КоАП персональные данные

Без режима «он-лайн» современную жизнь представить сложно. Мы делаем покупки в интернет-магазинах, пользуемся мобильными банкингом, делимся планами в соцсетях, берем дистанционные консультации у врачей. Нас очень волнует, кто и как может воспользоваться оставленными в сети персональными данными… Что предусмотрено для тех, кто несанкционированно распространяет нашу личную информацию?

Единственная работающая в России норма в этом направлении – статья 13.11 КоАП «Нарушение законодательства РФ в области персональных данных”. В редакции 2019 года она включает аж 7 возможных нарушений в области персональных данных. Но является ли она эффективной и соразмерной совершенному проступку? Создает ли необходимый эффект?

Цена вопроса

До середины 2017 года максимум, что грозило нарушителю по статье 13.11 КоАП, — 500 р. штрафа. Это, конечно, мало мотивировало потенциальных нарушителей на соблюдение закона.

С 1 июля 2017 года вступила в силу новая редакция статьи. Список нарушений, подотчетных статье, расширили до 7 штук. А максимальный штраф увеличили в 10 раз. По современной логике закона, именно такое наказание можно считать соразмерным нанесенному ущербу от разглашения персональных данных.

Итоговая дифференциация наказаний и ответственности за них по 13.11 КоАП выглядит так:

Норма Состав Санкция
ч. 1 ст. 13.11 КоАП — обработка персональных данных в случаях, не предусмотренных законом;
— обработка, несовместимая с целями сбора персональных данных
предупреждение или штраф:
— на граждан – от 1 тыс. до 3 тыс. руб.;
— на должлиц – от 5 тыс. до 10 тыс. руб.
— на юрлиц – от 30 тыс. до 50 тыс. руб.
ч. 2 ст. 13.11 КоАП — обработка персональных данных без письменного согласия субъекта, когда это необходимо;
— обработка данных с нарушением требований к составу сведений, включаемых в такое согласие
штраф:
— на граждан – от 3 тыс. до 5 тыс. руб.;
— на должлиц – от 10 тыс. до 20 тыс. руб.;
— на юрлиц – от 15 тыс. до 75 тыс. руб.
ч. 3 ст. 13.11 КоАП — невыполнение оператором обязанности по опубликованию и иному обеспечению неограниченного доступа к политике обработки персональных данных — предупреждение или штраф:
— на граждан – от 700 до 1 тыс. руб.;
— на должлиц – от 3 тыс. до 6 тыс. руб.;
— на ИП – от 5 тыс. до 10 тыс. руб.;
— на юрлиц – от 15 тыс. до 30 тыс. руб.
ч. 4 ст. 13.11 КоАП — невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных — предупреждение или штраф:
— на граждан – от 1 тыс. до 2 тыс. руб.;
— на должлиц – от 4 тыс. до 6 тыс. руб.;
— на ИП – от 10 тыс. до 15 тыс. руб.;
— на юрлиц – от 20 тыс. до 40 тыс. руб.
ч. 5 ст. 13.11 КоАП — невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении — предупреждение или штраф:
— на граждан – от 1 тыс. до 2 тыс. руб.;
— на должлиц – от 4 тыс. до 10 тыс. руб.;
— на ИП – от 10 тыс. до 20 тыс. руб.;
— на юрлиц – от 25 тыс. до 45 тыс. руб.
ч. 6 ст. 13.11 КоАП — невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них штраф: — на граждан – от 700 до 2 тыс. руб.;
— на должлиц – от 4 тыс. до 10 тыс. руб.;
— на ИП – от 10 тыс. до 20 тыс. руб.;
— на юрлиц – от 25 тыс. до 50 тыс. руб.
ч. 7 ст. 13.11 КоАП — невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов. штраф:
— на граждан – от 100 до 300 руб.;
— на должлиц – от 300 до 500 руб.;
— на юрлиц – от 3 тыс. до 5 тыс. руб.

Спасение утопающих — дело рук…

Цифровые сервисы заполонили наш быт. Это заставляет россиян внимательнее относиться к безопасности личных сведений. Тенденцию заметил Роскомнадзор в отчете за I полугодие 2019 года.

За отчетный период в РКН поступило 25,7 тыс. обращений от граждан. 22,5 тыс. из которых – жалобы на действия операторов персональных данных. Это на 44% больше, чем количество обращений за аналогичный период 2018 года (17,8 тыс. обращений). Такая динамика наблюдается уже не первое время. Согласно докладу о деятельности РКН за 2018 год, количество обращений выросло на 12,8% в сравнении с показателями 2017 года.

Но вряд ли такая активность граждан вызвана только последними изменениями в статье 13.11 КоАП. Главная «боль” пользователей — это навязчивые звонки с предложениями от компаний, которым они никогда не оставляли личные номера. «Толкать” свои услуги по телефону может кто угодно: банки, телемагазины, бьюти-салоны, мошенники… Откуда у них контакты — вопрос риторический.

Вспомните, когда последний раз вы изучали политику конфиденциальности используемых сайтов и мобильных приложений? То-то же! А ведь именно они, наряду с кредитными организациями и коллекторами, сталкиваются с обработкой ваших персональных данных. На это в докладе обращает внимание и Роскомнадзор.

Но подтверждать опасения никто не спешит. Даже если вы выявите нарушение использования своей личной информации, с высокой долей вероятности Роскомнадзор посчитает опасения преувеличенными.

В РКН лишь 7,6% от общего числа поданных в 2019 году жалоб отмечаются как справедливые – по ним составлены протоколы, назначено наказание. В остальных случаях доводы заявителей признаны необоснованными. Дела об административных правонарушениях возбуждены лишь по 1,7 тыс. жалоб из почти 26 тысяч обращений. Составлено 2,7 тыс. протоколов. Общая сумма штрафов составила 1,4 млн руб.

Есть перспективы

На основе данных мы рассчитали средний размер штрафа за первые 6 месяцев 2019 года: 1362200 руб. ÷ 2691 протокол = 506 руб. Явная несоразмерность этой суммы с допущенными нарушениями объяснима.

В подавляющем большинстве случаев Роскомнадзор назначает наказание в виде предупреждения, отказываясь от применения денежных взысканий к нарушителям.

И даже если к оператору применяется штраф, лишь в редких случаях его сумма превышает минимальный размер санкции.

Даже в максимальном размере штраф по ст. 13.11 КоАП едва ли станет мотиватором для операторов-нарушителей. Прибыль от продажи персональных данных куда больше, чем наказание. А потому ст. 13.11 КоАП, даже в новой редакции, сложно рассматривать как действительно эффективную норму закону. Особенно на фоне вступившего в силу Европейского регламента по защите персональных данных (GDPR).

Европейский регламент декларирует общий подход к защите личной информации, отраженный в российском Законе № 152 от 27.07.2006 «О персональных данных». Но выявить какие-либо пересечения GDPR и статьи 13.11 КоАП сложно. Ключевое отличие – это санкция. Размер штрафа для нарушителя зависит от конкретного нанесенного субъектам ущерба, а «потолок», согласно п. 5 ст. 83 GDPR, составляет до €20 млн либо 4% от общего годового оборота предприятия. Согласитесь, куда более серьезный аргумент.

На фоне таких космических штрафов российские законодатели уже предприняли попытки внесения изменений и в наш КоАП. В июне 2019 года в Госдуму внесен законопроект № 729516-7, которым статью 13.11 КоАП предлагается дополнить новым составом – операторов данных предлагается штрафовать за несоблюдение порядка систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения информации с серверов, размещенных на территории РФ. Штраф существенный. Для юрлиц он составит от 2 до 6 млн руб., а при повторном нарушении – от 6 до 18 млн руб.

В 2020 году власти в 10 раз увеличат штрафы за утечки персональных данных

По информации cnews.ru Минюст России работает над новым КоАП, в котором предусмотрено увеличение штрафов за утечку персональных данных в десять раз. Эксперты считают, что это может не сработать, поскольку стоимость украденных данных может многократно превышать размеры максимального штрафа.

Ответственность за нарушение закона «О персональных данных»

Уголовная ответственность

Уголовный кодекс предостерегает от незаконного сбора или распространения сведений о частной жизни, составляющих личную или семейную тайну человека, без его согласия. Наказанием может стать штраф до 300 000 руб. и выше, принудительные работы, а также лишение свободы на срок до 4 лет.

Административная ответственность

Кодекс об административных правонарушениях даёт возможность оштрафовать физическое или должностное лицо, индивидуального предпринимателя или компанию за невыполнение 152-ФЗ на 10 000 руб. Штраф может быть наложен не только на компанию, но и на работника: руководителя или ответственного за организацию обработки персональных данных.

Также компания может быть оштрафована на сумму до 20 000 руб., если не выполнит в срок предписание Роскомнадзора или не ответит на его запрос.

Нарушения трудового законодательства, в том числе главы 14 Трудового кодекса, наказываются штрафом до 50 000 руб. Для компании может стать неприятной новостью, что не только Роскомнадзор, но и Трудовая инспекция интересуется тем, как она осуществляет обработку персональных данных.

Гражданско-правовая ответственность

Закон «О персональных данных» даёт физическим лицам право на возмещение морального и имущественного вреда, а также понесённых убытков. Размер возмещения будет определяться судом, и заранее он ничем не ограничен.

Подготовим Соглашение о защите персональных данных

Для наших клиентов мы предлагаем услугу подготовки текста Соглашения о конфиденциальности и Положения по обработке персональных данных. Эти документы проходят проверку юристом и соответствуют всем требованиям Закона 152 ФЗ. Вы можете обратиться в веб студию АВАНЗЕТ за подготовкой этих документов.

После этого необходима настройка всех форм обратной связи таким образом, чтобы пользователь, который отправляет письмо с любой формы на вашем сайте сначала познакомился с этими документами и поставил галочку в чек боксе, что он с ними знаком и только после этого он получит возможность отправить вам сообщение.

Мы уверены, что большинство наших клиентов — законопослушные люди, и поэтому мы хотим существенно облегчить соблюдение этого закона, чтобы помочь избежать штрафов. Напишите нам письмо и мы подготовим все необходимые документы и произведем нужные настройки на вашем сайте

Не ждите когда вас оштрафуют!

Закажите Соглашение о защите персональных данных прямо сейчас!

Оставить заявку

Как не нарушить закон о персональных данных

Если на вашем сайте присутствует форма регистрации, то вам нужно уведомить Роскомнадзор и опубликовать политику конфиденциальности (политику защиты персональных данных). Без них вы будете нарушителем закона.

С 1 июля вступили в законную силу правки к п. 13.11 КоАП о нарушении в обработке персональных данными. За эти нарушения: сбор, хранение или обработка вы можете получить штраф до 75 000 руб. Роскомнадзор составил план для проверки компаний. Но не паникуйте: срочно идти к юристу не обязательно, всё не так страшно. Так что же нужно сделать?

Комментарий к ст. 13.11 КоАП РФ

1. Согласно ч. 1 ст. 24 Конституции РФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Порядок сбора, хранения, использования, распространения информации о гражданах (персональных данных) установлен Федеральным законом от 20 февраля 1995 г. N 24-ФЗ «Об информации, информатизации и защите информации». Согласно ст. 2 данного Федерального закона под информацией понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Информацией о гражданах (персональными данными) являются сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.

2. В соответствии с п. 1 — 3 ст. 11 Федерального закона «Об информации, информатизации и защите информации» перечни персональных данных, включаемых в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов органов местного самоуправления, а также получаемых и собираемых негосударственными организациями, должны быть закреплены на уровне федерального закона. Персональные данные относятся к категории конфиденциальной информации.

Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.

Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан РФ. Ограничение прав граждан РФ на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством РФ за нарушение режима защиты, обработки и порядка использования этой информации.

При толковании указанных предписаний ст. 11 Федерального закона «Об информации, информатизации и защите информации» следует иметь в виду, что федеральный закон, устанавливающий перечни персональных данных, включаемых в состав информационных ресурсов, а также получаемых и собираемых негосударственными организациями, пока еще не принят Государственной Думой.

Согласно п. 1 ст. 12 Федерального закона от 15 ноября 1997 г. N 143-ФЗ «Об актах гражданского состояния» сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, являются персональными данными, относятся к категории конфиденциальной информации, имеют ограниченный доступ и разглашению не подлежат.

Согласно Определению Конституционного Суда РФ от 14 июля 1998 г. N 86-О по делу о проверке конституционности отдельных положений Федерального закона «Об оперативно-розыскной деятельности» по жалобе гражданки И.Г. Черновой персональная информация Федеральным законом «Об информации, информатизации и защите информации» отнесена к сфере конфиденциальной. Она не может быть засекречена от того лица, с которым идентифицируется. В противном случае это будет являться полным отрицанием его права. По судебному решению сбор персональной информации может быть допустим негласно, конспиративно от объекта наблюдения.

3. В соответствии с п. 1, 2 ст. 14 Федерального закона «Об информации, информатизации и защите информации» граждане и организации имеют право на доступ к документированной информации о них, на уточнение этой информации в целях обеспечения ее полноты и достоверности, имеют право знать, кто и в каких целях использует или использовал эту информацию. Ограничение доступа граждан и организаций к информации о них допустимо лишь на основаниях, предусмотренных федеральными законами.

Владелец документированной информации о гражданах обязан предоставить информацию бесплатно по требованию тех лиц, которых она касается. Ограничения возможны лишь в случаях, предусмотренных законодательством РФ.

По смыслу ст. 2 указанного Федерального закона под документированной информацией (документом) понимается зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

4. В соответствии с п. 1 ст. 17 Федерального закона от 8 августа 2001 г. N 128-ФЗ «О лицензировании отдельных видов деятельности» деятельность по технической защите конфиденциальной информации (в том числе и персональных данных), а также деятельность по разработке и (или) производству средств защиты конфиденциальной информации вправе осуществлять только лицензиаты. Согласно Перечню федеральных органов исполнительной власти, осуществляющих лицензирование, утвержденному Постановлением Правительства РФ от 11 февраля 2002 г. N 135, лицензирование деятельности по технической защите конфиденциальной информации отнесено к ведению Гостехкомиссии России. Лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации осуществляется Гостехкомиссией России.

Согласно Положению о лицензировании деятельности по технической защите конфиденциальной информации, утвержденному Постановлением Правительства РФ от 30 апреля 2002 г. N 290 (в ред. Постановления Правительства РФ от 23 сентября 2002 г. N 689), конфиденциальной является информация, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничен в соответствии с законодательством РФ.

Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по защите ее от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на нее в целях уничтожения, искажения или блокирования доступа к ней.

Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:

— осуществление лицензируемой деятельности специалистами, имеющими высшее профессиональное образование по специальностям «компьютерная безопасность», «комплексное обеспечение информационной безопасности автоматизированных систем» или «информационная безопасность телекоммуникационных систем», либо специалистами, прошедшими переподготовку по вопросам защиты информации;

— соответствие производственных помещений, производственного, испытательного и контрольно-измерительного оборудования техническим нормам и требованиям, установленным государственными стандартами Российской Федерации и нормативно-методическими документами по технической защите информации;

— использование сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации;

— использование третьими лицами программ для электронно-вычислительных машин или баз данных на основании договора с их правообладателем.

Лицензиатами по указанному виду деятельности являются юридические лица и предприниматели.

В соответствии с Положением о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации, утвержденным Постановлением Правительства РФ от 27 мая 2002 г. N 348, лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации осуществляет Гостехкомиссия России.

Лицензионными требованиями и условиями при осуществлении деятельности по разработке и (или) производству средств защиты конфиденциальной информации, отнесенных к компетенции Гостехкомиссии России, являются:

— выполнение требований государственных стандартов РФ, конструкторской, программной и технологической документации, единой системы измерений, системы разработки и запуска в производство средств защиты конфиденциальной информации, а также иных нормативных правовых актов;

— осуществление лицензируемой деятельности специалистами, имеющими высшее техническое образование или прошедшими профессиональную подготовку в области защиты информации;

— соответствие производственного, испытательного, контрольно-измерительного оборудования и производственных помещений техническим нормам и требованиям, установленным государственными стандартами РФ и иными нормативными правовыми актами;

— использование программ для электронно-вычислительных машин или баз данных третьими лицами (пользователями), осуществляемое на основании договора с правообладателем.

Лицензионными требованиями и условиями при осуществлении деятельности по разработке и (или) производству средств защиты конфиденциальной информации, отнесенных к компетенции федерального органа исполнительной власти, уполномоченного в области правительственной связи и информации (см. п. 1 комментария к ст. 23.45), являются:

— соблюдение нормативных правовых актов и стандартов РФ, относящихся к лицензируемой деятельности, нормативных и методических документов, регламентирующих осуществление лицензируемой деятельности;

— соблюдение лицензиатом режима конфиденциальности при обращении со сведениями, которые ему доверены или стали известны по работе; обеспечение ограничения круга лиц, допущенных к конфиденциальной информации, установление порядка допуска лиц к работам, связанным с использованием конфиденциальной информации, организация обеспечения безопасности ее хранения, обработки и передачи по каналам связи и установление обладателем конфиденциальной информации требований к обеспечению безопасности этой информации;

— наличие условий, предотвращающих несанкционированный доступ к средствам защиты конфиденциальной информации, обеспечивающих хранение нормативной и эксплуатационной документации, инсталляционных дискет и дистрибутивов программных и программно-аппаратных средств защиты конфиденциальной информации в металлических шкафах (хранилищах, сейфах), оборудованных внутренними замками, а также хранение дубликатов ключей от металлических шкафов (хранилищ, сейфов) и входных дверей в сейфе ответственного лица, назначенного руководством лицензиата;

— соответствие помещений (производственная площадь, состояние помещений, обеспечиваемые в них условия) требованиям технической и технологической документации на оборудование, размещаемое в этих помещениях и используемое для осуществления лицензируемой деятельности;

— соответствие производственного, технологического, испытательного и контрольно-измерительного оборудования требованиям, установленным государственными стандартами РФ и нормативными правовыми актами, относящимися к лицензируемой деятельности;

— аттестование средств обработки информации, используемых для разработки средств защиты конфиденциальной информации, а также для автоматизированного учета, в соответствии с требованиями по защите информации с использованием лицензионного программного обеспечения для электронно-вычислительных машин и баз данных;

— выполнение требований государственных стандартов РФ, конструкторской, программной и технологической документации, единой системы измерений, системы разработки и запуска в производство средств защиты конфиденциальной информации, в соответствии с которыми конструкторская документация лицензиата имеет номер, зарегистрированный в государственном реестре разрабатывающих предприятий;

— наличие системы учета изменений, внесенных в техническую и конструкторскую документацию, и системы учета готовой продукции;

— наличие у руководителя лицензиата и (или) уполномоченного им лица высшего образования и (или) профессиональной подготовки в области защиты информации с квалификацией «специалист по защите информации» и производственным стажем в области лицензируемой деятельности не менее 5 лет;

— наличие у инженерно-технического персонала, осуществляющего работы в области лицензируемой деятельности, высшего образования и (или) профессиональной подготовки со специализацией, соответствующей выполняемым работам.

Лицензиатами по указанному виду деятельности являются юридические лица и индивидуальные предприниматели.

Совершение лицензиатом проступка, предусмотренного комментируемой статьей, квалифицируется как нарушение лицензионных требований и условий и влечет за собой применение санкций в виде приостановления действия лицензии или ее аннулирования, установленных ст. 13 Федерального закона «О лицензировании отдельных видов деятельности», независимо от привлечения нарушителя к административной ответственности, меры которой определены комментируемой статьей.

5. Осуществление предпринимательской деятельности по лицензируемым видам деятельности без лицензии или с нарушением условий лицензирования, если это деяние причинило крупный ущерб гражданам, организациям или государству либо сопряжено с извлечением дохода в крупном размере (т.е. дохода, сумма которого превышает 200 МРОТ), квалифицируется как преступление (ч. 1 ст. 171 УК).

6. См. примечание к п. 5 комментария к ст. 5.1.

Дела об административных правонарушениях, предусмотренных комментируемой статьей, рассматриваются судьями.

Утечка персональных данных обойдется компаниям в полмиллиона рублей

Ведомство опубликовало проект нового КоАП на федеральном портале проектов нормативных правовых актов 29 мая 2020 г. Номер проекта – 02/04/05-20/00102447, и на момент публикации материала он находился на этапе публичного обсуждения, дата завершения которого – 24 июня 2020 г.

Если вашему сайту требуется поддержка, обслуживание, хостинг,

напишите нам прямо сейчас, всегда рады помочь!

Оставить заявку ← Поделиться с друзьями !

Резюме

Один лишь размер штрафа проблему не решает. В российских условиях куда более важной представляется неотвратимость наказания для нарушителей. А как раз ее чиновники обеспечивать не спешат.

Снисхождение распространителям личной информации со стороны Роскомнадзора в совокупности со смешными штрафами дают операторам персональных данных картбланш. Ничто в масштабе не мешает продолжать торговать данными пользователей. И решить этот вопрос посредством внесения очередных правок в КоАП уже невозможно — кардинальных изменений требует политика конфиденциальности и методика работы надзорных органов.

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *