Административная ответственность за персональные данные

Статья на тему: "Административная ответственность за персональные данные" с полным описанием тематики и ответами на интересующие вопросы. За консультацией можно обратиться к дежурному консультанту.

С 2 декабря за нарушение требования о локализации персональных данных грозит штраф

Wavebreakmedia / Depositphotos.com

В ч. 5 ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» установлено требование о локализации персональных данных: при их сборе, в том числе посредством сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на ее территории (Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»).

Рассматриваемым законом установлена административная ответственность за невыполнение указанной обязанности. Соответствующими положениями дополнена статья 13.11 КоАП РФ («Нарушение законодательства Российской Федерации в области персональных данных»).

Так, с 2 декабря 2019 года за нарушение требования о локализации персональных данных грозит административный штраф. Для граждан он установлен в размере от 30 тыс. до 50 тыс. руб.; для должностных лиц – от 100 тыс. до 200 тыс. руб.; для юрлиц и лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, – от 1 млн до 6 млн руб. Повторное совершение данного правонарушения чревато штрафом гораздо большего размера.

Рассматриваемым законом внесен также ряд иных изменений в КоАП. В частности, установлены повышенные размеры административных штрафов за повторное совершение административных правонарушений в области связи и информации, предусмотренных ст. 13.31 КоАП РФ, 13.35 КоАП РФ, 13.36 КоАП РФ, 13.37 КоАП РФ, 13.39 КоАП РФ и 13.40 КоАП РФ.

Источник: http://www.garant.ru/news/1308049/

Ответственность за нарушение закона о персональных данных

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Таблица 1. «Виды ответственности за нарушение закона о персональных данных»

Вид ответственности

Нарушение

Санкция

Норма

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации

Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.

Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 3 тыс. руб.;
  • на должностных лиц – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 30 тыс. до 50 тыс. руб.

Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие

  • на граждан – от 3 тыс. до 5 тыс. руб.;
  • на должностных лиц – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 75 тыс. руб.

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных

Предупреждение или административный штраф:

  • на граждан – от 700 до 1 тыс. руб.;
  • на должностных лиц – от 3 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 30 тыс. руб.

Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 15 тыс. руб.;
  • на юридических лиц – от 20 тыс. до 40 тыс. руб.

Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 45 тыс. руб.

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них

  • на граждан – от 700 до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 50 тыс. руб.

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов

Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.

Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде

  • на граждан – от 100 до 300 руб.;
  • на должностных лиц – от 300 до 500 руб.;
  • на юридических лиц – от 3 тыс. до 5 тыс. руб.

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ

Ш траф до 200 тыс. руб., либо обязательные работы на срок до 360 ч асов , либо исправительны е работы на срок до одного года, либо принудительные работы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет или без такового ) , либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет )

Читайте так же:  Решение суда об отказе по судебным расходам

То же деяние, совершенное с использованием служебного положения

Ш траф от 100 тыс. до 300 тыс. руб. , либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет или без такового ) , либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет )

Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий

Ш траф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительны е работ ы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет или без такового ), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет )

Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан

Ш траф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование

Ш траф до 200 тыс. руб. , либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительны е работ ы на срок до двух лет, либо лишение свободы на тот же срок

Причинение лицу убытков в результате нарушения правил обработки его персональных данных.

Под убытками при этом понимаются:

  • расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права;
  • утрата или повреждение его имущества;
  • неполученные доходы, которые лицо получило бы, не будь его право нарушено.

Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных

Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)

Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей

Иные нарушения в области персональных данных при их обработке

Источник: http://www.garant.ru/actual/persona/otvetstvennost/

Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных

Информация об изменениях:

Федеральным законом от 7 февраля 2017 г. N 13-ФЗ статья 13.11 настоящего Кодекса изложена в новой редакции, вступающей в силу с 1 июля 2017 г.

Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных

ГАРАНТ:

См. комментарии к статье 13.11 КоАП РФ

1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, —

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от тридцати тысяч до пятидесяти тысяч рублей.

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, —

влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от пятнадцати тысяч до семидесяти пяти тысяч рублей.

3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных —

влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц — от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от пятнадцати тысяч до тридцати тысяч рублей.

4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, —

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц — от двадцати тысяч до сорока тысяч рублей.

5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, —

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до сорока пяти тысяч рублей.

Читайте так же:  Операторами персональных данных являются

6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния —

влечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до пятидесяти тысяч рублей.

7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных —

влечет предупреждение или наложение административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.

Информация об изменениях:

Статья 13.11 дополнена частью 8 с 2 декабря 2019 г. — Федеральный закон от 2 декабря 2019 г. N 405-ФЗ

8. Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, —

влечет наложение административного штрафа на граждан в размере от тридцати тысяч до пятидесяти тысяч рублей; на должностных лиц — от ста тысяч до двухсот тысяч рублей; на юридических лиц — от одного миллиона до шести миллионов рублей.

Информация об изменениях:

Статья 13.11 дополнена частью 9 с 2 декабря 2019 г. — Федеральный закон от 2 декабря 2019 г. N 405-ФЗ

9. Повторное совершение административного правонарушения, предусмотренного частью 8 настоящей статьи, —

влечет наложение административного штрафа на граждан в размере от пятидесяти тысяч до ста тысяч рублей; на должностных лиц — от пятисот тысяч до восьмисот тысяч рублей; на юридических лиц — от шести миллионов до восемнадцати миллионов рублей.

Информация об изменениях:

Статья 13.11 дополнена примечанием с 2 декабря 2019 г. — Федеральный закон от 2 декабря 2019 г. N 405-ФЗ

Примечание. За административные правонарушения, предусмотренные частями 8 и 9 настоящей статьи, статьями 13.31, 13.35 — 13.37, 13.39 и 13.40 настоящего Кодекса, лица, осуществляющие предпринимательскую деятельность без образования юридического лица, несут административную ответственность как юридические лица.

Источник: http://base.garant.ru/12125267/b369434ee740927935cc6f0a04242543/

С 1 июля 2017 года усилена административная ответственность за нарушение законодательства в области персональных данных

С этой целью новой редакцией статьи 13.11 КоАП РФ расширен перечень составов правонарушений, а также увеличены размеры штрафов.

Так, в частности, установлена административная ответственность за:

обработку персональных данных в случаях, не предусмотренных законодательством в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния (повлечет предупреждение или наложение штрафа на граждан в размере от 1000 рублей до 3000 рублей, на должностных лиц — от 5000 рублей до 10000 рублей, на юридических лиц — от 30000 рублей до 50000 рублей);

обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством, если эти действия не содержат уголовно наказуемого деяния, либо обработку персональных данных с нарушением установленных законодательством в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных;

невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных;

невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.

Составление протоколов по административным делам данной категории отнесено к компетенции должностных лиц Роскомнадзора (ранее дела данной категории возбуждались прокурором).

В прежней редакции статьи 13.11 КоАП РФ была установлена ответственность лишь за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), которая предусматривала предупреждение или наложение штрафа на граждан в размере от 300 рублей до 500 рублей, на должностных лиц — от 500 рублей до 1000 рублей, на юридических лиц — от 5000 рублей до 10000 рублей.

Источник: http://www.consultant.ru/law/hotdocs/48775.html/

Персональные данные: что грозит за нарушение закона

Работодатель, принимая сотрудника на работу, запрашивает у него определенные сведения. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и какая ответственность за их несоблюдение ждет нарушителей.

Какие данные являются персональными

Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

К персональным данным могут быть отнесены:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Кстати, сведения о заработной плате относятся к персональным данным.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Можно ли номер телефона отнести к персональным данным?

Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств. Из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Поэтому номер телефона сам по себе не относится к персональным данным.

Читайте так же:  Подсудность исков о возмещении морального вреда

А вот фотография относится к биометрическим персональным данным. Так как это изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (См. Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).

Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст. 23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

Видео удалено.
Видео (кликните для воспроизведения).

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Практическая ситуация

В коллективном договоре закреплено, что одним из видов поощрения работников является размещение фотографии работника на Доске почета. Работник обратился к работодателю с требованием не размещать его фотографию для всеобщего обозрения. Какие риски несет работодатель, если разместит фотографию без согласия работника?

Согласно Закону о персональных данных фотографию работника можно отнести к персональным данным. Доска почета, размещенная публично, является общедоступным источником персональных данных. Статья 8 Закона о персональных данных устанавливает, что в общедоступные источники персональных данных сведения о персональных данных могут включаться только с письменного согласия субъекта персональных данных.

То есть работодатель должен перед размещением фотографии на доске почета запросить письменное разрешение работника. Если фотография работника размещена без его согласия, работодатель может быть привлечен к административной ответственности с наложением штрафа до 75 тыс. руб., при этом работник может также потребовать компенсации морального вреда за нарушение его прав.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа (ст. 13.14 КоАП РФ) (за исключением случаев, если такое разглашение влечет уголовную ответственность):

  • на граждан — от 500 до 1 000 руб.;
  • на должностных лиц — от 4 000 до 5 000 руб.

С работником, допущенным к обработке персональных данных, подписывается обязательство о неразглашении персональных данных.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

  • штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
  • либо обязательными работами на срок от 120 до 180 часов;
  • либо исправительными работами на срок до одного года;
  • либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

  • штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
  • либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • либо арестом на срок от четырех до шести месяцев.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.
Читайте так же:  Уточнение обновление изменение персональных данных

Источник: http://school.kontur.ru/publications/1624

Кто и какую ответственность несет за нарушение законодательства о персональных данных

Если вы обрабатываете персональные данные граждан (клиентов, сотрудников), то за нарушения по работе с этими данными вас могут привлечь прежде всего к административной ответственности. Например, административный штраф может быть назначен за сбор персональных данных в ненадлежащих целях.

Гражданско-правовая ответственность наступит, если вы причинили убытки или моральный вред гражданину. Своих сотрудников, допустивших нарушение, вы можете привлечь к дисциплинарной и материальной ответственности. Как работодатель вы отвечаете за нарушение правил работы с персональными данными работников.

Если действия физлица содержат признаки преступления, то его могут привлечь к уголовной ответственности.

Оглавление:

1. Какая административная ответственность грозит за нарушение законодательства о персональных данных

Административная ответственность установлена:

  • за нарушение правил обработки персональных данных;
  • неисполнение обязанностей при взаимодействии с гражданином — субъектом персональных данных;
  • невыполнение требований по защите персональных данных;
  • неисполнение обязанностей при взаимодействии с Роскомнадзором.

Если в ходе проверки будет выявлено несколько нарушений, к ответственности вас привлекут за каждое из них. Также обратите внимание, что к ответственности за нарушение могут одновременно привлечь и организацию, и виновное физическое лицо (ч. 3 ст. 2.1 КоАП РФ).

Основной вид административного наказания за нарушение законодательства о персональных данных — штраф, размер которого зависит от конкретного нарушения. Максимально возможный — 75 000 руб. Он предусмотрен для организации за обработку персональных данных без письменного согласия гражданина, когда такое согласие требуется, или за отсутствие в нем всех необходимых сведений (ч. 2 ст. 13.11 КоАП РФ).

Далее рассмотрим подробнее группы нарушений и размеры штрафов за них.

Когда вместо административного штрафа возможно предупреждение

Это возможно, если такая санкция предусмотрена за ваше нарушение, вы совершили его впервые и при этом соблюдены условия, перечисленные в ч. 2 ст. 3.4 КоАП РФ. Если вы субъект малого и среднего предпринимательства, штраф вам и вашим работникам могут заменить на предупреждение, даже если норма этого не предусматривает (ч. 3 ст. 3.4 КоАП РФ).

1.1. Административная ответственность за нарушение правил обработки персональных данных

К административной ответственности за нарушение правил обработки вашу организацию и ее должностных лиц могут привлечь, если вы будете обрабатывать персональные данные:

1) в не предусмотренных законом случаях (ч. 1 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц — 10 000 руб., для организации — 50 000 руб.

Перечень случаев, в которых допускается обработка персональных данных, установлен в ч. 1 ст. 6 Закона о персональных данных. К их числу относится и обработка с согласия физлица, но обратите внимание, что под него состав отдельный — по ч. 2 ст. 13.11 КоАП РФ;

2) в целях, несовместимых с целями сбора (ч. 1 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц — 10 000 руб., для организации — 50 000 руб.

Учтите, что у вас должны быть заранее определены законные и конкретные цели обработки персональных данных и все ваши действия с персональными данными должны им соответствовать (ч. 2, 5 ст. 5 Закона о персональных данных);

3) без согласия, когда оно требуется, или с согласия, но с неполными сведениями (ч. 2 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц — 20 000 руб., для организации — 75 000 руб.

Обратите внимание, что согласие требуется далеко не всегда, есть большой перечень случаев, когда в нем нет необходимости.

1.2. Административная ответственность за неисполнение оператором обязанностей при взаимодействии с гражданином

Вас могут привлечь к ответственности, если вы:

1) в определенный срок не представите гражданину запрошенную им информацию (ч. 4 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц — 6 000 руб., для организации — 40 000 руб., для ИП — 15 000 руб.

Вас могут привлечь к ответственности, если вы, например, не подтвердите, что вы обрабатываете персональные данные, в течение 30 дней с получения соответствующего запроса гражданина (ч. 7 ст. 14, ч. 1 ст. 20 Закона о персональных данных);

2) не выполните требование об уточнении, блокировании или уничтожении его персональных данных, если они неполные, неточные, устарели, были незаконно получены или не являются необходимыми для целей обработки (ч. 5 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц — 10 000 руб., для организации — 45 000 руб., для ИП — 20 000 руб.

В частности, к ответственности вас могут привлечь, если вы не уточните персональные данные в течение семи рабочих дней со дня представления субъектом актуальных сведений (ч. 2 ст. 21 Закона о персональных данных).

1.3. Административная ответственность за невыполнение требований по защите персональных данных

К такой ответственности вас могут привлечь, если вы:

1) не опубликуете необходимые документы о вашей политике в отношении обработки персональных данных и о том, какие требования по их защите вы реализуете, или не обеспечите иным образом неограниченный доступ к ним (ч. 3 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц — 6 000 руб., для организации — 30 000 руб., для ИП — 10 000 руб.;

2) не обеспечите сохранность данных при их неавтоматизированной обработке, если это повлечет неправомерный или случайный доступ к ним, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия (ч. 6 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц — 10 000 руб., для организации — 50 000 руб., для ИП — 20 000 руб.

1.4. Административная ответственность за неисполнение оператором обязанностей при взаимодействии с Роскомнадзором

К административной ответственности при взаимодействии с Роскомнадзором — уполномоченным органом по защите прав субъектов персональных данных вас могут привлечь, если вы, в частности:

  • не представите информацию, запрошенную им в порядке ч. 3 ст. 23 Закона о персональных данных (ст. 19.7 КоАП РФ);
  • не выполните в срок законное предписание Роскомнадзора об устранении нарушений (ч. 1 ст. 19.5 КоАП РФ);
  • будете препятствовать проведению проверки либо уклоняться от нее (ч. 1 ст. 19.4.1 КоАП РФ);
  • не выполните требование Роскомнадзора об уточнении, блокировании или уничтожении персональных данных, если они неполные, неточные, устарели, были незаконно получены или не являются необходимыми для целей обработки (ч. 5 ст. 13.11 КоАП РФ).
Читайте так же:  Как получить академическую справку для перевода

2. В чем состоит гражданско-правовая ответственность

Нарушение законодательства в области персональных данных может повлечь гражданско-правовую ответственность в форме компенсации морального вреда, возмещения убытков, взыскания неустойки, если она была предусмотрена вашим договором.

Обратите внимание, что моральный вред вы обязаны возместить вне зависимости от того, возмещали ли вы имущественный вред физлицу и понесенные им убытки (ч. 2 ст. 24 Закона о персональных данных).

Ваша ответственность может наступить, если вы нарушаете:

  • права субъекта, установленные Законом о персональных данных;
  • правила обработки персональных данных;
  • требования к их защите.

Компенсировать моральный вред вы будете в денежной форме, размер компенсации определит суд с учетом степени вашей вины и степени страданий гражданина (ст. ст. 151, 1101 ГК РФ).

Убытки суд взыщет, если будут доказаны наступление вреда, противоправность вашего поведения и ваша вина, а также причинно-следственная связь между ними (см. Позицию КС РФ, ВС РФ, ВАС РФ). Учтите, что вина презюмируется и ее отсутствие придется доказывать вам (п. 2 ст. 1064 ГК РФ).

Обратите внимание, что возмещать вред будет организация, а не должностные лица, поскольку вред, причиненный работником, должен возмещать работодатель (п. 1 ст. 1068 ГК РФ).

3. Какую ответственность несут работник и работодатель за нарушения законодательства о персональных данных

Работодатель в этом случае может понести материальную ответственность перед своими сотрудниками.

Работника можно привлечь как к дисциплинарной, так и к материальной ответственности, если по его вине при обработке персональных данных произошло нарушение законодательства в области персональных данных.

Далее расскажем об этом подробнее.

3.1. Какую ответственность несет работодатель перед своими работниками

Вы несете материальную ответственность перед своими работниками, если, нарушив по своей вине законодательство в области персональных данных, причините им материальный ущерб и (или) моральный вред (ст. 90, ч. 1 ст. 232, ч. 1 ст. 233 ТК РФ).

Например, такое возможно, если вы не обеспечили защиту персональных данных работника (не организовали особый режим доступа, хранение в особых местах и так далее), из-за чего они стали доступны посторонним лицам.

В таком случае вы обязаны возместить работнику ущерб в полном объеме, а моральный вред — в той сумме, о которой договоритесь с работником или которую определит суд (ч. 1 ст. 235, ст. 237 ТК РФ).

Дисциплинарная ответственность для работодателя законодательством не предусмотрена.

3.2. К какой ответственности работодатель может привлечь работника

Вы можете привлечь работника к дисциплинарной и материальной ответственности, если он по своей вине нарушил нормы, регулирующие обработку и защиту персональных данных других работников. Но потребуется соблюсти определенные условия (ч. 1 ст. 22, ст. 90 ТК РФ).

3.2.1. Дисциплинарная ответственность работника

Работника можно привлечь к дисциплинарной ответственности, если он виноват в неисполнении (ненадлежащем исполнении) своих трудовых обязанностей по обработке персональных данных (ч. 1 ст. 192 ТК РФ). Например, такое возможно, если работник отдела кадров разгласит персональные данные других лиц, которые стали ему известны в связи с исполнением своих трудовых обязанностей и которые он обязался не разглашать.

Такие действия могут быть признаны однократным грубым нарушением работником трудовых обязанностей. И в этом случае вы вправе применить к нему дисциплинарное взыскание вплоть до увольнения по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ.

Учтите только, что нельзя уволить по этому основанию беременную женщину, работника, который находится в отпуске или на больничном, а также несовершеннолетнего, если нет на это согласия трудинспекции и комиссии по делам несовершеннолетних и защите их прав (пп. «в» п. 6 ч. 1, ч. 6 ст. 81, ч. 1 ст. 261, ст. 269 ТК РФ).

Чтобы привлечь работника к дисциплинарной ответственности, в том числе в виде увольнения, вам потребуется соблюсти специальный порядок, в частности: затребовать у него письменное объяснение, составить акт, если работник не представит его по истечении двух рабочих дней, оформить приказ о наложении дисциплинарного взыскания и ознакомить с ним работника (ч. 1, 2 ст. 192, ч. 1, 6 ст. 193 ТК РФ).

3.2.2. Материальная ответственность работника

Вы можете привлечь работника, ответственного за обработку персональных данных, в том числе за их неразглашение, если он нарушил свои обязанности и причинил вам тем самым ущерб (ст. 90, ч. 1 ст. 238 ТК РФ). То есть если вам пришлось возмещать материальный ущерб и (или) моральный вред пострадавшим по его вине работникам или третьим лицам.

Взыскать можно только прямой действительный ущерб, в том числе сумму ущерба и (или) морального вреда, выплаченную вами пострадавшим по его вине работникам или третьим лицам (ст. 90, ч. 1 ст. 238 ТК РФ).

Но сначала обязательно проведите проверку для определения размера ущерба и причин его возникновения, истребуйте от работника письменное объяснение, а также учтите другие обязательные требования, предусмотренные ст. ст. 246, 247, 248 ТК РФ.

4. В каких случаях нарушение законодательства о защите персональных данных может повлечь уголовную ответственность

Специальной нормы об ответственности за нарушение Закона о персональных данных в Уголовном кодексе РФ нет. Однако действия лица, нарушившего правила работы с персональными данными, могут образовать состав преступления из числа предусмотренных Уголовным кодексомРФ.

В частности, уголовная ответственность установлена:

  • за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия (ч. 1 ст. 137 УК РФ);
  • неправомерный доступ к компьютерной информации, в результате которого произошло уничтожение, блокирование, модификация (изменение) или копирование информации (ч. 1 ст. 272 УК РФ);
  • неправомерный отказ должностного лица в представлении гражданину документов и материалов, собранных в установленном порядке и непосредственно затрагивающих его права и свободы гражданина (ст. 140 УК РФ).

Учтите, что к уголовной ответственности могут привлечь только физическое лицо (ст. 19 УК РФ). Однако привлечение виновного физического лица к уголовной ответственности не освобождает от административной ответственности организацию (ч. 3 ст. 2.1 КоАП РФ).

Материал подготовлен специалистами компании «КонсультантПлюс».

Видео удалено.
Видео (кликните для воспроизведения).

Источник: http://cons59.ru/pravovaya-podderzhka/novosti-zakonodatelstva/kto-i-kakuyu-otvetstvennost-neset-za-narushenie-zakonodatelstva-o-personalnyix-dannyix

Административная ответственность за персональные данные
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here