Статьи

Ответственность за несоблюдение законодательства в сфере защиты персональных данных

30.08.2013

/

Говорить о необходимости организации защиты персональных данных и обязанностях операторов ПДн можно долго. Но, как заведено, лучшим стимулом для проведения мероприятий, необходимых для соблюдения требований законодательства о защите ПДн, является знание, а что же будет, если ничего не делать, за какие нарушения и какая ответственность может быть предусмотрена за несоблюдение требований законодательства о защите персональных данных.


Соблюдение законодательства о защите персональных данных


Напомним, что функции контроля (проверок) соблюдения требований законодательства о защите персональных данных осуществляются органами государственной власти – Роскомнадзор (далее - Уполномоченный орган), ФСТЭК России и ФСБ России, при этом:

  • Роскомнадзор (Федеральная служба по надзору в сфере связи и массовых коммуникаций) - в соответствии со статьёй 23 закона № 152-ФЗ и постановлением Правительства РФ от 16.03.2009 г. № 228 является уполномоченным органом по защите прав субъектов ПДн и осуществляет надзор за соблюдением операторами требований законодательства при обработке ПДн;

  • ФСТЭК России (Федеральная служба по техническому и экспортному контролю) - осуществляет контроль и надзор за методами и способами защиты информации в информационных системах персональных данных (ИСПДн) с использованием технических средств;

  • ФСБ России (Федеральная служба безопасности) - осуществляет контроль и надзор за методами и способами защиты информации в ИСПДн с использованием криптографических средств защиты информации.

В настоящее время действует правоприменительная практика в части привлечения к ответственности за нарушение требований законодательства о защите персональных данных, но пока еще остается ряд нерешенных вопросов.

В соответствии со статьёй 24 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных") лица, виновные в нарушении требований данного закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.

Чтобы определить конкретные виды штрафов, необходимо обратиться к первоисточникам - кодексу об административных правонарушениях (далее - КоАП РФ), уголовному и трудовому кодексам (далее - УК РФ и ТК РФ соответственно). Рассмотрим возможные меры ответственности.


Уголовная ответственность


В соответствии с нормами Российского законодательства к уголовной ответственности могут быть привлечены исключительно физические лица, совершившие преступление, посягающее на интересы личности, общества и государства.

Можно говорить, что именно нормы УК РФ отражают "основную цель" Федерального закона "О персональных данных" - защиту интересов субъектов. В частности, предусмотрена ответственность за следующие виды преступлений:

  • незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. Отягчающим обстоятельством по данному виду нарушений признается данное правонарушение, совершенное с использованием своего служебного положения (ст. 137 УК РФ);

  • за неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети (ст. 272 УК РФ).

Уголовная ответственность за указанные выше виды нарушения возможна различная:


  • штраф до 300 тыс. руб.;
  • обязательные работы от 120 до 180 часов;
  • исправительные работы до 1 года;
  • лишение свободы до 4-х лет;
  • лишение права занимать определенные должности или заниматься определенной деятельностью до 5 лет.

Также к уголовной ответственности могут быть привлечены лица, оказывающие услуги по технической защите информации и не имеющие соответствующей лицензии, либо осуществляющие деятельность с нарушением лицензионных требований и условий, если это деяние причинило крупный ущерб гражданам, организациям или государству, либо сопряжено с извлечением дохода в крупном размере (более 1 500 тыс. руб.). Речь идет об уголовной ответственности по статье 171 УК РФ. Отягчающим признаком по данной статье признается совершение преступления организованной группой лиц, либо сопряженное с извлечением дохода в особо крупном размере (более 6 000 тыс. руб.). По данной статье также может быть применено наказание в виде штрафа в размере до 500 тыс. руб., лишение свободы на срок до 5 лет.

Таким образом, операторам персональных данных не стоит забывать, что оказывать консультационные услуги по подготовке организационно-распорядительной документации и услуги, в части технической защиты информации, могут только лицензиаты ФСТЭК России, т.е. организации, имеющие соответствующих специалистов.


Административная ответственность


Перечень нарушений, предусматривающих ответственность за нарушение требований законодательства в сфере персональных данных, в КоАП РФ более широк. И в соответствии с нормами законодательства субъектом правонарушения может быть юридическое лицо, лицо, осуществляющее предпринимательскую деятельность без образования юридического лица, должностное лицо, а также граждане.

Перечень возможных нарушений приведён в таблице.

Статья КоАПВид нарушенияСубъект правонарушенияНаказание
ст. 5.39Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, не предоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информациидолжностное лицоштраф в размере от 1 000 до 3 000 рублей
ст. 13.11Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
гражданинпредупреждение или наложение штрафа в размере от 300 до 500 рублей
должностное лицоштраф в размере 500 до 1 000 рублей
юридическое лицоштраф в размере от 5 000 до 10 000 рублей
ч. 2 ст. 13.12Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну)
гражданинштраф в размере от 500 до 1 000 рублей с конфискацией несертифицированных средств защиты информации или без таковой
должностное лицоштраф в размере от 1 000 до 2 000 рублей
юридическое лицоштраф в размере от 10 000 до 20 000 рублей с конфискацией несертифицированных средств защиты информации или без таковой
ч. 1 ст. 13.13Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна)
гражданинштраф в размере от 500 до 1 000 рублей с конфискацией средств защиты информации или без таковой
должностное лицоштраф в размере от 2 000 до 3 000 рублей с конфискацией средств защиты информации или без таковой
ст. 13.14Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей
гражданинштраф в размере от 500 до 1 000 рублей
должностное лицоштраф в размере от 4 000 до 5 000 рублей
ч. 1 ст. 19.4Неповиновение законному распоряжению или требованию должностного лица органа, осуществляющего государственный надзор (контроль), а равно воспрепятствование осуществлению этим должностным лицом служебных обязанностей
гражданинштраф в размере от 500 до 1 000 рублей
должностное лицоштраф в размере от 2 000 до 4 000 рублей
ч. 1 ст. 19.5Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства
гражданинштраф в размере от 300 до 500 рублей
должностное лицоштраф в размере от 1 000 до 2 000 рублей или дисквалификация должностного лица на срок до трех лет
юридическое лицоштраф в размере от 10 000 до 20 000 рублей
ч. 2 ст. 19.5Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа
должностное лицоштраф в размере от 5 000 до 10 000 рублей или дисквалификация должностного лица на срок до трех лет
юридическое лицоштраф в размере от 200 000 до 500 000 рублей
ст. 19.6Непринятие по постановлению (представлению) органа (должностного лица), рассмотревшего дело об административном правонарушении, мер по устранению причин и условий, способствовавших совершению административного правонарушениядолжностное лицоштраф в размере от 300 до 500 рублей
ст. 19.7Непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде, за исключением случаев, предусмотренных статьями 19.7.1, 19.8, 19.19 КоАП
гражданинштраф в размере от 100 до 300 рублей
должностное лицоштраф в размере от 300 до 500 рублей
юридическое лицоштраф в размере от 3 000 до 5 000 рублей

Несмотря на значительный перечень статей, по которым операторы ПДн, а также их должностные лица могут быть привлечены к административной ответственности, существующая статистика показывает несколько иную картину.

В 2012 году Уполномоченным органом проведено 874 плановых проверки из 991 запланированных. Проведены также 663 внеплановые проверки.

Сравнительная динамика количества проверок Уполномоченного органа за последние 3 года представлена на диаграмме 1.

Диаграмма 1

Как и в предшествующие годы, в 2012 году продолжился рост количества административных правонарушений. Уполномоченным органом составлено 5359 протоколов об административных правонарушениях (2011 год - 4901, 2010 год - 2996).

Динамика количественных показателей государственного контроля (надзора) за соблюдением обязательных требований законодательства Российской Федерации в области персональных данных представлена на диаграмме 2.

Диаграмма 2

Выявленные правонарушения были классифицированы по ст. 19.7 КоАП РФ, предусматривающей ответственность за непредставление или несвоевременное представление в Уполномоченный орган сведений, необходимых для реализации его функций, а также по ст. 19.5 КоАП РФ за неисполнение ранее выданных предписаний.

Увеличение общего количества проверок данных Операторов напрямую связано с ростом числа жалоб граждан. В 2012 году наблюдался рост гражданской активности в вопросах защиты прав и законных интересов субъектов персональных данных, но, несмотря на это, также наблюдается ежегодный рост количества административных правонарушений в области персональных данных. Так, в 2010 году количество выявленных административных правонарушений по сравнению с 2009 годом выросло в 55 раз, в 2011 году - в 2 раза в сравнении с показателями 2010 года соответственно. По результатам проведённых проверок в отношении операторов выдано 193 предписания об устранении выявленных нарушений, что составляет 14 % от общего количества выданных предписаний в 2012 году, направлено на рассмотрение в суды 533 протокола об административных правонарушениях, что составило 10 % от общего числа составленных протоколов об административных правонарушениях в 2012 году.

Мировыми судьями, по результатам рассмотрения 4786 направленных материалов, были приняты постановления о привлечении операторов к административной ответственности в форме штрафа на общую сумму 8 млн. 680 тыс. 150 рублей.

Динамика роста сумм административных штрафов за три последних года, наложенных судами на основании материалов Уполномоченного органа, представлена на диаграмме 3.

Диаграмма 3

В качестве типичных для данных категорий Операторов можно выделить следующие нарушения:

а) п. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждённого постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 в части, касающейся отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;

б) п. 1 ч. 1 ст. 6 Федерального закона «О персональных данных» – обработка персональных данных допускается Оператором, в случае если она осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

в) ч. 3 ст. 6 Федерального закона «О персональных данных» – отсутствие в поручении лицу, которому оператором поручается обработка персональных данных, обязанности соблюдения конфиденциальности персональных данных и обеспечения их безопасности, а также требований к защите обрабатываемых персональных данных;

В 2012 году Уполномоченным органом по выявленным фактам нарушения требований законодательства Российской Федерации в области персональных данных в органы прокуратуры в 710 случаях направлены соответствующие материалы. По итогам рассмотрения направленных материалов органами прокуратуры в 164 случаях были приняты решения о возбуждении дела об административном правонарушении по ст. 13.11 КоАП РФ и вынесены постановления суда о привлечении операторов к административной ответственности в форме штрафа на общую сумму 197 тысяч рублей, в 113 случаях принимались иные меры прокурорского реагирования (вносились представления, направлялись предостережения). В остальных случаях органами прокуратуры принимались решения об отказе в возбуждении административного производства в связи с истечением срока давности.

Итоги рассмотрения материалов, направленных в органы прокуратуры в 2012 году, представлены на диаграмме 4.

Диаграмма 4

В тоже время из инцидентов с персональными данными только 62% можно отнести непосредственно к утечкам, произошедшим ввиду несоблюдения Операторами требований по обеспечению их конфиденциальности и безопасности, в остальных 38% - установлены факты нарушения требований законодательства Российской Федерации в области персональных данных в части передачи персональных данных без соответствующего согласия (передача коллекторам в целях взыскания задолженности, передача третьим лицам в рамках поручения по обработке персональных данных и т.д.).

В большинстве своём факты утечек были связаны с несанкционированным распространением персональной информации, содержащейся на бумажных носителях, допущенным различными операторами, в том числе учреждениями здравоохранения, осуществляющими обработку специальных категорий персональных данных (состояние здоровья).

Как правило, в результате проведённой проверки Уполномоченным органом оператор ПДн получает предписание на устранение выявленных нарушений. Если же после проведения повторной проверки оператор не устранил ранее выявленные нарушения, то специалистами Роскомнадзора предпринимаются следующие шаги:

  • составление протоколов об административных правонарушениях, а в дальнейшем вынесение постановления о привлечении операторов к административной ответственности;
  • направление материалов проверок в органы прокуратуры.

Также административная ответственность может быть применена в отношении лиц, оказывающих услуги по технической защите информации, в частности, за осуществление деятельности без лицензии либо с нарушением условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (ст. 13.12 и 19.20 КоАП РФ).


Ответственность за нарушения трудового законодательства


Необходимо понимать, что деятельность оператора ПДн - это в первую очередь деятельность сотрудников организации по обработке персональных данных. При проведении мер по защите персональных данных важно не только разработать организационно-распорядительные документы, установить систему средств защиты, но и ознакомить, а в ряде случаев и обучить сотрудников правилам работы с персональными данными. Ведь в случае недобросовестной работы сотрудника с персональными данными пострадает сама организация.

Таким образом, необходимо, чтобы работники помнили, что в соответствии с ТК РФ разглашение персональных данных, а также нарушение норм, регулирующих получение, обработку и защиту персональных данных работников, может грозить работнику организации увольнением (ст. 81, 90 ТК).

В частности пункт "в" статьи 81 ТК РФ предусматривает расторжение трудового договора в случае разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника.

Также согласно статье 90 ТК РФ лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

В 2012 году Уполномоченным органом проведено 874 плановых проверки из 991 запланированных. Проведены также 663 внеплановые проверки. По результатам контрольно-надзорных мероприятий, проведённых Уполномоченным органом в 2012 году, выдано 1370 предписаний об устранении выявленных нарушений, что почти на 40% меньше показателей 2011 года.

Типичными нарушениями требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятых на его основе подзаконных актов, в 2012 году являлись:

а) ст. 7 Федерального закона «О персональных данных» – нарушение требований конфиденциальности при обработке персональных данных;

б) ч. 4 ст. 9 Федерального закона «О персональных данных» – несоответствие содержания письменного согласия субъекта на обработку его персональных данных требованиям Федерального закона;

в) п. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждённого постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 в части, касающейся несоблюдения Оператором условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;

г) ч. 3 ст. 22 Федерального закона «О персональных данных» – представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения;

За отчётный период в адрес Уполномоченного органа и его территориальных органов поступило 5677 обращений, что на 31% выше показателей 2011 года.

С момента возложения полномочий по защите прав субъектов персональных данных в Уполномоченный орган поступило 12037 обращений, в том числе:


      в 2008 году – 146;

      в 2009 году – 465;

      в 2010 году – 1829;

      в 2011 году – 3920;

      в 2012 году – 5677.


Динамика поступления обращений в Уполномоченный орган представлена на диаграмме 5.

Диаграмма 5

Как видно из представленной диаграммы, за 2012 год обращений поступило примерно столько же, сколько за два предыдущих года (2010 и 2011 годы) вместе взятых и почти в 40 раз больше по сравнению с 2008 годом.

Из указанных обращений – 5368 составляют обращения и жалобы граждан - субъектов персональных данных и 309 – обращения юридических лиц.

Диаграмма 6

Выводы: по итогам проверки о соблюдении положений 152-ФЗ "О персональных данных" помимо наложения штрафов, при фиксации нарушений выдаётся предписание о немедленном устранении нарушений. После чего проверка может прийти снова и наложить штрафные санкции, добавив к ним весомую ст.19.5 КоАП РФ с максимальным размером штрафа 500 тыс. рублей, если оператор не предпринял никаких действий для устранения нарушений. Хотя, конечно, в большинстве случаев самой распространенной практикой является квалификация нарушений по ст.13.11 КоАП РФ, предусматривающая штрафные санкции от 5 до 10 тыс. руб.

Однако, на сайте Минэкономразвития имеется законопроект о внесении изменений в КоАП РФ, подготовленный Минкомсвязи и предусматривающий повышение штрафов и увеличение срока давности привлечения к ответственности за нарушение законодательства о защите персональных данных. Проект делит статью 13.11 КоАП на две части, вводя особо строгие наказания для рецидивистов. Штраф за нарушение установленного законодательством РФ порядка обработки персональных данных предполагается увеличить в 10 раз для граждан – с 300 – 500 руб. до 3 000 – 5 000 руб., и в 50 раз для должностных лиц – с 500 – 1000 руб. до 30 000 – 50 000 руб., и для юридических лиц – с 5 000 – 10 000 руб. до 200 000 – 500 000 руб. Не забыты и индивидуальные предприниматели – для них предусмотрено наказание в размере от 30 000 до 50 000 руб.

Рецидивистам (тем, кто был ранее подвергнут наказанию за аналогичное правонарушение) придется еще хуже. Для должностных лиц предусмотрена дисквалификация на срок до 1 года, а для юридических лиц – штраф в размере от 500 000 до 1 000 000 руб.