Кадровый учет

Нарушения по персональным данным, за которые с 1 июля 2017 новые штрафы

С 1 июля 2017 года ответственность за нарушение персональных данных серьезно ужесточится. Какие именно нарушения подпадают под новые виды ответственности?

С 1 июля 2017 года ответственность за нарушение персональных данных серьезно ужесточится. Какие именно нарушения подпадают под новые виды ответственности?

В июле вступает в силу новая редакция ст. 13.11 КоАП РФ. Она предусматривает штрафы за нарушение Закона о персональных данных. Только теперь вместо одного состава нарушения с максимальным штрафом на организацию 10 тыс. рублей эта статья содержит семь составов нарушений с максимальным штрафом 75 тыс. рублей. Поэтому стоит понять, какие нарушения под какие части обновленной статьи подпадают. Узнать это поможет данная Актуальная тема. Она создана на основе анализа более 100 судебных решений по ст. 13.11 КоАП РФ, часть которых представлена в качестве примеров нарушений по новым частям этой статьи.

Использование номера телефона для рекламной рассылки

Часть 1 ст. 13.11 КоАП РФ в новой редакции предусматривает ответственность за:

1) обработку персональных данных в случаях, не предусмотренных законодательством;

2) обработку, несовместимую с целями их сбора.

Санкции: предупреждение или штраф:

  •  на граждан – от 1  до 3 тыс. рублей;
  •  на должностных лиц – от 5  до 10 тыс. рублей;
  •  на юридических лиц – от 30  до 50 тыс. рублей

1. К обработке персональных данных в случаях, не предусмотренных законодательством, относятся, например, следующие ситуации.

1.1. Требование об указании сведений о родственниках в заявлении на получение кредита

Банк включил в заявление-анкету на предоставление кредита графы для указания персональных данных родственников: родителей, мужа/жены и совершеннолетних детей. С точки зрения банка он имеет право запрашивать у заемщика эти сведения, так как кредитные обязательства родственников могут повлиять на расчет кредита для него.

Однако это нарушает Закон № 152-ФЗ.

Родственники заемщика ни клиентами, ни заемщиками банка не являются, и кредитный договор с ними не заключается. Согласия на передачу и обработку своих персональных данных они банку также не давали. Поэтому возложение банком на заемщика обязанности указать информацию о них в заявлении-анкете является прямым нарушением ст. 6 Закона № 152-ФЗ, – решили Роскомнадзор и судьи (Постановление Арбитражного суда Уральского округа от 22.12.2016 № Ф09-10782/16, Постановление Самарского областного суда от 08.08.2016 № 4а-847/2016).

1.2. Предоставление персональных сведений о гражданах по адвокатскому запросу

Адвокат обратился в отдел УФМС с адвокатским запросом о выдаче адресной справки на гражданина для предоставления мировому судье. Чиновники отказали в этом, сославшись на Закон «О персональных данных».

Адвокат пожаловался на них в суд, но судьи решили, что миграционная служба была права, поскольку предоставление информации о персональных данных субъекта по адвокатскому запросу федеральным законодательством не предусмотрено.

Закрепленное же в Законе об адвокатуре право адвоката собирать сведения, необходимые для оказания юридической помощи, и обязанность соответствующего органа предоставить такую информацию, не распространяются на установленные законом конфиденциальные сведения (Определение Верховного Суда РФ от 12.05.2010 № 49-В10-5).

2. К обработке персданных, несовместимой с целями их сбора, относятся, например, следующие ситуации.

2.1. Использование телефонного номера для рассылки рекламных сообщений

Гражданин при оформлении кредита в банке подписал согласие на обработку своих персональных данных. В числе этих данных был указан номер мобильного телефона. Банк стал присылать на этот номер сообщения рекламного характера. В них говорилось о предварительном одобрении кредита на определенную сумму по определенной ставке и предлагалось получить его в отделении.

Прокуратура и суд признали данную рассылку обработкой персональных данных, несовместимой с целями сбора этих данных. Гражданин предоставил их банку в целях оформления кредита, а не для получения на свой номер телефона рекламных рассылок. Направление данных СМС-сообщений с предложением взять у банка кредит не имеет отношения к ранее заключенному кредитному договору с банком. Следовательно, направление банком этих сообщений являлось незаконным (Апелляционное определение Новосибирского областного суда от 02.04.2015 № 33-2662/2015).

2.2. Использование личных данных гражданина из одного дела для другого дела

Адвокат обратился в районный суд для ознакомлении с материалами гражданского дела о взыскании ущерба от затопления квартиры. Сфотографировал материалы, но полученную информацию, в том числе персональные данные гражданина-истца – паспортные данные, данные о месте работы и занимаемой должности, сведения о личной жизни и состоянии здоровья, – использовал не в интересах коллегии адвокатов, а в личных интересах по уголовному делу частного обвинения.

Суд решил, что адвокат нарушил Закон № 152-ФЗ, так как использовал полученные персданные на в тех целях, в которых он их получил (Постановление Тюменского областного суда от 20.07.2011 № 7-3-307/2011).

Можно привести пример, когда подозреваемое нарушение на самом деле не имеет места: компания хранит персональные данные уволенных сотрудников: Ф.И.О., пол, дату рождения, паспортные данные, адрес регистрации).

Тот факт, что люди уже уволены и не находятся с компанией в каких-либо договорных отношения, не означает, что она не имеет права хранить (то есть обрабатывать) их персональные данные. Ведь в силу ст. 17 Закона об архивном деле организации и ИП обязаны обеспечивать сохранность архивных документов, в том числе документов по личному составу, в течение сроков их хранения, установленных федеральными законами и иными нормативными правовыми актами. Поэтому в данной ситуации компания не нарушает Закон о персональных данных (Постановление Ярославского областного суда от 15.02.2013 № 4А-21/2013).

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС "Консультант Плюс"

Отсутствие доступа к политике сайта по работе с личными данными

Часть 3 ст. 13.11 КоАП РФ в новой редакции предусматривает ответственность за невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или к сведениям о реализуемых требованиях к их защите.

Санкции: предупреждение или штраф:

  •  на граждан – от 700 до 1,5 тыс. рублей;
  •  на должностных лиц – от 3  до 6 тыс. рублей;
  •  на индивидуальных предпринимателей – от 5  до 10 тыс. рублей;
  •  на юридических лиц – от 15  до 30 тыс. рублей

К случаям невыполнения оператором названной обязанности относится, например, следующий.

К форме обратной связи не прикреплена ссылка на политику обработки персональных данных

На сайте организации размещена форма обратной связи, состоящая из трех элементов: «Ваше имя», «Тема сообщения», «Сообщение». Компания заблуждалась, полагая, что эти сведения не подпадают под персональные данные. Подпадают. Поэтому организация должна была опубликовать и обеспечить неограниченный доступ к документу, определяющему политику организации в отношении обработки персональных данных, а также к сведениям о реализуемых требованиях к защите персональных данных (Постановление Тамбовского областного суда от 04.10.2016 № 4А-288/2016).

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС "Консультант Плюс"

Отказ сообщить гражданину о правилах обработки его данных

Часть 4 ст. 13.11 КоАП РФ в новой редакции предусматривает ответственность за невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его данных.

Санкции: предупреждение или штраф:

  •  на граждан – от 1  до 2 тыс. рублей;
  •  на должностных лиц – от 4  до 6 тыс. рублей;
  •  на индивидуальных предпринимателей – от 10  до 5 тыс. рублей;
  •  на юридических лиц – от 20  до 40 тыс. рублей.

Под данный состав подпадает нарушение ч. 7 ст. 14 Закона № 152-ФЗ, согласно которой субъект персональных данных имеет право на получение следующей информации относительно обработки своих данных:

  •  подтверждение факта обработки;
  •  правовые основания и цели обработки;
  •  сроки обработки и  хранения данных;
  •  цели и применяемые оператором способы обработки;
  •  наименование и место нахождения оператора;
  •  лица, которые имеют доступ к данным;
  •  обрабатываемые персональные данные, источник их получения;
  •  порядок осуществления гражданином прав, предусмотренных Законом № 152-ФЗ;
  •  информация о состоявшейся или предполагаемой трансграничной передаче данных;
  •  наименование или Ф.И.О. и адрес лица, осуществляющего обработку данных по поручению оператора;
  •  иные сведения, предусмотренные законом или другими федеральными законами.

Практики привлечения к ответственности за данное нарушение в рамках прежней редакции ст. 13.11 КоАП РФ не имеется.

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС "Консультант Плюс"

Отказ уточнить или удалить персональные данные

Часть 5 ст. 13.11 КоАП РФ в новой редакции предусматривает ответственность за невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо уполномоченного органа об уточнении данных, их блокировании или уничтожении, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Санкции: предупреждение или штраф:

  •  на граждан – от 1  до 2 тыс. рублей;
  •  на должностных лиц – от 4  до 10 тыс. рублей;
  •  на индивидуальных предпринимателей, на должностных лиц – от 4  до 6 тыс. рублей;
  •  на юридических лиц – от 25  до 45 тыс. рублей.

К случаям невыполнения оператором названного требования относится, например, следующий.

Отказ закрыть доступ к интернет-базе с личными данными предпринимателей

В Управление Роскомнадзора поступило обращение индивидуального предпринимателя. Он жаловался на компанию, которая предоставляла любым юридическим и физическим лицам платные услуги по формированию для них выписок из ЕГРЮЛ и ЕГРИП. Выписки содержали персональные данные граждан – индивидуальных предпринимателей: Ф.И.О., дату и место рождения, гражданство, пол, регистрационные данные.

Роскомнадзор счел, что компания фактически является оператором, обрабатывающим персональные данные граждан без их на то согласия, и потребовал прекратить эту деятельность. Суд поддержал чиновников (Апелляционное определение Омского областного суда от 17.09.2014 № 33-5967/2014).

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС "Консультант Плюс"

Необеспечение сохранности данных, повлекшее доступ к ним

Часть 6 ст. 13.11 КоАП РФ в новой редакции предусматривает штрафы за невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность данных при хранении материальных носителей таких данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к ним, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния.

Штраф:

  •  на граждан – от 700  до 2 тыс. рублей;
  •  на должностных лиц – от 4  до 10 тыс. рублей;
  •  на индивидуальных предпринимателей – от 10  до 20 тыс. рублей;
  •  на юридических лиц – от 25  до 50 тыс. рублей

Данный новый состав нарушения ослабил ответственность за несохранность данных. Дело в том, что он предусматривает наложение санкций только в том случае, когда необеспечение сохранности привело к каким-либо негативным последствиям: неправомерному или случайному доступу к персональным данным. В то время как ранее штраф мог налагаться за сам факт необеспечения сохранности. Пример такого случая ниже.

Анкеты с персональными данными хранятся в картонных коробках в шкафу без замка

Коллекторское бюро было уличено в том, что анкеты заемщиков (должников), содержащие персональные данные, и использование которых уже было завершено, в установленном порядке не были уничтожены. При этом они хранились в картонных коробках в шкафу без запирающего устройства.

За отсутствие актов об уничтожении использованных персональных данных и за то, что агентство не обеспечило ограничение доступа третьих лиц к указанным данным, был назначен штраф (Постановление Псковского областного суда от 14.07.2016 N 4А-103/2016).

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС "Консультант Плюс"

Оформление пропуска по паспорту – только с согласия его владельца

Фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, относятся к биометрическим персональным данным.

В соответствии с ч. 1 ст. 11 Закона «О персональных данных» обработка биометрических персональных данных в подобных случаях может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.

Исключением являются случаи, предусмотренные ч. 2 данной статьи: связанные с осуществлением правосудия и исполнением судебных актов, предусмотренные законодательством об обороне, безопасности, противодействии терроризму, транспортной безопасности, противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательстве, о порядке выезда из страны и въезда в нее.

В иных случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Закона «О персональных данных» не регулируются. Соответственно, обработка сведений в данных случаях осуществляется согласно общим требованиям, установленным данным законом.

Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность.

РАЗЪЯСНЕНИЯ Роскомнадзора
«О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»

Документ включен в СПС "Консультант Плюс"

Комментарии

1
  • НатальяС
    на индивидуальных предпринимателей – от 10 до 5 тыс. рублей;

    что-то не то здесь

Правительство, регионы и инвесторы готовятся к созданию круглогодичных морских курортов России

Заместитель председателя правительства Дмитрий Чернышеко заявил, что «Пять морей и озеро Байкал» — это сейчас самый масштабный туристический проект в новейшей истории России.

Курсы повышения
квалификации

18
Официальное удостоверение с занесением в госреестр Рособрнадзора

Как ИП не слететь с патента и другие хитрости, связанные с патентной системой налогообложения

Как ИП не оказаться на грани лишения преимуществ патентной системы налогообложения. Узнайте из статьи, как соблюдать установленные лимиты и о возможностях сэкономить. А также выясните как оптимально снижать размер платежей по патенту на страховые взносы.

Как ИП не слететь с патента и другие хитрости, связанные с патентной системой налогообложения
1
14

Роскомнадзор дал 3 памятки, как настроить приватность и ограничить сообщения от незнакомцев

При общении в мессенджерах и социальных сетях Роскомнадзор рекомендует проявить особую осторожность, так как их часто используют злоумышленники для вовлечения в противоправные действия: террористическую деятельность и другие серьезные преступления.

Лучшие спикеры, новый каждый день

Читатели «Клерка» начнут разбираться в автоматизации сквозных бизнес-процессов

Автоматизация для многих бухгалтеров кажется чем-то сложным и непонятным, но компания Северсталь ЦЕС в своем блоге докажет, что цифровые продукты и IT-сервисы существенно облегчают бизнес-процессы.

Читатели «Клерка» начнут разбираться в автоматизации сквозных бизнес-процессов

Можно ли удержать с сотрудников стоимость обучения

Работодатели готовы оплачивать учебу, но встает вопрос и о защите средств. Часто — если сотрудник увольняется преждевременно, с него пытаются возместить стоимость. Законно ли это?

Иллюстрация: Вера Ревина/Клерк.ру

Кадровый аутсорсинг: в чем выгода

Штрафы за неправильное ведение кадрового делопроизводства достигают в некоторых случаях 200–500 тыс. руб., а проверки ГИТ в последнее время происходят все чаще. 

Кадровый аутсорсинг: в чем выгода
Опытом делятся эксперты-практики, без воды

Верховный суд: ВТБ будет платить НДС за лицензии Microsoft

Поставщик программного обеспечение выиграл суд с банком ВТБ. После изменения налогового законодательства ему пришлось заплатить НДС по сублицензионному договору. Теперь программный НДС будет возмещать ВТБ.

41

Часть команды, часть корабля? Как теперь сотрудничать с самозанятыми без штрафов и доначислений в налоговую: 3 совета от юриста

С первого марта вступил в силу новый приказ Минтруда, и он серьезно затронет ваш бизнес, если вы работаете с самозанятыми. Государство решило заняться теми, кто пытается обходить налоги, и ваши отношения с самозанятыми исполнителями будут под особым контролем.

До 1 апреля надо сдать бухотчетность за 2023 год

Организации на всех режимах налогообложения должны сдавать бухгалтерскую отчетность не позднее 3-х месяцев после окончания отчетного года. Крайний срок сдачи за 2023 год – 01.04.2024 включительно.

55
ПСН

🔨 ИП на ПСН должен сам оказывать услуги, а не перезаказывать их у других ИП. Эксперт: достаточно спорная позиция Минфина

Заключение предпринимателем договоров субподряда с другими ИП не вписывается в рамки патента.

130

Кредиты и не только: способы финансирования предпринимателей

В 2023 году количество малых и средних предприятий в России увеличилось на 500 тыс. — до 6,3 млн. Это стало рекордом за всю историю существования реестра МСП.

Кредиты и не только: способы финансирования предпринимателей

ТОП-15 курсов по 1С:Документоборот (делопроизводство) в 2024 году

В этой статье мы собрали платные и бесплатные курсы по 1С:Документообороту.

ТОП-15 курсов по 1С:Документоборот (делопроизводство) в 2024 году
Миникурсы, текстовые и видеоинструкции для бухгалтеров
Банки

Клиенты ВТБ будут получать кешбэк в рублях

ВТБ по программе мультибонусов будет начислять кешбэк в реальных рублях. Клиенты могут установить избранные категории товаров для получения повышенных бонусов до 25% с покупок.

59

🏃 Какие выплаты положены работнику при увольнении переводом. Эксперт: допвыплаты на уровне закона были бы странными

Если сотрудник увольняется переводом к другому работодателю, то никаких выходных пособий и компенсаций в ТК за это не предусмотрено.

156

Руководители рассказали, почему готовы отказаться от должности. Исследование

Больше трети руководителей в России готовы отказаться от своей должности, чтобы начать строить карьеру в новой профессии.

Инвесторы жалуются на «Лукойл» из-за сокрытия финансовой отчетности

Компания в отчетности по МСФО за 2023 год не сравнила результаты с прошлым годом, ссылаясь на постановление, которое перестало действовать.

42

Электронный документооборот в сфере строительства: зачем он нужен современному предприятию 

Перевод бизнес-процессов в цифровое поле — больше, чем просто тренд. Это принятие вызовов времени и необходимость для тех компаний, которые ориентированы на масштабирование и активное развитие.

Электронный документооборот в сфере строительства: зачем он нужен современному предприятию 

Верховный Суд поддержал рекомендации Роспотребнадзора обеспечивать водой и спецодеждой работающих в жару

ВС РФ признал законными Рекомендации по работе в условиях сильной жары и повышенных температур, изданные Роспотребнадзором.

Бесплатно с Кадры

Кадровое законодательство 2024: изменения и дополнения. Мини-курс с видео, конспектом и тестами

Обо всех изменениях кадрового законодательства, нововведениях в ТК, нюансах заполнения ЕФС-1 и новых формах налоговой отчетности рассказываем в мини-курсе.

Кадровое законодательство 2024: изменения и дополнения. Мини-курс с видео, конспектом и тестами

Интересные материалы

Обновления на «Клерке». Все уже заметили?

Даже самый качественный сайт со временем устаревает. Нужны обновления и модернизация. Сегодня на «Клерке» все это произошло. Кто самый наблюдательный? Кто заметил? Что бы вы еще хотели поменять?

Обновления на «Клерке». Все уже заметили?
8
83