Ответственность за нарушение требований ФЗ «О персональных данных»
Тема защиты персональных данных в последнее время особенно актуальна. Виной тому новые нормы об административной ответственности за нарушение Федерального закона от 27.07.2006 № 1521.
С 1 июля 2017 года вступили в силу поправки2 в статью 13.11 Кодекса РФ об административных правонарушениях (далее - КоАП РФ), которые вносят существенные изменения в положения, устанавливающие ответственность за нарушение законодательства в области персональных данных. Данные поправки значительно увеличивают штрафы для операторов персональных данных. Для юридических лиц максимальный штраф теперь составляет 75 000 рублей, до принятия поправок в КоАП.РФ он составлял 10 000 рублей.
И хотя размер штрафа все равно остается намного меньше европейского (максимальный штраф по Регламенту ЕС3 составит до 20 млн евро, или 4% от годового оборота за финансовый год), авторы законопроекта надеются на сокращение правонарушений.
Ответственность за нарушение ФЗ О персональных данных" не ограничивается административными штрафами, отдельные нормы Трудового, Гражданского и Уголовного кодексов РФ также предусматривают санкции для операторов-правонарушителей.
Административная ответственность: новые составы, новые штрафы
Административная ответственность за нарушение ФЗ О персональных данных" предусмотрена прежде всего статьей 13.11 КоАП РФ, а также статьями 5.39 (отказ в предоставлении информации), 13.14 (разглашение информации с ограниченным доступом) и 19.7 КоАП РФ (непредоставление сведений).
Новая редакция статьи 13.11 КоАП РФ вводит семь новых составов административных правонарушений, заменяя существовавшую до этого весьма размытую формулировку. При этом состав административного правонарушения, предусмотренный седьмой частью статьи 13.11 КоАП РФ, относится лишь к государственным и муниципальным органам.
В изначальной версии законопроекта был предусмотрен еще один состав - обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, персональных данных о судимости - со штрафом до 300 000 рублей. Однако в принятую редакцию статьи 13.11 КоАП РФ он не вошел.
Вводя семь новых составов в статью 13.11 КоАП РФ, законодатель лишь ужесточил ответственность за нарушение ФЗ О персональных данных". Сами же требования, предъявляемые к обработке персональных данных, не изменились.
По части первой статьи 13.11 КоАП РФ гражданам, должностным и юридическим лицам будет вынесено предупреждение или штраф (для юридических лиц - до 50 000 рублей) за обработку персональных данных в случаях, не предусмотренных законодательством, а также за обработку персональных данных, несовместимую с целями сбора персональных данных. В частности, часть 2 статьи 10 ФЗ О персональных данных" содержит перечень случаев, когда допустимо обрабатывать специальные категории персональных данных, т. е. данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. Требования к целям обработки персональных данных указаны в части 2 статьи 5 ФЗ О персональных данных".
Так, по общему правилу, на основании части 1 статьи 10 ФЗ О персональных данных" работодатель не вправе собирать данные работника, касающиеся его состояния здоровья. В противном случае он может быть привлечен к ответственности по первой части статьи 13.11 КоАП РФ, так как обработка таких персональных данных не предусмотрена законодательством.
Исключение составляют, например, ситуации, когда деятельность работника непосредственно связана с движением транспортных средств (водители автобусов, пилоты самолетов и т. д.). В таком случае сбор данных о здоровье работника не будет нарушать законодательство.
Вторая часть статьи 13.11 КоАП РФ предусматривает ответственность в форме штрафа (для юридических лиц - до 75 000 рублей) за обработку персональных данных без согласия субъекта персональных данных либо за обработку персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие. Помимо отдельной статьи 9 ФЗ О персональных данных", содержащей нормы о получении согласия субъекта на обработку его персональных данных, ряд иных статей ФЗ О персональных данных", а также ТК РФ также определяют перечень случаев, когда требуется согласие субъекта. В частности, пункт 3 статьи 86 ТК РФ обязывает работодателя получить письменное согласие субъекта на предоставление его персональных данных третьей стороной.
В соответствии с третьей частью статьи 13.11 КоАП РФ оператору4 будет вынесено предупреждение или штраф (для юридических лиц - до 30 000 рублей) за невыполнение обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике оператора в отношении обработки персональных данных, а также при необеспечении доступа к сведениям о реализуемых требованиях к защите персональных данных. Речь идет о нарушении части 2 статьи 18.1 ФЗ О персональных данных", содержащей требование к опубликованию оператором политики в отношении обработки персональных данных.
Нарушение оператором обязанности по предоставлению субъекту информации, касающейся обработки его персональных данных, влечет административную ответственность в виде предупреждения или штрафа (максимальный штраф для юридических лиц составляет 40 000 рублей) по части четвертой статьи 13.11 КоАП РФ. Список сведений, которые оператор обязан предоставить субъекту касательно обработки его персональных данных (например, правовые основания и цели обработки, информация об операторе, источник получения персональных данных), а также перечень случаев, когда субъекту может быть отказано в получении таких сведений, содержатся в статье 14 ФЗ О персональных данных". Так, субъекту может быть отказано в получении доступа к его персональным данным, например, если обработка персональных данных осуществляется в целях обороны страны, безопасности государства и охраны правопорядка, в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также если доступ субъекта к персональным данным нарушает права третьих лиц. Отказ в предоставлении информации должен быть мотивирован и составлен в письменной форме согласно статье 20 ФЗ О персональных данных".
В соответствии с пятой частью статьи 13.11 КоАП РФ оператор привлекается к административной ответственности в виде предупреждения или штрафа (для юридических лиц - до 45 000 рублей) за невыполнение требования субъекта, его представителя или уполномоченного органа об уточнении, блокировании или удалении персональных данных, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Перечень случаев, когда оператор должен уточнить, блокировать или удалить персональные данные, а также сроки для выполнения указанных действий регулируются статьей 21 ФЗ О персональных данных". В частности, если персональные данные обрабатываются неправомерно, оператор обязан прекратить неправомерную обработку в течение трех рабочих дней с даты выявления факта такой обработки. А вот в случае, если субъект отозвал свое согласие на обработку персональных данных, у оператора будет целых 30 дней с даты поступления отзыва на прекращение обработки персональных данных или их уничтожение.
Шестая часть статьи 13.11 КоАП РФ связана с нарушениями при обработке персональных данных без использования средств автоматизации, а именно с невыполнением оператором условий, обеспечивающих сохранность персональных данных при хранении материальных носителей. Речь идет о нарушении пункта 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации5. Однако ответственность в виде штрафа (для юридических лиц - до 50 000 рублей) предусмотрена только в том случае, если обработка персональных данных повлекла неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных. Таким образом, по данной части статьи 13.11 КоАП РФ к административной ответственности оператор будет привлечен только при условии наступления негативных последствий, что является несомненным плюсом текущей редакции по сравнению с ранее действовавшей.
По седьмой части статьи 13.11 КоАП РФ к ответственности в виде предупреждения или штрафа могут быть привлечены должностные лица государственных и муниципальных органов за невыполнение обязанности по обезличиванию персональных данных или несоблюдение установленных требований или методов по обезличиванию персональных данных. Требования и методы по обезличиванию персональных данных утверждены Приказом Роскомнадзора от 05.09.2013 № 996.
Таким образом, административная ответственность в соответствии со статьей 13.11 КоАП РФ за нарушение ФЗ О персональных данных" теперь дифференцирована в зависимости от совершенного правонарушения и его тяжести. Максимальный штраф для юридических лиц предусмотрен за обработку персональных данных без письменного согласия субъекта таких данных либо за обработку персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие субъекта на обработку его персональных данных.
Уголовная ответственность
Нарушение ФЗ О персональных данных" может повлечь и уголовную ответственность, прежде всего по статье 137 (нарушение неприкосновенности частной жизни), а также по статье 140 (отказ в предоставлении гражданину информации) и статье 272 (неправомерный доступ к компьютерной информации) Уголовного кодекса РФ (далее - УК РФ).
Первая часть статьи 137 УК РФ предусматривает ответственность в виде штрафа, обязательных, исправительных или принудительных работ, ареста или лишения свободы за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. Дела по части первой статьи 137 УК РФ возбуждаются исключительно по заявлению потерпевшего или его законного представителя, что затрудняет привлечение к уголовной ответственности виновных лиц.
Гражданско-правовая ответственность
Гражданско-правовая ответственность за нарушение ФЗ О персональных данных" может возникать в соответствии со статьями 150152.2 Гражданского кодекса РФ (далее - ГК РФ). Согласно второй части статьи 24 ФЗ О персональных данных" субъекту персональных данных возмещается также моральный вред, причиненный вследствие нарушения его прав, нарушения правил обработки персональных данных. Как указано в статье 151 ГК РФ, суд может возложить на нарушителя обязанность денежной компенсации морального вреда. Кроме того, ГК РФ в части 2 статьи 150 предусматривает защиту нематериальных благ путем признания судом факта нарушения личного неимущественного права субъекта, опубликования решения суда о допущенном нарушении, а также путем пресечения или запрещения противоправных действий.
Часть 3 статьи 152.1 ГК РФ закрепляет право гражданина требовать удаления своего изображения в сети Интернет, а также пресечения или запрещения дальнейшего распространения такого изображения.
Дисциплинарная и материальная ответственность
Статья 90 Трудового кодекса РФ (далее - ТК РФ) позволяет привлекать лиц, виновных в нарушении законодательства в области персональных данных, к дисциплинарной и материальной ответственности. Разглашение ответственным работником персональных данных других работников может повлечь дисциплинарную ответственность в виде замечания, выговора или увольнения по подпункту в" пункта 6 части 1 статьи 81 ТК РФ (разглашение охраняемой законом тайны). Порядок применения дисциплинарных взысканий установлен в статье 193 ТК РФ. Кроме того, работник несет материальную ответственность в полном размере причиненного работодателю ущерба за разглашение сведений, составляющих охраняемую законом тайну в соответствии с пунктом 7 части 1 статьи 243 ТК РФ. Ущерб работодатель может понести, например, вследствие вынужденного возмещения им морального вреда субъекту персональных данных. В таком случае работник, виновный в нарушении законодательства о персональных данных, должен компенсировать работодателю сумму возмещения морального вреда в соответствии со второй частью статьи 238 ТК РФ.
Заключение
Законодательство в области персональных данных не стоит на месте. Операторам следует уделить особое внимание соблюдению законодательства в области персональных данных, в том числе разработать и принять положение об обработке персональных данных (или проверить на соответствие законодательству уже принятое положение), назначить ответственного за обработку персональных данных, разработать форму согласия субъекта персональных данных на обработку персональных данных и закрепить ее в локальном нормативном акте (или проверить на соответствие законодательству уже разработанную форму), получать такое письменное согласие во всех случаях, предусмотренных действующим законодательством, а также соблюдать иные требования законодательства в области персональных данных. Проведение полного комплекса мероприятий поможет подготовиться к проверке Роскомнадзора и избежать административных штрафов, гражданско-правовой ответственности, а физическим лицам - уголовной, дисциплинарной и материальной ответственности.
Примечание:
- Далее - ФЗ О персональных данных".
- Внесены Федеральным законом Российской Федерации от 07.02.2017 № 13-ФЗ О внесении изменений в Кодекс Российской Федерации об административных правонарушениях".
- Регламент ЕС № 2016/679 О защите физических лиц при обработке персональных данных и о свободном обращении таких данных", вступает в силу в мае 2018 года.
- Напомним, что оператором является любое лицо, обрабатывающее персональные данные. При этом под обработкой понимается любое действие с персональными данными (сбор, хранение, передача и т.д.). Таким образом, операторами являются не только банки и страховые компании, но и, например, работодатели, так как. они обрабатывают персональные данные своих работников.
- Утверждено Постановлением Правительства от 15.09.2008 № 687.