Нарушения по персональным данным, за которые с 1 июля 2017 новые штрафы

С 1 июля 2017 года ответственность за нарушение персональных данных серьезно ужесточится. Какие именно нарушения подпадают под новые виды ответственности?

В июле вступает в силу новая редакция ст. 13.11 КоАП РФ. Она предусматривает штрафы за нарушение Закона о персональных данных. Только теперь вместо одного состава нарушения с максимальным штрафом на организацию 10 тыс. рублей эта статья содержит семь составов нарушений с максимальным штрафом 75 тыс. рублей. Поэтому стоит понять, какие нарушения под какие части обновленной статьи подпадают. Узнать это поможет данная Актуальная тема. Она создана на основе анализа более 100 судебных решений по ст. 13.11 КоАП РФ, часть которых представлена в качестве примеров нарушений по новым частям этой статьи.

Часть 1 ст. 13.11 КоАП РФ в новой редакции предусматривает ответственность за:

1) обработку персональных данных в случаях, не предусмотренных законодательством;

2) обработку, несовместимую с целями их сбора.

Санкции: предупреждение или штраф:

•  на граждан – от 1  до 3 тыс. рублей;
•  на должностных лиц – от 5  до 10 тыс. рублей;
•  на юридических лиц – от 30  до 50 тыс. рублей

1. К обработке персональных данных в случаях, не предусмотренных законодательством, относятся, например, следующие ситуации.

1.1. Требование об указании сведений о родственниках в заявлении на получение кредита

Банк включил в заявление-анкету на предоставление кредита графы для указания персональных данных родственников: родителей, мужа/жены и совершеннолетних детей. С точки зрения банка он имеет право запрашивать у заемщика эти сведения, так как кредитные обязательства родственников могут повлиять на расчет кредита для него.

Однако это нарушает Закон № 152-ФЗ.

Родственники заемщика ни клиентами, ни заемщиками банка не являются, и кредитный договор с ними не заключается. Согласия на передачу и обработку своих персональных данных они банку также не давали. Поэтому возложение банком на заемщика обязанности указать информацию о них в заявлении-анкете является прямым нарушением ст. 6 Закона № 152-ФЗ, – решили Роскомнадзор и судьи (Постановление Арбитражного суда Уральского округа от 22.12.2016 № Ф09-10782/16, Постановление Самарского областного суда от 08.08.2016 № 4а-847/2016).

1.2. Предоставление персональных сведений о гражданах по адвокатскому запросу

Адвокат обратился в отдел УФМС с адвокатским запросом о выдаче адресной справки на гражданина для предоставления мировому судье. Чиновники отказали в этом, сославшись на Закон «О персональных данных».

Адвокат пожаловался на них в суд, но судьи решили, что миграционная служба была права, поскольку предоставление информации о персональных данных субъекта по адвокатскому запросу федеральным законодательством не предусмотрено.

Закрепленное же в Законе об адвокатуре право адвоката собирать сведения, необходимые для оказания юридической помощи, и обязанность соответствующего органа предоставить такую информацию, не распространяются на установленные законом конфиденциальные сведения (Определение Верховного Суда РФ от 12.05.2010 № 49-В10-5).

2. К обработке персданных, несовместимой с целями их сбора, относятся, например, следующие ситуации.

2.1. Использование телефонного номера для рассылки рекламных сообщений

Гражданин при оформлении кредита в банке подписал согласие на обработку своих персональных данных. В числе этих данных был указан номер мобильного телефона. Банк стал присылать на этот номер сообщения рекламного характера. В них говорилось о предварительном одобрении кредита на определенную сумму по определенной ставке и предлагалось получить его в отделении.

Прокуратура и суд признали данную рассылку обработкой персональных данных, несовместимой с целями сбора этих данных. Гражданин предоставил их банку в целях оформления кредита, а не для получения на свой номер телефона рекламных рассылок. Направление данных СМС-сообщений с предложением взять у банка кредит не имеет отношения к ранее заключенному кредитному договору с банком. Следовательно, направление банком этих сообщений являлось незаконным (Апелляционное определение Новосибирского областного суда от 02.04.2015 № 33-2662/2015).

2.2. Использование личных данных гражданина из одного дела для другого дела

Адвокат обратился в районный суд для ознакомлении с материалами гражданского дела о взыскании ущерба от затопления квартиры. Сфотографировал материалы, но полученную информацию, в том числе персональные данные гражданина-истца – паспортные данные, данные о месте работы и занимаемой должности, сведения о личной жизни и состоянии здоровья, – использовал не в интересах коллегии адвокатов, а в личных интересах по уголовному делу частного обвинения.

Суд решил, что адвокат нарушил Закон № 152-ФЗ, так как использовал полученные персданные на в тех целях, в которых он их получил (Постановление Тюменского областного суда от 20.07.2011 № 7-3-307/2011).

Можно привести пример, когда подозреваемое нарушение на самом деле не имеет места: компания хранит персональные данные уволенных сотрудников: Ф.И.О., пол, дату рождения, паспортные данные, адрес регистрации).

Тот факт, что люди уже уволены и не находятся с компанией в каких-либо договорных отношения, не означает, что она не имеет права хранить (то есть обрабатывать) их персональные данные. Ведь в силу ст. 17 Закона об архивном деле организации и ИП обязаны обеспечивать сохранность архивных документов, в том числе документов по личному составу, в течение сроков их хранения, установленных федеральными законами и иными нормативными правовыми актами. Поэтому в данной ситуации компания не нарушает Закон о персональных данных (Постановление Ярославского областного суда от 15.02.2013 № 4А-21/2013).

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС "Консультант Плюс"

Часть 3 ст. 13.11 КоАП РФ в новой редакции предусматривает ответственность за невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или к сведениям о реализуемых требованиях к их защите.

Санкции: предупреждение или штраф:

•  на граждан – от 700 до 1,5 тыс. рублей;
•  на должностных лиц – от 3  до 6 тыс. рублей;
•  на индивидуальных предпринимателей – от 5  до 10 тыс. рублей;
•  на юридических лиц – от 15  до 30 тыс. рублей

К случаям невыполнения оператором названной обязанности относится, например, следующий.

К форме обратной связи не прикреплена ссылка на политику обработки персональных данных

На сайте организации размещена форма обратной связи, состоящая из трех элементов: «Ваше имя», «Тема сообщения», «Сообщение». Компания заблуждалась, полагая, что эти сведения не подпадают под персональные данные. Подпадают. Поэтому организация должна была опубликовать и обеспечить неограниченный доступ к документу, определяющему политику организации в отношении обработки персональных данных, а также к сведениям о реализуемых требованиях к защите персональных данных (Постановление Тамбовского областного суда от 04.10.2016 № 4А-288/2016).

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС "Консультант Плюс"

Часть 4 ст. 13.11 КоАП РФ в новой редакции предусматривает ответственность за невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его данных.

Санкции: предупреждение или штраф:

•  на граждан – от 1  до 2 тыс. рублей;
•  на должностных лиц – от 4  до 6 тыс. рублей;
•  на индивидуальных предпринимателей – от 10  до 5 тыс. рублей;
•  на юридических лиц – от 20  до 40 тыс. рублей.

Под данный состав подпадает нарушение ч. 7 ст. 14 Закона № 152-ФЗ, согласно которой субъект персональных данных имеет право на получение следующей информации относительно обработки своих данных:

•  подтверждение факта обработки;
•  правовые основания и цели обработки;
•  сроки обработки и  хранения данных;
•  цели и применяемые оператором способы обработки;
•  наименование и место нахождения оператора;
•  лица, которые имеют доступ к данным;
•  обрабатываемые персональные данные, источник их получения;
•  порядок осуществления гражданином прав, предусмотренных Законом № 152-ФЗ;
•  информация о состоявшейся или предполагаемой трансграничной передаче данных;
•  наименование или Ф.И.О. и адрес лица, осуществляющего обработку данных по поручению оператора;
•  иные сведения, предусмотренные законом или другими федеральными законами.

Практики привлечения к ответственности за данное нарушение в рамках прежней редакции ст. 13.11 КоАП РФ не имеется.

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС "Консультант Плюс"

Часть 5 ст. 13.11 КоАП РФ в новой редакции предусматривает ответственность за невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо уполномоченного органа об уточнении данных, их блокировании или уничтожении, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Санкции: предупреждение или штраф:

•  на граждан – от 1  до 2 тыс. рублей;
•  на должностных лиц – от 4  до 10 тыс. рублей;
•  на индивидуальных предпринимателей, на должностных лиц – от 4  до 6 тыс. рублей;
•  на юридических лиц – от 25  до 45 тыс. рублей.

К случаям невыполнения оператором названного требования относится, например, следующий.

Отказ закрыть доступ к интернет-базе с личными данными предпринимателей

В Управление Роскомнадзора поступило обращение индивидуального предпринимателя. Он жаловался на компанию, которая предоставляла любым юридическим и физическим лицам платные услуги по формированию для них выписок из ЕГРЮЛ и ЕГРИП. Выписки содержали персональные данные граждан – индивидуальных предпринимателей: Ф.И.О., дату и место рождения, гражданство, пол, регистрационные данные.

Роскомнадзор счел, что компания фактически является оператором, обрабатывающим персональные данные граждан без их на то согласия, и потребовал прекратить эту деятельность. Суд поддержал чиновников (Апелляционное определение Омского областного суда от 17.09.2014 № 33-5967/2014).

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС "Консультант Плюс"

Часть 6 ст. 13.11 КоАП РФ в новой редакции предусматривает штрафы за невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность данных при хранении материальных носителей таких данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к ним, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния.

Штраф:

•  на граждан – от 700  до 2 тыс. рублей;
•  на должностных лиц – от 4  до 10 тыс. рублей;
•  на индивидуальных предпринимателей – от 10  до 20 тыс. рублей;
•  на юридических лиц – от 25  до 50 тыс. рублей

Данный новый состав нарушения ослабил ответственность за несохранность данных. Дело в том, что он предусматривает наложение санкций только в том случае, когда необеспечение сохранности привело к каким-либо негативным последствиям: неправомерному или случайному доступу к персональным данным. В то время как ранее штраф мог налагаться за сам факт необеспечения сохранности. Пример такого случая ниже.

Анкеты с персональными данными хранятся в картонных коробках в шкафу без замка

Коллекторское бюро было уличено в том, что анкеты заемщиков (должников), содержащие персональные данные, и использование которых уже было завершено, в установленном порядке не были уничтожены. При этом они хранились в картонных коробках в шкафу без запирающего устройства.

За отсутствие актов об уничтожении использованных персональных данных и за то, что агентство не обеспечило ограничение доступа третьих лиц к указанным данным, был назначен штраф (Постановление Псковского областного суда от 14.07.2016 N 4А-103/2016).

«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)

Документ включен в СПС "Консультант Плюс"

Фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, относятся к биометрическим персональным данным.

В соответствии с ч. 1 ст. 11 Закона «О персональных данных» обработка биометрических персональных данных в подобных случаях может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.

Исключением являются случаи, предусмотренные ч. 2 данной статьи: связанные с осуществлением правосудия и исполнением судебных актов, предусмотренные законодательством об обороне, безопасности, противодействии терроризму, транспортной безопасности, противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательстве, о порядке выезда из страны и въезда в нее.

В иных случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Закона «О персональных данных» не регулируются. Соответственно, обработка сведений в данных случаях осуществляется согласно общим требованиям, установленным данным законом.

Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность.

РАЗЪЯСНЕНИЯ Роскомнадзора
«О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»

Документ включен в СПС "Консультант Плюс"