Изменения в законодательстве об ответственности за нарушения в области персональных данных

Информация достоверна
Какие новые изменения в сфере персональных данных вступили в силу с появлением Федерального закона № 13-ФЗ от 07.02.2017 г. «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»? На этот и другие вопросы Вы найдете ответы в нашей статье.
Плотников Виталий Николаевич — автор статьи
Виталий Плотников
Юрист широкого профиля, главный редактор
Комментарий эксперта
Изменения в законодательстве об ответственности за нарушения в области персональных данных

Федеральный закон № 13-ФЗ от 07.02.2017 г. «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» вступил в силу 01 июля 2017 г. Действие Закона направлено на повышения эффективности в осуществлении мер административной ответственности в сфере персональных данных и обеспечение защиты прав субъектов этой сферы.

Что такое персональные данные

Согласно нормам действующего законодательства (ст. 3 Закона о персональных данных) под персональными данными понимается любая информация, которая прямо или косвенно относится к определенному физическому лицу – субъекту этих данных. Такой информацией может быть:

  • фамилия имя отчество, включая прежние; 
  • гражданство; 
  • дата и место рождения; 
  • адрес места жительства, включая место регистрации; 
  • семейное положение;
  • имущественное и социальное положение; 
  • образование;
  • профессия и специальность; 
  • номера контактных телефонов; 
  • сведения об имуществе и имущественных обязательствах; 
  • сведения о доходах. 

Стоит отметить, что перечень персональных данных, который обрабатывается в связи с осуществлением трудовых и служебных отношений либо в связи с оказанием государственных или муниципальных услуг, утверждается приказом органа государственной власти (например, перечень данных, который обрабатывается в МВД, утвержден Приказом МВД РФ от 29.12.2016 г. № 925 «О некоторых вопросах обработки персональных данных в МВД России»).

Какая предусмотрена ответственность в области персональных данных?

Согласно статье 90 Трудового кодекса РФ лица, виновные в нарушении положений законодательства РФ в сфере персональных данных, при обработке данных работника, привлекаются к материальной и дисциплинарной ответственности. Также за нарушение в данной сфере лицо могут привлечь к гражданско-провавой, административной и уголовной ответственности в порядке, предусмотренном действующим законодательством.

Административная ответственность за правонарушение в сфере персональных данных

Административным правонарушением признается противоправное виновное действие/бездействие юридического или физического лица, за которое КоАП РФ предусмотрена административная ответственность. Статья 13.11 КоАП РФ определяет ответственность за совершение правонарушений в сфере персональных данных.

Напомним, что до вступления в силу изменений, максимальный размер штрафа за правонарушения в сфере персональных данных для юридических лиц составлял 10 000 рублей, при этом данная редакция статьи 13.11 КоАП РФ в полной мере не позволяла обеспечить эффективность в защите прав и интересов субъектов персональных данных, включая соблюдение принципа неотвратимости наказания за совершение данного правонарушения. Также нормы статьи не учитывали тяжесть негативных последствий за совершение правонарушения. Изменения, внесенные нормами Федерального законом 13-ФЗ от 07.02.2017 г. «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», позволили увеличить эффективность реализации мер административной ответственности путем дифференцирования состава правонарушения с учетом ущерба, причиненного этим нарушением.

Итак, на основании части 1 статьи 13.11 КоАП РФ, обработка персональных данных в тех случаях, которые не предусмотрены законодательством РФ в сфере персональных данных, либо когда обработка данных несовместима с целями их сбора, если эти действия не содержат уголовно наказуемого деяния, влечет предупреждение или штраф в размере:

  • для физических лиц – от 1000 до 3000 рублей; 
  • для должностных лиц – от 5 000 до 10 000 рублей; 
  • для организаций – от 30 000 до 50 000 рублей. 

Разъяснение:
В соответствии с законом государственный орган обязан утвердить правила обработки персональных данных, которые устанавливают процедуры, позволяющие выявить и предотвратить нарушение законодательства РФ в области персональных данных.

Часть 2 статьи 13.11 КоАП РФ устанавливает, что обработка персональных данных без согласия в письменной форме субъекта этих данных на обработку, в случае, когда такое согласие должно быть получено в соответствии с законодательством РФ, влечет штраф в размере:

  • для физических лиц – от 3 000 до 5 000 рублей; 
  • для должностных лиц – от 10 000 до 20 000 рублей; 
  • для организаций – от 15 000 до 75 000 рублей. 

Разъяснение:
В соответствии со статьей 9 закона о персональных данных, субъект персональных данных принимает решение о предоставлении данных и дает согласие на их обработку свободно, по своей воле и в своих интересах.

Согласие должно быть информированным, конкретным и сознательным. Согласие на обработку может быть дано субъектом или его представителем в любой форме, позволяющей подтвердить такое согласие, если иное не предусмотрено законодательством.

Согласно статьи 7 Закона операторы или иные лица, имеющие доступ к персональным данным, обязаны не раскрывать третьим лицам персональные данные без согласия субъекта этих данных, если иное не предусмотрено российскими законами.

Часть 3 статьи 13.11 КоАП РФ устанавливает, что невыполнение оператором обязанности по опубликованию документа, определяющего его политику в отношении обработки персональных данных либо сведений о реализуемых требованиях к их защите или обеспечению иным образом неограниченного доступа к ним влечет предупреждение или штраф в размере:

  • для физических лиц – от 700 до 1 000 рублей; 
  • для должностных лиц – от 3 000 до 6 000 рублей; 
  • для организаций – от 15 000 до 30 000 рублей. 

Разъяснение:
В силу статьи 3 Закона о персональных данных оператором является государственный или муниципальный орган, физическое или юридическое лицо. В соответствии с частью 2 статьи 18.1 Закона оператор обязан опубликовать документ, определяющий его политику в области обработки персональных данных, включая сведения о реализуемых требованиях, о защите персональных данных либо иным образом обеспечить неограниченный доступ к ним.

Часть 4 статьи 13.11 КоАП РФ определяет, что невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, которая касается обработки его данных, влечет предупреждение или штраф в размере:

  • для граждан – от 1 000 до 2 000 рублей;
  • для должностных лиц – от 4 000 до 6 000 рублей; 
  • для индивидуальных предпринимателей – от 10 000 до 15 000 рублей; 
  • для организаций - от 20 000 до 40 000 рублей. 

Разъяснение:
В соответствии с частью 7 статьи 14 Закона о персональных данных субъект данных вправе получать информацию, которая касается обработки его персональных данных, включая ту, которая содержит:

  1. подтверждение факта обработки данных оператором;
  2. основания и цели обработки данных; 
  3. способы обработки, применяемые оператором;
  4. наименование и место нахождения оператора, сведения о лицах, которые имеют доступ к данным или которым данные могут быть раскрыты на основании договора с оператором; 
  5. обрабатываемые персональные данные, которые относятся к соответствующему субъекту данных, источник их получения; 
  6. сроки обработки данных и их хранения;
  7. сведения о выполненной или предполагаемой трансграничной передаче данных;
  8. порядок осуществления субъектом персональных данных прав; 
  9. наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если их обработка была поручена третьему лицу; 
  10. иные сведения, предусмотренные законодательством. 

Важно! Случаи, когда право субъекта персональных данных на доступ к его данным может быть ограничено, зафиксированы в части 8 статьи 14 Закона. 


Кроме того, статья 20 Закона устанавливает, что оператор обязан сообщить субъекту данных либо его представителю информацию о наличии этих данных, а также предоставить возможность ознакомления с ними при обращении субъекта или его представителя.

Часть 5 статьи 13.11 КоАП РФ устанавливает, что невыполнение оператором в установленные сроки требования субъекта персональных данных об уточнении этих данных, их блокировки или уничтожения в случае, если данные неполные, устарели или получены незаконно либо не являются необходимыми для заявленной цели обработки, ведет к предупреждению или наложению штрафа в размере:

  • для физических лиц – в размере от 1 000 до 2 000 рублей;
  • для должностных лиц – от 4 000 до 10 000 рублей;
  • для организаций – от 25 000 до 45 000 рублей. 

Разъяснение:
Статья 21 Закона о персональных данных фиксирует обязанность для оператора устранить нарушения законодательства, которые были допущены при обработке данных, по уточнению, блокировке или уничтожению этих данных. Так, в случае выявления неточности при обращении субъекта персональных данных, оператор обязан заблокировать персональные данные, относящиеся к этому субъекту или обеспечить их блокировку, если обработка осуществлялась третьим лицом по его поручению. При этом, в случае подтверждения факта неточности, на основании сведений, предоставленных субъектом данных или его представителем, оператор обязан уточнить персональные данные в течении 7 дней со дня предоставления таких сведений, после чего снять блокировку с персональных данных.

Согласно части 6 статьи 13.11 КоАП РФ невыполнение оператором при обработке данных без использования средств автоматизации обязанности по соблюдению условий, которые обеспечивают сохранность данных при хранении материальных носителей, исключающих незаконный доступ к ним, если это повлекло случайный доступ к данным, их уничтожение, изменение или блокировку, копирование или распространение либо иные неправомерные действия в отношении этих данных, влечет наложение штрафа в размере:

  • для граждан – в размере от 700 до 2 000 рублей; 
  • для должностных лиц – от 4 000 до 10 000 рублей; 
  • для организаций – от 25 000 до 50 000 рублей.

Разъяснение:
Особенности обработки персональных данных, которая осуществляется без использования средств автоматизации, установлены Положением, утвержденным Постановлением Правительства РФ № 687 от 15.09.2008 г. Согласно пункту 3 этого Положения обработка данных реализуется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места их хранения и установить перечень лиц, выполняющих эту обработку или имеющих доступ к ним. Важно обеспечить раздельное хранение персональных данных, обработка которых выполняется в различных целях.

При этом, при хранении материальных носителей, обязательно соблюдаются условия, обеспечивающие сохранность данных и исключающие незаконный доступ к ним. Перечень мер, которые обеспечивают такие условия, а также порядок их принятия, устанавливаются оператором.

Часть 7 статьи 13.11 КоАП РФ фиксирует, что невыполнение государственным органом обязанности по обезличиванию персональных данных или несоблюдение требований и методов их обезличиванию, влечет предупреждение или наложение на должностное лицо штрафа в размере от 3 000 до 6 000 рублей.

Разъяснение:
Под обезличиванием персональных данных следует понимать действия, после которых становится невозможно определить принадлежность конкретных данных к определенному субъекту этих данных. При этом обезличивание должно не только обеспечить защиту данных от незаконного использования, но и возможность их обработки, для чего обезличенные данные должны обладать свойствами, сохранившими основные характеристики персональных данных.
Основные требования и методы обезличивания данных прописаны в приказе Роскомнадзора № 996 от 05.09.2013 г.

 

Плотников Виталий Николаевич — автор статьи
Виталий Плотников, Юрист широкого профиля, главный редактор
Окончил МГЮА им. О.Е. Кутафина по специальности «Юриспруденция» (40.03.01) в 2010 году. Практикующий юрист, основатель и автор публикаций юридического портала pravovedus.ru.
Информация об авторе
Рекомендуем почитать
Вопросы от наших читателей
Внимание! Максимальный размер одного файла: 6 МБ. Допустимые типы файлов: PNG, JPG, GIF, BMP, PDF
Внимание! Максимальный размер одного файла: 6 МБ. Допустимые типы файлов: PNG, JPG, GIF, BMP, PDF
Задать вопрос юристу
Внимание! Максимальный размер одного файла: 6 МБ. Допустимые типы файлов: PNG, JPG, GIF, BMP, PDF