В 2017 году в КоАП РФ внесли поправки, ужесточающие административную ответственность за нарушения законодательства в области персональных данных. В результате интерес к этой сфере со стороны контролирующих органов значительно возрос. Какие нарушения в работе с персональными данными допускают компании? Что за это грозит?
Рассказывает:
Ангелина Балакина,
юрисконсульт ФБК Legal
Контроль и надзор в сфере защиты персональных данных усиливаются. По статистике Роскомнадзора, по итогам 2019 года было составлено 215 протоколов и наложено административных штрафов на сумму около 1,1 млн рублей. В то же время за 2018 год контролирующие органы составили всего 156 протоколов и наложили штрафов на сумму 473 000 рублей. Отчасти этот рост связан с ростом числа жалоб граждан в Роскомнадзор на действия или бездействия компаний по обработке их персональных данных, нарушающие требования Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о ПД).
На что жалуются субъекты персональных данных?
Действия операторов персональных данных
- поручение обработки другому лицу без правовых оснований (ст. 6 Закона о ПД)
- обработка биометрических или специальных персональных данных без письменного согласия субъекта (ст. 10, 11 Закона о ПД)
- несоответствие формы согласия требованиям закона (например, в согласии указаны сразу несколько целей) (ст. 5 Закона о ПД)
- обработка, не совместимая с целями закона (ст. 5 Закона о ПД)
- хранение персональных данных дольше, чем того требуют цели (ст. 5 Закона о ПД)
- размещение персональных данных на сайте в избыточном объеме (ст. 5 Закона о ПД)
- продолжение обработки персональных данных после отзыва согласия их субъектом (ст. 9 Закона о ПД)
Бездействие операторов персональных данных
- неиздание или неопубликование на сайте политики в отношении обработки персональных данных (ст. 18.1 Закона о ПД)
- необеспечение локализации баз персональных данных на территории РФ (ст. 18 Закона о ПД)
- непредоставление субъекту персональных данных информации касающейся обработки его персональных данных (ст. 20 Закона о ПД)
- неуведомление Роскомнадзора об обработке персональных данных (ст. 22 Закона о ПД)
- неуничтожение персональных данных после достижения цели обработки персональных данных (ст. 5, 21 Закона о ПД)
- неназначение лица, ответственного за обработку персональных данных (ст. 18.1 Закона о ПД)
На практике у операторов персональных данных нередко возникает вопрос: сколько будет штрафов, если Роскомнадзор выявит несколько случаев нарушения, например, неправильно оформленное типовое согласие на обработку персональных данных, которое подписывали разные субъекты персональных данных? Подобные случаи, как правило, квалифицируют как одно нарушение, и штраф назначают один. В то же время стоит учитывать, что если было несколько жалоб от разных субъектов персональных данных, то могут привлечь к ответственности по каждому эпизоду.
Например, в Судебном участке 383 Мещанского судебного района г. Москвы было наложено 5 административных штрафов на университет «Синергия» по ч. 1 ст. 13.11 КоАП РФ по факту неправомерного сбора образовательным учреждением биометрических персональных данных несовершеннолетних. Организацию оштрафовали на 150 тыс. рублей.
С практической точки зрения можно выделить 5 основных групп правонарушений в сфере защиты персональных данных.
Нарушение условий обработки персональных данных
Обработка персональных данных в случаях, не предусмотренных законодательством (ч. 1 ст. 13.11 КоАП РФ)
ПРАКТИКА
- Телефонные звонки от банка без согласия на обработку персональных данных – Решение Черемушкинского районного суда от 18.06.2019 по делу № 12-1004/19
- Телефонные звонки с предложением услуг – Определение Мосгорсуда от 14.05.2019 по делу № 7-5117/2019
Обработка персональных данных, не совместимая с целями их сбора (ч. 1 ст. 13.11 КоАП РФ)
Например, когда компания указывает, что собирает персональные данные для функционирования сайта, а на самом деле использует их в маркетинговых целях: для отправления рассылок и т.д.
ОТВЕТСТВЕННОСТЬ
Предупреждение или штраф для граждан от 1000 до 3000 рублей, для должностных лиц от 5000 до 10 000 рублей, для компаний – от 30 000 до 50 000 рублей.
Отсутствие согласия или нарушение требований к его содержанию (ч. 2 ст. 13.11 КоАП РФ)
При этом получение согласия в электронном виде путем проставления галочки не является нарушением.
ПРАКТИКА
- Внесение персональных данных в электронную базу без согласия субъекта — Постановление Астраханского областного суда от 15.08.2018 № 4а-333/2018
- Отсутствие согласия законных представителей субъекта персональных данных – Постановление Верховного суда Республики Башкортостан от 19.12.2018 № 4а-2510/2018
- Отсутствие в согласии на обработку персональных данных необходимой информации (например, о компании, которой передаются персональных данных) – Постановление Санкт-Петербургского городского суда от 18.06.2018 № 4а-763/2018 по делу № 5-1224/2017-69
- Получение одного согласия в отношении разных целей – Постановление АС Московского округа от 15.01.2018 по делу № А40-81171/17-149-793
ОТВЕТСТВЕННОСТЬ
Штраф для граждан от 3000 до 5000 рублей, для должностных лиц от 10 000 до 20 000 рублей, для компаний – от 15 000 до 75 000 рублей.
Невыполнение требований по защите персональных данных
Неопубликование документа, определяющего политику оператора в отношении обработки персональных данных (ч. 3 ст. 11.13 КоАП РФ)
ПРАКТИКА
- Отсутствие политики на сайте — Решение Октябрьского районного суда г. Тамбова от 03.06.2020 по делу № 12-187/2020
ОТВЕТСТВЕННОСТЬ
Предупреждение или штраф для граждан от 700 до 1500 рублей, для должностных лиц от 3000 до 6000 рублей, для ИП – 5000 — 10 000 рублей, для компаний – от 15 000 до 30 000 рублей.
Необеспечение сохранности персональных данных при их неавтоматизированной обработке (ч. 6 ст. 13.11 КоАП РФ)
ПРАКТИКА
- Использование документов с персональных данных в качестве черновиков – Постановление Пермского краевого суда от 30.08.2018 по делу № 44а-1189/2018
ОТВЕТСТВЕННОСТЬ
Предупреждение или штраф для граждан от 700 до 2000 рублей, для должностных лиц — от 4000 до 10 000 рублей, для ИП – 10 000 — 20 000 рублей, для компаний – от 25 000 до 50 000 рублей.
Нарушение обязанностей при взаимодействии с субъектами персональных данных
Невыполнение оператором обязанности предоставлять субъекту персональных данных информацию, касающуюся обработки его персональных данных (ч. 4 ст. 11.13 КоАП РФ)
ОТВЕТСТВЕННОСТЬ
Предупреждение или штраф для граждан от 1000 до 2000 рублей, для должностных лиц от 4000 до 6000 рублей, ИП – 10 000 — 15 000 рублей, для компаний – от 20 000 до 40 000 рублей.
Невыполнение оператором в срок требования субъекта персональных данных либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (ч. 5 ст. 11.13 КоАП РФ)
ОТВЕТСТВЕННОСТЬ
Штраф для граждан от 700 до 2000 рублей, для должностных лиц от 4000 до 10 000 рублей, для ИП – 10 000 — 20 000 рублей, для компаний – от 25 000 до 50 000 рублей.
Неисполнение обязанностей при взаимодействии с Роскомнадзором
Невыполнение в срок законного предписания (ч. 1 ст. 19.5 КоАП РФ)
ПРАКТИКА
- Если оспорить предписание в суде, состава нарушения по ч. 1 ст. 19.5 КоАП РФ не будет — Постановление Верховного суда Республики Коми от 07.05.2018 № 4а-393/2018
- Предписание должно быть реально исполнимо и содержать конкретные указания, четкие формулировки – Апелляционное определение Мосгорсуда от 18.09.2017 по делу № 33а-4308/2017
ОТВЕТСТВЕННОСТЬ
Штраф для граждан от 300 до 500 рублей, для должностных лиц от 1000 до 2000 рублей или дисквалификация до трех лет, для компаний – от 10 000 до 20 000 рублей.
Непредставление сведений или информации (ст. 19.7 КоАП РФ)
ПРАКТИКА
- Несоответствие информации о фактической деятельности, указанной в уведомлении о намерении осуществлять обработку персональных данных – Постановление Верховного суда Республики Коми от 16.04.2018 № 4А-65/2018
- По этой статье могут оштрафовать в том числе лиц, не обязанных подавать уведомление в Роскомнадзор – Решение Центрального районного суда г. Волгограда от 05.03.2019 по делу № 12-461/2019
ОТВЕТСТВЕННОСТЬ
Предупреждение или штраф для граждан от 100 до 300 рублей, для должностных лиц от 300 до 500 рублей, для компаний – от 3000 до 5000 рублей.
Нарушение требований о локализации баз данных
Обработка персональных данных без использования баз данных, находящихся на территории РФ, для записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан (ч. 5 ст. 18 Закона о ПД, ч. 8,9 ст. 13.11 КоАП РФ)
ПРАКТИКА
- Компанию Twitter Inc. оштрафовали на 4 млн рублей за то, что персональные данные отказ российских пользователей хранились на зарубежных серверах — Решение Таганского районного суда г. Москвы от 16.03.2020 по делу № 12-0449/2020
ОТВЕТСТВЕННОСТЬ
Штраф для граждан от 30 000 до 50 000 рублей, для должностных лиц от 100 000 до 200 000 рублей, для компаний – от 1 млн до 6 млн рублей. При повторном нарушении — для граждан от 50 000 до 100 000 рублей, для должностных лиц от 500 000 до 800 000 рублей, для компаний – от 6 млн до 18 млн рублей.
На заметку
В последнее время все чаще появляются новости об утечках персональных данных. В связи с этим Минюст разработал проект поправок в КоАП РФ.
Кодекс планируют дополнить новым составом административного правонарушения — невыполнение обязанности по соблюдению конфиденциальности персональных данных. За нарушение будут штрафы:
-
-
- для должностных лиц – от 40 000 до 100 000 рублей,
- для ИП — от 100 000 до 300 000 рублей,
- для организаций — от 300 000 до 500 000 рублей.
-
Подготовлено по материалам онлайн-конференции «Актуальные вопросы персональных данных и электронного документооборота 2020»
Статьи по теме
Заполняем уведомление об обработке персональных данных в Роскомнадзор. Как избежать ошибок?
Если неправильно заполнить уведомление об обработке персональных данных, то впоследствии со стороны Роскомнадзора могут последовать штрафы. Например, бывает, что...
Юридический аудит сайта: что проверить в первую очередь?
Провести аудит сайта и оценить юридические риски – комплексная задача. Есть некоторые общие требования для всех сайтов и есть ...