Регистрация Напомнить пароль

Логин:
	или
E-mail:
Выслать

Журнал «Юридический справочник руководителя» май 2017
Рубрика Юридическая ответственность

Что грозит за нарушение законодательства о персональных данных?

Рейтинг 5
0 комментариев
58 просмотров

Полетаева Анна | ведущий юрисконсульт ООО «Оптимус-Мед»

В прошлом номере мы кратко рассказали об изменениях в КоАП РФ, касающихся ответственности за нарушения законодательства о персональных данных. В этом номере мы решили подробно остановиться на всех нововведениях и рассказать о том, кого и за что привлекают к административной ответственности по каждому из семи новых составов правонарушений.

Требования российского законодательства о персональных данных довольно жесткие. Выполнять все их сложно и накладно. Поэтому многие компании подходят к учету поступающих им личных данных граждан небрежно или вовсе игнорируют предписания законодательства. И напрасно. С 1 июля 2017 г. в ст. 13.11 КоАП РФ, которая предусматривает ответственность за нарушения в сфере персональных данных, внесены изменения. Теперь эта статья будет включать семь составов вместо одного. Максимальный штраф поднимется с 10 000 руб. до 75 000 руб. А учитывая, что Роскомнадзор может выявить совокупность правонарушений, не исключено, что штраф возрастет почти до 300 000 руб., что, по мнению специалистов, соответствует общеевропейским нормам.

Причины нововведений

Изменения в ст. 13.11 КоАП РФ внесены Федеральным законом от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Причиной нововведений послужило множество жалоб и обращений граждан на незаконные действия операторов по обработке персональных данных и большое количество выявленных нарушений.

Чаще всего граждане недовольны тем, что что банки передают их данные коллекторским фирмам. Много жалоб поступает на операторов связи. Организации ЖКХ обвиняются в размещении данных о задолженностях в подъездах для общего доступа. Претензии граждан вызывают рекламные звонки и СМС от мелких организаций, а также разглашение личной информации фирмами, органами власти, различными учреждениями (например, больницами) и т.д.

Предыдущий единый состав ст. 13.11 КоАП РФ позволял привлекать к ответственности за нарушение порядка сбора, хранения, использования и распространения информации о гражданах. При этом нарушения никак не дифференцировались ни по составу, ни по тяжести, ни по степени ответственности операторов.

По мнению авторов закона, в прежнем виде ст. 13.11 КоАП РФ работала неэффективно, защищая граждан далеко не во всех случаях. А в некоторых ситуациях операторы были просто избавлены от ответственности за нарушения.

Суть новшеств

Обновленная редакция ст. 13.11 КоАП РФ подготовлена с учетом судебной практики. Теперь для самых популярных нарушений предусмотрен свой состав. Таким образом, при вынесении решений суды ссылаются не на ст. 13.11 КоАП РФ в целом, а на ее соответствующую часть.

Согласно ч. 1 ст. 4.4 КоАП РФ наказание назначается за каждое совершенное административное правонарушение. Поэтому операторы рискуют быть оштрафованными по каждому из семи составов.

К сведению

СвернутьПоказать

К административной ответственности по одной и той же норме могут быть привлечены как компания в целом, так и конкретное должностное лицо (ч. 3 ст. 2.1 КоАП РФ, п. 15 постановления Пленума ВС РФ от 24.03.2005 № 5 «О некоторых вопросах, возникающих у судов при применении Кодекса Российской Федерации об административных правонарушениях»).

Еще одно изменение касается возбуждения дел по ст. 13.11 КоАП РФ. С 1 июля 2017 г. это делает Роскомнадзор, а не прокуратура (как было раньше). А вот рассматривать дела, как и прежде, будут суды.

Распространенные правонарушения

Согласно официальным данным Роскомнадзора, в России действует почти 400 000 операторов персональных данных, то есть организаций (в том числе государственных), которые собирают, хранят, передают или обрабатывают персональные данные¹.

Под персональными данными понимаются любые сведения, относящиеся к физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее - Закон о ПД). Это, в частности, фамилия, имя, отчество, адрес, номер телефона.

Обработка - это сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение личной информации о гражданах. Этот длинный перечень на практике может быть дополнен любыми другими действиями операторов.

Чаще операторы допускают следующие нарушения:

цели сбора данных противоречат закону (ч. 2 ст. 5 Закона о ПД);
требуемые персональные данные являются избыточными (ч. 5 ст. 5 Закона о ПД);
персональные данные обрабатываются в случаях, не предусмотренных законодательством (ч. 1 ст. 6 Закона о ПД);
при обработке персональных данных не обеспечивается конфиденциальность (ст. 7 Закона о ПД);
персональные данные обрабатываются без письменного согласия субъекта (ч. 4 ст. 9 Закона о ПД);
субъекту не предоставляется информация, касающаяся обработки его персональных данных (ст. 14 Закона о ПД);
к документу оператора об обработке персональных данных не обеспечен неограниченный доступ (ч. 2 ст. 18.1 Закона о ПД);
не соблюдаются условия прекращения обработки и уничтожения персональных данных (ст. 21 Закона о ПД);
персональные данные обрабатываются без уведомления Роскомнадзора, когда оно необходимо (ч. 3 ст. 22 Закона о ПД).

Состав № 1

Часть 1 ст. 13.11 КоАП РФ устанавливает ответственность за обработку персональных данных в случаях, не предусмотренных законодательством, либо за обработку, несовместимую с целями сбора данных (за исключением случаев, предусмотренных ч. 2 этой же статьи и ст. 137 УК РФ о нарушении неприкосновенности частной жизни).

Ответственность предусмотрена в виде предупреждения либо штрафа:

на должностных лиц - от 5000 руб. до 10 000 руб.;
на юридических лиц - от 30 000 руб. до 50 000 руб.

Как видно, первая часть предусматривает ответственность за два различных вида правонарушений (ст. 5 и 6 Закона о ПД).

Согласно п. 2 ст. 5 Закона о ПД обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. При этом обработка персональных данных, несовместимая с целями их сбора, не допускается. Нетрудно заметить, что это требование носит универсальный, если не сказать «резиновый» характер. Под «нарушением целей» можно понимать и сбор излишнего объема данных, и их обработку после достижения заявленных целей, и незаконное объединение баз данных, и требование предоставления информации о родственниках или знакомых, и многие другие действия операторов.

В соответствии со ст. 6 Закона о ПД персональные данные должны обрабатываться с соблюдением закона, а также перечислены случаи, когда допускается обработка персональных данных, например, если она осуществляется:

с согласия субъекта персональных данных;
для исполнения судебного акта;
для исполнения договора, где стороной (выгодоприобретателем, поручителем) является субъект персональных данных;
для защиты жизни или здоровья субъекта персональных данных.

Судебная практика

СвернутьПоказать

Сотрудники банка звонили на телефонный номер, не принадлежащий его клиенту. Истец - знакомый клиента-должника - безрезультатно просил банк прекратить обработку сведений о нем, но тот его требования игнорировал. Тогда истец был вынужден обратиться в суд с иском о признании действий оператора незаконными.

Суд разъяснил, что обработка информации без согласия субъекта не предусмотрена законом. В рассмотренном случае обработка не соответствовала целям сбора данных, поскольку к должнику, с которым у банка имелся договор, истец не имел прямого отношения. В итоге банку пришлось удалить номер телефона из своей базы данных, выплатить компенсацию морального вреда и возместить судебные издержки (апелляционное определение Кемеровского областного суда от 24.03.2016 по делу № 33-3446/2016).

Состав № 2

Часть 2 ст. 13.11 КоАП РФ предусматривает ответственность за обработку персональных данных без письменного согласия субъекта. Должностных лиц могут оштрафовать на 10 000-20 000 руб., а компании - на 15 000-75 000 руб. Однако если фирма незаконно получила или распространила личную или семейную тайну гражданина без его согласия, то ее должностных лиц могут привлечь к уголовной ответственности по ст. 137 УК РФ.

Нарушением является обработка именно без письменного согласия. Если такого требования нет, то согласие может быть дано в любой форме (ч. 1 ст. 9 Закона о ПД).

К сведению

СвернутьПоказать

Предоставление физическим лицом оператору персональных данных своих родственников или знакомых также возможно только при наличии их письменного согласия.

Часть 4 ст. 9 Закона о ПД обязывает операторов получать письменное согласие субъекта на обработку его данных, когда это предусмотрено законом. Согласие может быть дано в электронной форме, если документ подписан электронной подписью. Впрочем, в судебной практике встречались случаи, когда на сайте была представлена анкета, которая после заполнения пересылалась банку для рассмотрения вопроса о получении кредита. Суды расценили такую форму как письменное согласие (постановление ФАС Северо-Западного округа от 13.12.2010 по делу № А56-73636/2009).

Если же речь о бумажном носителе, то на нем должно быть предусмотрено специальное поле, в котором субъект может поставить отметку о своем согласии на обработку (подп. «б» п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15.09.2008 № 687, далее - Положение № 687)).

В законодательстве упомянуто нескольких случаев, когда необходимо получать письменное согласие. Оно нужно, если данные получаются для:

создания общедоступных справочников, адресных книг, баз данных, в которые включаются Ф.И.О., год и место рождения, адрес, абонентский номер, сведения о профессии и другие данные (ч. 1 ст. 8 Закона о ПД, п. 2 ст. 53 Федерального закона от 07.07.2003 № 126-ФЗ «О связи»);
обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ч. 1 ст. 10 Закона о ПД);
распространения общественным объединением или религиозной организацией данных о своих членах или участниках (п. 5 ч. 2 ст. 10 Закона о ПД);
обработки биометрических данных, которые оператор использует для установления личности субъекта (ч. 1 ст. 11 Закона о ПД);
трансграничной передачи персональных данных на территории государств, не обеспечивающих защиту прав субъектов (ч. 4 ст. 12 Закона о ПД);
принятия решения, затрагивающего права и законные интересы субъекта (ч. 2 ст. 16 Закона о ПД).

К сведению

СвернутьПоказать

Для рекламы посредством звонков или других прямых контактов с потребителем письменное согласие на обработку персональных данных не обязательно. Однако мы рекомендуем все-таки заручиться разрешением. Закон устанавливает презумпцию отсутствия согласия субъекта, и в случае спора факт согласия должен доказывать оператор (ч. 1 ст. 15 Закона о ПД).

Обязанность операторов получать письменное согласие содержится и в других законах. Например, ст. 88 ТК РФ запрещает работодателям сообщать без письменного согласия:

личные сведения о работниках третьей стороне,
данные работников в коммерческих целях.

Часть 3 ст. 13 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» позволяет на основании письменного согласия разглашать врачебную тайну пациентов в целях:

медицинского обследования и лечения,
проведения научных исследований,
опубликования в научных изданиях,
использования в учебном процессе и т.д.

Судебная практика

СвернутьПоказать

Прокурор возбудил в отношении генерального директора дело об административном правонарушении за отсутствие в листах кандидатов на должность поля, в котором они могли бы поставить отметку о своем согласии на обработку персональных данных. Суд вынес генеральному директору предупреждение даже несмотря на то, что положение о согласии на обработку персональных данных содержалось в трудовых договорах с работниками (постановление Самарского областного суда от 22.08.2016 по делу № 4А-907/2016).

В другом деле оператор без согласия гражданина предоставил сведения о нем коллекторскому агентству для возврата несуществующего долга. Гражданин неоднократно обращался с требованием прекратить обработку его данных. Однако положительный результат был достигнут только после того, как Роскомнадзор направил оператору и коллекторам письмо с требованием устранить нарушения. А гражданин, обратившись в суд, получил компенсацию морального вреда (решение Костромского районного суда Костромской области от 18.09.2015 по делу № 2-855/2015).

В той же ч. 2 ст. 13.11 КоАП РФ установлена ответственность за нарушение требований к составу сведений, включаемых в письменное согласие на обработку данных гражданина. Перечень этих сведений установлен ч. 4 ст. 9 Закона о ПД и включает в себя:

Ф.И.О., адрес субъекта, данные паспорта;
Ф.И.О. представителя субъекта персональных данных, данные паспорта, реквизиты доверенности;
наименование или Ф.И.О. и адрес оператора, получающего согласие;
цель обработки данных;
перечень данных, на обработку которых дается согласие;
наименование (или Ф.И.О.) и адрес лица, которое обрабатывает персональные данные по поручению оператора (если обработка поручена такому лицу);
перечень действий оператора с персональными данными и общее описание используемых им способов обработки данных;
срок, в течение которого действует согласие, и способ его отзыва;
подпись гражданина.

Часто операторы забывают указывать способы отзыва согласия или сведения о конкретном лице, обрабатывающем информацию.

Состав № 3

Часть 3 ст. 13.11 КоАП РФ предусматривает ответственность за необеспечение неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или к сведениям о мерах по защите таких данных. В качестве санкций предусмотрено предупреждение или штраф:

для должностных лиц - от 3000 руб. до 6000 руб.;
для организаций - от 15 000 руб. до 30 000 руб.

Обязанность обеспечить доступ установлена в ч. 2 ст. 18.1 Закона о ПД. Во-первых, у оператора должны быть документы, в которых определяется его политика в отношении персональных данных или меры по защите данных. Во-вторых, эти документы должны быть доступными для неограниченного доступа других лиц, например, размещены на сайте оператора (ч. 2 ст. 18.1 Закона о ПД) или в его офисе. Причем название документа существенного значения не имеет. Важно его содержание.

Выявить это правонарушение помогает такое мероприятие, как систематическое наблюдение, в ходе которого Роскомнадзор просматривает сайты операторов. Например, на сайте управления службы по Тульской области (https://71.rkn.gov.ru/news/news116956.htm) есть информация о том, что с 22.03.2017 по 24.03.2017 проводилось наблюдение двух интернет-ресурсов коллекторских агентств. Были выявлены типичные правонарушения. В результате компаниям направлены запросы о предоставлении информации, касающейся размещения необходимых документов.

Состав № 4

Согласно ч. 4 ст. 13.11 КоАП РФ непредоставление субъекту информации об обработке его персональных данных влечет предупреждение или штраф:

для должностных лиц - от 4000 руб. до 6000 руб.;
для юридических лиц - от 20 000 руб. до 40 000 руб.

Обязанность предоставить информацию об обработке данных появляется после обращения гражданина к оператору или составления обращения (ч. 3 ст. 14 Закона о ПД). Ответ на обращение нужно дать в течение 30 дней с даты получения запроса (ч. 1 ст. 20 Закона о ПД). Перечень предоставляемых сведений содержится в ст. 14 Закона о ПД.

Фрагмент документа

СвернутьПоказать

Часть 7 ст. 14 Закона о ПД

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые оператором способы обработки персональных данных;
наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

Состав № 5

Часть 5 ст. 13.11. КоАП РФ грозит наказанием в виде предупреждения или штрафа за невыполнение оператором требования гражданина или Роскомнадзора об уточнении (блокировании, уничтожении) неполных (устаревших, неточных, незаконно полученных, не нужных для заявленной цели обработки) персональных данных (ч. 1 ст. 14 Закона о ПД). Должностные лица могут быть оштрафованы на сумму от 4000 руб. до 10 000 руб., компании - от 25 000 руб. до 45 000 руб.

Сроки, в которые оператор должен выполнить требование, установлены в ст. 21 Закона о ПД. Когда выявлены неточные данные, оператор обязан заблокировать их с момента обращения на период проверки. Если сведения действительно оказались неточными, оператор должен исправить их в течение семи рабочих дней с даты представления новых сведений и снять блокировку.

Неправомерная обработка личных сведений должна быть прекращена в течение трех рабочих дней с даты выявления этого нарушения. Если обеспечить правомерность обработки невозможно, данные уничтожаются в течение 10 дней с момента выявления факта неправомерной обработки.

После достижения цели обработки (например, исполнен договор и прекращены договорные отношения) оператор по общему правилу должен прекратить обработку и уничтожить имеющиеся у него данные в течение одного месяца. Такой же порядок установлен на случай отзыва гражданином согласия на обработку его данных. Право на отзыв согласия предусмотрено ч. 2 ст. 9 Закона о ПД.

Чаще всего установленные сроки нарушают банки, коллекторы и другие организации, которые игнорируют требования граждан прекратить обработку их данных.

Судебная практика

СвернутьПоказать

Заемщица обратилась к банку с требованием о частичном уничтожении предоставленных ею персональных данных (номера телефонов, контакты третьих лиц, адреса родственников, адрес и наименование работодателя), указанных в кредитной документации.

Банк частично исполнил ее требование и прекратил обработку ее персональных данных, но лишь в целях продвижения товаров (работ и услуг). Он также разъяснил, что согласия истицы на обработку данных, необходимых для исполнения кредитного договора, не нужно.

Суд согласился с ответчиком. При этом было отмечено, что частичное уничтожение персональных данных законодательством не предусмотрено. Кроме того, уничтожение может привести к неисполнению кредитного договора истицей, что нарушает права банка (решение Ленинского районного суда г. Самары от 23.12.2016 по делу № 2-5316/2016).

Состав № 6

Часть 6 ст. 13.11 КоАП РФ распространяется на случаи обработки данных без использования средств автоматизации, т.е. вручную. Наказание предусмотрено за невыполнение оператором условий хранения материальных носителей (документов), на которых записаны данные. Причем ответственность наступает, если такие действия привели:

к неправомерному или случайному доступу к персональным данным;
уничтожению, изменению, блокированию, копированию, предоставлению, распространению персональных данных;
другим неправомерным действиям в отношении персональных данных.

Размер штрафа для должностных лиц установлен в пределах от 4000 руб. до 10 000 руб., для организаций - от 25 000 руб. до 50 000 руб.

Особенности обработки данных без использования средств автоматизации установлены в Положении № 687. Пункты 13 и 15 этого документа требуют хранить бумаги так, чтобы в отношении каждой категории персональных данных:

можно было определить места хранения материальных носителей;
установить перечень лиц, обрабатывающих данные либо имеющих к ним доступ;
была обеспечена сохранность;
был исключен несанкционированный доступ к информации.

Перечень мер по охране информации, порядок их принятия, а также перечень ответственных лиц устанавливает оператор.

Так, ФГУП «Почта России» не обеспечивала места хранения документов с персональными данными, не составила перечень лиц, осуществляющих обработку данных и имеющих к ним доступ, не соблюдала условия сохранности данных, исключающих несанкционированный доступ. Суд сохранил в силе выданное предписание об устранении нарушений (решение Арбитражного суда г. Москвы от 28.03.2011 по делу № А40-129843/2010).

Практике известно множество случаев, когда работники различных организаций - медицинских учреждений, страховых компаний, операторов связи, банков и т.д. - просто выбрасывали документы с личными данными клиентов. Так, Управление Роскомнадзора по Приморскому краю при проведении мониторинга сети Интернет обнаружило материал о том, что около одной из остановок во Владивостоке прямо на проезжую часть были выброшены документы с персональными данными (направления на лечение, истории болезни, направления на анализы, ксерокопии паспортов, рентгеновские снимки, кардиограммы). Когда этот факт подтвердился, материалы были направлены прокурору для решения вопроса о возбуждении административных дел в отношении операторов персональных данных (http://25.rkn.gov.ru/news/news33172.htm).

Судебная практика

СвернутьПоказать

Прокурор выявил ряд нарушений оператора:

не представлено уведомление об обработке персональных данных;
данные кандидатов на замещение вакантных должностей обрабатываются без их согласия;
отсутствует акт оператора о цели обработки, способах фиксации и составе информации и т.д.;
отсутствуют сведения о цели и сроках обработки, перечне действий с персональными данными;
отсутствуют документы, устанавливавшие места хранения данных и перечень мер, исключающих несанкционированный доступ к персональным данным, а также не определен круг лиц, ответственных за их реализацию.

Нарушения не повлекли неправомерных действий в отношении персональных данных. Однако директор был оштрафован на 500 руб. (постановление Волгоградского областного суда от 15.04.2011 по делу № 7А-391/2011).

Состав № 7

Роскомнадзор контролирует соблюдение закона не только частными компаниями, но и государственными органами. Седьмой состав (ч. 7 ст. 13.11 КоАП РФ) как раз касается операторов - государственных (муниципальных) органов. Для них установлена ответственность за невыполнение обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов обезличивания. За допущенные нарушения должностным лицам могут вынести предупреждение или оштрафовать на 3000-6000 руб.

Заключение

С 2017 г. плановые проверки проводятся по первым трем составам:

незаконная обработка данных;
обработка без согласия субъекта;
отсутствие документа, определяющего политику оператора в сфере персональных данных.

Проверки по фактам непредставления субъекту информации об обработке его данных и невыполнения требования об уничтожении информации, как и прежде, проводятся по жалобам граждан. Неправильное хранение информации может быть выявлено в случае утраты документов или распространения информации о субъекте.

Операторам же важно определить политику работы с персональными данными, установив принципы и условия их обработки. И не нужно забывать, что распространение секретов из области частной жизни граждан влечет уже не административную, а уголовную ответственность по ст. 137 УК РФ. А там предусмотрены крупные штрафы (до 350 000 руб.) и даже лишение свободы на срок до пяти лет.