- Шортрид - https://shortread.ru -

Ошибки в работе с персональными данными. За какие нарушения штрафует Роскомнадзор?

В 2017 году в КоАП РФ внесли поправки, ужесточающие административную ответственность за нарушения законодательства в области персональных данных. В результате интерес к этой сфере со стороны контролирующих органов значительно возрос. Какие нарушения в работе с персональными данными допускают компании? Что за это грозит?

Рассказывает:

 

Ангелина Балакина,

юрисконсульт ФБК Legal

 


Контроль и надзор в сфере защиты персональных данных усиливаются. По статистике Роскомнадзора, по итогам 2019 года было составлено 215 протоколов и наложено административных штрафов на сумму около 1,1 млн рублей. В то же время за 2018 год контролирующие органы составили всего 156 протоколов и наложили штрафов на сумму 473 000 рублей. Отчасти этот рост связан с ростом числа жалоб граждан в Роскомнадзор на действия или бездействия компаний по обработке их персональных данных, нарушающие требования Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о ПД).

На что жалуются субъекты персональных данных?

Действия операторов персональных данных


  • поручение обработки другому лицу без правовых оснований (ст. 6 Закона о ПД)

 

  • обработка биометрических или специальных персональных данных без письменного согласия субъекта (ст. 10, 11 Закона о ПД)

 

  • несоответствие формы согласия требованиям закона (например, в согласии указаны сразу несколько целей) (ст. 5 Закона о ПД)

 

  • обработка, не совместимая с целями закона (ст. 5 Закона о ПД)

 

  • хранение персональных данных дольше, чем того требуют цели (ст. 5 Закона о ПД)

 

  • размещение персональных данных на сайте в избыточном объеме (ст. 5 Закона о ПД)

 

  • продолжение обработки персональных данных после отзыва согласия их субъектом (ст. 9 Закона о ПД)

Бездействие операторов персональных данных


  • неиздание или неопубликование на сайте политики в отношении обработки персональных данных (ст. 18.1 Закона о ПД)

 

  • необеспечение локализации баз персональных данных на территории РФ (ст. 18 Закона о ПД)

 

  • непредоставление субъекту персональных данных информации касающейся обработки его персональных данных (ст. 20 Закона о ПД)

 

  • неуведомление Роскомнадзора об обработке персональных данных (ст. 22 Закона о ПД)

 

  • неуничтожение персональных данных после достижения цели обработки персональных данных (ст. 5, 21 Закона о ПД)

 

  • неназначение лица, ответственного за обработку персональных данных (ст. 18.1 Закона о ПД)
Всего в КоАП РФ предусмотрено 9 составов административных правонарушений, связанных с обработкой персональных данных.

На практике у операторов персональных данных нередко возникает вопрос: сколько будет штрафов, если Роскомнадзор выявит несколько случаев нарушения, например, неправильно оформленное типовое согласие на обработку персональных данных, которое подписывали разные субъекты персональных данных? Подобные случаи, как правило, квалифицируют как одно нарушение, и штраф назначают один. В то же время стоит учитывать, что если было несколько жалоб от разных субъектов персональных данных, то могут привлечь к ответственности по каждому эпизоду.

Например, в Судебном участке 383 Мещанского судебного района г. Москвы было наложено 5 административных штрафов на университет «Синергия» по ч. 1 ст. 13.11 КоАП РФ по факту неправомерного сбора образовательным учреждением биометрических персональных данных несовершеннолетних. Организацию оштрафовали на 150 тыс. рублей.

С практической точки зрения можно выделить 5 основных групп правонарушений в сфере защиты персональных данных.

Нарушение условий обработки персональных данных

Обработка персональных данных в случаях, не предусмотренных законодательством (ч. 1 ст. 13.11 КоАП РФ)

ПРАКТИКА


Обработка персональных данных, не совместимая с целями их сбора (ч. 1 ст. 13.11 КоАП РФ)

Например, когда компания указывает, что собирает персональные данные для функционирования сайта, а на самом деле использует их в маркетинговых целях: для отправления рассылок и т.д.


ОТВЕТСТВЕННОСТЬ

Предупреждение или штраф для граждан от 1000 до 3000 рублей, для должностных лиц от 5000 до 10 000 рублей, для компаний – от 30 000 до 50 000 рублей.

Отсутствие согласия или нарушение требований к его содержанию (ч. 2 ст. 13.11 КоАП РФ)

При этом получение согласия в электронном виде путем проставления галочки не является нарушением.

ПРАКТИКА



ОТВЕТСТВЕННОСТЬ

Штраф для граждан от 3000 до 5000 рублей, для должностных лиц от 10 000 до 20 000 рублей, для компаний – от 15 000 до 75 000 рублей.

Невыполнение требований по защите персональных данных

Неопубликование документа, определяющего политику оператора в отношении обработки персональных данных (ч. 3 ст. 11.13 КоАП РФ)

ПРАКТИКА



ОТВЕТСТВЕННОСТЬ

Предупреждение или штраф для граждан от 700 до 1500 рублей, для должностных лиц от 3000 до 6000 рублей, для ИП – 5000 — 10 000 рублей, для компаний – от 15 000 до 30 000 рублей.

Необеспечение сохранности персональных данных при их неавтоматизированной обработке (ч. 6 ст. 13.11 КоАП РФ)

ПРАКТИКА



ОТВЕТСТВЕННОСТЬ

Предупреждение или штраф для граждан от 700 до 2000 рублей, для должностных лиц — от 4000 до 10 000 рублей, для ИП – 10 000 — 20 000 рублей, для компаний – от 25 000 до 50 000 рублей.

Нарушение обязанностей при взаимодействии с субъектами персональных данных

Невыполнение оператором обязанности предоставлять субъекту персональных данных информацию, касающуюся обработки его персональных данных (ч. 4 ст. 11.13 КоАП РФ)


ОТВЕТСТВЕННОСТЬ

Предупреждение или штраф для граждан от 1000 до 2000 рублей, для должностных лиц от 4000 до 6000 рублей, ИП – 10 000 — 15 000 рублей, для компаний – от 20 000 до 40 000 рублей.

Невыполнение оператором в срок требования субъекта персональных данных либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (ч. 5 ст. 11.13 КоАП РФ)

ПРАКТИКА


ОТВЕТСТВЕННОСТЬ

Штраф для граждан от 700 до 2000 рублей, для должностных лиц от 4000 до 10 000 рублей, для ИП – 10 000 — 20 000 рублей, для компаний – от 25 000 до 50 000 рублей.

Неисполнение обязанностей при взаимодействии с Роскомнадзором

Невыполнение в срок законного предписания (ч. 1 ст. 19.5 КоАП РФ)

ПРАКТИКА



ОТВЕТСТВЕННОСТЬ

Штраф для граждан от 300 до 500 рублей, для должностных лиц от 1000 до 2000 рублей или дисквалификация до трех лет, для компаний – от 10 000 до 20 000 рублей.

Непредставление сведений или информации (ст. 19.7 КоАП РФ)

ПРАКТИКА



ОТВЕТСТВЕННОСТЬ

Предупреждение или штраф для граждан от 100 до 300 рублей, для должностных лиц от 300 до 500 рублей, для компаний – от 3000 до 5000 рублей.

Нарушение требований о локализации баз данных

Обработка персональных данных без использования баз данных, находящихся на территории РФ, для записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан (ч. 5 ст. 18 Закона о ПД, ч. 8,9 ст. 13.11 КоАП РФ)

ПРАКТИКА



ОТВЕТСТВЕННОСТЬ

Штраф для граждан от 30 000 до 50 000 рублей, для должностных лиц от 100 000 до 200 000 рублей, для компаний – от 1 млн до 6 млн рублей. При повторном нарушении — для граждан от 50 000 до 100 000 рублей, для должностных лиц от 500 000 до 800 000 рублей, для компаний – от 6 млн до 18 млн рублей.

На заметку


В последнее время все чаще появляются новости об утечках персональных данных. В связи с этим Минюст разработал проект поправок в КоАП РФ.

Кодекс планируют дополнить новым составом административного правонарушения — невыполнение обязанности по соблюдению конфиденциальности персональных данных. За нарушение будут штрафы:

      • для должностных лиц – от 40 000 до 100 000 рублей,
      • для ИП — от 100 000 до 300 000 рублей,
      • для организаций — от 300 000 до 500 000 рублей.

Подготовлено по материалам онлайн-конференции «Актуальные вопросы персональных данных и электронного документооборота 2020»

Статьи по теме

Заполняем уведомление об обработке персональных данных в Роскомнадзор. Как избежать ошибок?

Если неправильно заполнить уведомление об обработке персональных данных, то впоследствии со стороны Роскомнадзора могут последовать штрафы. Например, бывает, что...

Подробнее