Усиление ответственности за нарушения законодательства в области персональных данных
1 июля 2017 г. вступают в силу изменения КоАП РФ в части усиления ответственности, предусмотренной статьей 13.11 (нарушение законодательства РФ в области персональных данных).1
В настоящее время российское законодательство предусматривает административную ответственность за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Максимальный штраф за данное правонарушение для юридических лиц составляет 10 000 рублей.
С 1 июля 2017 г. вводятся 7 новых составов правонарушений в области персональных данных и новые штрафы до 75 000 рублей для юридических лиц, до 20 000 рублей – для должностных лиц.
Кроме того, Роскомнадзор2 наделяется полномочиями по возбуждению дел об административных правонарушениях в сфере законодательства о персональных данных самостоятельно (ранее такие дела возбуждались прокурором).
1. НОВЫЕ СОСТАВЫ ПРАВОНАРУШЕНИЙ
Если говорить очень кратко, то диверсифицирована ответственность за следующие нарушения:
- за незаконную обработку персональных данных;
-
за обработку персональных данных без письменного согласия;
-
за неопубликование политики обработки персональных данных;
-
за невыполнение обязанности по предоставлению информации по обработке персональных данных конкретного лица;
-
за невыполнение требования лица об изменении или уничтожении его персональных данных;
-
за нарушение условий сохранности персональных данных;
-
за невыполнение обязанности по обезличиванию персональных данных.
Ниже представлен краткий обзор нововведений:
- Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных (т.е. незаконная обработка) ЛИБО обработка, несовместимая с целями сбора персональных данных влечет:
√ Предупреждение ЛИБО
√ Административный штраф
для граждан: от 1 000 до 3 000 руб.;
для должностных лиц: от 5 000 до 10 000 руб.;
для юридических лиц: от 30 000 до 50 000 руб.
- Обработка персональных данных без согласия в письменной форме субъекта персональных данных в случаях, когда такое согласие требуется в соответствии с законодательством ЛИБО обработка персональных данных с нарушением законодательно установленных требований к форме и содержанию письменного согласия влечет:
√ Административный штраф
для граждан: от 3 000 до 5 000 руб.;
для должностных лиц: от 10 000 до 20 000 руб.;
для юридических лиц: от 15 000 до 75 000 руб.
Максимальный штраф для юридических лиц вырос в 7,5 раз.
- Невыполнение оператором персональных данных обязанности по опубликованию политики в отношении обработки персональных данных влечет:
√ Предупреждение ЛИБО
√ Административный штраф
для граждан: от 700 до 1 500 руб.;
для должностных лиц: от 3 000 до 6 000 руб.;
для ИП: от 5 000 до 10 000 руб.;
для юридических лиц: от 15 000 до 30 000 руб.
- Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации по обработке его персональных данных влечет:
√ Предупреждение ЛИБО
√ Административный штраф
для граждан: от 1 000 до 2 000 руб.;
для должностных лиц: от 4 000 до 6 000 руб.;
для ИП: от 10 000 до 15 000 руб.;
для юридических лиц: от 20 000 до 40 000 руб.
- Невыполнение оператором в установленные сроки требования субъекта персональных данных об уточнении, блокировании или уничтожении персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки влечет:
√ Предупреждение ЛИБО
√ Административный штраф
для граждан: от 1 000 до 2 000 руб.;
для должностных лиц: от 4 000 до 10 000 руб.;
для ИП: от 10 000 до 20 000 руб.;
для юридических лиц: от 25 000 до 45 000 руб.
- Невыполнение оператором при неавтоматизированной обработке персональных данных обязанности по соблюдению условий сохранности персональных данных при хранении их материальных носителей и исключению несанкционированного доступа к ним, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение и т.д. влечет:
√ Административный штраф
для граждан: от 700 до 2 000 руб.;
для должностных лиц: от 4 000 до 10 000 руб.;
для ИП: от 10 000 до 20 000 руб.;
для юридических лиц: от 25 000 до 50 000 руб.
- Невыполнение оператором-государственным/муниципальным органом обязанности по обезличиванию персональных данных ЛИБО несоблюдение законодательно установленных требований или методов по обезличиванию персональных данных влечет:
√ Предупреждение ЛИБО
√ Административный штраф
для должностных лиц: от 3 000 до 6 000 руб.;
2. ПОНЯТИЯ
Напомним, что согласно российскому законодательству, персональными данными считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а в качестве оператора персональных данных выступает государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обращаем внимание, что указанные органы и лица являются операторами независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.
3. ОБЯЗАННОСТИ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
Обеспечить соблюдение законодательства в сфере персональных данных необходимо операторам, осуществляющим их обработку в приведенных ниже формах:
- Регистрация пользователей на сайте;
- Внесение персональных данных пользователей в форму на сайте;
- Обработка персональных данных граждан юридическим лицом или индивидуальным предпринимателем на постоянной основе;
- Если лицо не попадает под исключения, предусмотренные ст. 22 ФЗ «О персональных данных», среди которых обработка персональных данных:
На операторе лежит обязанность предоставить уведомление об обработке персональных данных в территориальный орган Роскомнадзора.
Компании, осуществляющие обработку персональных данных, являются операторами вне зависимости от внесения их в реестр.
Помимо уведомления регулятора оператору необходимо разработать пакет документов в сфере персональных данных, среди которых:
- Перечень обрабатываемых персональных данных;
- Политика компании в области персональных данных;
- Перечень должностей и лиц, допущенных к обработке персональных данных;
- Положение об обработке персональных данных;
- Приказ о назначении лиц, ответственных за обработку и защиту персональных данных и др.
4. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ БЕЗ ПОДАЧИ УВЕДОМЛЕНИЯ
Административную ответственность в виде предупреждения или штрафа влекут:
- Непредставление в уполномоченный орган уведомления об обработке персональных данных, его несвоевременное представление ЛИБО
- Представление уведомления, содержащего неполные или недостоверные сведения.
Административный штраф составляет:
для граждан: от 100 до 300 руб.;
для должностных лиц: от 300 до 500 руб.;
для юридических лиц: от 3 000 до 5 000 руб.
5. ВЫВОДЫ
С 1 июля 2017 года ужесточается ответственность за нарушения в сфере персональных данных и вводятся новые составы правонарушений. В случае, если компания является оператором персональных данных и не попадает под исключения ст. 22 ФЗ «О персональных данных», необходимо подать уведомление в Роскомнадзор. В любом случае необходимо разработать пакет документов в сфере персональных данных.
1КоАП РФ – Кодекс Российской Федерации об административных правонарушениях
2Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций
Все информационные материалы «Мозго и партнеры» доступны на нашем сайте и странице в LinkedIn.
Настоящий материал не является юридической консультацией, подготовлен исключительно в ознакомительных и информационных целях. «Мозго и партнеры» не несет ответственности за возможные последствия использования содержащихся в настоящем материале сведений без обращения к профессиональным консультантам.
© Mosgo & Partners. Москва, 2017.