Ответственность за персональные данные

Содержание

Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) —
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей (абзац в редакции, введенной в действие с 8 июля 2007 года Федеральным законом от 22 июня 2007 года N 116-ФЗ.

Комментарий к статье 13.11 КоАП РФ

Объективная сторона рассматриваемого правонарушения заключается в нарушении установленного законом порядка сбора, хранения, использования или распространения персональных данных. В соответствии со ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц. Определения сбора и хранения персональных данных Закон не содержит, однако устанавливает, что под обработкой персональных данных следует понимать действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Субъектом рассматриваемых правонарушений могут являться граждане, должностные лица и юридические лица, при этом ответственность дифференцируется в зависимости от субъекта.

С субъективной стороны правонарушение может быть совершено как умышленно, так и по неосторожности.

Другой комментарий к статье 13.11 Кодекса об Административных Правонарушениях РФ

1. Согласно ч. 1 ст. 24 Конституции РФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Порядок сбора, хранения, использования, распространения информации о гражданах (персональных данных) установлен Федеральным законом от 20 февраля 1995 г. N 24-ФЗ «Об информации, информатизации и защите информации». Согласно ст. 2 данного Федерального закона под информацией понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Информацией о гражданах (персональными данными) являются сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.

2. В соответствии с п. 1 — 3 ст. 11 Федерального закона «Об информации, информатизации и защите информации» перечни персональных данных, включаемых в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов органов местного самоуправления, а также получаемых и собираемых негосударственными организациями, должны быть закреплены на уровне федерального закона. Персональные данные относятся к категории конфиденциальной информации.

Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.

Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан РФ. Ограничение прав граждан РФ на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством РФ за нарушение режима защиты, обработки и порядка использования этой информации.

При толковании указанных предписаний ст. 11 Федерального закона «Об информации, информатизации и защите информации» следует иметь в виду, что федеральный закон, устанавливающий перечни персональных данных, включаемых в состав информационных ресурсов, а также получаемых и собираемых негосударственными организациями, пока еще не принят Государственной Думой.

Согласно п. 1 ст. 12 Федерального закона от 15 ноября 1997 г. N 143-ФЗ «Об актах гражданского состояния» сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, являются персональными данными, относятся к категории конфиденциальной информации, имеют ограниченный доступ и разглашению не подлежат.

Согласно Определению Конституционного Суда РФ от 14 июля 1998 г. N 86-О по делу о проверке конституционности отдельных положений Федерального закона «Об оперативно-розыскной деятельности» по жалобе гражданки И.Г. Черновой персональная информация Федеральным законом «Об информации, информатизации и защите информации» отнесена к сфере конфиденциальной. Она не может быть засекречена от того лица, с которым идентифицируется. В противном случае это будет являться полным отрицанием его права. По судебному решению сбор персональной информации может быть допустим негласно, конспиративно от объекта наблюдения.

3. В соответствии с п. 1, 2 ст. 14 Федерального закона «Об информации, информатизации и защите информации» граждане и организации имеют право на доступ к документированной информации о них, на уточнение этой информации в целях обеспечения ее полноты и достоверности, имеют право знать, кто и в каких целях использует или использовал эту информацию. Ограничение доступа граждан и организаций к информации о них допустимо лишь на основаниях, предусмотренных федеральными законами.

Владелец документированной информации о гражданах обязан предоставить информацию бесплатно по требованию тех лиц, которых она касается. Ограничения возможны лишь в случаях, предусмотренных законодательством РФ.

По смыслу ст. 2 указанного Федерального закона под документированной информацией (документом) понимается зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

4. В соответствии с п. 1 ст. 17 Федерального закона от 8 августа 2001 г. N 128-ФЗ «О лицензировании отдельных видов деятельности» деятельность по технической защите конфиденциальной информации (в том числе и персональных данных), а также деятельность по разработке и (или) производству средств защиты конфиденциальной информации вправе осуществлять только лицензиаты. Согласно Перечню федеральных органов исполнительной власти, осуществляющих лицензирование, утвержденному Постановлением Правительства РФ от 11 февраля 2002 г. N 135, лицензирование деятельности по технической защите конфиденциальной информации отнесено к ведению Гостехкомиссии России. Лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации осуществляется Гостехкомиссией России.

Согласно Положению о лицензировании деятельности по технической защите конфиденциальной информации, утвержденному Постановлением Правительства РФ от 30 апреля 2002 г. N 290 (в ред. Постановления Правительства РФ от 23 сентября 2002 г. N 689), конфиденциальной является информация, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничен в соответствии с законодательством РФ.

Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по защите ее от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на нее в целях уничтожения, искажения или блокирования доступа к ней.

Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:

— осуществление лицензируемой деятельности специалистами, имеющими высшее профессиональное образование по специальностям «компьютерная безопасность», «комплексное обеспечение информационной безопасности автоматизированных систем» или «информационная безопасность телекоммуникационных систем», либо специалистами, прошедшими переподготовку по вопросам защиты информации;

— соответствие производственных помещений, производственного, испытательного и контрольно-измерительного оборудования техническим нормам и требованиям, установленным государственными стандартами Российской Федерации и нормативно-методическими документами по технической защите информации;

— использование сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации;

— использование третьими лицами программ для электронно-вычислительных машин или баз данных на основании договора с их правообладателем.

Лицензиатами по указанному виду деятельности являются юридические лица и предприниматели.

В соответствии с Положением о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации, утвержденным Постановлением Правительства РФ от 27 мая 2002 г. N 348, лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации осуществляет Гостехкомиссия России.

Лицензионными требованиями и условиями при осуществлении деятельности по разработке и (или) производству средств защиты конфиденциальной информации, отнесенных к компетенции Гостехкомиссии России, являются:

— выполнение требований государственных стандартов РФ, конструкторской, программной и технологической документации, единой системы измерений, системы разработки и запуска в производство средств защиты конфиденциальной информации, а также иных нормативных правовых актов;

— осуществление лицензируемой деятельности специалистами, имеющими высшее техническое образование или прошедшими профессиональную подготовку в области защиты информации;

— соответствие производственного, испытательного, контрольно-измерительного оборудования и производственных помещений техническим нормам и требованиям, установленным государственными стандартами РФ и иными нормативными правовыми актами;

— использование программ для электронно-вычислительных машин или баз данных третьими лицами (пользователями), осуществляемое на основании договора с правообладателем.

Лицензионными требованиями и условиями при осуществлении деятельности по разработке и (или) производству средств защиты конфиденциальной информации, отнесенных к компетенции федерального органа исполнительной власти, уполномоченного в области правительственной связи и информации (см. п. 1 комментария к ст. 23.45), являются:

— соблюдение нормативных правовых актов и стандартов РФ, относящихся к лицензируемой деятельности, нормативных и методических документов, регламентирующих осуществление лицензируемой деятельности;

— соблюдение лицензиатом режима конфиденциальности при обращении со сведениями, которые ему доверены или стали известны по работе; обеспечение ограничения круга лиц, допущенных к конфиденциальной информации, установление порядка допуска лиц к работам, связанным с использованием конфиденциальной информации, организация обеспечения безопасности ее хранения, обработки и передачи по каналам связи и установление обладателем конфиденциальной информации требований к обеспечению безопасности этой информации;

— наличие условий, предотвращающих несанкционированный доступ к средствам защиты конфиденциальной информации, обеспечивающих хранение нормативной и эксплуатационной документации, инсталляционных дискет и дистрибутивов программных и программно-аппаратных средств защиты конфиденциальной информации в металлических шкафах (хранилищах, сейфах), оборудованных внутренними замками, а также хранение дубликатов ключей от металлических шкафов (хранилищ, сейфов) и входных дверей в сейфе ответственного лица, назначенного руководством лицензиата;

— соответствие помещений (производственная площадь, состояние помещений, обеспечиваемые в них условия) требованиям технической и технологической документации на оборудование, размещаемое в этих помещениях и используемое для осуществления лицензируемой деятельности;

— соответствие производственного, технологического, испытательного и контрольно-измерительного оборудования требованиям, установленным государственными стандартами РФ и нормативными правовыми актами, относящимися к лицензируемой деятельности;

— аттестование средств обработки информации, используемых для разработки средств защиты конфиденциальной информации, а также для автоматизированного учета, в соответствии с требованиями по защите информации с использованием лицензионного программного обеспечения для электронно-вычислительных машин и баз данных;

— выполнение требований государственных стандартов РФ, конструкторской, программной и технологической документации, единой системы измерений, системы разработки и запуска в производство средств защиты конфиденциальной информации, в соответствии с которыми конструкторская документация лицензиата имеет номер, зарегистрированный в государственном реестре разрабатывающих предприятий;

— наличие системы учета изменений, внесенных в техническую и конструкторскую документацию, и системы учета готовой продукции;

— наличие у руководителя лицензиата и (или) уполномоченного им лица высшего образования и (или) профессиональной подготовки в области защиты информации с квалификацией «специалист по защите информации» и производственным стажем в области лицензируемой деятельности не менее 5 лет;

— наличие у инженерно-технического персонала, осуществляющего работы в области лицензируемой деятельности, высшего образования и (или) профессиональной подготовки со специализацией, соответствующей выполняемым работам.

Лицензиатами по указанному виду деятельности являются юридические лица и индивидуальные предприниматели.

Совершение лицензиатом проступка, предусмотренного комментируемой статьей, квалифицируется как нарушение лицензионных требований и условий и влечет за собой применение санкций в виде приостановления действия лицензии или ее аннулирования, установленных ст. 13 Федерального закона «О лицензировании отдельных видов деятельности», независимо от привлечения нарушителя к административной ответственности, меры которой определены комментируемой статьей.

5. Осуществление предпринимательской деятельности по лицензируемым видам деятельности без лицензии или с нарушением условий лицензирования, если это деяние причинило крупный ущерб гражданам, организациям или государству либо сопряжено с извлечением дохода в крупном размере (т.е. дохода, сумма которого превышает 200 МРОТ), квалифицируется как преступление (ч. 1 ст. 171 УК).

6. См. примечание к п. 5 комментария к ст. 5.1.

Дела об административных правонарушениях, предусмотренных комментируемой статьей, рассматриваются судьями.

Комментарий к статье 13.11 Кодекса об Административных Правонарушениях РФ

Комментарии к статьям КоАП помогут разобраться в нюансах административного права.

1. Объектом правонарушения в комментируемой статье являются общественные отношения, связанные с интересами персоны (личности) в информационной сфере. Непосредственный объект — право на персональные данные, имеет комплексную природу и формируется на основе множества международных, федеральных и локальных нормативных актов. Конституция РФ (ст. 23) гарантирует гражданам право на неприкосновенность частной жизни, личную и семейную тайну, ограничивает сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (ст. 26).

Значительный перечень международных соглашений, к которым Россия присоединилась, также имеют в качестве объекта права и свободы человека и гражданина при обработке его персональных данных (Personal data protection in the European Union European Parliament resolution of 6 July 2011 on a comprehensive approach on personal data protection in the European Union (2011/2025(INI)); Directive 95/46/ec of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data). Российское законодательство о персональных данных, представленное в первую очередь Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», постепенно гармонизируется с европейским законодательством. При этом существовавшая ранее плотная связь с информационным и трудовым законодательством постепенно формализуется по европейскому образцу. Значительный объем подзаконных нормативных актов разрабатывается и утверждается Правительством РФ (Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных») и отдельными уполномоченными органами (Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»). Тем не менее основной массив норм должен быть разработан оператором персональных данных. При обработке персональных данных в системах устанавливаются четыре уровня защищенности в зависимости от категории данных и количества субъектов, данные которых содержит система.

Объективная сторона — нарушение порядка включает в себя все деяния (действия и бездействие), установленные федеральным законодательством, ведомственными и локальными нормами, которые не соответствуют правилам (регламенту) обращения с персональными данными.

2. Субъектом данного правонарушения может быть:

— гражданин в возрасте от 16 лет;

— должностное лицо, назначенное приказом (либо решением собственника, учредителями), в круг должностных обязанностей которого входит решение вопросов по осуществлению деятельности по защите информации о гражданах (персональных данных);

— юридическое лицо, которое самостоятельно либо через филиалы, представительства осуществляет деятельность с нарушением, предусмотренным настоящей статьей.

Субъективная сторона — в форме умысла.

Возбуждение дела об административных правонарушениях, связанных с нарушением порядка работы с персональными данными, осуществляется прокурором.

Рассмотрение дела о правонарушении, предусмотренном комментируемой статьей, осуществляется судьей.

Уголовная ответственность за использование чужих персональных данных например за регистрацию на чужие данные в букмекерской конторе?

При краже и использовании ваших персональных данных обращаться следует в Роскомнадзор. Это можно сделать:

направив заявление в электронной форме;

направив заявление почтой;

на личном приеме у руководителя (его зама) местного Управления Роскомнадзора.

Непосредственно хищениями данная структура не занимается, но проводит проверки исполнения требований Закона № 152-ФЗ, в том числе в части использования личной информации сторонними лицами.

Заявление будет проверено, по его результатам возможна передача сведений в правоохранительные структуры. Если ответ Роскомнадзора заявителя не устроит, он может его обжаловать в вышестоящую структуру.

Обратиться с заявлением о нарушении своих прав в рамках Закона № 152-ФЗ можно и в прокуратуру. Будет организована проверка, в которой, возможно, обяжут участвовать и Роскомнадзор. При выявленных нарушениях материалы дела будут переданы в суд.

При нарушении тайны переписки, а значит, при краже личной информации, следует сразу обратиться в Следственный отдел.

Максимальный срок рассмотрения обращений граждан государственными структурами может быть не более тридцати дней. В течение этого времени заявителю обязаны дать официальный ответ о принятом решении.

От выявленного преступника потерпевшая сторона вправе потребовать возмещения ущерба (в том числе морального вреда). Для этого самостоятельно потребуется обратиться с исковым заявлением в суд.

Статья за кражу личных данных

Статья 24 Закона № 152-ФЗ указывает, что те, кто нарушил его нормы, несут наказание. За кражу в России установлена уголовная ответственность.

В ситуациях, когда дело касается хищения персональных данных, применяются нормы ст. 137 УК РФ, содержащей санкции за нарушение неприкосновенности частной жизни. Когда кража происходит путем взлома электронной почты, вскрытия почтовых конвертов с личной перепиской и т.д., применяется ст. 138 УК РФ.

Неправомерные действия лиц могут не содержать состава уголовного преступления, однако нарушать требования Закона № 152-ФЗ.

Такие ситуации дают возможность утечки чужой личной информации, а потому тоже наказываются, но в рамках административных мер.

Ответственность за нарушение порядка сбора, хранения, использования, распространения сведений предусматривает ст. 13.11 КоАП РФ.

За незаконный сбор личной информации о частной жизни человека преступник может понести наказание в виде:

штрафа в размере до двухсот тысяч рублей;

штрафа в размере своей зарплаты (иного дохода) за период до восемнадцати месяцев;

обязательных работ от ста двадцати до ста восьмидесяти часов;

исправительных работ до одного года;

ареста до четырех месяцев;

лишения свободы до двух лет с лишением права занимать определенные должности (заниматься определенной деятельностью) на срок до трех лет.

Если чужая частная информация собиралась преступником с использованием своего служебного положения, к нему может быть применено наказание в виде:

штрафа в размере от ста тысяч до трехсот тысяч рублей;

штрафа в размере его зарплаты (иного дохода) за период от одного года до двух лет;

лишения права занимать определенные должности (заниматься определенной деятельностью) от двух до пяти лет;

ареста от четырех до шести месяцев;

лишения свободы от одного года до четырех лет с лишением права занимать определенные должности (заниматься определенной деятельностью) до пяти лет.

Получение чужих персональных данных путем нарушения тайны переписки может быть наказано:

штрафом в размере до восьмидесяти тысяч рублей;

штрафом в размере зарплаты (иного дохода) виновного за период до шести месяцев;

обязательными работами до трехсот шестидесяти часов;

исправительными работами до одного года.

Если преступник использовал при этом свое служебное положение, он понесет наказание в виде:

штрафа в размере от ста тысяч до трехсот тысяч рублей;

штрафа в размере своей зарплаты (иного дохода) за период от одного года до двух лет;

лишения права занимать определенные должности (заниматься определенной деятельностью) от двух до пяти лет;

обязательных работ до четырехсот восьмидесяти часов;

принудительных работ до четырех лет;

ареста до четырех месяцев;

лишения свободы до четырех лет.

Нарушение порядка сбора, хранения, использования, распространения персональных данных влечет предупреждение либо наложение административного штрафа:

на граждан — в размере от трехсот до пятисот рублей;

на должностных лиц — от пятисот до одной тысячи рублей;

на юридических лиц — от пяти тысяч до десяти тысяч рублей.

Удачи Вам!

Нарушение законодательства Российской Федерации в области персональных данных

Комментарий к статье Судебная практика Комментарии (в ред. Федерального закона от 07.02.2017 N 13-ФЗ)

1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, —

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от тридцати тысяч до пятидесяти тысяч рублей.

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, —

влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от пятнадцати тысяч до семидесяти пяти тысяч рублей.

3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных —

влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц — от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от пятнадцати тысяч до тридцати тысяч рублей.

4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, —

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц — от двадцати тысяч до сорока тысяч рублей.

5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, —

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до сорока пяти тысяч рублей.

6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния —

влечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до пятидесяти тысяч рублей.

7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных —

влечет предупреждение или наложение административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.

Статья 13.11 КоАП

Последние изменения ст. 13.11

2 декабря 2019., в соответствии с законом № 405-ФЗ от 02.12.2019 г., настоящая статья дополнена новыми частями 8, 9 и примечанием.

1 июля 2017 г., в соответствии с Федеральным Законом № 13-ФЗ от 07.02.2017 г., настоящая статья изложена в новой редакции.

Разглашение персональных данных: закон и ответственность, запрет на распространение и сбор без согласия

Защита конфиденциальности информации является обязанностью государства. Именно поэтому принимаются правовые нормы в сфере неразглашения третьим лицам личной информации. Наказание в данной ситуации может быть в виде штрафов и иного рода лишений. Разберёмся подробнее с этим вопросом.

Что такое персональные данные и конфиденциальность

Для того чтобы разобраться с этими понятиями, необходимо обратиться к федеральному закону РФ «О персональных данных». Так, под персональными понимается данныме любого рода, относящаяся к личным сведениям о том или ином гражданине.

Статья 7 вышеупомянутого ФЗ раскрывает понятие конфиденциальности персональных данных. Под ней понимается такая защита личных сведений о человеке, при которой лица, получившие к ним доступ, не имеют право разглашать их кому-либо без согласия правообладателя.

Особое внимание стоит уделить самому федеральному закону. Он был принят 27.07.2006 года. Состоит нормативный правовой акт из преамбулы, глав и статей. Всего в законе 6 глав, последняя из которых посвящена заключительным и переходным положениям.

Какие персональные данные нельзя разглашать

Необходимо определить, распространение и раскрытие каких данных находится под запретом. К персональным данным гражданина можно отнести:

  1. Фамилия.
  2. Дата рождения.
  3. Отчество.
  4. Имя.
  5. Семейное положение.
  6. Имущественное положение.
  7. Паспортные данные.
  8. Доходы.
  9. Статус работника или безработного и др.

Именно эти сведения разглашению не подлежат. Единственным исключением, когда данные могут использоваться и обрабатываться, является согласие самого их правообладателя. Как правило, такое согласие оформляется в форме письменного документа, в котором излагается запрос от организации на право обрабатывать подобного рода информацию.

За разглашение персональных данных сторонним лицам предусмотрена ответственность в рамках российского законодательства.

Установит, какие сведения можно отнести к персональным и получить ответы на другие важнейшие вопросы в этой сфере можно обратившись к ФЗ «О защите персональных данных». Более конкретно об этом мы пишем ниже.


Субъективные признаки разглашения

Согласно нормам действующего федерального законодательства, разглашением могут считаться следующие действия правонарушителя: разглашение той или иной информации хотя бы одному лицу; опубликование ее в интернете или в средствах массовой информации; опубликование данных в газете; передача их другим лицам для последующего использования и др.

Нужно учитывать, что ответственность может наступить не только за разглашение, но и за другие незаконные действия с личной информацией. Сюда относится и ее сбор. Под сбором понимается получение личных данных гражданина без его согласия и без подписания им соответствующим образом. Незаконно собранная и в последующем использованная информация порождает более тяжкую ответственность, вплоть до привлечения по уголовной статье.

Специфическими персональными сведениями являются тайны. Сюда относится, например, тайна усыновления. Такие личные данные гражданина распространению не подлежат.

В том случае, если такая информация кому-либо стала известна без согласия усыновителя, правонарушители могут быть привлечены к ответственности по уголовной статье.

Куда жаловаться на нарушение закона о персональных данных

Нарушение закона о персональных данных грозит ответственностью как по КОАП РФ (административная), так и по УК Ф (уголовная). Разглашение и использование данных без согласия гражданина должно быть вовремя пресечено. Для этого нужно определить, куда обращаться за защитой?

Первой инстанцией является полиция. Именно туда можно обратиться и сообщить о том, что данные незаконным образом используются и обрабатываются. Сотрудники полиции имеют право в рамках административного законодательства привлечь гражданина к ответственности.

Еще одной инстанцией является суд. В рамках судебного заседания можно не только привлечь нарушителей к уголовной ответственности, но и взыскать моральный и материальный вред, возникший вследствие разглашения.

Материалы в суд могут поступить после производства предварительного следствия от уполномоченных должностных лиц государственных органов. Гражданин и сам может стать инициатором судебного разбирательства. Для этого ему необходимо оформить исковое заявление и подать его по месту жительства ответчика.

Какую закон регламентирует ответственность за распространение персональных данных

Незаконное распространение персональных данных уже рассматривалось выше. Предусмотрено два вида ответственности:

  • административная;
  • уголовная.

Что касается распространения по административному законодательству, то в данной ситуации предусмотрена более мягкая ответственность в виде штрафа или же предупреждения. Уголовная ответственность предполагает наложение более строгих санкций и ограничений.

Помимо административного и уголовного взыскания законом предусмотрена дисциплинарная и гражданская ответственность. Дисциплинарная, в большинстве своем, влечет за собой возникновение таких негативных последствий, как увольнение.

Гражданская ответственность предполагает взыскание и возмещение причинённых убытков. Допускается также и возмещение причиненного морального вреда.

Административная ответственность за обработку персональных данных без согласия, штрафы

Это правонарушение влечет за собой административную ответственность. Это статья 13.11 КОАП РФ. В зависимости от того, кто именно является нарушителем, предусмотрен и различный размер штрафных санкций.

Если закон нарушил гражданин, то он обязан уплатить штраф в казну государства в размере до трех тысяч рублей.
Если это юридические лица – до пятидесяти тысяч рублей.
В случае, если нарушение закона исходило от должностного лица, то возникает обязательство уплаты штрафа в размере до десяти тысяч рублей.
Юридическим же лицам за нарушение закона о неразглашении придется уплатить до семидесяти пяти тысяч рублей.

Конкретного термина «распространение» в кодексе об административных правонарушениях нет, однако есть термины и понятия, косвенно затрагивающие незаконное распространение.

Непосредственное распространение личной информации раскрывается в рамках уголовного законодательства, о чем будет сказано ниже.

Уголовная ответственность за нарушение закона о персональных данных

Одной из основных статей, осуществляющих защиту персональных данных, является статья 137 УК РФ.
Она предусматривает ответственность (наказание) за нарушение неприкосновенности частной (личной) жизни, куда и входит незаконное собирание и распространение частных сведений.

Здесь может применяться ответственность в виде штрафа в размере до 200 тысяч рублей, а также иные меры ответственности, в том числе и исправительные, принудительные работы, арест или лишение свободы.

Еще одной статьей, защищающей персональные, частные сведения, является статья 140 УК.
Она регулирует правоотношения в сфере отказа в предоставлении уже собранных частных данных лица, когда такое предоставление обязательно в соответствие с законодательством. Здесь субъектом ответственности является должностное лицо. На него может быть возложен штраф в размере до двухсот тысяч рублей.

Таким образом, нельзя собирать и обрабатывать персональные данные гражданина без его согласия. Получение и передача таких сведений должна происходить в рамках законодательства РФ о защите персональных данных. Для правонарушителей незаконные действия грозят как административной, так и уголовной ответственностью.


Чем интересна статья: вы узнаете, как в связи с ужесточением ответственности за нарушения законодательства в области защиты персональных данных изменился подход Роскомнадзора к проверкам, в т.ч. и в кредитных кооперативах

Расширение ст. 13.11 КоАП РФ до семи составов правонарушений, диктует новые правила и новые рекомендации руководителям кредитных кооперативов, которые помогут пройти проверку Роскомнадзора. Что нужно сделать:

  1. Проверьте на сайте Роскомнадзора попали ли Вы в план проверок на 2017 год.
  2. Проверьте наличие уведомления на обработку персональных данных и актуальность указанных в нем данных. Достаточно зайти на сайт Роскомнадзора и ввести ИНН организации.
  3. Проверьте, не нарушаете ли вы КоАП, ведь с 1 июля 2017 года появятся новые штрафы в сфере персональных данных.

Как было

Статья 13.11 КоАП РФ. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) — влечет предупреждение или наложение административного штрафа

  • на граждан в размере от 300 до 500 рублей;
  • на должностных лиц — от 500 до 1 000 рублей;
  • на юридических лиц — от 5 000 до 10 000 рублей.

Как стало

1. Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, — влечет предупреждение или наложение административного штрафа

  • на граждан в размере от 1 000 до 3 000 рублей;
  • на должностных лиц — от 5 000 до 10 000 рублей;
  • на юридических лиц — от 30 000 до 50 000 рублей.

Рекомендации

Осуществлять обработку персональных данных только на законных основаниях, предусмотренных законодательством РФ в области персональных данных

2. Обработка персональных данных без согласия в письменной форме субъектаперсональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, — влечет наложение административного штрафа

  • на граждан в размере от 3 000 до 5 000 рублей;
  • на должностных лиц — от 10 000 до 20 000 рублей;
  • на юридических лиц — от 15 000 до 75 000 рублей.

Вести обработку персональных данных только при наличии письменного согласии субъекта персональных данных, когда такое согласие должно быть получено в соответствии с законодательством РФ

3. Невыполнение операторомпредусмотренной законодательством РФ в области персональных данныхобязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных — влечет предупреждение или наложение административного штрафа

  • на граждан в размере от 700 до 1 500 рублей;
  • на должностных лиц — от 3 000 до 6 000 рублей;
  • на индивидуальных предпринимателей — от 5 000 до 10 000 рублей;
  • на юридических лиц — от 15 000 до 30 000 рублей.

Необходимо разместить на сайте КПК или обеспечить доступ другим образом к документу (в офисе КПК) «Политику оператора в отношении обработки персональных данных»

4. Невыполнение оператором предусмотренной законодательством РФ в области персональных данныхобязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, — влечет предупреждение или наложение административного штрафа

  • на граждан в размере от 1 000 до 2 000 рублей;
  • на должностных лиц — от 4 000 до 6 000 рублей;
  • на индивидуальных предпринимателей — от 10 000 до 15 000 рублей;
  • на юридических лиц — от 20 000 до 40 000 рублей.

Оператор должен выполнять обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных. Разработать соответствующее положение по предоставлению информации на заявления от субъектов персональных данных, касающиеся обработки их персональных данных, шаблоны форм ответов, журнал учета обращений от граждан (субъектов персональных данных).

5. Невыполнение оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, — влечет предупреждение или наложение административного штрафа

  • на граждан в размере от 1 000 до 2 000 рублей;
  • на должностных лиц — от 4 000 до 10 000 рублей;
  • на индивидуальных предпринимателей — от 10 000 до 20 000 рублей;
  • на юридических лиц — от 25 000 до 45 000 рублей.

Оператору необходимо в срок выполнять требования субъекта персональных данных / (его представителя либо уполномоченного органа по защите прав субъектов персональных данных) об уточнении его персональных данных, их блокировки или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Разработать соответствующее положение с учетом сроков по выполнению требованния субъекта персональных данных в части их блокировки или уничтожении (в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными), при обработке их персональных данных.

6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния — влечет наложение административного штрафа

  • на граждан в размере от 700 до 2 000 рублей;
  • на должностных лиц — от 4 000 до 10 000 рублей;
  • на индивидуальных предпринимателей — от 10 000 до 20 000 рублей;
  • на юридических лиц — от 25 000 тысяч до 50 000 рублей.

Оператор при обработке персональных данных без использования средств автоматизации обязан соблюдать условия, обеспечивающие сохранность персональных данных при хранении материальных носителей ПДн и исключающих несанкционированный к ним доступ (для предотвращения их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных). Разработать соответствующее положение об обработке ПДн без использования средств автоматизации, приказ о допуске сотрудников к обработке персональных данных не автоматизированным способом, приказ о местах хранения материальных носителей содержащих ПДн и назначение ответственных за их хранение, обеспечить места хранения (режим ограниченного доступа в эти помещения, в не рабочее время сдача на охранно пожарную сигнализацию (ОПС), запираемые хранилища (бух. шкафы) для хранения в них материальных носителей содержащих ПДн).

7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФв области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных — влечет предупреждение или наложение административного штрафа

  • на должностных лиц в размере от 3 000 до 6 000 рублей.

Оператор (государственный или муниципальный органом), обязан выполнять требования по обезличиванию персональных данных, в КПК или коммерческих организациях — это требование не обязательно и выполняется по мере возможности или по необходимости. Необходимо разработать положение об обезличивании ПДн (с отметкой в левом верхнем углу титульного листа «не используется») и приложить пояснительную записку о невозможности данной процедурой в связи с отсутствием технической возможности (особенность обработки в БД).

Вывод

Необходимо выполнить все рекомендации, что бы у Роскомнадзора не было оснований привлечь кооператив к ответственности по новым составам правонарушений. Не стоит ждать, что повышение штрафов, кардинальным образом изменит отношение к обработке и защите ПДн. Но это заставит КПК и коммерческие организации более внимательно относится к вопросам обработке ПДн. Повышение штрафов, приведет к увеличению количества проверок со стороны РКН, новые составы правонарушений увеличат количество организаций попавших под административную ответственность.

Популярную статью 19.7 КоАП РФ о привлечении юридических лиц к ответственности за не предоставление или несвоевременное представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор) <…>, таких сведений (информации) в неполном объеме или в искаженном виде (штраф — 3-5 тысяч рублей) сменит статья 13.11 КоАП РФ с семью составами правонарушений и вполне внушительными штрафами от 15 до 75 тысяч рублей.

Владислав Халяпинаккредитованный преподаватель в области информационной и кадровой безопасности. С 2005 по 2012 г. работал на позициях от главного специалиста до начальника отдела в коммерческих и государственных организациях. С 2013 г. преподаватель курсов по защите персональных данных, построения систем защиты информации. Связаться со мной можно, написав на почту hvv@roxi.ru. Присылайте вопросы, предложения по новым темам они обязательно войду в новые статьи по вопросам обработке ПДн

About the author

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *