Нарушение закона о персональных данных: наказание
Sbertimekpk.ru

Финансовый портал

Нарушение закона о персональных данных: наказание

Ответственность за нарушение закона о персональных данных

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Таблица 1. “Виды ответственности за нарушение закона о персональных данных”

Вид ответственности

Нарушение

Санкция

Норма

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации

Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.

Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 3 тыс. руб.;
  • на должностных лиц – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 30 тыс. до 50 тыс. руб.

Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие

  • на граждан – от 3 тыс. до 5 тыс. руб.;
  • на должностных лиц – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 75 тыс. руб.

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных

Предупреждение или административный штраф:

  • на граждан – от 700 до 1 тыс. руб.;
  • на должностных лиц – от 3 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 30 тыс. руб.

Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 15 тыс. руб.;
  • на юридических лиц – от 20 тыс. до 40 тыс. руб.

Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 45 тыс. руб.

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них

  • на граждан – от 700 до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 50 тыс. руб.

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов

Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.

Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде

  • на граждан – от 100 до 300 руб.;
  • на должностных лиц – от 300 до 500 руб.;
  • на юридических лиц – от 3 тыс. до 5 тыс. руб.

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ

Ш траф до 200 тыс. руб., либо обязательные работы на срок до 360 ч асов , либо исправительны е работы на срок до одного года, либо принудительные работы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет или без такового ) , либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет )

То же деяние, совершенное с использованием служебного положения

Ш траф от 100 тыс. до 300 тыс. руб. , либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет или без такового ) , либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет )

Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий

Ш траф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительны е работ ы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет или без такового ), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет )

Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан

Ш траф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование

Ш траф до 200 тыс. руб. , либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительны е работ ы на срок до двух лет, либо лишение свободы на тот же срок

Причинение лицу убытков в результате нарушения правил обработки его персональных данных.

Под убытками при этом понимаются:

  • расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права;
  • утрата или повреждение его имущества;
  • неполученные доходы, которые лицо получило бы, не будь его право нарушено.

Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных

Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)

Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей

Иные нарушения в области персональных данных при их обработке

Персональные данные: что грозит за нарушение закона

Работодатель, принимая сотрудника на работу, запрашивает у него определенные сведения. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и какая ответственность за их несоблюдение ждет нарушителей.

Какие данные являются персональными

Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

К персональным данным могут быть отнесены:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Кстати, сведения о заработной плате относятся к персональным данным.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Можно ли номер телефона отнести к персональным данным?

Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств. Из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Поэтому номер телефона сам по себе не относится к персональным данным.

А вот фотография относится к биометрическим персональным данным. Так как это изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (См. Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).

Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст. 23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

Читать еще:  Какое будет смягчение пенсионной реформы правки Президента РФ

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Практическая ситуация

В коллективном договоре закреплено, что одним из видов поощрения работников является размещение фотографии работника на Доске почета. Работник обратился к работодателю с требованием не размещать его фотографию для всеобщего обозрения. Какие риски несет работодатель, если разместит фотографию без согласия работника?

Согласно Закону о персональных данных фотографию работника можно отнести к персональным данным. Доска почета, размещенная публично, является общедоступным источником персональных данных. Статья 8 Закона о персональных данных устанавливает, что в общедоступные источники персональных данных сведения о персональных данных могут включаться только с письменного согласия субъекта персональных данных.

То есть работодатель должен перед размещением фотографии на доске почета запросить письменное разрешение работника. Если фотография работника размещена без его согласия, работодатель может быть привлечен к административной ответственности с наложением штрафа до 75 тыс. руб., при этом работник может также потребовать компенсации морального вреда за нарушение его прав.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа (ст. 13.14 КоАП РФ) (за исключением случаев, если такое разглашение влечет уголовную ответственность):

  • на граждан — от 500 до 1 000 руб.;
  • на должностных лиц — от 4 000 до 5 000 руб.

С работником, допущенным к обработке персональных данных, подписывается обязательство о неразглашении персональных данных.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

  • штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
  • либо обязательными работами на срок от 120 до 180 часов;
  • либо исправительными работами на срок до одного года;
  • либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

  • штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
  • либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • либо арестом на срок от четырех до шести месяцев.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

152 ФЗ – штрафы за нарушение закона О персональных данных

Штрафы за нарушение закона 152 ФЗ «О персональных данных» года существенно увеличены. С 1 июля вступила в законную силу новая редакция Закона. Самый высокий штраф – до 75 тыс. руб. установлен для юридических лиц. В новой редакции статьи 13.11 четко установлены случаи, за которые может быть наложен штраф.

Ваша компания попадает под действие Закона 152 ФЗ и сайт считается оператором по обработке персональных данных если на нем есть:

Обратная связь

  • форма обратной связи
  • заказ обратного звонка
  • форма любой заявки

Продажи

  • корзина
  • оплата
  • доставка

Пользователи

  • Регистрация
  • Авторизация
  • Социальные сети

Email маркетинг

  • Подписка на новости
  • Авторизация
  • Социальные сети

Ответственность за нарушение закона «О персональных данных»

Уголовная ответственность

Уголовный кодекс предостерегает от незаконного сбора или распространения сведений о частной жизни, составляющих личную или семейную тайну человека, без его согласия. Наказанием может стать штраф до 300 000 руб. и выше, принудительные работы, а также лишение свободы на срок до 4 лет.

Административная ответственность

Кодекс об административных правонарушениях даёт возможность оштрафовать физическое или должностное лицо, индивидуального предпринимателя или компанию за невыполнение 152-ФЗ на 10 000 руб. Штраф может быть наложен не только на компанию, но и на работника: руководителя или ответственного за организацию обработки персональных данных.

Также компания может быть оштрафована на сумму до 20 000 руб., если не выполнит в срок предписание Роскомнадзора или не ответит на его запрос.

Нарушения трудового законодательства, в том числе главы 14 Трудового кодекса, наказываются штрафом до 50 000 руб. Для компании может стать неприятной новостью, что не только Роскомнадзор, но и Трудовая инспекция интересуется тем, как она осуществляет обработку персональных данных.

Гражданско-правовая ответственность

Закон «О персональных данных» даёт физическим лицам право на возмещение морального и имущественного вреда, а также понесённых убытков. Размер возмещения будет определяться судом, и заранее он ничем не ограничен.

Подготовим Соглашение о защите персональных данных

Для наших клиентов мы предлагаем услугу подготовки текста Соглашения о конфиденциальности и Положения по обработке персональных данных. Эти документы проходят проверку юристом и соответствуют всем требованиям Закона 152 ФЗ. Вы можете обратиться в веб студию АВАНЗЕТ за подготовкой этих документов.

После этого необходима настройка всех форм обратной связи таким образом, чтобы пользователь, который отправляет письмо с любой формы на вашем сайте сначала познакомился с этими документами и поставил галочку в чек боксе, что он с ними знаком и только после этого он получит возможность отправить вам сообщение.

Мы уверены, что большинство наших клиентов – законопослушные люди, и поэтому мы хотим существенно облегчить соблюдение этого закона, чтобы помочь избежать штрафов. Напишите нам письмо и мы подготовим все необходимые документы и произведем нужные настройки на вашем сайте

Не ждите когда вас оштрафуют!

Закажите Соглашение о защите персональных данных прямо сейчас!

Размер штрафов за нарушение закона «О персональных данных»

Согласно новой редакции ст.13.11 КоАП РФ, нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:

  • Частное лицо может получить предупреждение или штраф в размере от 1 тыс. до 3 тыс. руб.
  • Должностное лицо заплатит от 5 тыс. до 10 тыс. руб.,
  • Юридическое лицо – от 30 тыс. до 50 тыс. руб.

Обработка персональных данных без согласия гражданина приведет к наложению штрафа:

  • в размере от 3 тыс. до 5 тыс. руб. для граждан,
  • от 10 тыс. до 20 тыс. руб. – для должностных лиц
  • от 15 тыс. до 75 тыс. руб. для юридических лиц.
Читать еще:  Как правильно закрепить стропила на двускатной крыше?

В случае если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф.

  • Для граждан он составит от 700 до 1500 руб.,
  • для должностных лиц – от 3 тыс. до 6 тыс. руб.,
  • для индивидуальных предпринимателей (ИП) – от 5 тыс. до 10 тыс. руб.,
  • для юридических лиц – от 15 тыс. до 30 тыс. руб.

Самый лучший способ оградить себя и свою компанию от наложения штрафа и других видов ответственности — выполнить требования Закона 152 ФЗ «О персональных данных»! Заходите на сайт нашего партнера, регистрируйтесь и для вас будет подготовлен пакет документов, который необходим для выполнения всех требований Закона 152 ФЗ

Как не нарушить закон о персональных данных

Если на вашем сайте присутствует форма регистрации, то вам нужно уведомить Роскомнадзор и опубликовать политику конфиденциальности (политику защиты персональных данных). Без них вы будете нарушителем закона.

С 1 июля вступили в законную силу правки к п. 13.11 КоАП о нарушении в обработке персональных данными. За эти нарушения: сбор, хранение или обработка вы можете получить штраф до 75 000 руб. Роскомнадзор составил план для проверки компаний. Но не паникуйте: срочно идти к юристу не обязательно, всё не так страшно. Так что же нужно сделать?

Кого в первую очередь касается этот закон?

Закон о персональных данных касается операторов персональных данных: физических лиц и организации, которые собирают, хранят и обрабатывают персональные данные.

Оператором персональных данных может стать кто угодно. Даже если у вас личный сайт с формой регистрации, вам всё равно могут выписать штраф. Правда штрафы частным лицам не велики, компаниям значительно выше.

В законе нет четкого списка, что считать персональными данными. Правило такое: если по данным, что вы собираете, можно найти пользователя, сотрудника или клиента, это персональные данные. Например, если у вас есть имя, фамилия и электронная почта клиента, теоретически вы сможете найти его через поиск в Гугле.

Что относится к персональным данным:

  • ФИО (фамилия, имя, отчество)
  • домашний адрес
  • личный телефон
  • ваша электронная почта
  • дата и место рождения
  • ссылка на профиль в соцсети
  • ваша профессия

Что же делать, без оформления документов никак? Конечно лучше обезопасить себя и оформить документы, тем более за это не нужно платить. Иначе есть только два варианта:

  • убрать с сайта все формы регистрации, которые запрашивают данные посетителей;
  • вместо классической формы регистрации поставить одно поле «Контактные данные» и надеяться, что Роскомнадзор не сможет понять, относятся эти данные к персональным или нет.

Один посетитель сайта напишет свое ФИО, другой — укажет телефон, третий — может обругать матом 🙂 Для вашего спокойствия лучше играть в эти игры с Роскомнадзором, рекомендуем сделать всё по установленным правилам.

Как правильно уведомить Роскомнадзор?

Уведомления следует подавать до момента начала обработки данных. Иначе, если форма регистрации или подписки на вашем сайте есть, но вы не уведомили об этом Роскомнадзор, то вы уже являетесь нарушителем закона. Но если отправите уведомление сейчас, то Роскомнадзор не будет штрафовать за прошлые месяцы или годы нарушения.

Заполнить и отправить уведомление можно на сайте Роскомнадзора. Для этого придется заполнить форму с 57 полями. Сначала ее надо отправить в электронном виде, потом — по почте и ждать ответа Роскомнадзора. Вот ссылка на форму регистрации оператора персональных данных на сайте Роскомнадзора

Но есть путь легче — это можно сделать через сервис Контура. Мы рекомендуем сделать это один рази больше не волноваться что вы не выполняете требования закона о защите персональных данных. Надеемся, что наша публикация была вам полена

Ответственность за нарушение закона о защите персональных данных

В ходе аудита ИТ-инфраструктуры нередко обнаруживаются нарушения в сфере закона о защите персональных данных (152-ФЗ), за которые предусмотрена ответственности. Мы предлагаем комплекс мер по защите персональных данных во избежание наступления ответственности за нарушение 152-ФЗ «О персональных данных».

Законодательство регламентирует ответственность оператора персональных данных за их несанкционированную утечку или разглашение. Современные реалии таковы, что обработка и сбор информации переведены в электронную плоскость. Каждая организация, компания, промышленное предприятие располагает базами с личными данными работников, клиентов, партнеров, покупателей.

Ответственность за нарушение 152-ФЗ о защите персональных данных бывает:

  • гражданской – на нарушителя закона налагаются имущественные санкции;
  • административной – выплата штрафа, приостановление деятельности, запрет занимать определенные должности;
  • уголовной – лишение свободы на срок, определенный законодательством по конкретному случаю;
  • дисциплинарной – налагается на работника в виде замечания, выговора или увольнения.

Нарушение ФЗ-152 предполагает ответственность по КоАП (Кодекс об административных правонарушениях). Зачастую отсутствие у оператора регламента предоставления информации влечет наложение штрафных санкций. Под этим подразумевается несвоевременное предоставление или предоставление заведомо недостоверных данных гражданам. Согласно законодательству, налагается штраф от 1000 до 3000 рублей.

Ответственность за нарушение ФЗ-152 о персональных данных по КоАП наступает за нарушение действующего регламента по сбору, обработке и защите информации. То есть несоблюдение определенных алгоритмов приводит к штрафным санкциям. В группе риска находятся частные предприниматели, интернет-магазины и порталы.

Уголовный кодекс предусматривает наказание за неправомерный доступ к компьютерной информации, охраняемой законом, которая повлекла нарушение неприкосновенности частной жизни. Здесь подразумевается ответственность за нарушение ФЗ-152, которая лежит в плоскости незаконного сбора и распространения информации о частной жизни граждан. В этом случае уголовный кодекс предусматривает следующие виды наказания:

  • для физических лиц – штраф до 200 000 рублей или лишение свободы сроком до двух лет;
  • для должностных лиц – штраф от 100 000 рублей или лишение свободы до четырех лет.

Во втором случае, ответственность за нарушение требований 152-ФЗ несут граждане, имеющие доступ к компьютеру. То есть, каждый работник, включая руководство, несет ответственность за утечку информации, может заплатить штраф или сесть в тюрьму.

Что такое неправомерный доступ к компьютерной информации

Если отойти от сухих формулировок законодательных актов, то становится понятно, что все, кто связан со сбором и обработкой информации находятся в группе риска. Ответственность за нарушение закона о защите персональных данных наступает при любой утечке информации, неправильном ее сборе или несвоевременном предоставлении.

Это означает, что за взлом баз отвечает гражданин, должностное лицо, которое с ними работает. Ответственность ужесточается в зависимости от степени вреда, причиненной несанкционированным доступом к информации.

Как избежать ответственности за нарушение 152-ФЗ

Утечка персональных данных, наложение штрафных санкций – урон репутации бизнесу. В современных условиях такое происшествие спровоцирует отток клиентов. Особенно, если персональная информация была использована для незаконного оформления кредитов, участия в рекламных, предвыборных кампаниях.

Наши специалисты минимизируют риски, повысят уровень безопасности информационной защиты после проведения аудита ИТ-инфраструктуры. Аудит позволяет выявить:

  • уязвимые места в системе (выявляются при мониторинге программного обеспечения);
  • проблемы действующего регламента сбора и обработки информации (или необходимость его создания, если он отсутствует);
  • возможности по оптимизации, модернизации оборудования;
  • недостаточный уровень компетенции сотрудников по пресечению попыток несанкционированного доступа к персональной информации.

Наши специалисты помогут избежать ответственности за нарушение 152-ФЗ, минимизировать репутационные риски.

Кто и какую ответственность несет за нарушение законодательства о персональных данных

Если вы обрабатываете персональные данные граждан (клиентов, сотрудников), то за нарушения по работе с этими данными вас могут привлечь прежде всего к административной ответственности. Например, административный штраф может быть назначен за сбор персональных данных в ненадлежащих целях.

Гражданско-правовая ответственность наступит, если вы причинили убытки или моральный вред гражданину. Своих сотрудников, допустивших нарушение, вы можете привлечь к дисциплинарной и материальной ответственности. Как работодатель вы отвечаете за нарушение правил работы с персональными данными работников.

Если действия физлица содержат признаки преступления, то его могут привлечь к уголовной ответственности.

Оглавление:

1. Какая административная ответственность грозит за нарушение законодательства о персональных данных

Административная ответственность установлена:

  • за нарушение правил обработки персональных данных;
  • неисполнение обязанностей при взаимодействии с гражданином – субъектом персональных данных;
  • невыполнение требований по защите персональных данных;
  • неисполнение обязанностей при взаимодействии с Роскомнадзором.

Если в ходе проверки будет выявлено несколько нарушений, к ответственности вас привлекут за каждое из них. Также обратите внимание, что к ответственности за нарушение могут одновременно привлечь и организацию, и виновное физическое лицо (ч. 3 ст. 2.1 КоАП РФ).

Основной вид административного наказания за нарушение законодательства о персональных данных – штраф, размер которого зависит от конкретного нарушения. Максимально возможный – 75 000 руб. Он предусмотрен для организации за обработку персональных данных без письменного согласия гражданина, когда такое согласие требуется, или за отсутствие в нем всех необходимых сведений (ч. 2 ст. 13.11 КоАП РФ).

Далее рассмотрим подробнее группы нарушений и размеры штрафов за них.

Когда вместо административного штрафа возможно предупреждение

Это возможно, если такая санкция предусмотрена за ваше нарушение, вы совершили его впервые и при этом соблюдены условия, перечисленные в ч. 2 ст. 3.4 КоАП РФ. Если вы субъект малого и среднего предпринимательства, штраф вам и вашим работникам могут заменить на предупреждение, даже если норма этого не предусматривает (ч. 3 ст. 3.4 КоАП РФ).

1.1. Административная ответственность за нарушение правил обработки персональных данных

К административной ответственности за нарушение правил обработки вашу организацию и ее должностных лиц могут привлечь, если вы будете обрабатывать персональные данные:

1) в не предусмотренных законом случаях (ч. 1 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц – 10 000 руб., для организации – 50 000 руб.

Перечень случаев, в которых допускается обработка персональных данных, установлен в ч. 1 ст. 6 Закона о персональных данных. К их числу относится и обработка с согласия физлица, но обратите внимание, что под него состав отдельный – по ч. 2 ст. 13.11 КоАП РФ;

Читать еще:  Облицовка каминной топки плиткой

2) в целях, несовместимых с целями сбора (ч. 1 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц – 10 000 руб., для организации – 50 000 руб.

Учтите, что у вас должны быть заранее определены законные и конкретные цели обработки персональных данных и все ваши действия с персональными данными должны им соответствовать (ч. 2, 5 ст. 5 Закона о персональных данных);

3) без согласия, когда оно требуется, или с согласия, но с неполными сведениями (ч. 2 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц – 20 000 руб., для организации – 75 000 руб.

Обратите внимание, что согласие требуется далеко не всегда, есть большой перечень случаев, когда в нем нет необходимости.

1.2. Административная ответственность за неисполнение оператором обязанностей при взаимодействии с гражданином

Вас могут привлечь к ответственности, если вы:

1) в определенный срок не представите гражданину запрошенную им информацию (ч. 4 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц – 6 000 руб., для организации – 40 000 руб., для ИП – 15 000 руб.

Вас могут привлечь к ответственности, если вы, например, не подтвердите, что вы обрабатываете персональные данные, в течение 30 дней с получения соответствующего запроса гражданина (ч. 7 ст. 14, ч. 1 ст. 20 Закона о персональных данных);

2) не выполните требование об уточнении, блокировании или уничтожении его персональных данных, если они неполные, неточные, устарели, были незаконно получены или не являются необходимыми для целей обработки (ч. 5 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц – 10 000 руб., для организации – 45 000 руб., для ИП – 20 000 руб.

В частности, к ответственности вас могут привлечь, если вы не уточните персональные данные в течение семи рабочих дней со дня представления субъектом актуальных сведений (ч. 2 ст. 21 Закона о персональных данных).

1.3. Административная ответственность за невыполнение требований по защите персональных данных

К такой ответственности вас могут привлечь, если вы:

1) не опубликуете необходимые документы о вашей политике в отношении обработки персональных данных и о том, какие требования по их защите вы реализуете, или не обеспечите иным образом неограниченный доступ к ним (ч. 3 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц – 6 000 руб., для организации – 30 000 руб., для ИП – 10 000 руб.;

2) не обеспечите сохранность данных при их неавтоматизированной обработке, если это повлечет неправомерный или случайный доступ к ним, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия (ч. 6 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц – 10 000 руб., для организации – 50 000 руб., для ИП – 20 000 руб.

1.4. Административная ответственность за неисполнение оператором обязанностей при взаимодействии с Роскомнадзором

К административной ответственности при взаимодействии с Роскомнадзором – уполномоченным органом по защите прав субъектов персональных данных вас могут привлечь, если вы, в частности:

  • не представите информацию, запрошенную им в порядке ч. 3 ст. 23 Закона о персональных данных (ст. 19.7 КоАП РФ);
  • не выполните в срок законное предписание Роскомнадзора об устранении нарушений (ч. 1 ст. 19.5 КоАП РФ);
  • будете препятствовать проведению проверки либо уклоняться от нее (ч. 1 ст. 19.4.1 КоАП РФ);
  • не выполните требование Роскомнадзора об уточнении, блокировании или уничтожении персональных данных, если они неполные, неточные, устарели, были незаконно получены или не являются необходимыми для целей обработки (ч. 5 ст. 13.11 КоАП РФ).

2. В чем состоит гражданско-правовая ответственность

Нарушение законодательства в области персональных данных может повлечь гражданско-правовую ответственность в форме компенсации морального вреда, возмещения убытков, взыскания неустойки, если она была предусмотрена вашим договором.

Обратите внимание, что моральный вред вы обязаны возместить вне зависимости от того, возмещали ли вы имущественный вред физлицу и понесенные им убытки (ч. 2 ст. 24 Закона о персональных данных).

Ваша ответственность может наступить, если вы нарушаете:

  • права субъекта, установленные Законом о персональных данных;
  • правила обработки персональных данных;
  • требования к их защите.

Компенсировать моральный вред вы будете в денежной форме, размер компенсации определит суд с учетом степени вашей вины и степени страданий гражданина (ст. ст. 151, 1101 ГК РФ).

Убытки суд взыщет, если будут доказаны наступление вреда, противоправность вашего поведения и ваша вина, а также причинно-следственная связь между ними (см. Позицию КС РФ, ВС РФ, ВАС РФ). Учтите, что вина презюмируется и ее отсутствие придется доказывать вам (п. 2 ст. 1064 ГК РФ).

Обратите внимание, что возмещать вред будет организация, а не должностные лица, поскольку вред, причиненный работником, должен возмещать работодатель (п. 1 ст. 1068 ГК РФ).

3. Какую ответственность несут работник и работодатель за нарушения законодательства о персональных данных

Работодатель в этом случае может понести материальную ответственность перед своими сотрудниками.

Работника можно привлечь как к дисциплинарной, так и к материальной ответственности, если по его вине при обработке персональных данных произошло нарушение законодательства в области персональных данных.

Далее расскажем об этом подробнее.

3.1. Какую ответственность несет работодатель перед своими работниками

Вы несете материальную ответственность перед своими работниками, если, нарушив по своей вине законодательство в области персональных данных, причините им материальный ущерб и (или) моральный вред (ст. 90, ч. 1 ст. 232, ч. 1 ст. 233 ТК РФ).

Например, такое возможно, если вы не обеспечили защиту персональных данных работника (не организовали особый режим доступа, хранение в особых местах и так далее), из-за чего они стали доступны посторонним лицам.

В таком случае вы обязаны возместить работнику ущерб в полном объеме, а моральный вред – в той сумме, о которой договоритесь с работником или которую определит суд (ч. 1 ст. 235, ст. 237 ТК РФ).

Дисциплинарная ответственность для работодателя законодательством не предусмотрена.

3.2. К какой ответственности работодатель может привлечь работника

Вы можете привлечь работника к дисциплинарной и материальной ответственности, если он по своей вине нарушил нормы, регулирующие обработку и защиту персональных данных других работников. Но потребуется соблюсти определенные условия (ч. 1 ст. 22, ст. 90 ТК РФ).

3.2.1. Дисциплинарная ответственность работника

Работника можно привлечь к дисциплинарной ответственности, если он виноват в неисполнении (ненадлежащем исполнении) своих трудовых обязанностей по обработке персональных данных (ч. 1 ст. 192 ТК РФ). Например, такое возможно, если работник отдела кадров разгласит персональные данные других лиц, которые стали ему известны в связи с исполнением своих трудовых обязанностей и которые он обязался не разглашать.

Такие действия могут быть признаны однократным грубым нарушением работником трудовых обязанностей. И в этом случае вы вправе применить к нему дисциплинарное взыскание вплоть до увольнения по пп. “в” п. 6 ч. 1 ст. 81 ТК РФ.

Учтите только, что нельзя уволить по этому основанию беременную женщину, работника, который находится в отпуске или на больничном, а также несовершеннолетнего, если нет на это согласия трудинспекции и комиссии по делам несовершеннолетних и защите их прав (пп. “в” п. 6 ч. 1, ч. 6 ст. 81, ч. 1 ст. 261, ст. 269 ТК РФ).

Чтобы привлечь работника к дисциплинарной ответственности, в том числе в виде увольнения, вам потребуется соблюсти специальный порядок, в частности: затребовать у него письменное объяснение, составить акт, если работник не представит его по истечении двух рабочих дней, оформить приказ о наложении дисциплинарного взыскания и ознакомить с ним работника (ч. 1, 2 ст. 192, ч. 1, 6 ст. 193 ТК РФ).

3.2.2. Материальная ответственность работника

Вы можете привлечь работника, ответственного за обработку персональных данных, в том числе за их неразглашение, если он нарушил свои обязанности и причинил вам тем самым ущерб (ст. 90, ч. 1 ст. 238 ТК РФ). То есть если вам пришлось возмещать материальный ущерб и (или) моральный вред пострадавшим по его вине работникам или третьим лицам.

Взыскать можно только прямой действительный ущерб, в том числе сумму ущерба и (или) морального вреда, выплаченную вами пострадавшим по его вине работникам или третьим лицам (ст. 90, ч. 1 ст. 238 ТК РФ).

Но сначала обязательно проведите проверку для определения размера ущерба и причин его возникновения, истребуйте от работника письменное объяснение, а также учтите другие обязательные требования, предусмотренные ст. ст. 246, 247, 248 ТК РФ.

4. В каких случаях нарушение законодательства о защите персональных данных может повлечь уголовную ответственность

Специальной нормы об ответственности за нарушение Закона о персональных данных в Уголовном кодексе РФ нет. Однако действия лица, нарушившего правила работы с персональными данными, могут образовать состав преступления из числа предусмотренных Уголовным кодексомРФ.

В частности, уголовная ответственность установлена:

  • за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия (ч. 1 ст. 137 УК РФ);
  • неправомерный доступ к компьютерной информации, в результате которого произошло уничтожение, блокирование, модификация (изменение) или копирование информации (ч. 1 ст. 272 УК РФ);
  • неправомерный отказ должностного лица в представлении гражданину документов и материалов, собранных в установленном порядке и непосредственно затрагивающих его права и свободы гражданина (ст. 140 УК РФ).

Учтите, что к уголовной ответственности могут привлечь только физическое лицо (ст. 19 УК РФ). Однако привлечение виновного физического лица к уголовной ответственности не освобождает от административной ответственности организацию (ч. 3 ст. 2.1 КоАП РФ).

Материал подготовлен специалистами компании «КонсультантПлюс».

Ссылка на основную публикацию
Adblock
detector