Ни одна законодательная инициатива даже после официального принятия документа на федеральном уровне не будет эффективной, если не предусмотрено наказание за неисполнение или некорректное выполнение установленных регулятором требований. Не является исключением и ФЗ-152, принятый в 2006 году для обеспечения безопасности ПДн физических лиц. Закон о защите персональных данных достаточно много требует от тех, кто обрабатывает личные сведения граждан, и предусматривает определенную ответственность за нарушение правил. Несмотря на то, что многие компании и предприниматели считают действующие наказания достаточно жесткими и не всегда оправданными, в действительности это единственный способ уменьшить количество недобросовестных операторов.
Чтобы вести успешную деятельность в коммерческой или некоммерческой сфере, организациям и ИП приходится учитывать предстоящие проверки, что мотивирует изначально приводить свою деятельность в соответствие с существующими нормативами. Другое дело, что не все знают, чем им грозит то или иное нарушение законодательства о персональных данных, например, многие думают, что максимальное наказание — это штраф или увольнение, хотя за некоторые действия предусмотрено даже преследование по статьям УК. Наш обзор даст представление об актуальных правонарушениях в области ПДн, в том числе мы рассмотрим обновленные штрафы, которые начали действовать с марта 2021 года.
Кто несет ответственность за обработку персональных данных без согласия?
Все положения и статьи ФЗ-152, где прописана ответственность за исполнение правил использования и распространения ПДн, должны выполняться операторами. То есть если вы в том или ином виде осуществляете обработку личной информации, необходимо досконально изучить положения закона и адаптировать к ним свою деятельность, иначе Роскомнадзор или другой контролирующий орган будет вправе выписать штраф либо потребует начала уголовного производства. Наказать могут как должностное или частное лицо, так и предпринимателя, компанию либо государственный/муниципальный орган. Даже если фирма или ИП не внесены в единый Реестр операторов ПДн, нормы КоАП и УК, а также положения Трудового кодекса на них все равно распространяются. Впрочем, если вы не считаете себя нарушителем, то государство дает право в установленные сроки подать апелляцию на решение суда, Роскомнадзора.
Ответственность за нарушение правил обработки персональных данных возлагается на всех операторов в определении ФЗ-152, а это государственные и муниципальные органы, юридические или физические лица, обрабатывающие персональные данные субъектов.
Незаконное использование персональных данных и другие распространенные нарушения ФЗ-152
Список требований по сбору, хранению, использованию, распространению и прочим операциям с ПДн с каждым годом увеличивается, что связано с увеличением количества угроз и необходимостью усовершенствования защиты информационных систем. Отслеживание изменений в законодательных требованиях позволит снизить риск претензий от надзорных органов и создать имидж надежной организации в глазах партнеров и клиентуры. Нужно учитывать, что ответственность за нарушение законодательства о персональных данных может варьироваться в зависимости от ряда факторов:
- кто выступает в роли нарушителя — физическое или юридическое лицо, государственная или муниципальная служба;
- является ли факт невыполнения требований первым или речь идет о повторном игнорировании правил;
- какие конкретно требования были нарушены;
- насколько серьезный моральный и материальный ущерб нанесен субъекту ПДн;
- удается ли собрать убедительную доказательную базу;
- насколько оператор готов идти навстречу контролирующему органу, в частности, устраняет ли он выявленные недочеты в установленные законом сроки, подает ли своевременно отчетность и т.д.
Среди многочисленных нарушений в сфере персональных данных наибольшее распространение получили такие:
- Составление уведомления в Роскомнадзор, в котором указаны неполные либо неправдивые сведения. Оператор может указать не все категории обрабатываемых ПДн или не все цели их использования, «забыть» вписать какие-либо из совершаемых действий с конфиденциальными сведениями или неправильно указать дату начала сбора и применения личной информации. Любое несоответствие того, что указано в уведомлении, с точки зрения закона классифицируется как правонарушение, поэтому к составлению документа нужно отнестись максимально серьезно. Не лишним будет посоветоваться по поводу заполнения формы с профессионалом в сфере безопасности ПДн.
- Ошибки на этапе планирования и внедрения мер безопасности — недостаточно эффективная защита ПДн, невыполнение заявленных в уведомлении действий по профилактике и устранению угроз. ФЗ-152 обязывает оператора самостоятельно определяться с тем, как исключить несанкционированный доступ, кражу персональных данных и т.д., но в надежде сэкономить некоторые обходятся полумерами, за что предусмотрена административная ответственность.
- Составление документов, предполагающих наличие ПДн, без приведения их в соответствие с актуальными правилами российского законодательства. Компания может четко не прописать предпринимаемые защитные меры, дату, сроки, источник получения конфиденциальных сведений либо цели обработки.
- Прекращение операций с ПДн либо изменения в изначальном уведомлении об обработке без информирования контролирующего органа. Если хранение или использование сведений о гражданах перестает выполняться либо меняются цели, средства защиты, юридические контакты оператора и т.д., необходимо безотлагательно об этом сообщить в Роскомнадзор, иначе вас оштрафуют.
- Непредоставление субъектам полной и понятной информации о том, как происходит обработка их ПДн без применения автоматизированных средств. Придется нести ответственность за персональные данные, используемые без предварительного сообщения владельцу с какой целью, в каком объеме и до какого времени планируется осуществление тех или иных операций.
- Безответственный подход к организации мест хранения материальных носителей личных сведений. Наказание грозит за отсутствие системы ограниченного доступа, сейфа, замка на двери и т.д.
- Недостаточно тщательная проработка содержания согласия на обработку. Проверяющие часто обнаруживают, что в документе отсутствуют обязательные сведения, например, перечень операций или информация о передаче ПДн аутсорсинговой фирме для систематизации, хранения и т.д.
По статистике, примерно 65% плановых проверок, проведенных сотрудниками Роскомнадзора, выявляют у операторов одно или несколько нарушений. Наиболее серьезным среди них является незаконный сбор персональных данных, за который возможна даже уголовная ответственность.
Какую ответственность за нарушение закона о персональных данных предусматривает непосредственно ФЗ-152?
Если анализировать основной закон в области ПДн, то в нем есть следующая информация касательно несения ответственности за нарушение ФЗ «О персональных данных»:
- при использовании либо распространении конфиденциальных сведений, полученных неправомерными методами, оператор должен заблокировать либо уничтожить ПДн, ограничить к ним доступ и приостановить деятельность по обработке личных сведений субъектов. Параллельно происходит выбор наказания за незаконное использование персональных данных в соответствии со статьями УК РФ или Административного кодекса;
- в случае передачи закрытой информации третьим лицам без предварительного одобрения субъекта компетентный орган имеет право отозвать выданную ранее лицензию, которая предусматривает запрет на совершение подобных действий. То есть если для выдачи и использования разрешительного документа нужно получать письменное соглашение у гражданина на передачу ПДн другим физическим и юридическим лицам, но это требование не соблюдается, лицензия перестает действовать;
- за нарушение любого из требований ФЗ-152 оператор должен отвечать в установленном законодательством порядке, при этом моральный вред компенсируется вне зависимости от того, был ли нанесен имущественный ущерб.
Административная ответственность за разглашение персональных данных и прочие нарушения
Штрафы являются универсальным и достаточно результативным способом борьбы с недобропорядочными операторами, хотя часто их накладывают, по мнению самих нарушителей, несправедливо. С одной стороны, наказывать тех, кто не соблюдает законодательные правила и тем самым подвергает конфиденциальные сведения риску незаконного распространения и использования, однозначно нужно. Но вместе с тем в некоторых аспектах нормативно-правовая база недостаточно конкретная и не дифференцирована для компаний и ИП, работающих с разными источниками информации. Соответственно, понять, что имело место нарушение, оператор может уже после того, как в его отношении применили санкции КОаП.
С момента проработки системы административных наказаний регулятор уже несколько раз менял размер штрафов, и последние серьезные новации произошли в марте 2021 года. Теперь операторам приходится еще более тщательно контролировать любые аспекты работы с ПДн, ведь в случае выявления несоответствий с ФЗ-152 и подзаконными актами им придется платить внушительную сумму денег:
- За использование персональных данных без согласия владельца информации либо осуществление обработки на основании согласия, которое оформлено с нарушениями требований к составу включенных в него ПДн —
6-10 тысяч рублей придется заплатить физическим лицам(10-20 тысяч рублей при повторном нарушении),20-40 тысяч рублей будет штраф для должностных лиц(40-100 тыс. рублей в случае повторного обнаружения недочетов в работе). Наибольшие затраты грозят организациям, для которых в зависимости от того, первое или повторное нарушение, кодекс предусматривает наказание в размере30-150 тысяч рублей или300-500 тысяч рублей. - За осуществление сбора и применения ПДн в целях, противоречащих заявленным изначально либо не предусмотренных действующей законодательной базой РФ —
2-6 тыс. рублей (граждане),10-20 тыс. рублей (должностные лица),60-100 тысяч рублей (компании). Если идентичное нарушение будет выявлено повторно, то размер штрафа возрастет до4-12 тыс. рублей,20-50 тыс. рублей и100-300 тысяч рублей, соответственно. - За нарушение процессуальных требований по обезличиванию со стороны муниципальной либо государственной структуры полагается штраф в пределах
6-12 тысяч рублей. - За отказ от сообщения владельцу ПДн достоверных и полных сведений о том, как происходит обработка —
2-4 тысячи рублей,8-12 тысяч рублей,20-30 тысяч рублей и40-80 тыс. рублей для граждан, чиновников, ИП и юридических лиц, соответственно. - За отсутствие эффективной защиты физических носителей конфиденциальной информации в случае обработки ПДн без применения автоматизированных средств — компаниям установлен штраф
50-100 тысяч рублей, немного меньше придется заплатить индивидуальным предпринимателям —20-40 тысяч рублей. Что касается граждан и чиновников, то санкции в их отношении такие:1,5-4 тысячи рублей и8-20 тысяч рублей. - За отсутствие доступа к информации о политике ПДн, которой руководствуется оператор — максимальное наказание для физических лиц составляет 3 000 рублей, для ИП — 20 000 рублей, для чиновников — 12 000 рублей, для фирм — 60 000 рублей.
- За игнорирование требования субъекта либо его законного представителя о проведении определенных операций с ПДн в случае их получения незаконным способом, потери актуальности, несоответствии действительности или неточности —
2000-4000 рублей для обычных россиян, до 20 тысяч рублей для чиновников (минимум 8000 рублей),20-40 тысяч рублей для ИП и до 90 тысяч рублей для предприятий (минимум 50 тыс. рублей).
С 2021 года накладывать санкции проверяющие могут в течение 12 месяцев после нарушения. Срок давности увеличен с 3 месяцев до 1 года
Ответственность за обработку персональных данных может наступать и за другие правонарушения, например:
- невыполнение в предусмотренный законом срок предписаний надзорных органов;
- продолжение деятельности после отзыва лицензии или организацию работы в принципе без разрешительного документа;
- препятствие проведению проверочных мероприятий уполномоченными госструктурами;
- нарушение норм трудового права, касающихся операций с ПДн;
- разглашение сведений, имеющих ограниченный доступ.
В каких случаях действуют наказания за нарушения ФЗ «О персональных данных» по УК РФ?
Неприятной новостью для многих операторов становится заведение уголовного дела при выявлении несоответствий деятельности компании с действующими правилами ФЗ-152. Отделаться штрафом, пускай и значительным, для компании предпочтительнее, но в отдельных случаях приходится отвечать за действия или бездействие в рамках криминального законодательства. Попадают в поле зрения сотрудников правоохранительных органов преимущественно злостные нарушители и те, чьи действия наносят серьезный или имущественный вред либо имеют большой общественный резонанс.
Рассмотрим статьи УК, которые определяют наказание за незаконное использование персональных данных и прочие нарушения:
- В статье 272 указано, что в случае получения неправомерного доступа к компьютерным данным, которые относятся к категории охраняемых государством, суд может назначить штраф в размере полумиллиона рублей, тюремное заключение до 7 лет и/или лишение возможности в течение 3 лет занимать определенные должности либо осуществлять тот или иной вид деятельности.
- Статьей 140 предусмотрено наказание в виде штрафа до 500 тыс. рублей, ареста до полугода и обязательных работ длительностью до 480 часов за предпринимательскую деятельность без соответствующей лицензии, повлекшую за собой нанесение значительного финансового ущерба.
- В статье 140 прописано, что при отказе информирования субъекта о его ПДн нарушителю придется заплатить до 200 тысяч рублей, также суд может обязать физическое лицо продолжать вести деятельность в определенной сфере либо занимать определенные должности на протяжении
2-5 лет; - Согласно статье 138, если будет доказано нарушение тайны телефонных переговоров, переписки или других видов сообщений, виновного могут арестовать на 4 месяца (максимум), лишить свободы на 4 года, запретить заниматься определенной деятельностью либо занимать ту или иную должность в течение
2-5 лет. Другие варианты наказаний — наложение штрафа в размере до трехсот тысяч рублей, назначение обязательных либо принудительных работ на срок до 480 часов либо 4 лет, соответственно. - Статья 137 применяется к операторам, которые незаконно осуществляют сбор, распространение персональных данных без предварительного получения официального одобрения со стороны субъекта. В отношении ИП или организаций действует норма о назначении штрафа до 200 000 рублей или обязательных работ в течение 360 часов, исправительных работ на протяжении 12 месяцев, ареста на 4 месяца либо заключения в тюрьму максимум на 2 года (параллельно устанавливается запрет работать на некоторых позициях в течение 3 лет). В отношении нарушителей, использовавших служебное положение, действуют более жесткие наказания — сумма штрафа повышается до 300 тыс. рублей, продолжительность принудительных работ увеличивается до 4 лет, длительность ареста составляет до полугода, а максимальный срок лишения свободы — 4 года. Отдельным пунктом прописана ответственность за использование персональных данных без согласия несовершеннолетних субъектов.
Справедливости ради стоит отметить, что в российской судебной практике очень мало уголовных дел, связанных с нарушениями законодательства в сфере ПДн, которые бы удалось довести до конца.
Гражданско-правовая и дисциплинарная ответственность за нарушение закона о защите персональных данных
Кроме статей УК и КОаП в отношении тех, кто не следует требованиям ФЗ-152, действуют и другие виды наказаний. Предусмотрена дисциплинарная ответственность за передачу персональных данных сотрудника другим работником третьему лицу при условии получения конфиденциальной информации в рамках трудовой деятельности. За такое действие нарушителя должны приказом руководителя предприятия уволить. Менее серьезные нарушения могут повлечь за собой выговор либо замечание (предусматривает ТК РФ).
Что касается гражданско-правовых последствий невыполнения требований в области ПДн, то они возникают при:
- причинении гражданину материального вреда из-за нарушения правил в процессе обработки его личных данных, например, возникновении дополнительных расходов для восстановления прав, потере либо повреждении имущества или неполучении доходов. От нарушителя в судебном порядке можно потребовать компенсации ущерба, также есть вариант заключения досудебного мирного соглашения;
- нанесении морального вреда, который субъект может оценивать в ту или иную сумму без привязки к имущественному ущербу. Урегулировать ситуацию позволит финансовое возмещение — если нарушитель не согласен с размером компенсации или в целом тем, что имело место несоблюдение норм законодательства, спор разрешается в судебных инстанциях.
Система наказаний за нарушения ФЗ-152 достаточно сложная и предполагает задействование разных государственных органов, а также всевозможные проверки, к тому же регулятор постоянно вносит какие-то новации, за которыми сложно уследить. Наиболее эффективный способ предупреждения претензий со стороны Роскомнадзора, ФСТЭК, клиентов и партнеров — комплексный подход к организации работы фирмы в соответствии с современными законодательными требованиями и периодический аудит с привлечением экспертов по информационной безопасности.