Ответственность за несоблюдение законодательства в сфере защиты персональных данных
Говорить о необходимости организации защиты персональных данных и обязанностях операторов ПДн можно долго. Но как заведено, лучшим стимулом для проведения мероприятий, необходимых для соблюдения требований законодательства о защите ПДн является знание, а что же будет, если ничего не делать. В рамках данной статьи И.А. Баймакова (методист фирмы "1С") и А.Г. Виленский (доцент Института бизнеса и экономики АНХ при Правительстве РФ) рассматривают, за какие нарушения и какая ответственность может быть предусмотрена за несоблюдение требований законодательства о защите персональных данных.

Содержание

Напомним, что проводить проверки соблюдения требований законодательcтва о защите персональных данных могут три органа - Роскомнадзор, ФСТЭК России и ФСБ России, при этом:

  • Роскомнадзор (Федеральная служба по надзору в сфере связи и массовых коммуникаций) - осуществляет контроль и надзор за соответствием обработки ПДн требованиям законодательства;
  • ФСТЭК России (Федеральная служба по техническому и экспортному контролю) - осуществляет контроль и надзор за методами и способами защиты информации в информационных системах с использованием технических средств;
  • ФСБ России (Федеральная служба безопасности РФ) - осуществляет контроль и надзор за методами и способами защиты информации в информационных системах с использованием криптографических средств защиты информации Несомненно, что в первую очередь операторов коснутся проверки Роскомнадзора.

В настоящее время формируется правоприменительная практика в части привлечения к ответственности за нарушение требований законодательства о защите персональных данных, но пока еще остается ряд нерешенных вопросов.

В соответствии со статьей 24 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных") лица, виновные в нарушении требований данного закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.

Чтобы определить конкретные виды штрафов необходимо обратиться к "первоисточникам" - кодексу об административных правонарушениях (далее - КоАП РФ), уголовному и трудовому кодексам (далее - УК РФ и ТК РФ соответственно).

В связи с чем, рассмотрим возможные меры ответственности.

Соблюдение законодательcтва о защите персональных данных

Напомним, что проводить проверки соблюдения требований законодательcтва о защите персональных данных могут три органа - Роскомнадзор, ФСТЭК России и ФСБ России, при этом:

  • Роскомнадзор (Федеральная служба по надзору в сфере связи и массовых коммуникаций) - осуществляет контроль и надзор за соответствием обработки ПДн требованиям законодательства;
  • ФСТЭК России (Федеральная служба по техническому и экспортному контролю) - осуществляет контроль и надзор за методами и способами защиты информации в информационных системах с использованием технических средств;
  • ФСБ России (Федеральная служба безопасности РФ) - осуществляет контроль и надзор за методами и способами защиты информации в информационных системах с использованием криптографических средств защиты информации Несомненно, что в первую очередь операторов коснутся проверки Роскомнадзора.

В настоящее время формируется правоприменительная практика в части привлечения к ответственности за нарушение требований законодательства о защите персональных данных, но пока еще остается ряд нерешенных вопросов.

В соответствии со статьей 24 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных") лица, виновные в нарушении требований данного закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.

Чтобы определить конкретные виды штрафов необходимо обратиться к "первоисточникам" - кодексу об административных правонарушениях (далее - КоАП РФ), уголовному и трудовому кодексам (далее - УК РФ и ТК РФ соответственно).

В связи с чем, рассмотрим возможные меры ответственности.

Защита персональных данных: уголовная ответственность

В соответствии с нормами российского законодательства к уголовной ответственности могут быть привлечены исключительно физические лица, совершившие преступление, посягающее на интересы личности, общества и государства.

Можно говорить, что именно нормы УК РФ отражают "основную цель" Федерального закона "О персональных данных" - защиту интересов субъектов. В частности, предусмотрена ответственность за следующие виды нарушения:

  • незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. Отягчающим обстоятельством по данному виду нарушений признается данное правонарушение, совершенное с использованием своего служебного положения (ст. 137 УК РФ);
  • за неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети (ст. 272 УК РФ).

Уголовная ответственность за указанные выше виды нарушения возможна различная:

  • штраф до 300 тыс. руб.;
  • обязательные работы от 120 до 180 часов;
  • исправительные работы до 1 года;
  • лишение свободы до 4-х лет;
  • лишение права занимать определенные должности или заниматься определенной деятельностью до 5 лет.

Также к уголовной ответственности могут быть привлечены лица, оказывающие услуги по технической защите информации, не имеющие на это лицензии, либо осуществление деятельности с нарушением лицензионных требований и условий, если это деяние причинило крупный ущерб гражданам, организациям или государству, либо сопряжено с извлечением дохода в крупном размере (более 1 500 тыс. руб.). Речь идет об уголовной ответственности по статье 171 НК РФ. Отягчающим признаком по данной статье признается совершение преступления организованной группой лиц, либо сопряженное с извлечением дохода в особо крупном размере (более 6 000 тыс. руб.). По данной статье также может быть применена ответственность в виде штрафа в размере до 500 тыс. руб., лишение свободы на срок до 5 лет.

Таким образом, операторам персональных данных не стоит забывать, что оказать консультационные услуги по подготовке организационно-распорядительной документации может любая организация, имеющая соответствующих специалистов, а оказать услуги в части технической защиты информации - только лицензиат ФСТЭКа России.

Защита персональных данных: административная ответственность

Перечень нарушений, предусматривающих ответственность за нарушение требований законодательства в сфере персональных данных КоАП РФ, более широк. И в соответствии с нормами административного законодательства субъектом правонарушения может быть юридическое лицо, лицо, осуществляющее предпринимательскую деятельность без образования юридического лица, а также должностное лицо, а также граждане.

Перечень возможных нарушений в части исполнения оператором ПДн своих обязанностей приведен в таблице.

Статья КоАП

Вид нарушения

Субъект правонарушения

Ответственность

ст. 5.39

Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации

на должностных лиц

штраф в размере от 1 000 до 3 000 рублей

ст. 13.11

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

на граждан

предупреждение или наложение штрафа в размере от 300 до 500 рублей

на должностных лиц

штраф в размере 500 до 1 000 рублей

на юридических лиц

штраф в размере от 5 000 до 10 000 рублей

ч. 2 ст. 13.12

Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну)

на граждан

штраф в размере от 500 до 1 000 рублей с конфискацией несертифицированных средств защиты информации или без таковой

на должностных лиц

штраф в размере от 1 000 до 2 000 рублей

на юридических лиц

штраф в размере от 10 000 до 20 000 рублей
с конфискацией несертифицированных средств защиты информации или без таковой

ч. 4 ст. 13.12

Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну

на должностных лиц

штраф в размере от 3 000 до 4 000 рублей

на юридических лиц

штраф в размере от 20 000 до 30 000 рублей
с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой

ч. 1 ст. 13.13

Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна)

на граждан

штраф в размере от 500 до 1 000 рублей с конфискацией средств защиты информации или без таковой

на должностных лиц

штраф в размере от 2 000 до 3 000 рублей с конфискацией средств защиты информации или без таковой

на юридических лиц

 

ч. 2 ст. 13.13

Занятие видами деятельности, связанными с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну без лицензии

на должностных лиц

штраф в размере от 4 000 до 5 000 рублей

на юридических лиц

штраф в размере от 30 000 до 40 000 тысяч рублей с конфискацией созданных без лицензии средств защиты информации, составляющей государственную тайну, или без таковой

ст. 13.14

Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей

на граждан

штраф в размере от 500 до 1 000 рублей

на должностных лиц

штраф в размере от 4 000 до 5 000 рублей

ч. 1 ст. 19.4

Неповиновение законному распоряжению или требованию должностного лица органа, осуществляющего государственный надзор (контроль), а равно воспрепятствование осуществлению этим должностным лицом служебных обязанностей

на граждан

штраф в размере от 500 до 1 000 рублей

на должностных лиц

штраф в размере от 2 000 до 4 000 рублей

ч. 1 ст. 19.5

Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства

на граждан

штраф в размере от 300 до 500 рублей

на должностных лиц

штраф в размере от 1 000 до 2 000 рублей или дисквалификация должностного лица на срок до трех лет

на юридических лиц

штраф в размере от 10 000 до 20 000 рублей

ч. 2 ст. 19.5

Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа

на должностных лиц

штраф в размере от 5 000 до 10 000 рублей или дисквалификация должностного лица на срок до трех лет

на юридических лиц

штраф в размере от 200 000 до 500 000 рублей

ст. 19.6

Непринятие по постановлению (представлению) органа (должностного лица), рассмотревшего дело об административном правонарушении, мер по устранению причин и условий, способствовавших совершению административного правонарушения

на должностных лиц

штраф в размере от 300 до 500 рублей

ст. 19.7

Непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде, за исключением случаев, предусмотренных статьями 19.7.1, 19.8, 19.19 КоАП

на граждан

штраф в размере от 100 до 300 рублей

на должностных лиц

штраф в размере от 300 до 500 рублей

на юридических лиц

штраф в размере от 3 000 до 5 000 рублей

 

Несмотря на значительный перечень статей, по которым операторы ПДн, а также их должностные лица операторов могут быть привлечены к административной ответственности существующая статистика показывает несколько иную картину.

Как правило, в результате проведенной проверки Роскомнадзора оператор ПДн получает предписание на устранение выявленных нарушений. Например, за 2009 таких предписаний было выдано более 500. Если же после проведения проверок оператор не устраняет выявленные нарушения, то специалистами Роскомнадзора предпринимаются следующие шаги:

  • составление протоколов об административных правонарушениях, а в дальнейшем вынесение постановления о привлечении операторов к административной ответственности;
  • направление материалов проверок в органы прокуратуры.

Можно отметить, что по итогам работы за 2009 в соответствии с данными, приведенными в ежегодном отчете Роскомнадзора, общая сумма штрафов, наложенных на операторов ПДн составила - 78 000 руб.

Подробно с отчетом Роскомнадзора за 2009 год можно ознакомиться по ссылке:
http://www.rsoc.ru/docs/20090529113450vC.doc.

Также административная ответственность может быть применена в отношении лиц, оказывающих услуги по технической защите информации, в частности за осуществление деятельности без лицензии либо с нарушением условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (ст. 13.12 и 19.20 КоАП РФ).

Защита персональных данных: ответственность за нарушения трудового законодательства

Необходимо понимать, что деятельность оператора ПДн - это в первую очередь деятельность сотрудников организации в части работы с персональными данными. При проведении мер по защите персональных данных важно не только разработать организационно-распорядительные документы, установить систему средств защиты, но и ознакомить, а в ряде случаев и обучить сотрудников правилам работы с персональными данными. Ведь в случае недобросовестной работы сотрудника с персональными данными пострадает сама организация.

Таким образом, необходимо, чтобы работники помнили, что в соответствии с ТК РФ разглашение персональных данных, а также нарушение норм, регулирующих получение, обработку и защиту персональных данных работников, может грозить работнику организации увольнением (ст. 81, 90 ТК).

В частности пункт "в" статьи 81 ТК РФ предусматривает, что трудовой договор может быть расторгнут в случае разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей.

Также согласно статье 90 ТК РФ лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

В завершение необходимо напомнить два важных момента:

1. Действующее законодательство в сфере защиты персональных данных сравнительно молодое и содержит массу нерешенных однозначно вопросов. Соответственно, представляется целесообразным в спорных ситуациях обращаться для решения вопросов в суд. Причем результат рассмотрения дела предсказать довольно сложно.

Например, представляется интересным хронология рассмотрения в арбитражном суде иска коммерческого банка по вопросу "Обязательно ли подавать уведомление в Роскомнадзор при обработке персональных данных в специальной учетной программе. В частности можно привести следующую информацию о наиболее значимых событиях:

09.02.2010

АС Иркутской области - отказано КБ в признании ненормативного правового акта недействительным полностью, т. е. признан правомерным вывод Роскомнадзора о том, что в случае обработки информации в программе необходимо обязательно предоставить уведомление в Роскомнадзор.

14.05.2010

Апелляционная инстанция - решение суда оставлено без изменения.

17.08.2010

ФАС Восточно-Сибирского округа - отмена ранее принятого решения, дело направлено на новое рассмотрение.

28.10.2010

АС Иркутской области - в иске КБ вновь отказано. Приведен следующий вывод: если средства автоматизации применялись, значит такая обработка персональных данных должна быть признана автоматизированной.

О дальнейшем решении по данному делу, можно следить по ссылке: http://kad.arbitr.ru/?id=2E992633-13F9-450B-A9CC-177AA8A0C505.

2. Порядок проведения плановых проверок операторов ПДн определен нормами Федерального закона от 26.12.2008 № 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля". С учетом, нормы, предусмотренной пунктом 8 статьи 9 данного закона, плановая проверка оператора ПДн может быть проведена не ранее истечения трех лет с момента регистрации юридического лица, индивидуального предпринимателя. Для организаций, созданных более трех лет назад, следует учитывать, что проверка может проводится не ранее, чем по истечению трех лет с момента проведения последней плановой проверки.

Особые сроки проведения плановых проверок (два и более раз в три года) установлены в отношении юридических лиц, индивидуальных предпринимателей, осуществляющих виды деятельности в сфере здравоохранения, сфере образования, в социальной сфере. Перечень видов деятельности в этих отраслях, в отношении которых плановые проверки проводятся с установленной периодичностью, утверждены Постановлением Правительства РФ от 23.11.2009 № 944.

Нашли ошибку на сайте? Отправьте нам!
Выделите ее мышкой и нажмите Ctrl + Enter
Ваша оценка:
Комментарии