Административная ответственность
за нарушения в области персональных данных

Многие компании и предприниматели, особенно в регионах, так и не организовали работу с персональными данными. Другие же, наоборот, практически ежемесячно просят давать согласие на обработку персональных данных. В 2017 году принято решение об усилении ответственности за работу с персональными данными. Как правильно организовать работу с персональными данными?

Почему важно понимать, что относится к персональным данным?

Во-первых, часть 1 ст. 24 Конституции РФ запрещает сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.

Во-вторых, согласно п. 1 ст. 152.2 Гражданского кодекса РФ не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни.

В-третьих, несоблюдение законодательства о персональных данных предусматривает значительные штрафы, которые будут повышены с 01 июля 2017 года.

Сначала определимся: что является персональными данными? Ответ мы находим в ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 22.02.2017) «О персональных данных».

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Но данное определение является достаточно «расплывчатым», например, друзья размещают фотографии в Интернете – охраняются ли такие фотографии законодательством о защите персональных данных?

К персональным данным относится следующая информация:

• фамилия, имя, отчество человека;
• паспортные данные;
• пол и возраст;
• семейное положение, наличие детей и родственников;
• профессия (Апелляционное определение Московского городского суда от 18.11.2016 № 33-45913/2016);
• социальное, имущественное положение (Апелляционное определение Санкт-Петербургского городского суда от 30.01.2017 № 33а-2104/2017);
• место жительства;
• сведения о заработной плате (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681 «О передаче работодателем третьим лицам сведений о заработной плате работников»);
• национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь (постановление ФАС Северо-Кавказского округа
  от 21.04.2014 № А53-13327/2013);
• физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись) (Разъяснения Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации
  к биометрическим персональным данным и особенности их обработки»);
• деловые и иные личные качества, которые носят оценочный характер.

ПОЛЕЗНО ЗНАТЬ

Если проведенная Роскомнадзором проверка выявила такие нарушения в сфере обработки персональных данных, за которые предусмотрена административная ответственность, в том числе установлен факт неисполнения выданного ранее предписании Роскомнадзора, проверяющие составляют протокол об административном правонарушении в порядке, установленном КоАП РФ.

На практике некоторые вопросы отнесения к персональным данным являются спорными, например, персональные данные широко распространены в Интернете, люди активно регистрируются и размещают самую распространенную информацию, такую как фамилия, имя, отчество, фотографии. И такая информация сразу становится общедоступной. Однако такая информация продолжает оставаться персональными данными. Принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным. Информация в объеме «фамилия, имя, отчество физического лица» является персональными данными, обработка которых должна осуществляться в строгом соответствии с требованиями Федерального закона № 152-ФЗ (письмо Роскомнадзора от 20.01.2017 № 08АП-6054 «О результатах рассмотрения обращения Казначейства России»). При этом перечень персональных данных является открытым.

Но для того чтобы не подпасть под штрафы и правильно организовать работу с персональными данными, нужно понять, в каких документах содержатся персональные данные работника.

Перечень документов, в которых содержатся персональные данные, также установлен, вместе с тем возможно выделить следующие документы:

• паспорт гражданина РФ;
• загранпаспорт гражданина РФ;
• дипломатический паспорт;
• свидетельство пенсионного страхования (СНИЛС);
• ИНН;
• трудовая книжка работника;
• анкета, другой документ, заполняемый кандидатом на должность при собеседовании;
• документы воинского учета;
• документы об образовании, квалификации, наличии специальных знаний;
• свидетельство о регистрации или расторжении брака;
• свидетельство о рождении ребенка;
• личная карточка (форма № Т-2 утверждена постановлением Госкомстата России от 05.01.2004 № 1);
• справка с предыдущего места работы;
• справка о заработной плате 2-НДФЛ;
• медицинская карта;
• листок нетрудоспособности;
• трудовой договор;
• выписка из штатного расписания или штатное расписание;
• приказы по личному составу;
• права на автомобиль.

Таким образом, перечень документов, в которых содержатся персональные данные, является достаточно обширным. Поскольку перечень персональных данных и перечень документов являются открытыми, то целесообразно в трудовом договоре, согласии на обработку персональных данных указать, что подобные сведения могут содержаться и в иных документах.

ПОЛЕЗНО ЗНАТЬ

Роскомнадзор не имеет права проверять выполнение обязательных требований, установленных нормативными правовыми актами в области персональных данных, если такие требования не относятся к его полномочиям.

За что предусмотрена ответственность?

Понятно, что нарушение законодательства влечет риски привлечения к ответственности. При этом в Кодексе об административных правонарушениях предусмотрен целый ряд статей, касающихся нарушения законодательства о защите персональных данных.

Статья КоАП РФ	Вид нарушения	Санкция
5.39 КоАП РФ	Неправомерный отказ в предоставлении гражданину и(или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации	Влечет наложение административного штрафа на должностных лиц в размере от 1000 до 3000 руб.
13.11 КоАП РФ	Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)	Влечет предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 руб.; на должностных лиц – от 500 до 1000 руб.; на юридических лиц – от 5000 до 10 000 руб.
13.12 КоАП РФ	Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации	Влечет наложение административного штрафа на граждан в размере от 1000 до 1500 руб.; на должностных лиц – от 1500 до 2500 руб.; на юридических лиц – от 15 000 до 20 000 руб.
13.12 КоАП РФ	Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну)	Влечет наложение административного штрафа на граждан в размере от 1500 до 2500 руб. с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц – от 2500 до 3000 руб.; на юридических лиц – от 20 000 до 25 000 руб. с конфискацией несертифицированных средств защиты информации или без таковой
13.13 КоАП РФ	Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна)	Влечет наложение административного штрафа на граждан в размере от 500 до 1000 руб. с конфискацией средств защиты информации или без таковой; на должностных лиц – от 2000 до 3000 руб. с конфискацией средств защиты информации или без таковой; на юридических лиц – от 10 000 до 20 000 руб. с конфискацией средств защиты информации или без таковой
13.14 КоАП РФ	Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей	Влечет наложение административного штрафа на граждан в размере от 500 до 1000 руб.; на должностных лиц – от 4000 до 5000 руб.
19.7 КоАП РФ	Непредставление или несвоевременное представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), государственный финансовый контроль, муниципальный контроль, муниципальный финансовый контроль, сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), государственный финансовый контроль, муниципальный контроль, муниципальный финансовый контроль, таких сведений (информации) в неполном объеме или в искаженном виде	Влечет предупреждение или наложение административного штрафа на граждан в размере от 100 до 300 руб.; на должностных лиц – от 300 до 500 руб.; на юридических лиц – от 3000 до 5000 руб.

Таким образом, видно, что предусмотрен целый ряд административных штрафов.

Вместе с тем, с 01 июля 2017 года Федеральным законом от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» предусматривается усиление ответственности в сфере защиты персональных данных.

Ответственность за нарушения законодательства Российской Федерации в области персональных данных с 01 июля 2017 года

Часть статьи 13.11 КоАП РФ	Вид нарушения	Санкция
Первая	Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных	Влечет предупреждение или наложение административного штрафа на граждан в размере от 1000 до 3000 руб.; на должностных лиц – от 5000 до 10 000 руб.; на юридических лиц – от 30 000 до 50 000 руб.
Вторая	Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных	Влечет наложение административного штрафа на граждан в размере от 3000 до 5000 руб.; на должностных лиц – от 10 000 до 20 000 руб.; на юридических лиц – от 15 000 до 75 000 руб.
Третья	Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных	Влечет предупреждение или наложение административного штрафа на граждан в размере от 700 до 1500 руб.; на должностных лиц – от 3000 до 6000 руб.; на индивидуальных предпринимателей – от 5000 до 10 000 руб.; на юридических лиц – от 15 000 до 30 000 руб.
Четвертая	Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных	Влечет предупреждение или наложение административного штрафа на граждан в размере от 1000 до 2000 руб.; на должностных лиц – от 4000 до 6000 руб.; на индивидуальных предпринимателей – от 10 000 до 15 000 руб.; на юридических лиц – от 20 000 до 40 000 руб.
Пятая	Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки	Влечет предупреждение или наложение административного штрафа на граждан в размере от 1000 до 2000 руб.; на должностных лиц – от 4000 до 10 000 руб.; на индивидуальных предпринимателей – от 10 000 до 20 000 руб.; на юридических лиц – от 25 000 до 45 000 руб.
Шестая	Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния	Влечет наложение административного штрафа на граждан в размере от 700 до 2000 руб.; на должностных лиц – от 4000 до 10 000 руб.; на индивидуальных предпринимателей – от 10 000 до 20 000 руб.; на юридических лиц – от 25 000 до 50 000 руб.
Седьмая	Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных	Влечет предупреждение или наложение административного штрафа на должностных лиц в размере от 3000 до 6000 руб.

Кому можно предоставлять сведения по запросу и какие?

По общему правилу, требуется согласие на обработку персональных данных. Если физическое лицо дало согласие на обработку и передачу данных третьим лицам, то возможно передавать вышеуказанные данные, например, в аутсорсинговую компанию.

Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.

В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Существует перечень случаев, когда согласие на обработку персональных данных не требуется. В этом случае по запросу можно передавать данные без согласия.

Например, если речь идет о несчастном случае, который произошел на производстве.

Или еще один пример. Был заключен гражданско-правовой договор на выполнение услуг в течение 30 рабочих дней по уборке территории. На том основании, что работник приступил к работе, он требует признать его именно работником, а не исполнителем по гражданско-правовому договору, указывая, что правовые основания для заключения срочного договора отсутствовали. Суд делает запрос работодателю с просьбой представить штатное расписание, приказы по личному составу. В этом случае на запрос суда работодатель отвечает, не запрашивая дополнительное согласие на предоставление вышеуказанных данных.

Не требуется согласие работника на передачу персональных данных:

• в случае угрозы жизни и здоровью;
• при передаче данных в случаях, предусмотренных законом, например, в налоговый орган, в ФСС, Пенсионный фонд;
• при передаче данных в военные комиссариаты;
• при предоставлении данных профсоюзу для защиты работников;
• по запросу органов прокуратуры;
• в случае проведения проверок, например, если речь идет о проверках противопожарной безопасности, соблюдения правил охраны труда, трудовой дисциплины;
• в судебном порядке.

Таким образом, перед предоставлением данных важно выяснить, требуется ли получать согласие на обработку персональных данных или этот случай является исключительным и такое согласие не требуется.

Необходимо отметить, что передача персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:

а) договор на выпуск банковской карты заключался напрямую с работником и в его тексте предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;

б) наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующее обслуживание;

в) соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 Трудового кодекса РФ).

В заключение важно отметить, что согласие на обработку персональных данных может носить универсальный характер и позволять предоставлять персональные данные третьим лицам. Чем более универсальный характер будет носить согласие, тем меньше рисков может возникнуть в части штрафных санкций и в части предоставления сведений третьим лицам.

• Назад
• Вперёд