Что представляет собой Федеральный закон «О персональных данных» N 152-ФЗ и какая ответственность за его нарушения
Автор статьи:
Царев Евгений Олегович
Эксперт в сфере информационной безопасностиФедеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – № 152-ФЗ, Закон, ФЗ «О персональных данных») регулирует отношения связанные с обработкой персональных данных, осуществляемой государственными органами, муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств (ст. 1 № 152-ФЗ).
Что такое персональные данные?
В соответствии со ст. 3 Закона персональные данные — любая информация, относящаяся прямо или косвенно к конкретному физическому лицу (субъекту персональных данных).
Это могут быть фамилия, имя, отчество, мобильный телефон, электронная почта, адрес проживания, фотография, паспортные данные и другие данные, позволяющие идентифицировать человека.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными.
Включая:
- Сбор
- Запись
- Систематизацию
- Накопление
- Хранение
- Уточнение (обновление, изменение)
- Извлечение
- Использование
- Передачу (распространение, предоставление, доступ)
- Обезличивание
- Блокирование
- Удаление
- Уничтожение персональных данных
Обработка персональных данных осуществляется оператором, в роли которого выступает государственный орган, муниципальный орган, юридическое или физическое лицо.
Именно оператор осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Основным направлением действия 152-ФЗ является защита личной информации физического лица от неразрешенного доступа к ней и предотвращение незаконного хранения и последующей обработки.
Реализация закона пытается решить главную проблему современности — это использование личных данных человека незаконным путем.
Согласно статье 7 №152-ФЗ о конфиденциальности персональных данных (о неразглашении персональных данных) все лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.
Цель закона № 152-ФЗ заключается в регулировании отношений, связанных с обработкой персональных данных обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (ст. 2 закона № 152-ФЗ).
С июля 2017 года существенно ужесточена ответственность за нарушения при взаимодействии с персональными данными физических лиц.
Это касается всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков — физических лиц, всего бизнес — сообщества, взаимодействующего с персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей).
Последняя редакция содержит список нарушений, за которые оператор по обработке персональных данных привлекается Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзором) к ответственности:
- Обработка данных физического лица осуществляется не в соответствии с главными целями
- При обработке личных данных отсутствует согласие на ее проведение
- Ненадлежащее информирование человека о полной политике получения и обработки личной информации или полное отсутствие информирования
- Персональные данные субъекта были получены оператором незаконным путем
- Личные данные удаляются или уничтожаются
- Обезличивание персональных данных осуществляется ненадлежащим образом
Какие есть основные меры по защите персональных данных?
Статья 24 закона № 152-ФЗ «О персональных данных» прямо определяет виды ответственности за нарушение требований федерального закона.
Лица, виновные в нарушении требований закона «О персональных данных», несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством Российской Федерации, ответственность.
Видео на тему персональных данных
Презентация к вебинару: Важное в защите персональных данных 2023. Уведомления и импортозамещение
Ответственность за нарушение №152-ФЗ (ч. 1 ст. 24 закона)
Гражданско-правовая ответственность персональные данные
- В соответствии со ст. 151 ГК РФ, если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в иных случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда.
- Согласно ч. 2 ст. 1099 ГК РФ моральный вред, причиненный действиями (бездействием), нарушающими имущественные права гражданина, подлежит компенсации в случаях, предусмотренных законом.
- На основании ст. 152 ГК РФ гражданин вправе требовать по суду опровержения порочащих его честь, достоинство или деловую репутацию сведений, если распространивший такие сведения не докажет, что они соответствуют действительности.
Следовательно
Если в результате нарушения норм, регулирующих хранение, обработку и использование персональных данных, допущенного лицом, ответственным за осуществление вышеперечисленных действий с персональными данными, гражданину причинен имущественный ущерб или моральный вред, то он подлежит возмещению в денежной форме в соответствии с нормами гражданского законодательства.
Ответственность за персональные данные по Трудовому кодексу РФ (дисциплинарная ответственность)
Персональные данные относятся к сведениям, которые охраняются федеральным законом № 152-ФЗ.
Неправомерное разглашение персональных данных лицом, в чьи трудовые обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ).
При трудоустройстве работодателю могут предоставляться личные документы: паспорт, трудовая книжка, СНИЛС, документ об образовании, медицинская книжка, военный билет и другие.
Как только работодатель получает от работника вышеуказанные документы, на него возлагается обязанность обеспечить хранение и защиту персональных данных, в них содержащихся (ст. 14 ТК РФ).
Ответственность за распространение персональных данных несет в первую очередь директор. А кроме него, ответственные лица: отдел кадров или работник, отвечающий за сохранность этих данных согласно условиям трудового договора или должностной инструкции.
Работодатель имеет право расторгнуть трудовой договор по ст. 81 ТК РФ или привлечь к дисциплинарной ответственности по ст. 192 ТК РФ в случае выявления разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника.
Кроме того, ст. 90 ТК РФ предусмотрена материальная ответственность за виновное нарушение норм, регулирующих обработку и защиту персональных данных работников. Так, в результате незаконного распространения информации о персональных данных работника последнему может быть причинен моральный вред, подлежащий возмещению работодателем.
В соответствии со ст. 238 ТК РФ работник обязан возместить работодателю причиненный последнему прямой действительный ущерб. Согласно части 2 указанной статьи под прямым действительным ущербом также понимается необходимость возмещения ущерба третьим лицам.
Следовательно, если вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнее к материальной ответственности за ущерб, который был нанесен работнику такими действиями.
В соответствии с п. 7 ч. 1 ст. 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.
Уголовная ответственность за нарушение персональных данных
Если незаконное распространение личных данных будет расценено как уголовное преступление, последует наказание по статье 137 УК РФ.
В соответствии с данной статьей незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказываются (или/или):
- Штрафом в размере до 200 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев
- Обязательными работами на срок до 360 часов
- Исправительными работами на срок до 1 года
- Принудительными работами на срок до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового
- Арестом на срок до 4 месяцев
- Лишением свободы на срок до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет
Часть 2 указанной статьи предусматривает, что те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (или/или):
- Штрафом в размере от 100 тыс. до 300 тыс. руб или в размере заработной платы или иного дохода осужденного за период от 1 года до 2 лет
- Лишением права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет
- Принудительными работами на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового
- Арестом на срок до 6 месяцев
- Лишением свободы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет
Административная ответственность за нарушения в области персональных данных (в т.ч. за сбор персональных данных)
Стоит отметить, что КоАП наделяет должностных лиц органа, осуществляющего функции по контролю и надзору в области персональных данных, которым является Роскомнадзор, полномочиями по возбуждению дел об административных правонарушениях.
После введения в действие Правил проверки операторов персональных данных (Постановление Правительства Российской Федерации от 13 февраля 2019 г. № 146 ), установивших виды и периодичность проверок Роскомнадзора, кратно увеличилось количество запросов в адрес компаний о приведении в соответствие с требованиями законодательства в области персональных данных (в первую очередь – Закона «О персональных данных»).
Кроме того
ФЗ «О персональных данных» действует в России уже 14 лет, однако многие компании до сих пор игнорируют его требования, при этом государство всячески пытается привлечь внимание к проблеме защиты персональных данных, и последние его шаги в этом направлении привели к важным изменениям, в частности, это касается ужесточения административной ответственности за нарушение № 152-ФЗ.
Статья 13.11 КоАП РФ, предусматривающая ответственность за нарушения в сфере обработки персональных данных, претерпела значительные изменения и теперь применяется в новой редакции.
Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них.
КоАП РФ предусматривает несколько составов правонарушений в сфере обработки персональных данных:
- ч. 1 ст. 13.11
Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния. - ч. 2 ст. 13.11
Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных. - ч. 3 ст. 13.11
Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных. - ч. 4 ст. 13.11
Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных. - ч. 5 ст. 13.11
Невыполнение оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. - ч. 6 ст. 13.11
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния. - ч. 7 ст. 13.11
Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных. - ч. 8 ст. 13.11
Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством РФ в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ. - ч. 9 ст. 13.11
Повторное совершение административного правонарушения, предусмотренного частью 8 настоящей статьи.
Привлечение к ответственности по ст. 13.11 КоАП РФ происходит в виде предупреждения или штрафа.
Размер штрафа по указанным составам варьируется:
- Для граждан – от 700 до 100 000 рублей
- Для должностных лиц – от 3 000 до 800 000 рублей
- Для индивидуальных предпринимателей – от 5 000 до 20 000 рублей
- Для юридических лиц – от 15 000 до 18 000 000 рублей
В связи с ужесточением требований закона в сфере оборота персональных данных, специалисты RTM Group рекомендуют обращаться к компетентным специалистам на любой стадии работы и взаимодействия с персональными данными.
Опытные юристы нашей компании помогут выполнить все требования законодательства по защите персональных данных, предотвратить риски нарушения закона и привлечения к ответственности.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram