Статья из журнала «ГЛАВНАЯ КНИГА» актуальна на 24 июля 2017 г.
Содержание журнала № 15 за 2017 г.Утечка персональных данных подорожала
Поскольку с персональными данными (ПД) имеют дело почти все организации и предприниматели (в частности, если есть работники или клиенты-физлица), то и под штраф может попасть любая фирма или ИП, которые не соблюдают установленные законом требования. В частности, если они:
•обрабатывают избыточные ПД по отношению к целям их обработки или не уничтожают документы с ПД после достижения целей обработкич. 5, 7 ст. 5, ч. 4 ст. 21 Закона от 27.07.2006 № 152-ФЗ (далее — Закон № 152-ФЗ); Постановления ФАС СКО от 21.04.2014 № А53-13327/2013; 15 ААС от 14.03.2014 № 15АП-22502/2013. Так, в одном случае компанию оштрафовали за то, что она хранила копии паспортов сотрудников в их личных делах. А в другом случае основанием для штрафа послужило то, что фирма-исполнитель продолжала хранить переданные заказчиком ПД должников после того, как закончила работу по взысканию с них задолженности;
•обрабатывают ПД работников без их письменного согласия, когда оно требуется (в частности, не заручившись согласием, вывешивают фото на доске почета или на сайте, передают ПД банку для целей перечисления зарплаты, или охранному предприятию для оформления пропуска для прохода на территорию работодателя, или заказчику в заявке на участие в тендере для подтверждения кадровых ресурсов)ст. 88 ТК РФ; ч. 1 ст. 8 Закона № 152-ФЗ; Письма Роструда от 13.05.2011 № 1302-6-1; Минэкономразвития от 02.10.2015 № ОГ-Д28-12951.
Справка
Персональные данные — это любая информация о гражданине (ф. и. о., паспортные данные, сведения о зарплате и т. д.), а любые действия с ней (в том числе сбор, хранение) — это обработка персональных данных, на которую в ряде случаев требуется его согласиепп. 1, 3 ст. 3 Закона № 152-ФЗ; Письма Роскомнадзора от 20.01.2017 № 08АП-6054, от 07.02.2014 № 08КМ-3681. Так, в частности, передача данных без согласия лица будет неправомерной, если она не требуется для исполнения (заключения) договора с ним и не предусмотрена законом, а разглашенных сведений достаточно для однозначной идентификации лицап. 1 ст. 3, ч. 1 ст. 6, ст. 7 Закона № 152-ФЗ; Постановление 9 ААС от 08.06.2016 № 09АП-20280/2016.
Чтобы пресечь рост числа нарушений законодательства в области ПД, власти повысили штрафы за них, а также дифференцировали их в зависимости от вида нарушения. И теперь штрафы взимаются в следующих размерах.
Правонарушение | Размер штрафа, тыс. руб. | ||
для организаций | для ИП | для должностных лиц | |
Обработка ПД в случаях, не предусмотренных законодательством, либо несовместимая с целями сбора ПДч. 1 ст. 13.11 КоАП РФ | 30—50 | — | 5—10 |
Обработка ПД без письменного согласия гражданина либо с нарушением требований к составу сведений, включаемых в такое согласиеч. 2 ст. 13.11 КоАП РФ | 15—75 | — | 10—20 |
Неопубликование документа, определяющего политику в отношении обработки ПД, или сведений о реализуемых требованиях к защите ПДч. 3 ст. 13.11 КоАП РФ | 15—30 | 5—10 | 3—6 |
Непредоставление гражданину информации, касающейся обработки его ПДч. 4 ст. 13.11 КоАП РФ | 20—40 | 10—15 | 4—6 |
Невыполнение в срок требования гражданина или уполномоченного органа об уточнении ПД, их блокировании или уничтожении, если ПД неполные, устаревшие, неточные, незаконно полученные либо не нужны для заявленной цели обработкич. 5 ст. 13.11 КоАП РФ | 25—45 | 10—20 | 4—10 |
Необеспечение сохранности ПД при их неавтоматизированной обработке, повлекшее неправомерный или случайный доступ к ним, их уничтожение, изменение, копирование, распространение и т. п.ч. 6 ст. 13.11 КоАП РФ | 25—50 | 10—20 | 4—10 |
* * *
Обратите внимание, что отныне протоколы по таким делам составляют (а затем передают материалы в суд) органы Роскомнадзора, а не прокурорып. 58 ч. 2 ст. 28.3 КоАП РФ. При этом срок давности привлечения к ответственности остался прежним — 3 месяца со дня совершения правонарушенияч. 1 ст. 4.5, ч. 1 ст. 23.1 КоАП РФ. Соответственно, за пределами этого срока суд уже не вправе выносить постановление об административном правонарушении.