Штрафы по ст.13.11 КоАП по персональным данным

В начале февраля 2017 года были внесены изменения в КоАП РФ, которые устанавливают новые меры ответственности за нарушения порядка обработки и защиты персональных данных. Вкратце: штрафы за нарушения порядка обработки персональных данных с 1 июля 2017 года стали крупнее; описание нарушений, за которые назначается ответственность — более конкретные.

И так, с 1 июля 2017 года вводится семь составов правонарушений в ст. 13.11 вместо одного ранее. Сам закон о персональных данных с 1 июля 2017 года при этом не меняется.

Меры ответственности были описаны в статье на сайте ранее.

Имеет смысл рассмотреть подробнее за какие правонарушения назначается та или иная ответственность по новым правилам.

Часть 1 ст.13.11:

«Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния»

Санкции за нарушение — предупреждение или административный штраф до 50 тыс. рублей для юридических лиц могут наступить в результате двух разных нарушений:

  • обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области ПДн.

Это правонарушение наступает при несоблюдении требований ст.6 Федерального закона  №152-ФЗ «О персональных данных», а именно, когда обработка персональных данных Оператором осуществляется вне рамок 11 перечисленных в ч.1 ст. 6 условий.

  • обработка персональных данных, несовместимая с целями сбора персональных данных.

Это правонарушение наступает при несоблюдении требования ч.4 ст.5 Федерального закона  №152-ФЗ «О персональных данных».

Часть 2 ст.13.11:

«Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных»

Санкция за нарушение — административный штраф до 75 тыс. рублей для юридических лиц может наступить опять же в результате двух нарушений:

  • обработка персональных данных без согласия в письменной форме в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации.
  • обработка персональных данных с нарушением установленных требований к составу сведений, включаемых в согласие в письменной форме.

Наказание за нарушение по ч.2 ст.13.11 может наступить только тогда, когда необходимо получение не просто согласия, а необходимо согласие именно в письменной форме. И таких случаев согласно законодательству у нас несколько, при этом наиболее часто встречающиеся из них следующие:

ч.1 ст.8 152-ФЗ: Создания общедоступных источников персональных данных (в том числе это телефонные справочники, адресные книги и т.д., и т.п.) в целях информационного обеспечения;

п.1 ч.2 ст.10 152-ФЗ: Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;

п.5 ч.2 ст.10 152-ФЗ: Распространение персональных данных членов (участников) общественного объединения или религиозной организации соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами;

ч.1 ст.11 152-ФЗ: Обработка биометрических персональных данных (т.е. сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность), когда такая обработка осуществляется оператором для установления личности субъекта персональных данных, кроме случаев, предусмотренных ч.2 ст.11 152-ФЗ (т.е в связи с реализацией международных договоров о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в случаях, предусмотренных законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе и т.д.);

ч.4 ст.12 152-ФЗ: Осуществление трансграничной передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных;

ч.2 ст.16 152-ФЗ: Принятие решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, которые принимаются на основании исключительно автоматизированной обработки его персональных данных;

ст.88 ТК РФ: Передача персональных данных работника работодателем третьей стороне, за исключением случаев, когда передача необходима в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым Кодексом или иными федеральными законами;

Необходимо отметить, что вторая часть состава правонарушения связана с установленными требованиями к составу сведений, включаемых в письменное согласие. Минимальный перечень этих сведений установлен ч. 4 ст. 9 Федерального закона №152-ФЗ «О персональных данных».  Нарушениями считаются не полностью заполненные сведения, например, об операторе или лице, которому оператор поручает обработку персональных данных.

Следует так же учесть, что наличие письменного согласия субъекта необходимо только в определенных случаях, в иных случаях возможно получение оператором согласия субъекта в любой форме (см. п.1 ст.9 152-ФЗ: «Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом»).

Часть 3 ст.13.11:

«Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных»

Санкции за нарушение — предупреждение или административный штраф до 30 тыс. рублей для юридических лиц. Указанные санкции могут наступить в следствии нарушения обязанностей Оператора персональных данных при сборе и обработке персональных данных, а именно ч. 2 ст.18.1 152-ФЗ: «Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.»

Обязанность по изданию соответствующих документов наступает у Оператора в силу требований ч.1 ст.18.1 152-ФЗ.

Необходимо отметить, что  в настоящий момент неопубликование соответствующих документов самое часто выявляемое нарушение требования законодательства о персональных данных. Таковым его делает хорошо освоенная Роскомнадзором практика систематического наблюдения за сайтами в сети Интернет. В ходе такого наблюдения сотрудники Роскомнадзора осуществляют просмотр сайтов и в случае не выявления на сайте, осуществляющем сбор персональных данных,  документа, определяющего политику в отношении обработки персональных данных, направляют оператору соответствующее требование:Запрос Роскомнадзора по нарушению требования ч.2 ст.18.1 152-ФЗ

Способ, которым оператор обеспечивает неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, определяется оператором самостоятельно кроме двух случаев, когда способ опубликования определен законодательно.

Первый случай относится к тем операторам персональных данных, которые осуществляют сбор персональных данных посредством информационно-телекоммуникационных сетей. В этом случае, оператор обязан опубликовать политику в этой же сети (И надо понимать, что это не всегда сайт организации в сети Интернет!).

Второй случай, когда Оператор является государственным или муниципальным органом, требование опубликования политики в отношении обработки персональных данных определяет Постановление Правительства РФ № 211 от 21.03.2012г. «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом „О персональных данных“ и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»:

«Документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения»

Часть 4 ст.13.11:

«Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных«

Санкции за нарушение — предупреждение или административный штраф до 40 тыс. рублей для юридических лиц. Указанные санкции могут наступить в следствии нарушения обязанностей Оператора ответить на обращение субъекта или его представителя в течение тридцати дней с даты получения такого запроса субъекта, как того требует ст.20 152-ФЗ.

Право субъекта обратиться к оператору персональных данных с целью получения информации, касающейся обработки его персональных данных, возникает в силу положения ст. 14 №152-ФЗ «О персональных данных». Сведения, которые оператор обязан предоставить субъекту, определены ч.7 ст.14 №152-ФЗ.

Часть 5 ст.13.11:

«Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки»

Санкции за нарушение — предупреждение или административный штраф до 45 тыс. рублей для юридических лиц.  Указанные санкции могут наступить в следствии нарушения требования ст.21 №152-ФЗ. При этом положения статьи 21 определяют различные сроки для исполнения требований об уточнении, блокировании или уничтожении персональных данных.

Часть 6 ст.13.11:

«Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния»

Санкция за нарушение — административный штраф до 50 тыс. рублей для юридических лиц.  Указанные санкции могут наступить в следствии нарушения требования п.15 Постановления Правительства № 687 от 15.09.2008г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», которое определяет обязанность оператора обеспечить сохранность материальных носителей персональных данных и исключающих несанкционированный к ним доступ при не автоматизированной обработке.

Часть 7 ст.13.11:

«Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных»

Санкции за нарушение — предупреждение или административный штраф до 6 тыс. рублей для должностных лиц.

Понравилась статья? Подпишитесь на электронную подписку - это абсолютно бесплатно! Все самые свежие ИТ Новости и интересные материалы будут приходить вам на почту, вы сможете читать новости с экрана компьютера, планшета или телефона.

You must be logged in to post a comment Логин

%d такие блоггеры, как: