Ответственность за нарушение законодательства о персональных данных
2024-10-26 18:42
Обращение с персональными данными физических лиц регламентировано ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных».
Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному физическому лицу, который является субъектом персональных данных: Ф.И.О., паспортные данные, ИНН, СНИЛС, номера телефонов, сведения о семейном, социальном и имущественном положении и т.д.
Все, ктозанимаются обработкой персональных данных (далее - ПД), являются операторами ПД (обработка ПД - это сбор, систематизация, хранение, уточнение, использование, распространение, удаление ПД).
Иными словами, любое юридическое лицо является оператором ПД, в связи с тем, что занимаются их обработкой:
своих сотрудников (с кем заключены трудовые договоры);
подрядчиков, работающих по договорам ГПХ;
клиентов компании, которые сообщают свои личные данные для заключения договора или обработки заказа;
посетителей, которым выписывают разовый пропуск для прохода на территорию компании и т.д.
Федеральный закон от 14.07.2022 №266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» изменил правила работы с персональными данными. Так, с 1 сентября 2022 года все работодатели должны быть внесены в Реестр операторов персональных данных и обязаны уведомлять Роскомнадзор об обработке личной информации своих работников.
Но, предельный срок уведомления Роскомнадзора об обработке персональных данных не определен. Таким образом, 1 сентября 2022 года не является крайним сроком подачи уведомления об обработке персональных данных.
Операторы ПД также обязаны:
1. Уведомлять Роскомнадзор о намерении обрабатывать персональные данные;
2. Соблюдать принципы обработки данных;
3. Обрабатывать данные, только когда это допускает закон, в соответствии с целевым назначением для которых собирались такие данные;
4. Получать согласие на обработку персональных данных;
5. Опубликовывать политику в отношении обработки персональных данных;
6. Предоставлять доступ к персональным данным их владельцам;
7. Уточнять, блокировать или уничтожать персональные данные по требованию владельца;
8. Обеспечивать безопасность персональных данных при обработке;
9. Обрабатывать данные на российских серверах;
10. Назначать ответственное лицо;
11. Уведомлять, что производится видеосъемка в помещении;
12. Наказывать за разглашение персональных данных.
За нарушение Закона о персональных данных установлена административная, дисциплинарная и уголовнаяответственность.
Причем административная ответственность все больше ужесточается. 12 декабря 2023 года был принят закон об увеличении штрафов по частям 2 и 2.1 статьи 13.11 КоАП РФ. (штрафы выросли до 1,5 млн руб.).
За обработку персональных данных без согласия субъекта персональных данных в письменной форме, в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, либо за обработку персональных данных с нарушением установленных требований к составу сведений, включаемых в такое согласие - юридических лиц могут привлечь к административной ответственности в виде штрафа в размере от 300 тыс. до 700 тыс. рублей. За повторное совершение штраф увеличивается от 1 млн. руб. до 1, 5 млн. руб. (п.2.1 ст. 13.11 КоАП РФ (новая редакция с декабря 2023г.)).
За невыполнение оператором предусмотренной законодательством РФ обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, юридических лиц могут привлечь к административной ответственности в виде штрафа в размере от 40 тыс. до 80 тыс. руб. (п.4 ст.13.11.КоАП РФ).
Кроме это, если субъект ПД обратится в суд, то он имеет право на компенсацию морального вреда, возмещения убытков, взыскания неустойки.
Дисциплинарная ответственность установлена в ст. 90 ТК РФ.
Нарушение законодательства о защите персональных данных может повлечь уголовную ответственность.
Специальной нормы об ответственности за нарушение Закона о персональных данных в Уголовном кодексе РФ нет. Однако действия лица, нарушившего правила работы с персональными данными могут образовать состав преступления из числа предусмотренных Уголовным кодексом РФ.
В частности, уголовная ответственность установлена:
1. за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия (ч. 1 ст. 137 УК РФ);
2. неправомерный доступ к компьютерной информации, в результате которого произошло уничтожение, блокирование, модификация (изменение) или копирование информации (ч. 1 ст. 272 УК РФ);
3. неправомерный отказ должностного лица в представлении гражданину документов и материалов, собранных в установленном порядке и непосредственно затрагивающих его права и свободы гражданина (ст. 140 УК РФ).
Чтобы обезопасить себя, каждая компания, ИП, которые занимаются сбором, обработкой и другими операциями с ПД должны иметь внутренние документы, обеспечивающие защиту от распространения, утечки ПД. Их тщательно изучают в рамках проверок сотрудники Роскомнадзора и Роструда и при выявлении нарушений накладывают штрафы.
Наша юридическая контора поможет вам разработать документы для защиты персональных данных. В случае необходимости, защитить интересы вашей организации/компании в суде.