том числе документов по личному составу, в течение сроков их хранения, установленных федеральными законами и иными нормативными правовыми актами. Поэтому в данной ситуации компания не нарушает Закон о персональных данных (Постановление Ярославского областного суда от 15.02.2013 № 4А-21/2013).

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС «Консультант Плюс»

Отсутствие доступа к политике сайта по работе с личными данными

Санкции: предупреждение или штраф:

  • на граждан – от 700 до 1,5 тыс. рублей;
  • на должностных лиц – от 3 до 6 тыс. рублей;
  • на индивидуальных предпринимателей – от 5 до 10 тыс. рублей;
  • на юридических лиц – от 15 до 30 тыс. рублей

К случаям невыполнения оператором названной обязанности относится, например, следующий.

К форме обратной связи не прикреплена ссылка на политику обработки персональных данных

На сайте организации размещена форма обратной связи, состоящая из трех элементов: «Ваше имя», «Тема сообщения», «Сообщение». Компания заблуждалась, полагая, что эти сведения не подпадают под персональные данные. Подпадают. Поэтому организация должна была опубликовать и обеспечить неограниченный доступ к документу, определяющему политику организации в отношении обработки персональных данных, а также к сведениям о реализуемых требованиях к защите персональных данных (Постановление Тамбовского областного суда от 04.10.2016 № 4А-288/2016).

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС «Консультант Плюс»

Отказ сообщить гражданину о правилах обработки его данных

Санкции: предупреждение или штраф:

  • на граждан – от 1 до 2 тыс. рублей;
  • на должностных лиц – от 4 до 6 тыс. рублей;
  • на индивидуальных предпринимателей – от 10 до 5 тыс. рублей;
  • на юридических лиц – от 20 до 40 тыс. рублей.

Под данный состав подпадает нарушение ч. 7 ст. 14 Закона № 152-ФЗ, согласно которой субъект персональных данных имеет право на получение следующей информации относительно обработки своих данных:

  • подтверждение факта обработки;
  • правовые основания и цели обработки;
  • сроки обработки и хранения данных;
  • цели и применяемые оператором способы обработки;
  • наименование и место нахождения оператора;
  • лица, которые имеют доступ к данным;
  • обрабатываемые персональные данные, источник их получения;
  • порядок осуществления гражданином прав, предусмотренных Законом № 152-ФЗ;
  • информация о состоявшейся или предполагаемой трансграничной передаче данных;
  • наименование или Ф.И.О. и адрес лица, осуществляющего обработку данных по поручению оператора;
  • иные сведения, предусмотренные законом или другими федеральными законами.

Практики привлечения к ответственности за данное нарушение в рамках прежней редакции ст. 13.11 КоАП РФ не имеется.

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС «Консультант Плюс»

Отказ уточнить или удалить персональные данные

Санкции: предупреждение или штраф:

  • на граждан – от 1 до 2 тыс. рублей;
  • на должностных лиц – от 4 до 10 тыс. рублей;
  • на индивидуальных предпринимателей, на должностных лиц – от 4 до 6 тыс. рублей;
  • на юридических лиц – от 25 до 45 тыс. рублей.

К случаям невыполнения оператором названного требования относится, например, следующий.

Отказ закрыть доступ к интернет-базе с личными данными предпринимателей

В Управление Роскомнадзора поступило обращение индивидуального предпринимателя. Он жаловался на компанию, которая предоставляла любым юридическим и физическим лицам платные услуги по формированию для них выписок из ЕГРЮЛ и ЕГРИП. Выписки содержали персональные данные граждан – индивидуальных предпринимателей: Ф.И.О., дату и место рождения, гражданство, пол, регистрационные данные.

Роскомнадзор счел, что компания фактически является оператором, обрабатывающим персональные данные граждан без их на то согласия, и потребовал прекратить эту деятельность. Суд поддержал чиновников (Апелляционное определение Омского областного суда от 17.09.2014 № 33-5967/2014).

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС «Консультант Плюс»

Необеспечение сохранности данных, повлекшее доступ к ним

  • на граждан – от 700 до 2 тыс. рублей;
  • на должностных лиц – от 4 до 10 тыс. рублей;
  • на индивидуальных предпринимателей – от 10 до 20 тыс. рублей;
  • на юридических лиц – от 25 до 50 тыс. рублей

Данный новый состав нарушения ослабил ответственность за несохранность данных. Дело в том, что он предусматривает наложение санкций только в том случае, когда необеспечение сохранности привело к каким-либо негативным последствиям: неправомерному или случайному доступу к персональным данным. В то время как ранее штраф мог налагаться за сам факт необеспечения сохранности. Пример такого случая ниже.

Анкеты с персональными данными хранятся в картонных коробках в шкафу без замка

Коллекторское бюро было уличено в том, что анкеты заемщиков (должников), содержащие персональные данные, и использование которых уже было завершено, в установленном порядке не были уничтожены. При этом они хранились в картонных коробках в шкафу без запирающего устройства.

За отсутствие актов об уничтожении использованных персональных данных и за то, что агентство не обеспечило ограничение доступа третьих лиц к указанным данным, был назначен штраф (Постановление Псковского областного суда от 14.07.2016 N 4А-103/2016).

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС «Консультант Плюс»

Оформление пропуска по паспорту – только с согласия его владельца

В соответствии с ч. 1 ст. 11 Закона «О персональных данных» обработка биометрических персональных данных в подобных случаях может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.

Исключением являются случаи, предусмотренные ч. 2 данной статьи: связанные с осуществлением правосудия и исполнением судебных актов, предусмотренные законодательством об обороне, безопасности, противодействии терроризму, транспортной безопасности, противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательстве, о порядке выезда из страны и въезда в нее.

В иных случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Закона «О персональных данных» не регулируются. Соответственно, обработка сведений в данных случаях осуществляется согласно общим требованиям, установленным данным законом.

Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность.

РАЗЪЯСНЕНИЯ Роскомнадзора
«О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»

Документ включен в СПС «Консультант Плюс»

Еще по теме:

  • Северные надбавки для молодежи до 30 лет в 2014 году Как оплачиваются северные надбавки молодежи до лет Как начисляются северные надбавки молодежи, родившейся в районе, приравненным к РКС? Я родился 1.01.1995г в п. новый Уоян врайонне приравненному РКС и по настоящее время проживаю здесь. […]
  • Продажа земельного участка под ижс в саратове Земельные участки в Саратове Всего 706 объявлений Всего 706 объявлений Продать земельный участок, 25 соток. 2 октября 388 Агентство Пожаловаться Заметка Продаю земельный участок, 12 соток. 2 октября 275 Агентство […]
  • Обстоятельства подлежащие доказыванию в уголовном судопроизводстве 5.1. Обстоятельства, подлежащие доказыванию по уголовному делу. Доказательства и доказывание (главы 10 и 11 УПК) являются важнейшими правовыми институтами в системе норм уголовного судопроизводства. Статья 73 УПК РФ определяет круг […]
  • Мировой суд таганрога участок 11 Департамент по обеспечению деятельности мировых судей Ростовской области г. Ростов-на-Дону, ул. Дранко, 108 б, 344018телефоны: 8 (800) 200 5044, (863) 234 50 44факс: (863) 234 50 44 Судебные участки Таганрогского судебного района […]
  • Земля в подольске под ижс Земельные участки ИЖС в Подольске Всего 69 объявлений Всего 69 объявлений Продать землю под ИЖС, 4 сотки, 12 км за МКАД. 29 сентября 831 Агентство Пожаловаться Заметка 10 мин. до метро Бунинская аллея. 5 детских садов, […]
  • Принудительное выкуп акций Принудительный выкуп акций Приватизация 90-х привела к созданию огромного количества акционерных обществ. Работники и служащие предприятия, получавшие безвозмездно его акции или выкупавшие их, становились акционерами. Иногда их число […]