Новые штрафы за обработку персональных данных с 1 июля 2017 года

Что изменится с 1 июля 2017 года

С 1 июля 2017 года резко возрастет штраф за неправильную работу с персональными данными. Максимальный размер одного штрафа – 75 тыс. руб. В рамках одной проверки Роскомнадзор может обнаружить несколько разных нарушений. Тогда он взыщет сразу несколько штрафов.

Больше всего рискуют организации и предприниматели, которые через свой сайт собирают контакты физических лиц. Например, предлагают посетителям сайта оставить свои данные, чтобы сотрудник организации перезвонил и подробнее рассказал о ее услугах или товарах. Если сбор данных на сайте организован неправильно, сотрудники Роскомнадзора легко это обнаружат.

С 1 июля статья 13.11 будет действовать в новой редакции (Федеральный закон от 7 февраля 2017 г. № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»). Она будет включать в себя семь составов.

Сейчас статья 13.11 КоАП РФ состоит из одного общего состава. Максимальный штраф по ней – 10 тыс. руб.

В таблице описаны все эти семь новых составов и описано, какие обязанности надо выполнять, чтобы избежать штрафа по каждому из них. Примеры из практики показывают, как суды рассматривали дела по таким нарушениям еще при прежнем размере штрафа.

Часть статьи 13.11 КоАП РФ с 1 июля 2017 года За какие действия накажут оператора персональных данных Какое наказание Примеры судебных решений по нарушениям, за которые сейчас привлекают по статье 13.11 КоАП РФ, а после 1 июля будут уже по соответствующей части Что делать, чтобы избежать штрафа
1 1. Обрабатывает персональные данные в случаях, которые не предусмотрел Закон о персональных данных. Например, интернет-магазин запрашивает избыточную информацию о потребителе – требует скан паспорта, водительских прав, свидетельства ИНН.

2. Обрабатывает персональные данные в целях несовместимых с теми, которые заявлялись. Например, гражданин указал электронную почту для покупки в интернет-магазине, а магазин воспользовался адресом и рассылает рекламу.

Привлекут к ответственности по части 1, только когда действия не подпадают:

·         под часть 2 или

·         состав преступления

 

Предупреждение или штраф:

·         гражданам – от 1 тыс. до 3 тыс. руб.;

·         должностному лицу и предпринимателю – от 5 тыс. до 10 тыс. руб.;

·         организации – от 30 тыс. до 50 тыс. руб.

Постановление Тамбовского областного суда от 6 апреля 2012 г. по делу № 4-а-32 Обрабатывать данные только:

·         в случаях, которые предусмотрел закон;

·         в целях, которые заявлялись

 

2 1. Обрабатывает персональные данные без письменного согласия лица, когда такое согласие требует закон. Например, собирает и хранит специальные персональные данные – информацию о здоровье, политических взглядах, вероисповедании.

Состав распространяется только на случаи, когда в действиях нет признаков преступления.

2. Нарушает требования закона к составу сведений, которые нужно включить в согласие субъекта персональных данных на обработку его персональных данных. Например, не перечислил третьих лиц, которым будет передавать персональные данные

Штраф:

·         гражданам – от 3 тыс. до 5 тыс. руб.;

·         должностному лицу и предпринимателю – от 10 тыс. до 20 тыс. руб.;

·         организации – от 15 тыс. до 75 тыс. руб.

 

Постановление Верховного суда Республики Саха (Якутия) от 29 октября 2015 г. № 4а-547/2015;

Постановление Пермского краевого суда от 22 мая 2015 г. по делу № 44а-401/2015;

Постановление Самарского областного суда от 8 августа 2016 г. № 4а-847/2016

1. Получить согласие субъекта персональных данных на обработку его персональных данных.

2. Включить в согласие необходимые сведения

3 Не опубликовал на сайте или по-другому не обеспечил неограниченный доступ:

·         к документу, который определяет политику оператора в отношении обработки персональных данных, или

·         к сведениям о реализуемых требованиях к защите персональных данных

 

Предупреждение или штраф:

·         гражданам – от 700 руб. до 1,5 тыс. руб.;

·         должностному лицу – от 3 тыс. до 6 тыс. руб.;

·         предпринимателю – от 5 тыс. до 10 тыс. руб.;

·         организации – от 15 тыс. до 30 тыс. руб.

 

Постановление Тамбовского областного суда от 4 октября 2016 г. по делу № 4А-288/2016 Опубликовать на сайте общедоступные ссылки:

·         на Политику организации в отношении обработки персональных данных и

·         иные сведения о требованиях к защите персональных данных

 

4 Не предоставил субъекту персональных данных информации, которая касается обработки его персональных данных Предупреждение или штраф:

·         – гражданам – от 1 тыс. до 2 тыс. руб.;

·         должностному лицу – от 4 тыс. до 6 тыс. руб.;

·         предпринимателю – от 10 тыс. до 15 тыс. руб.;

·         организации – от 20 тыс. до 40 тыс. руб.

 

Предоставлять информацию по запросу в течение 30 дней (ч. 1 ст. 20 Закона о персональных данных)
5 Не выполнил в срок требования:

·         об уточнении персональных данных;

·         о блокировании или уничтожении.

Оператор обязан это сделать, когда персональные данные:

·         утратили актуальность, неполные, неточные, незаконно получены или

·         не отвечают заявленной цели обработки персональных данных.

Эти требования вправе предъявить:

·         субъект персональных данных или его представитель либо

·         уполномоченный орган по защите прав субъектов персональных данных

 

Предупреждение или штраф:

·         гражданам – от 1 тыс. до 2 тыс. руб.;

·         должностному лицу – от 4 тыс. до 10 тыс. руб.;

·         предпринимателю – от 10 тыс. до 20 тыс. руб.;

·         организации – от 25 тыс. до 45 тыс. руб.

 

Уточнить, блокировать или уничтожить персональные данные по требованию владельца в течение установленных сроков
6 Не обеспечил условия, которые необходимы, чтобы:

·         сохранить персональные данные при хранении материальных носителей;

·         исключить несанкционированный доступ к ним.

Состав распространяется только на случаи, когда:

1) обрабатывают персональные данные без средств автоматизации;

2) отсутствует состав уголовного преступления;

3) произошел неправомерный или случайный доступ к персональным данным; или их уничтожили, изменили, блокировали, копировали, передали, распространили или совершили иные неправомерные действия.

Например, оператор:

·         не оформил список лиц, которые допущены к обработке информации;

·         не организовал раздельное хранение данных

 

Штраф:

·         гражданам – от 700 руб. до 2 тыс. руб.;

·         должностному лицу – от 4 тыс. до 10 тыс. руб.;

·         предпринимателю – от 10 тыс. до 20 тыс. руб.;

·         организации – от 25 тыс. до 50 тыс. руб.

 

Постановление Самарского областного суда от 22 августа 2016 г. № 4а-907/2016 Обеспечить безопасность персональных данных при неавтоматизированной обработке
7 Не выполнил:

·         обязанности по обезличиванию персональных данных;

·         требования по обезличиванию персональных данных.

Состав распространяется только на государственные и муниципальные органы

Предупреждение или штраф должностному лицу – от 3 тыс. до 6 тыс. руб. Выполнять Требования и методы по обезличиванию персональных данных, которые утвердил Роскомнадзор приказом от 5 сентября 2013 г. № 996

Внимание! В Уголовном кодексе РФ есть две статьи, по которым могут привлечь, если нарушить Закон о персональных данных

  1. Нарушение неприкосновенности частной жизни (ст. 137 УК РФ).
  2. Неправомерный доступ к компьютерной информации (ст. 272 УК РФ)