(в ред. Федерального закона от 07.02.2017 N 13-ФЗ)
(см. текст в предыдущей редакции)
1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, —
(в ред. Федерального закона от 11.06.2021 N 206-ФЗ)
(см. текст в предыдущей редакции)
влечет наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от шестидесяти тысяч до ста тысяч рублей.
(в ред. Федерального закона от 24.02.2021 N 19-ФЗ)
(см. текст в предыдущей редакции)
1.1. Повторное совершение административного правонарушения, предусмотренного частью 1 настоящей статьи, —
влечет наложение административного штрафа на граждан в размере от четырех тысяч до двенадцати тысяч рублей; на должностных лиц — от двадцати тысяч до пятидесяти тысяч рублей; на индивидуальных предпринимателей — от пятидесяти тысяч до ста тысяч рублей; на юридических лиц — от ста тысяч до трехсот тысяч рублей.
(часть 1.1 введена Федеральным законом от 24.02.2021 N 19-ФЗ)
2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, —
(в ред. Федерального закона от 11.06.2021 N 206-ФЗ)
(см. текст в предыдущей редакции)
влечет наложение административного штрафа на граждан в размере от шести тысяч до десяти тысяч рублей; на должностных лиц — от двадцати тысяч до сорока тысяч рублей; на юридических лиц — от тридцати тысяч до ста пятидесяти тысяч рублей.
(в ред. Федерального закона от 24.02.2021 N 19-ФЗ)
(см. текст в предыдущей редакции)
2.1. Повторное совершение административного правонарушения, предусмотренного частью 2 настоящей статьи, —
влечет наложение административного штрафа на граждан в размере от десяти тысяч до двадцати тысяч рублей; на должностных лиц — от сорока тысяч до ста тысяч рублей; на индивидуальных предпринимателей — от ста тысяч до трехсот тысяч рублей; на юридических лиц — от трехсот тысяч до пятисот тысяч рублей.
(часть 2.1 введена Федеральным законом от 24.02.2021 N 19-ФЗ)
3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных —
влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до трех тысяч рублей; на должностных лиц — от шести тысяч до двенадцати тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от тридцати тысяч до шестидесяти тысяч рублей.
(в ред. Федерального закона от 24.02.2021 N 19-ФЗ)
(см. текст в предыдущей редакции)
4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, —
влечет наложение административного штрафа на граждан в размере от двух тысяч до четырех тысяч рублей; на должностных лиц — от восьми тысяч до двенадцати тысяч рублей; на индивидуальных предпринимателей — от двадцати тысяч до тридцати тысяч рублей; на юридических лиц — от сорока тысяч до восьмидесяти тысяч рублей.
(в ред. Федерального закона от 24.02.2021 N 19-ФЗ)
(см. текст в предыдущей редакции)
5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, —
влечет наложение административного штрафа на граждан в размере от двух тысяч до четырех тысяч рублей; на должностных лиц — от восьми тысяч до двадцати тысяч рублей; на индивидуальных предпринимателей — от двадцати тысяч до сорока тысяч рублей; на юридических лиц — от пятидесяти тысяч до девяноста тысяч рублей.
(в ред. Федерального закона от 24.02.2021 N 19-ФЗ)
(см. текст в предыдущей редакции)
5.1. Повторное совершение административного правонарушения, предусмотренного частью 5 настоящей статьи, —
влечет наложение административного штрафа на граждан в размере от двадцати тысяч до тридцати тысяч рублей; на должностных лиц — от тридцати тысяч до пятидесяти тысяч рублей; на индивидуальных предпринимателей — от пятидесяти тысяч до ста тысяч рублей; на юридических лиц — от трехсот тысяч до пятисот тысяч рублей.
(часть 5.1 введена Федеральным законом от 24.02.2021 N 19-ФЗ)
6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния —
влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до четырех тысяч рублей; на должностных лиц — от восьми тысяч до двадцати тысяч рублей; на индивидуальных предпринимателей — от двадцати тысяч до сорока тысяч рублей; на юридических лиц — от пятидесяти тысяч до ста тысяч рублей.
(в ред. Федерального закона от 24.02.2021 N 19-ФЗ)
(см. текст в предыдущей редакции)
7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных —
влечет наложение административного штрафа на должностных лиц в размере от шести тысяч до двенадцати тысяч рублей.
(в ред. Федерального закона от 24.02.2021 N 19-ФЗ)
(см. текст в предыдущей редакции)
8. Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, —
влечет наложение административного штрафа на граждан в размере от тридцати тысяч до пятидесяти тысяч рублей; на должностных лиц — от ста тысяч до двухсот тысяч рублей; на юридических лиц — от одного миллиона до шести миллионов рублей.
(часть 8 введена Федеральным законом от 02.12.2019 N 405-ФЗ)
9. Повторное совершение административного правонарушения, предусмотренного частью 8 настоящей статьи, —
влечет наложение административного штрафа на граждан в размере от пятидесяти тысяч до ста тысяч рублей; на должностных лиц — от пятисот тысяч до восьмисот тысяч рублей; на юридических лиц — от шести миллионов до восемнадцати миллионов рублей.
(часть 9 введена Федеральным законом от 02.12.2019 N 405-ФЗ)
Примечание. За административные правонарушения, предусмотренные частями 8 и 9 настоящей статьи, статьями 13.31, 13.35 — 13.37, 13.39, 13.40 и 13.46 настоящего Кодекса, лица, осуществляющие предпринимательскую деятельность без образования юридического лица, несут административную ответственность как юридические лица.
(примечание введено Федеральным законом от 02.12.2019 N 405-ФЗ; в ред. Федерального закона от 24.02.2021 N 19-ФЗ)
(см. текст в предыдущей редакции)
Какие штрафы вас ждут за нарушение при обработке персональных данных
Должностное лицо ждут не только штрафы. Дело может дойти до субсидиарки, уголовки, особенно, если вы собираете персданные без согласия работника или используете их неправильно. В статье поговорим о том, сколько в деньгах вам будут стоить ошибки и как их избежать.
Виды ответственности
Нарушения регулируют сразу три кодекса: КоАП, ТК и УК. Если накосячите с персданными, то вас могут привлечь к ответственности:
-
дисциплинарной и материальной;
-
гражданско-правовой;
-
административной;
-
уголовной.
Плюсом компании-нарушителю могут запретить вести деятельность.
Неправильная обработка персданных
Ст. 13.11 КоАП. Штраф до 50 000 рублей вам грозит, если:
-
У вас нет законных оснований обрабатывать персданные.
-
Вы обрабатываете избыточные персданные.
Штраф до 75 000 рублей грозит, если:
-
Сотрудник не давал письменное согласие на обработку данных, но вы ее провели.
-
В согласии нет следующей информации:
а) ФИО, данные паспорта, адрес сотрудника;
б) название и адреса оператора (т.е организации);
в) целей для обработки данных;
г) перечня действий с персданными;
д) информации о том, как отозвать согласие.
Вы не разместили на сайте политику в отношении обработки персданных — штраф до 30 000 рублей.
Не предоставили сотруднику информацию, которая касается обработки его данных — штраф до 40 000 рублей.
Разглашаете персданные работников — штраф от 4 000 до 5 000 рублей.
Уголовное наказание
Статья 137 УК гласит, что собирать персональные данные сотрудников и распространять без их согласия нельзя. Вот что вас ждет за нарушение:
-
штраф от 100 до 300 тысяч рублей или в размере доходов за последние два года;
-
исправительные или обязательные работы до четырех лет;
-
лишение права занимать должности на срок от двух до трех лет;
-
арест до шести месяцев;
-
лишение свободы до четырех лет.
Как обрабатывать персданные, чтобы обойтись без штрафов и уголовки
С сентября работодатели должны были предоставить в Роскомнадзор уведомления об обработке персданных. Но пока это, по мнению ведомства, не обязательно. Поэтому пока можно выдохнуть (нет).
Из общих советов выделим следующее:
-
создайте группу людей, которая будет ответственна за работу с персданными сотрудников. Например, кадровики.
-
проверьте текущий сбор и обработку данных, посмотрите, нет ли нарушений;
-
если нарушения есть, устраните их;
-
подготовьте все нужные документы;
-
пройдите курс повышения квалификации от «Клерка».
На последнем пункте остановимся подробнее. Мы подготовили курс, который поможет разобраться с новыми правилами, в том числе по персданным в 2023 году.
Обучающая программа будет полезна как бухгалтерам, кадровикам, так и руководителям. Эксперты «Клерка» объяснят все нюансы, о которых вам стоит знать уже сегодня.
Работать по новым правилам должны все. Приходите на курс — получите нужные навыки и получите удостоверение на 120 ак. часов.
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (ст. 24) лица, виновные в нарушении требований Федерального закона, несут предусмотренную законодательством РФ, а именно: гражданско-правовую, уголовную, административную, дисциплинарную и иную ответственность. Размер и характер санкций приведен в таблице ниже.
Обратите внимание! С 26 марта 2021 года вступил в силу Федеральный закон от 24.02.2021 № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», согласно которому штрафы за нарушение законодательства РФ в области персональных данных (ст.13.11) увеличили вдвое, за ряд положений установили штрафы за повторные нарушения и исключили меру административного наказания в виде предупреждения по некоторым пунктам. Например, если раньше максимальный штраф за обработку персональных данных без письменного согласия субъекта составлял 75 000 рублей, то теперь он составляет 150 000 рублей. А за повторное нарушение – 500 000 рублей. При этом штрафы за разные правонарушения могут суммироваться.
Также следует иметь в виду, что срок давности привлечения к административной ответственности за нарушение законодательства РФ в области персональных данных был увеличен с 3 месяцев до 1 года.
В таблице размер штрафов указан с учетом последних изменений .
| НПА | Статья |
Тип нарушения |
Наказание |
|||
|
граждане |
должностное лицо |
ИП |
юридическое лицо |
|||
|
Гражданско-правовая ответственность |
||||||
| ГК РФ | 15 |
Причинение лицу убытков в результате нарушения правил обработки его персональных данных (далее – ПДн). Под убытками при этом понимаются:
|
Возмещение убытков. | |||
| 152-ФЗ, ГК РФ | 24, 151 | Причинение гражданину морального вреда в результате нарушения правил обработки ПДн. |
Компенсация морального вреда (физические или нравственные страдания) независимо от возмещения имущественного вреда понесенных субъектом убытков. |
|||
|
Уголовная ответственность |
||||||
|
УК РФ |
137 (ч.1, 2) | Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. |
|
|
– | – |
| 137 (ч.3) | Незаконное распространение в публичном выступлении, публично демонстрирующемся произведении, средствах массовой информации или информационно-телекоммуникационных сетях информации, указывающей на личность несовершеннолетнего потерпевшего, не достигшего шестнадцатилетнего возраста, по уголовному делу, Либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий, повлекшее причинение вреда здоровью несовершеннолетнего, или психическое расстройство несовершеннолетнего, или иные тяжкие последствия. |
|
– | – | – | |
| 138 | Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. |
|
|
– | – | |
| 140 | Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан. |
|
– | – | – | |
| 272 (ч.1) | Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации. |
|
– | – | – | |
| 272 (ч.2) | Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние причинило крупный ущерб (сумма которого превышает 1 000 000 рублей) или было совершено из корыстной заинтересованности. |
|
– | – | – | |
| 272 (ч.3) | Деяния, предусмотренные ч.1 или ч.2 ст. 272 УК РФ, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения. |
|
|
– | – | |
| 272 (ч.4) | Деяния, предусмотренные ч. 1-3 ст. 272, если они повлекли тяжкие последствия или создали угрозу их наступления. | Лишение свободы (до 7 лет). | Лишение свободы (до 7 лет). | – | – | |
|
Административная ответственность |
||||||
| КоАП РФ | 5.39 |
Неправомерный отказ в предоставлении гражданину, в том числе адвокату в связи с поступившим от него адвокатским запросом, и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации. |
– |
Штраф от 5 000 до 10 000 рублей. |
– | – |
| 13.11 (ч.1) |
Обработка данных в случаях, не предусмотренных законодательством. |
Штраф от 2 000 до 6 000 рублей. За повторное нарушение – от 4 000 до 12 000 рублей. |
Штраф от 10 000 до 20 000 рублей. За повторное нарушение – 20 000 до 50 000 рублей. |
За повторное нарушение – штраф от 50 000 до |
Штраф от 60 000 до За повторное нарушение – от 100 000 до 300 000 рублей. |
|
| 13.11 (ч.2) |
Обработка ПДн без письменного согласия субъекта |
Штраф от 6 000 до 10 000 рублей. За повторное нарушение – от 10 000 до 20 000 рублей. |
Штраф от 20 000 до 40 000 рублей. За повторное нарушение – от 40 000 до 100 000 рублей. |
За повторное нарушение – штраф от 10 000 до |
Штраф от 30 000 до За повторное нарушение – от 300 000 до 500 000 рублей. |
|
| 13.11 (ч.3) |
Невыполнение обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПДн, или сведениям о реализуемых требованиях к защите ПДн. |
Штраф от 1 500 до 3 000 рублей. |
Штраф от 6 000 до 12 000 рублей. |
Штраф от 10 000 до 20 000 рублей. |
Штраф от 30 000 до |
|
|
13.11 (ч.4) |
Невыполнение обязанности по предоставлению субъекту ПДн информации, касающейся обработки его ПДн. | Штраф от 2 000 до 4 000 рублей. | Штраф от 8 000 до 12 000 рублей. | Штраф от 20 000 до 30 000 рублей. | Штраф от 40 000 до 80 000 рублей. |
|
| 13.11 (ч.5) | Невыполнение оператором в сроки, установленные законодательством, требования об уточнении ПДн, их блокировании или уничтожении. |
Штраф от 2 000 до За повторное нарушение – от 20 000 до 30 000 рублей. |
Штраф от 8 000 до За повторное нарушение – от 30 000 до 50 000 рублей. |
Штраф от 20 000 до 40 000 рублей. За повторное нарушение – от 50 000 до 100 000 рублей. |
Штраф от 50 000 до За повторное нарушение – от 300 000 до 500 000 рублей. |
|
| 13.11 (ч.6) |
Невыполнение при обработке ПДн без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность ПДн при хранении материальных носителей ПДн и исключающих несанкционированный к ним доступ. |
Штраф от 1 500 до 4 000 рублей. |
Штраф от 8 000 до 20 000 рублей. |
Штраф от 20 000 до 40 000 рублей. | Штраф от 50 000 до 100 000 рублей. |
|
| 13.11 (ч.7) | Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию ПДн либо несоблюдение установленных требований или методов по обезличиванию ПДн. | – | Штраф от 6 000 до 12 000 рублей. | – | – | |
| 13.11 (ч.8) |
Невыполнение оператором при сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством РФ в области ПДн обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения ПДн граждан РФ с использованием баз данных, находящихся на территории РФ. |
Штраф от 30 000 до 50 000 рублей. За повторное нарушение – от 50 000 до 100 000 рублей. |
Штраф от 100 000 до 200 000 рублей. За повторное нарушение – от 500 000 до 800 000 рублей. |
Как на юридических лиц. |
Штраф от 1 000 000 до 6 000 000 рублей. |
|
| 13.14 |
Разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей. |
Штраф от 5 000 до 10 000 рублей. |
Штраф от 40 000 до 50 000 рублей или дисквалификация на срок до 3 лет. Примечание. Адвокаты, совершившие административное правонарушение, предусмотренное настоящей статьей, несут административную ответственность как должностные лица. |
– | Штраф от 100 000 до 200 000 рублей. | |
| 13.14.1 | Незаконное получение информации с ограниченным доступом | Штраф от 5 000 до 10 000 рублей | Штраф от 40 000 до 50 000 рублей или дисквалификация на срок до 3 лет | – | Штраф от 100 000 до 200 000 рублей | |
| 17.13 (ч.1) | Нарушение предусмотренных законодательством Российской Федерации о государственной защите требований по обеспечению конфиденциальности сведений о защищаемых лицах и об их имуществе, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния | Штраф от 50 000 до 70 000 рублей | Штраф от 100 000 до 300 000 рублей или дисквалификация на срок до 3 лет | – | Штраф от 300 000 до 500 000 рублей | |
| 17.13 (ч.2) | Сбор, передача (распространение, предоставление, доступ) персональных данных судей, прокурорских работников, следователей, лиц, производящих дознание, сотрудников органов внутренних дел, военнослужащих, сотрудников органов федеральной службы безопасности, сотрудников органов государственной охраны, сотрудников органов внешней разведки Российской Федерации, сотрудников Следственного комитета Российской Федерации, сотрудников войск национальной гвардии Российской Федерации, сотрудников органов или учреждений уголовно-исполнительной системы, сотрудников таможенных органов или сотрудников органов принудительного исполнения Российской Федерации в связи с осуществлением ими служебной деятельности или выполнением такими лицами общественного долга либо персональных данных близких таких лиц, совершенные с нарушением требований законодательства Российской Федерации в области персональных данных, за исключением случаев, предусмотренных частью 1 настоящей статьи, если эти действия не содержат признаков уголовно наказуемого деяния | Штраф от 20 000 до 40 000 рублей | Штраф от 50 000 до 100 000 рублей или дисквалификация до 3 лет | Штраф от 100 000 до 200 000 рублей | Штраф от 200 000 до 300 000 рублей | |
| 19.4 |
Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор (контроль), должностного лица организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора, должностного лица органа, осуществляющего муниципальный контроль. |
Предупреждение или штраф от 500 до 1 000 рублей. | Штраф от 2 000 до 4 000 рублей. | – | – | |
| 19.4.1 (ч.1) | Воспрепятствование законной деятельности должностного лица органа государственного контроля (надзора), должностного лица организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора, должностного лица органа муниципального контроля по проведению проверок или уклонение от таких проверок. |
Штраф от 500 до 1 000 рублей. |
Штраф от 2 000 до 4 000 рублей. | – | Штраф от 5 000 до 10 000 рублей. | |
| 19.4.1 (ч.2) |
Действия (бездействие), предусмотренные ч.1 ст. 19.4.1, повлекшие невозможность проведения или завершения проверки. |
– | Штраф от 5 000 до 10 000 рублей. | – | Штраф от 20 000 до 50 000 рублей. | |
| 19.4.1 (ч.3) |
Повторное совершение административного правонарушения, предусмотренного ч.2 ст. 19.4.1. |
– | Штраф от 10 000 до 20 000 рублей или дисквалификация на срок от 6 месяцев до 1 года. | – | Штраф от 50 000 до 100 000 рублей. | |
| 19.5 |
Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора (должностного лица), органа (должностного лица), осуществляющего муниципальный контроль. |
Штраф от 300 до 500 рублей. |
Штраф от 1 000 до 2 000 рублей или дисквалификация на срок до 3 лет. |
– |
Штраф от 10 000 до 20 000 рублей. |
|
| 19.7 |
Непредставление, несвоевременное представление или предоставление в неполном объеме/искаженном виде в государственный орган, осуществляющий государственный контроль (надзор), сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности. |
Предупреждение или штраф от 100 до 300 рублей. |
Штраф от 300 до 500 рублей. |
– |
Штраф от 3 000 до 5 000 рублей. |
|
|
Дисциплинарная и материальная ответственность |
||||||
| ТК РФ | 81 (ч.6 п.в), 193 |
Разглашение ПДн, ставших известными работнику в связи с исполнением им трудовых обязанностей. |
Увольнение. | – | – | – |
| 90, 193 | Ответственность за нарушение норм, регулирующих обработку и защиту ПДн работника. |
|
– | – | – | |
| 243 (ч.7) | Разглашение сведений, составляющих охраняемую законом тайну (государственную, служебную, коммерческую или иную), в случаях, предусмотренных настоящим Кодексом, другими федеральными законами. | Материальная ответственность в пределах среднего месячного заработка работника, если иное не предусмотрено ТК РФ или иными федеральными законами. | – | – | – |
В случае, если у Вас возникли вопросы, обратитесь в службу поддержки по всем доступным каналам связи:
- через Онлайн-Консультант (в правом нижнем углу экрана);
- по номеру горячей линии — 8 800 500-52-33;
- или напишите письмо на адрес alfa@npc-ksb.ru.
За нарушения в сфере персональных данных предусмотрена административная, уголовная, гражданская и дисциплинарная ответственность. В отдельных случаях можно лишиться не только денег, но и свободы. Рассмотрим, в каких случаях работодателя могут привлечь к ответственности за персональные данные.
Административная ответственность
За нарушения Закона о персональных данных №152-ФЗ работодатель может быть привлечен к ответственности по двум статьям КоАП РФ. Одна из них общая — за непредоставление информации; вторая — специальная, именно за невыполнение требований к защите личной информации граждан. Рассмотрим типичные ошибки, за которые компанию могут привлечь к административной ответственности.
Статья 13.11. Нарушение законодательства РФ в области персональных данных
По статье 13.11 КоАП РФ работодателя привлекут к административной ответственности если он избыточно собирает персданные или обрабатывает их без согласия владельца или не в соответствии с целями, не опубликовал политику по персданным и т. д.
Подробнее про типичные ошибки в работе с ПД и штраф за персональные данные в 2022 году смотрите в таблице. Примеры в таблице подготовлены по типичных нарушениям, которые выявляет Роскомнадзор при проверках.
К частым нарушениям по статье 13.11 КоАП РФ у работодателя относятся также следующие:
-
не утвержден список лиц, которые имеют доступ к персональным данным;
-
не проводится внутренний аудит работы с ПД;
-
работники не ознакомлены под личную подпись с Законом №152-ФЗ, Политикой и локальными актами оператора в сфере персональных данных;
-
не утвержден перечень мест хранения ПД.
За эти несоответствия оператора привлекут к ответственности за неправомерную обработку персональных данных. При этом штрафы за повторные нарушения в сфере ПД будут гораздо выше.
Статья 19.7. Непредставление сведений
Ответственность за нарушение в сфере персональных данных по этой статье 19.7 КоАП предусмотрена в трех случаях:
1. Оператор не уведомил Роскомнадзор о начале обработки персональных данных. Эта обязанность распространяется на всех, кто работает с личной информацией граждан: ИП, самозанятых, юридических лиц.
2. Оператор не направил информационное письмо в Роскомнадзор при изменении сведений, содержащихся в Реестре операторов ПД. Например, при изменении целей обработки персональных данных.
3. Оператор не представил информацию в течение 10 рабочих дней по запросу Роскомнадзора. Штраф для юридического лица составит от 3 000 до 5 000 рублей.
Уголовная ответственность
Такой вид наказания применяется, когда нарушения в сфере обращения с личной информацией гражданина причинили или могли причинить ему значительный вред. Например, очень осторожно следует обращаться с биометрическими данными несовершеннолетних и не публиковать без согласия родителей на сайтах компании или школы видеоролики с их участием.
|
Нарушение |
Возможные наказания |
Норма закона |
Стоит понимать, что у понятий «личная тайна» и «семейная тайна» нет конкретных определений. Суды трактуют их довольно широко, а потому есть риск ответить перед законом за раскрытие практически любых личных сведений о другом человеке. В целом, личной тайной считается все, что человек, хотел бы скрыть: болезнь, религиозные убеждения, уровень обеспеченности и т.д. Например, одной компании пришлось отвечать перед судом за раскрытие перемещений автомобиля, а другой — за детализацию мобильных расходов клиента. Понятие семейной тайны немного конкретнее: это информация об отношениях с родственниками, социально-бытовых условиях жизни и т.д. |
|
137 статья УК РФ, ч. 1 С использованием служебного положения — 137 ст, ч 2 |
|
Незаконное обнародование информации о потерпевшем, которому нет 16 лет, если эта информация:
Городская газета опубликовала статью о девочке-подростке, указав её ФИО и номер школы. При этом ни девочка, ни ее родители согласия на обнародование таких личных данных газете не давали. РКН вынес редактору письменное предупреждение, однако она на него не отреагировала, и в газете появилось еще несколько статей с личной информацией героев, не достигших 16 лет. В результате суд постановил закрыть газету. |
|
137 статья УК РФ, ч. 3 |
|
Чиновник неправомерно отказался предоставить человеку документы, затрагивающие его права и свободы, либо предоставил ему неполную или заведомо ложную информацию — при условии, что эти действия нанесли вред правам и законным интересам граждан. Чиновник также будет наказан за:
|
|
140 статья УК РФ |
|
Неправомерный доступ к компьютерной информации, которая охраняется законом, если это вызвало ее уничтожение, блокирование, изменение или копирование. Под неправомерным доступом здесь подразумевают любое взаимодействие с данными (включая просто ознакомление), на которое нет разрешения собственника или другого законного пользователя. |
|
272 статья УК РФ, ч. 1 ущерб от 1 млн. руб — 272 статья, ч 2 |
|
Описанные в 1 и 2 частях статьи правонарушения, если они были совершены:
|
|
272 статья УК РФ, ч. 3 |
|
Правонарушения, описанные в 1, 2 и 3 частях статьи, если они вызвали тяжкие последствия или угрозу их наступления (к таким случаям относят, например, смерть, существенный вред здоровью). |
лишение свободы до 7 лет |
272 статья УК РФ, ч. 4 |
Гражданско-правовая ответственность
Закон №152-ФЗ прямо устанавливает обязанность оператора возместить моральный вред гражданину при нарушении его прав. Причем гражданская ответственность за распространение персональных данных или иные неправомерные действия, которые причинили вред субъекту ПД, применяется независимо от возмещения ущерба, а также привлечения к административной или уголовной ответственности.
Размер компенсации морального вреда определяет суд.
|
Нарушение |
Что грозит |
Норма закона |
|
Оператор нарушил правила обработки личной информации, из-за чего человек понес материальные потери. Это могут быть:
|
Полное возмещение убытков, если только меньший объем выплат не установлен законом или договором. Если виновник как-то нажился на чужой личной информации, ее владелец вправе потребовать в дополнение упущенную выгоду в размере не меньшем, чем полученные нарушителем доходы. |
Статья 15 Гражданского кодекса |
|
Оператор нарушил правила обработки личностных сведений, что повлекло для человека моральный вред. Мужчина обратился в суд: банк засыпал его смс и звонками с требованиями погасить задолженность по кредиту. Деньги он действительно брал, но уже давно выплатил. Однако до сотрудников банка это донести не удавалось. Суд запретил банку обрабатывать ПД истца и постановил выплатить ему 15 тыс. руб. моральной компенсации. |
Компенсация морального вреда |
Статья 24 Закона «О персональных данных» |
|
Топ-5 документов по персональным данным, которые скачивают ваши коллеги: |
|
|
Бланк приказа о назначении ответственного за обработку персданных |
|
|
Образец положений согласия на распространение персданных |
|
|
Примерная форма политики по персданным |
|
|
Пример нового согласия на обработку персданных
|
|
|
Чек-лист для аудита документов по персданным
|
Дисциплинарная ответственность
|
Нарушение |
Что грозит |
Норма закона |
|
Сотрудник придал огласке личную информацию другого сотрудника, которые он выяснил в ходе работы. Менеджер банка, проверяя платежеспособность заявителя на кредит, позвонил к нему на работу. Руководитель не должен давать информацию о размере зарплаты подчиненного без его письменного согласия и официального письма из банка. |
Увольнение |
Статья 81, пункт 6, подпункт «в» Трудового кодекса |
|
Работник допустил какие-либо другие нарушения при работе с личной информацией. Рекрутер передала резюме неподошедшего соискателя коллеге из другой компании. У нее было согласие человека на обработку его личных сведений, но не на передачу кому-то еще. Поэтому рекрутеру сделали выговор. |
Замечание или выговор |
Статья 90 и статья 192 ТК РФ |
Если вы работодатель, и ваш подчиненный нарушил правила конфиденциальности, учитывайте, что и вы должны играть значительную роль в недопущении подобных ситуаций. В частности, важно:
- защитить личные сведения сотрудников и клиентов от стороннего доступа (в том числе внутри организации);
- прописать в трудовом договоре ответственность сотрудника за нарушение принципов конфиденциальности;
- донести до всех сотрудников правила и принципы работы с ПД, которые установлены законом и применяются в организации.
Всё равно остались вопросы? Или хочется больше разборов реальных ситуаций из практики? Делимся практическим опытом и даем новейшую информацию в авторском курсе о персональных данных. Вам не придется самостоятельно изучать законы и разбирать нагромождения юридических формулировок. Мы уже сделали это за вас и упаковали в простые и понятные принципы.
