Ответственность согласно закону “О персональных данных”

Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года

Глава 1. Общие положения

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее — муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Статья 2. Цель настоящего Федерального закона

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

Штрафы в области персональных данных в 2020 году

Напомним, что под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Закона о персональных данных[1]).

К персональным данным можно отнести любую информацию, которая получена от работника, или информацию о работнике, которая позволяет идентифицировать именно его.

К такой информации, в частности, можно отнести следующие сведения:

• ФИО, в том числе прежние;
• дату и место рождения;
• гражданство;
• адрес места жительства (места регистрации);
• семейное, социальное и имущественное положение;
• образование, специальность, профессию;
• номера контактных телефонов;
• сведения о доходах, имуществе и имущественных обязательствах.

Заметим, что перечень персональных данных, обрабатываемых в учреждении в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций, должен быть утвержден приказом органа государственной власти (п. 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных, утвержденного Постановлением Правительства РФ от 21.03.2012 № 211). Например, перечень персональных данных, обрабатываемых МВД, утвержден Приказом МВД РФ от 29.12.2016 № 925 «О некоторых вопросах обработки персональных данных в МВД России».

В соответствии со ст. 90 ТК РФ лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом и иными федеральными законами, а также к гражданско-правовой, административной и уголовной ответственности в порядке, предусмотренном федеральными законами.

Административная ответственность за совершение правонарушения в области персональных данных определена в ст. 13.11 КоАП РФ.

Напомним, что административным правонарушением признается противоправное, виновное действие (бездействие) физического или юридического лица, за которое КоАП РФ установлена административная ответственность (ч. 1 ст. 2.1 КоАП РФ). Юридические лица подлежат административной ответственности за совершение административных правонарушений в случаях, предусмотренных статьями разд. II КоАП РФ или законами субъектов РФ об административных правонарушениях (ч. 1 ст. 2.10 КоАП РФ). Юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него была возможность соблюдения правил и норм, за нарушение которых КоАП РФ или законами субъекта РФ предусмотрена административная ответственность, но оно не приняло все зависящие от него меры по их соблюдению (ч. 2 ст. 2.1 КоАП РФ).

Согласно ст. 2.4 КоАП РФ административной ответственности подлежит должностное лицо в случае совершения им административного правонарушения в связи с неисполнением либо ненадлежащим исполнением своих служебных обязанностей. Под должностным лицом понимается лицо, постоянно, временно или в соответствии со специальными полномочиями осуществляющее функции представителя власти, то есть наделенное в установленном законом порядке распорядительными полномочиями в отношении лиц, не находящихся в служебной зависимости от него, а равно лицо, выполняющее организационно-распорядительные или административно-хозяйственные функции в государственных органах, органах местного самоуправления, государственных и муниципальных организациях, а также в Вооруженных Силах РФ, других войсках и воинских формированиях РФ.

Необходимо отметить, что до вступления в силу изменений, внесенных в КоАП РФ Федеральным законом № 13-ФЗ, максимальный размер штрафа за нарушение требований законодательства РФ о персональных данных для юридических лиц составлял 10 000 руб. При этом данная редакция ст. 13.11 КоАП РФ не позволяла в полной мере обеспечить эффективную защиту прав и интересов субъектов персональных данных, соблюдение принципа неотвратимости наказания за совершенное правонарушение в области персональных данных. Кроме того, состав данной статьи не учитывал тяжесть негативных последствий совершенных правонарушений.

В целях повышения эффективности реализации мер административной ответственности в области персональных данных Федеральным законом № 13-ФЗ дифференцированы составы административных правонарушений в области персональных данных с учетом ущерба, причиненного нарушением, путем изменения действующей редакции ст. 13.11 КоАП РФ и установлены дополнительные составы административных правонарушений в области персональных данных.

Статьей 9 Закона о персональных данных предусмотрено, что субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.

Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт получения такого согласия форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта проверяются оператором.

В соответствии со ст. 7 Закона о персональных данных операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта, если иное не предусмотрено данным законом.

Согласно ч. 8 ст. 9 Закона о персональных данных персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в п. 2 – 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных.

Исходя из ч. 2 ст. 13.11 КоАП РФ (в редакции, которая вступит в силу 01.07.2017) обработка персональных данных без согласия в письменной форме субъекта персональных данных на их обработку в случае, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта на обработку его персональных данных, влечет наложение административного штрафа:

• на граждан – в размере от 3 000 до 5 000 руб.;
• на должностных лиц – от 10 000 до 20 000 руб.;
• на юридических лиц – от 15 000 до 75 000 руб.

Напомним, что в силу ст. 3 Закона о персональных данных оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В соответствии с ч. 2 ст. 18.1 Закона о персональных данных оператор обязан опубликовать документ, определяющий его политику в отношении обработки персональных данных, сведения о реализуемых требованиях о защите персональных данных или иным образом обеспечить неограниченный доступ к ним. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Невыполнение оператором обязанности по опубликованию документа, определяющего политику оператора в отношении обработки персональных данных, или сведений о реализуемых требованиях к защите персональных данных или обеспечению иным образом неограниченного доступа к ним влечет предупреждение или наложение административного штрафа (ч. 3 ст. 13.11 КоАП РФ (вступает в силу 01.07.2017)):

• на граждан – в размере от 700 до 1 000 руб.;
• на должностных лиц – от 3 000 до 6 000 руб.;
• на юридических лиц – от 15 000 до 30 000 руб.

Ответы Роскомнадзора на вопросы о персональных данных

Согласно ч. 7 ст. 14 Закона о персональных данных субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые оператором способы обработки персональных данных;
• наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;
• информацию об осуществленной или предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если их обработка поручена или будет поручена такому лицу;
• иные сведения.

При этом ч. 8 ст. 14 Закона о персональных данных предусмотрены случаи, когда право субъекта персональных данных на доступ к его персональным данным может быть ограничено.

В соответствии со ст. 20 Закона о персональных данных оператор обязан сообщить в порядке, предусмотренном ст. 14 закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта или его представителя либо в течение 30 дней с даты получения запроса субъекта или его представителя.

Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, влечет предупреждение или наложение административного штрафа (ч. 4 ст. 13.11 КоАП РФ):

• на граждан – в размере от 1 000 до 2 000 руб.;
• на должностных лиц – от 4 000 до 6 000 руб.;
• на индивидуальных предпринимателей – от 10 000 до 15 000 руб.;
• на юридических лиц – от 20 000 до 40 000 руб.

Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных установлены в ст. 21 Закона о персональных данных. Так, в силу ч. 1 этой статьи в случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан заблокировать персональные данные, относящиеся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.При этом в случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

Невыполнение оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, приведет к предупреждению или наложению административного штрафа (ч. 5 ст. 13.11 КоАП РФ, которая начнет действовать 01.07.2017):

• на граждан – в размере от 1 000 до 2 000 руб.;
• на должностных лиц – от 4 000 до 10 000 руб.;
• на юридических лиц – от 25 000 до 45 000 руб.

После поступления персональных данных к оператору, он приступает к их обработке. Это целый комплекс действий, куда могут входить следующие виды операций (в зависимости от поставленных целей):

• сбор, систематизация, хранение и накопление информации;
• запись и уточнение;
• передача сведений;
• блокировка, удаление или уничтожение персональной информации.

Конкретные условия и правила обработки таких информационных материалов фиксируются во внутренних локальных документах оператора.

Осуществлять контроль над соблюдением законодательства, устанавливающего порядок работы с личной информацией граждан, уполномочены следующие государственные органы:

• Роскомнадзор;
• ФСТЭК (Федеральная служба, занимающаяся вопросами технического и экспортного контроля);
• ФСБ (Федеральная служба безопасности).

Федеральный закон от 27 июля 2006 г. N 152-ФЗ О персональных данных

Под ними понимают любые сведения, которые прямо или косвенно относятся к физическому лицу. Такая широкая трактовка позволяет отнести любую информацию о человеке к персональным данным. Федеральный закон о персональных данных является нормой прямого действия и должен соблюдаться всеми субъектами, получившими доступ к указанной информации.

Когда пользователь оставляет свои сведения на сайте в интернете при приобретении какого-либо товара, ресурс становится хранителем (оператором) персональных данных, что накладывает на него определенные права и обязанности.

Закон о защите персональных данных № 152-ФЗ регламентирует несколько направлений защиты конфиденциальной информации о гражданах:

• законодательные меры — государство обязывает оператора совершать определенные действия, в то же время вводит запрет на ряд операций;

• технические — оператор предпринимает ряд мер, которые делают невозможным или существенно затрудняют доступ третьих лиц к сведениям о гражданах.

Существует несколько технических способов защиты личных сведений граждан, к которым можно отнести замену цифровых данных, сокращение сведений, распределенное (в нескольких местах) хранение информации.

Обратите внимание!

В 2015 году закон о защите персональных данных претерпел существенные изменения. Суть поправок сводится к тому, что персональные данные граждан РФ должны храниться исключительно на территории РФ. Это требование применяется как к документам, содержащим подобные сведения, так и к информации в электронном виде.

Законодательство РФ предусматривает 3 вида ответственности:

• гражданско-правовая — как правило, устанавливается в договоре, который гражданин заключает с оператором персональных данных. Носит преимущественно денежный характер;
• административная — установлена в Кодексе об административных правонарушениях РФ и выражается либо в виде предупреждения, либо в виде денежного штрафа;
• уголовная — наступает за наиболее тяжкие нарушения законодательства. В подавляющем большинстве случаев к виновному применяется либо денежный штраф, либо наказание, связанное с ограничением свободы.

Перечень ситуаций установлен в ст. 6 Закона №152-ФЗ. Важно следить за соблюдением требований закона:

• при осуществлении правосудия;
• при заключении договора потребительского кредитования;
• при заключении трудового договора;
• при защите прав и интересов гражданина;
• если при заключении гражданско-правового договора стороны достигли согласия об этом;
• в случаях, когда требования законодательства требуют принятия мер по обработке персональных данных.

Закон содержит ряд норм о предоставлении персональных данных по запросам сторонних организаций и частных лиц. Без согласия гражданина сведения могут предоставляться только по запросу судебных и правоохранительных органов. В иных случаях факт несанкционированной передачи будет караться по УК РФ.

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст. 23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

К персональным данным могут быть отнесены:

• фамилия, имя, отчество;
• пол, возраст;
• образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
• место жительства;
• семейное положение, наличие детей, родственные связи;
• факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Кстати, сведения о заработной плате относятся к персональным данным.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

• от всех ли работников получено согласие на обработку персональных данных;
• ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
• должным ли образом осуществляется хранение и защита персональных данных;
• соответствует ли документация об их обработке требованиям законодательства и т.д.

В ходе аудита ИТ-инфраструктуры нередко обнаруживаются нарушения в сфере закона о защите персональных данных (152-ФЗ), за которые предусмотрена ответственности. Мы предлагаем комплекс мер по защите персональных данных во избежание наступления ответственности за нарушение 152-ФЗ «О персональных данных».

Законодательство регламентирует ответственность оператора персональных данных за их несанкционированную утечку или разглашение. Современные реалии таковы, что обработка и сбор информации переведены в электронную плоскость. Каждая организация, компания, промышленное предприятие располагает базами с личными данными работников, клиентов, партнеров, покупателей.

Ответственность за нарушение 152-ФЗ о защите персональных данных бывает:

• гражданской – на нарушителя закона налагаются имущественные санкции;
• административной – выплата штрафа, приостановление деятельности, запрет занимать определенные должности;
• уголовной – лишение свободы на срок, определенный законодательством по конкретному случаю;
• дисциплинарной – налагается на работника в виде замечания, выговора или увольнения.

Нарушение ФЗ-152 предполагает ответственность по КоАП (Кодекс об административных правонарушениях). Зачастую отсутствие у оператора регламента предоставления информации влечет наложение штрафных санкций. Под этим подразумевается несвоевременное предоставление или предоставление заведомо недостоверных данных гражданам. Согласно законодательству, налагается штраф от 1000 до 3000 рублей.

Ответственность за нарушение ФЗ-152 о персональных данных по КоАП наступает за нарушение действующего регламента по сбору, обработке и защите информации. То есть несоблюдение определенных алгоритмов приводит к штрафным санкциям. В группе риска находятся частные предприниматели, интернет-магазины и порталы.

Уголовный кодекс предусматривает наказание за неправомерный доступ к компьютерной информации, охраняемой законом, которая повлекла нарушение неприкосновенности частной жизни. Здесь подразумевается ответственность за нарушение ФЗ-152, которая лежит в плоскости незаконного сбора и распространения информации о частной жизни граждан. В этом случае уголовный кодекс предусматривает следующие виды наказания:

• для физических лиц – штраф до 200 000 рублей или лишение свободы сроком до двух лет;
• для должностных лиц – штраф от 100 000 рублей или лишение свободы до четырех лет.

Во втором случае, ответственность за нарушение требований 152-ФЗ несут граждане, имеющие доступ к компьютеру. То есть, каждый работник, включая руководство, несет ответственность за утечку информации, может заплатить штраф или сесть в тюрьму.

Согласно ст. 24 Конституции РФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Не лишним будет сказать, что законодательство ряда стран расширяет перечень гарантий защиты персональных данных работника, например путем создания специализированных государственных органов, призванных контролировать сбор, обработку персональных данных (Национальная комиссия по информации и свободам во Франции, уполномоченный по защите персональных данных в Великобритании). Аналогичные структуры существуют в большинстве европейских стран.

Статья 24 Закона о персональных данных устанавливает, что лица, виновные в нарушении требований этого нормативного правового документа, несут предусмотренную законодательством Российской Федерации ответственность.

Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных данным Законом, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Так, например, ст. 13.11 КоАП РФ носит название «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» и регламентирует ответственность специальных субъектов.

В соответствии с ней нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.

Особое внимание, естественно, должно быть обращено на то обстоятельство, что субъектом административной ответственности является не только определенное физическое лицо, допустившее нарушение, но и организация в целом.

РОССИЙСКАЯ ФЕДЕРАЦИЯ

ФЕДЕРАЛЬНЫЙ ЗАКОН

О персональных данных

(с изменениями на 24 апреля 2020 года)

\r\n\r\n

В случае незаконного распространения информации о персональных данных работнику организации может быть причинен моральный вред. Работник может потребовать его возмещения от работодателя. Если вред был причинен по вине лица, ответственного за неразглашение данных, то работодатель впоследствии может привлечь виновного к материальной ответственности за нанесенный ущерб.

\r\n\r\n

\r\n\r\n

Угрозы для хранящихся персональных данных, условно, можно разделить на внешние и внутренние.

\r\n\r\n

Если говорить о защите от внешних угроз, то в локальных актах имеет смысл прописать особый режим доступа в помещения, где хранится информация, содержащая персональные данные. В частности, можно предусмотреть пропускной режим и контроль за посетителями офиса.

\r\n\r\n

Что же касается внутренней защиты, то целесообразно регламентировать состав работников, обязанности которых требуют доступа к персональным данным. Конкретный перечень работников и случаи получения информации следует утвердить приказом или распоряжением (в котором оговорить, что, например, юристы компании могут получать персональные данные для оформления доверенностей).

\r\n\r\n

В случае незаконного распространения информации о персональных данных работнику организации может быть причинен моральный вред. Работник может потребовать его возмещения от работодателя. Если вред был причинен по вине лица, ответственного за неразглашение данных, то работодатель впоследствии может привлечь виновного к материальной ответственности за нанесенный ущерб.

Угрозы для хранящихся персональных данных, условно, можно разделить на внешние и внутренние.

Если говорить о защите от внешних угроз, то в локальных актах имеет смысл прописать особый режим доступа в помещения, где хранится информация, содержащая персональные данные. В частности, можно предусмотреть пропускной режим и контроль за посетителями офиса.

Что же касается внутренней защиты, то целесообразно регламентировать состав работников, обязанности которых требуют доступа к персональным данным. Конкретный перечень работников и случаи получения информации следует утвердить приказом или распоряжением (в котором оговорить, что, например, юристы компании могут получать персональные данные для оформления доверенностей).

Наказание за разглашение личной информации может нести, как ответственный сотрудник (физическое лицо), так и организация, на которую также могут накладываться штрафные санкции за утечку информации.

На физлицо в этом случае будет наложен штраф в размере 500-1000 руб., а если в утечке виновато предприятие или организация, штраф увеличивается до 5-10 тыс. руб.

Если годовая проверка выявит наличие нескольких нарушений, платить штраф придется за каждое из них, а поэтому сумма штрафа может вырасти существенно. Если руководство предприятия проигнорировало запрос на предоставление информации о сохранности данных, Роскомнадзор вправе наложить штраф в сумме 5 тыс. руб., а если не было выполнено выданное им предписание, сумма штрафа возрастает до 20 тысяч и более. В некоторых случаях, в зависимости от опасности деяния, против оператора, отвечающего за сохранность личных данных, может быть начато уголовное делопроизводство.

Если вы после визита в кредитную организацию или заполнения анкеты при трудоустройстве получаете на свой телефон или по почте сомнительные предложения от компаний, с которыми вы не имели никаких отношений, будьте уверены, что сотрудники, которым вы доверили свои личные данные, допустил утечку. В этом случае вы имеете право через суд требовать моральной и материальной компенсации. И помните, что доверять свои персональные данные можно только проверенным организациям, или в крайних случаях. Всегда помните о безопасности.

Административная ответственность за нарушение в области персональных данных

Федеральный закон «О персональных данных» предусматривает ответственность в случае нарушения положений. В частности, об этом гласит статья 24 ФЗ 152. В КоАП нарушение персональных данных определяется штрафом в размере 10 тысяч рублей. К привлечению могут быть подвергнуты не только физические, но и должностные лица, которым грозит штраф в размере до 75 тысяч рублей.

Организация получает штраф от 20 тысяч до 50 тысяч рублей. Штраф в размере 50 тысяч рублей выписывается компании, не выполнившей требования Трудовой инспекции. Трудовая инспекция — организация, которая проводит проверку на основании главы 14 ТК РФ, защищая сотрудников компании в отношении их личных данных.

Следует отметить, что статья 137 УК РФ предусматривает уголовную ответственность в случае нарушения персональных данных. В частности, речь идет о неприкосновенности личной жизни. Размер наказания определяется в зависимости от:

• Степени разглашения информации;
• Использования должностного положения.

Если работа оператора попадет под действия такой статьи, предусматривается штраф в размере 300 тысяч рублей, лишение свободы на срок до 4 лет или принудительные работы.

Уголовное преследование может коснуться и гражданина, который собирает персональные данные о конкретном человеке.

• ДЕКАБРЬ 12 (199) 2020
• НОЯБРЬ 11 (198) 2020
• ОКТЯБРЬ 10 (197) 2020
• Архив всех номеров…

• Интеллектуальная собственность

• Собственникам компаний

Похожие записи:

• Cтатья УК РФ за угрозу и запугивание
• Закон о доп образовании рф последняя редакция 2021
• Как рассчитать отпускные в 2020