Нарушения закона о персональных данных

Ни одна законодательная инициатива даже после официального принятия документа на федеральном уровне не будет эффективной, если не предусмотрено наказание за неисполнение или некорректное выполнение установленных регулятором требований. Не является исключением и ФЗ-152, принятый в 2006 году для обеспечения безопасности ПДн физических лиц. Закон о защите персональных данных достаточно много требует от тех, кто обрабатывает личные сведения граждан, и предусматривает определенную ответственность за нарушение правил. Несмотря на то, что многие компании и предприниматели считают действующие наказания достаточно жесткими и не всегда оправданными, в действительности это единственный способ уменьшить количество недобросовестных операторов.

Чтобы вести успешную деятельность в коммерческой или некоммерческой сфере, организациям и ИП приходится учитывать предстоящие проверки, что мотивирует изначально приводить свою деятельность в соответствие с существующими нормативами. Другое дело, что не все знают, чем им грозит то или иное нарушение законодательства о персональных данных, например, многие думают, что максимальное наказание — это штраф или увольнение, хотя за некоторые действия предусмотрено даже преследование по статьям УК. Наш обзор даст представление об актуальных правонарушениях в области ПДн, в том числе мы рассмотрим обновленные штрафы, которые начали действовать с марта 2021 года.

Кто несет ответственность за обработку персональных данных без согласия?

Все положения и статьи ФЗ-152, где прописана ответственность за исполнение правил использования и распространения ПДн, должны выполняться операторами. То есть если вы в том или ином виде осуществляете обработку личной информации, необходимо досконально изучить положения закона и адаптировать к ним свою деятельность, иначе Роскомнадзор или другой контролирующий орган будет вправе выписать штраф либо потребует начала уголовного производства. Наказать могут как должностное или частное лицо, так и предпринимателя, компанию либо государственный/муниципальный орган. Даже если фирма или ИП не внесены в единый Реестр операторов ПДн, нормы КоАП и УК, а также положения Трудового кодекса на них все равно распространяются. Впрочем, если вы не считаете себя нарушителем, то государство дает право в установленные сроки подать апелляцию на решение суда, Роскомнадзора.

Ответственность за нарушение правил обработки персональных данных возлагается на всех операторов в определении ФЗ-152, а это государственные и муниципальные органы, юридические или физические лица, обрабатывающие персональные данные субъектов.

Незаконное использование персональных данных и другие распространенные нарушения ФЗ-152

Список требований по сбору, хранению, использованию, распространению и прочим операциям с ПДн с каждым годом увеличивается, что связано с увеличением количества угроз и необходимостью усовершенствования защиты информационных систем. Отслеживание изменений в законодательных требованиях позволит снизить риск претензий от надзорных органов и создать имидж надежной организации в глазах партнеров и клиентуры. Нужно учитывать, что ответственность за нарушение законодательства о персональных данных может варьироваться в зависимости от ряда факторов:

• кто выступает в роли нарушителя — физическое или юридическое лицо, государственная или муниципальная служба;
• является ли факт невыполнения требований первым или речь идет о повторном игнорировании правил;
• какие конкретно требования были нарушены;
• насколько серьезный моральный и материальный ущерб нанесен субъекту ПДн;
• удается ли собрать убедительную доказательную базу;
• насколько оператор готов идти навстречу контролирующему органу, в частности, устраняет ли он выявленные недочеты в установленные законом сроки, подает ли своевременно отчетность и т.д.

Среди многочисленных нарушений в сфере персональных данных наибольшее распространение получили такие:

1. Составление уведомления в Роскомнадзор, в котором указаны неполные либо неправдивые сведения. Оператор может указать не все категории обрабатываемых ПДн или не все цели их использования, «забыть» вписать какие-либо из совершаемых действий с конфиденциальными сведениями или неправильно указать дату начала сбора и применения личной информации. Любое несоответствие того, что указано в уведомлении, с точки зрения закона классифицируется как правонарушение, поэтому к составлению документа нужно отнестись максимально серьезно. Не лишним будет посоветоваться по поводу заполнения формы с профессионалом в сфере безопасности ПДн.
2. Ошибки на этапе планирования и внедрения мер безопасности — недостаточно эффективная защита ПДн, невыполнение заявленных в уведомлении действий по профилактике и устранению угроз. ФЗ-152 обязывает оператора самостоятельно определяться с тем, как исключить несанкционированный доступ, кражу персональных данных и т.д., но в надежде сэкономить некоторые обходятся полумерами, за что предусмотрена административная ответственность.
3. Составление документов, предполагающих наличие ПДн, без приведения их в соответствие с актуальными правилами российского законодательства. Компания может четко не прописать предпринимаемые защитные меры, дату, сроки, источник получения конфиденциальных сведений либо цели обработки.
4. Прекращение операций с ПДн либо изменения в изначальном уведомлении об обработке без информирования контролирующего органа. Если хранение или использование сведений о гражданах перестает выполняться либо меняются цели, средства защиты, юридические контакты оператора и т.д., необходимо безотлагательно об этом сообщить в Роскомнадзор, иначе вас оштрафуют.
5. Непредоставление субъектам полной и понятной информации о том, как происходит обработка их ПДн без применения автоматизированных средств. Придется нести ответственность за персональные данные, используемые без предварительного сообщения владельцу с какой целью, в каком объеме и до какого времени планируется осуществление тех или иных операций.
6. Безответственный подход к организации мест хранения материальных носителей личных сведений. Наказание грозит за отсутствие системы ограниченного доступа, сейфа, замка на двери и т.д.
7. Недостаточно тщательная проработка содержания согласия на обработку. Проверяющие часто обнаруживают, что в документе отсутствуют обязательные сведения, например, перечень операций или информация о передаче ПДн аутсорсинговой фирме для систематизации, хранения и т.д.

По статистике, примерно 65% плановых проверок, проведенных сотрудниками Роскомнадзора, выявляют у операторов одно или несколько нарушений. Наиболее серьезным среди них является незаконный сбор персональных данных, за который возможна даже уголовная ответственность.

Какую ответственность за нарушение закона о персональных данных предусматривает непосредственно ФЗ-152?

Если анализировать основной закон в области ПДн, то в нем есть следующая информация касательно несения ответственности за нарушение ФЗ «О персональных данных»:

• при использовании либо распространении конфиденциальных сведений, полученных неправомерными методами, оператор должен заблокировать либо уничтожить ПДн, ограничить к ним доступ и приостановить деятельность по обработке личных сведений субъектов. Параллельно происходит выбор наказания за незаконное использование персональных данных в соответствии со статьями УК РФ или Административного кодекса;
• в случае передачи закрытой информации третьим лицам без предварительного одобрения субъекта компетентный орган имеет право отозвать выданную ранее лицензию, которая предусматривает запрет на совершение подобных действий. То есть если для выдачи и использования разрешительного документа нужно получать письменное соглашение у гражданина на передачу ПДн другим физическим и юридическим лицам, но это требование не соблюдается, лицензия перестает действовать;
• за нарушение любого из требований ФЗ-152 оператор должен отвечать в установленном законодательством порядке, при этом моральный вред компенсируется вне зависимости от того, был ли нанесен имущественный ущерб.

Административная ответственность за разглашение персональных данных и прочие нарушения

Штрафы являются универсальным и достаточно результативным способом борьбы с недобропорядочными операторами, хотя часто их накладывают, по мнению самих нарушителей, несправедливо. С одной стороны, наказывать тех, кто не соблюдает законодательные правила и тем самым подвергает конфиденциальные сведения риску незаконного распространения и использования, однозначно нужно. Но вместе с тем в некоторых аспектах нормативно-правовая база недостаточно конкретная и не дифференцирована для компаний и ИП, работающих с разными источниками информации. Соответственно, понять, что имело место нарушение, оператор может уже после того, как в его отношении применили санкции КОаП.

С момента проработки системы административных наказаний регулятор уже несколько раз менял размер штрафов, и последние серьезные новации произошли в марте 2021 года. Теперь операторам приходится еще более тщательно контролировать любые аспекты работы с ПДн, ведь в случае выявления несоответствий с ФЗ-152 и подзаконными актами им придется платить внушительную сумму денег:

1. За использование персональных данных без согласия владельца информации либо осуществление обработки на основании согласия, которое оформлено с нарушениями требований к составу включенных в него ПДн — 6-10 тысяч рублей придется заплатить физическим лицам (10-20 тысяч рублей при повторном нарушении), 20-40 тысяч рублей будет штраф для должностных лиц (40-100 тыс. рублей в случае повторного обнаружения недочетов в работе). Наибольшие затраты грозят организациям, для которых в зависимости от того, первое или повторное нарушение, кодекс предусматривает наказание в размере 30-150 тысяч рублей или 300-500 тысяч рублей.
2. За осуществление сбора и применения ПДн в целях, противоречащих заявленным изначально либо не предусмотренных действующей законодательной базой РФ — 2-6 тыс. рублей (граждане), 10-20 тыс. рублей (должностные лица), 60-100 тысяч рублей (компании). Если идентичное нарушение будет выявлено повторно, то размер штрафа возрастет до 4-12 тыс. рублей, 20-50 тыс. рублей и 100-300 тысяч рублей, соответственно.
3. За нарушение процессуальных требований по обезличиванию со стороны муниципальной либо государственной структуры полагается штраф в пределах 6-12 тысяч рублей.
4. За отказ от сообщения владельцу ПДн достоверных и полных сведений о том, как происходит обработка — 2-4 тысячи рублей, 8-12 тысяч рублей, 20-30 тысяч рублей и 40-80 тыс. рублей для граждан, чиновников, ИП и юридических лиц, соответственно.
5. За отсутствие эффективной защиты физических носителей конфиденциальной информации в случае обработки ПДн без применения автоматизированных средств — компаниям установлен штраф 50-100 тысяч рублей, немного меньше придется заплатить индивидуальным предпринимателям — 20-40 тысяч рублей. Что касается граждан и чиновников, то санкции в их отношении такие: 1,5-4 тысячи рублей и 8-20 тысяч рублей.
6. За отсутствие доступа к информации о политике ПДн, которой руководствуется оператор — максимальное наказание для физических лиц составляет 3 000 рублей, для ИП — 20 000 рублей, для чиновников — 12 000 рублей, для фирм — 60 000 рублей.
7. За игнорирование требования субъекта либо его законного представителя о проведении определенных операций с ПДн в случае их получения незаконным способом, потери актуальности, несоответствии действительности или неточности — 2000-4000 рублей для обычных россиян, до 20 тысяч рублей для чиновников (минимум 8000 рублей), 20-40 тысяч рублей для ИП и до 90 тысяч рублей для предприятий (минимум 50 тыс. рублей).

С 2021 года накладывать санкции проверяющие могут в течение 12 месяцев после нарушения. Срок давности увеличен с 3 месяцев до 1 года

Ответственность за обработку персональных данных может наступать и за другие правонарушения, например:

• невыполнение в предусмотренный законом срок предписаний надзорных органов;
• продолжение деятельности после отзыва лицензии или организацию работы в принципе без разрешительного документа;
• препятствие проведению проверочных мероприятий уполномоченными госструктурами;
• нарушение норм трудового права, касающихся операций с ПДн;
• разглашение сведений, имеющих ограниченный доступ.

В каких случаях действуют наказания за нарушения ФЗ «О персональных данных» по УК РФ?

Неприятной новостью для многих операторов становится заведение уголовного дела при выявлении несоответствий деятельности компании с действующими правилами ФЗ-152. Отделаться штрафом, пускай и значительным, для компании предпочтительнее, но в отдельных случаях приходится отвечать за действия или бездействие в рамках криминального законодательства. Попадают в поле зрения сотрудников правоохранительных органов преимущественно злостные нарушители и те, чьи действия наносят серьезный или имущественный вред либо имеют большой общественный резонанс.

Рассмотрим статьи УК, которые определяют наказание за незаконное использование персональных данных и прочие нарушения:

1. В статье 272 указано, что в случае получения неправомерного доступа к компьютерным данным, которые относятся к категории охраняемых государством, суд может назначить штраф в размере полумиллиона рублей, тюремное заключение до 7 лет и/или лишение возможности в течение 3 лет занимать определенные должности либо осуществлять тот или иной вид деятельности.
2. Статьей 140 предусмотрено наказание в виде штрафа до 500 тыс. рублей, ареста до полугода и обязательных работ длительностью до 480 часов за предпринимательскую деятельность без соответствующей лицензии, повлекшую за собой нанесение значительного финансового ущерба.
3. В статье 140 прописано, что при отказе информирования субъекта о его ПДн нарушителю придется заплатить до 200 тысяч рублей, также суд может обязать физическое лицо продолжать вести деятельность в определенной сфере либо занимать определенные должности на протяжении 2-5 лет;
4. Согласно статье 138, если будет доказано нарушение тайны телефонных переговоров, переписки или других видов сообщений, виновного могут арестовать на 4 месяца (максимум), лишить свободы на 4 года, запретить заниматься определенной деятельностью либо занимать ту или иную должность в течение 2-5 лет. Другие варианты наказаний — наложение штрафа в размере до трехсот тысяч рублей, назначение обязательных либо принудительных работ на срок до 480 часов либо 4 лет, соответственно.
5. Статья 137 применяется к операторам, которые незаконно осуществляют сбор, распространение персональных данных без предварительного получения официального одобрения со стороны субъекта. В отношении ИП или организаций действует норма о назначении штрафа до 200 000 рублей или обязательных работ в течение 360 часов, исправительных работ на протяжении 12 месяцев, ареста на 4 месяца либо заключения в тюрьму максимум на 2 года (параллельно устанавливается запрет работать на некоторых позициях в течение 3 лет). В отношении нарушителей, использовавших служебное положение, действуют более жесткие наказания — сумма штрафа повышается до 300 тыс. рублей, продолжительность принудительных работ увеличивается до 4 лет, длительность ареста составляет до полугода, а максимальный срок лишения свободы — 4 года. Отдельным пунктом прописана ответственность за использование персональных данных без согласия несовершеннолетних субъектов.

Справедливости ради стоит отметить, что в российской судебной практике очень мало уголовных дел, связанных с нарушениями законодательства в сфере ПДн, которые бы удалось довести до конца.

Гражданско-правовая и дисциплинарная ответственность за нарушение закона о защите персональных данных

Кроме статей УК и КОаП в отношении тех, кто не следует требованиям ФЗ-152, действуют и другие виды наказаний. Предусмотрена дисциплинарная ответственность за передачу персональных данных сотрудника другим работником третьему лицу при условии получения конфиденциальной информации в рамках трудовой деятельности. За такое действие нарушителя должны приказом руководителя предприятия уволить. Менее серьезные нарушения могут повлечь за собой выговор либо замечание (предусматривает ТК РФ).

Что касается гражданско-правовых последствий невыполнения требований в области ПДн, то они возникают при:

• причинении гражданину материального вреда из-за нарушения правил в процессе обработки его личных данных, например, возникновении дополнительных расходов для восстановления прав, потере либо повреждении имущества или неполучении доходов. От нарушителя в судебном порядке можно потребовать компенсации ущерба, также есть вариант заключения досудебного мирного соглашения;
• нанесении морального вреда, который субъект может оценивать в ту или иную сумму без привязки к имущественному ущербу. Урегулировать ситуацию позволит финансовое возмещение — если нарушитель не согласен с размером компенсации или в целом тем, что имело место несоблюдение норм законодательства, спор разрешается в судебных инстанциях.

Система наказаний за нарушения ФЗ-152 достаточно сложная и предполагает задействование разных государственных органов, а также всевозможные проверки, к тому же регулятор постоянно вносит какие-то новации, за которыми сложно уследить. Наиболее эффективный способ предупреждения претензий со стороны Роскомнадзора, ФСТЭК, клиентов и партнеров — комплексный подход к организации работы фирмы в соответствии с современными законодательными требованиями и периодический аудит с привлечением экспертов по информационной безопасности.