Положениями ст. 90 ТК РФ установлено, что лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, предусмотренном ТК РФ и иными федеральными законами, а также к гражданско-правовой, административной и уголовной ответственности в порядке, определенном федеральными законами. Напомним, что отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов РФ, иными государственными органами (далее – государственные органы), органами местного самоуправления, другими муниципальными органами (далее – муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, регулируются нормами Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).
Пунктом 2 ст. 23 Закона о персональных данных установлено, что уполномоченный орган по защите прав субъектов персональных данных[1] имеет право привлекать к административной ответственности лиц, виновных в нарушении положений этого закона. Размер административной ответственности за нарушение законодательства о персональных данных предусмотрен ст. 13.11 КоАП РФ. В действующей сейчас редакции названной статьи установлено, что нарушение требований гл. 14 ТК РФ, Закона о персональных данных, Федерального закона от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страховании» и других законов, определяющих порядок сбора, хранения, использования или распространения информации о гражданах (персональных данных), влечет предупреждение или наложение административного штрафа:
- на должностных лиц – в размере от 500 до 1 000 руб.;
- на юридических лиц – в размере от 5 000 до 10 000 руб.
В силу Федерального закона от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» ст. 13.11 КоАП РФ изложена в новой редакции. Данным законом детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Новая редакция этой статьи начнет применяться с 1 июля 2017 года. Начиная с этой даты административная ответственность за нарушения в области персональных данных будет такой (приведем положения п. 1 – 2 ст. 13.11 КоАП РФ в форме таблицы).
Вид нарушения | Размер штрафа, руб. | |
Для юридических лиц | Для должностных лиц | |
Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо их обработка, несовместимая с целями сбора персональных данных, за исключением случаев, указанных ниже в этой таблице, если эти действия не содержат уголовно наказуемого деяния | От 30 000 до 50 000 | От 5 000 до 10 000 |
Обработка персональных данных без согласия в письменной форме субъекта персональных данных на их обработку в случае, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния | От 15 000 до 75 000 | От 10 000 до 20 000 |
Обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, отражаемых в согласии субъекта персональных данных на их обработку в письменной форме | От 15 000 до 75 000 | От 10 000 до 20 000 |
В пунктах 3 – 7 ст. 13.11 КоАП РФ установлена административная ответственность оператора в случае нарушения им требований законодательства в области обработки, хранения и предоставления персональных данных. Напомним, что в силу ст. 3 Закона о персональных данных оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, автономное учреждение при обработке, хранении персональных данных и совершении с ними других действий согласно Закону о персональных данных является оператором и к нему применяется ответственность, установленная п. 3 – 7 ст. 13.11 КоАП РФ.
Рассмотрим, за какие противоправные действия оператор привлекается к административной ответственности и каков размер штрафа за такие действия (заметим, что не все перечисленные в таблице нарушения актуальны для автономных учреждений).
Вид нарушения | Размер штрафа, руб. | |
Для юридических лиц | Для должностных лиц | |
Невыполнение предусмотренной законодательством РФ в области персональных данных обязанности по опубликованию документа, определяющего политику оператора в отношении обработки персональных данных, или сведений о реализуемых требованиях к защите персональных данных либо обеспечению иным образом неограниченного доступа к ним | От 15 000 до 30 000 | От 3 000 до 6 000 |
Невыполнение предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных | От 20 000 до 40 000 | От 4 000 до 6 000 |
Невыполнение оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки | От 25 000 до 45 000 | От 4 000 до 6 000 |
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния | От 25 000 до 50 000 | От 4 000 до 10 000 |
Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по их обезличиванию | От 3 000 до 6 000 | |
[1] Таким органом является Роскомнадзор (разд. 5 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утв. Постановлением Правительства РФ от 16.03.2009 № 228).
Начать дискуссию