Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Новая ответственность за нарушение персональных данных с 27 марта 2021». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Объективная сторона рассматриваемого правонарушения заключается в нарушении установленного законом порядка сбора, хранения, использования или распространения персональных данных. В соответствии со ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц. Определения сбора и хранения персональных данных Закон не содержит, однако устанавливает, что под обработкой персональных данных следует понимать действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Разглашение и распространение персональных данных без согласия субъекта
Хранить, использовать, дополнять, копировать, блокировать и совершать другие операции с ПДн необходимо исключительно после того, как получено одобрение от субъекта. Причем человек должен дать официальное согласие в электронном либо письменном виде, предварительно ознакомившись с целями, методами, объемом и сроками обработки частных сведений. Если оператор действует самовольно и передает секретные данные иным лицам, то имеет место незаконное распространение персональных данных. Каким образом производится передача информации другим организациям, гражданам или общественности, не имеет значения, в любом случае за совершенные действия виновника накажут. Поводом для начала уголовного производства может служить как заявление субъекта в правоохранительные органы, так и инициатива надзорного органа, который обнаружил признаки несанкционированных операций в рамках плановой или внеплановой проверки.
Нарушением признается разглашение персональных данных без согласия владельца не только в том случае, если он не подписывал соответствующий документ, но и при отзыве ранее предоставленного разрешения. То есть нельзя продолжать обработку, если получили по всем правилам оформленное заявление об отзыве от гражданина либо его законного представителя.
Образец жалобы на незаконное использование персональных данных
В Федеральную службу по надзору в сфере защиты прав потребителей и благополучия человека
В Центральный банк Российской Федерации
От П.
Жалоба на использование персональных данных
Между мной, П., и ОАО «Уралвнешторгбанк» был заключен кредитный договор который был исполнен путем фактического исполнения в 2006 году. 2 месяца назад в мой адрес постоянно начали поступать звонки от лиц, представляющихся сотрудниками организации «Первое коллекторское бюро» с требованием оплатить задолженность по указанному выше кредиту 2 700 рублей. Однако кредит мной давно погашен, задолженности, в том числе пени я не имею, об указанных обстоятельствах я неоднократно сообщал звонившим мне работникам коллекторского агентства, однако никакого результата не последовало.
В настоящее время ОАО «Уралвнешторгбанк» не существует, поэтому обратиться в банк для урегулирования данного вопроса не представляется возможным.
В результате неправомерных действий сотрудников НАО «Первое коллекторское бюро» нарушается покой и благополучие моей семьи.
Кроме того, звонки поступают мне на работу, сотрудники коллекторского агентства в ходе этих телефонных разговоров вводят в заблуждение моих коллег и начальство, передавая им информацию, не соответствующую действительности, таким образом дискредитируя меня.
Звонки поступают со следующих номеров телефонов: …
Таким образом, необходимо сделать вывод что ПАО «Бинбанк», являющееся правопреемником ОАО «Уралвнешторгбанк» нарушило закон о банковской тайне и сообщило мои конфиденциальные данные третьим лицам.
В связи с давностью получения и выплаты кредита у меня не сохранилось никаких документов, ни кредитного договора, ни графика платежей, ни документов подтверждающих погашение кредита. В связи с вышеизложенным, считаю необходимым запросить ПАО «Бинбанк», сведения об отсутствии у меня задолженности по кредиту.
Ст. 26 Федерального закона о банках и банковской деятельности гласит, Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.
Как защитить персональные данные
Для защиты и ограничения доступа к персональным данным работодатель должен обеспечить качественную и современную систему их защиты. Как именно это сделать?
Этот вопрос решает каждый работодатель самостоятельно. Чиновниками утверждены меры по обеспечению безопасности персональных данных при их обработке (статья 19 Закона от 27 июля 2006 г. № 152-ФЗ и требованиях, установленных постановлением Правительства РФ от 1 ноября 2012 г. № 1119). Злоумышленники могут уничтожить, изменить, заблокировать, скопировать информацию, предоставить ее третьим лицам. Иногда несанкционированный доступ случайно получают люди, у которых нет дурных намерений. Но угрозу безопасности персональных данных это не исключает.
Примите меры, чтобы предотвратить несанкционированный доступ к персональным сведениям в базе данных.
1. Ограничьте доступ сотрудников к компьютерам.
2. Введите систему индивидуальных паролей. Их нужно периодически менять.
3. Храните диски и другие носители информации в запирающихся шкафах.
4. Закрепите процедуру защиты информации в положении.
Уголовная ответственность за разглашение персональных данных
Статья 137 Уголовного кодекса РФ посвящена нарушению персональных данных. Во-первых, состав преступления образуют действия как по незаконному сбору, так и по распространению сведений о частной жизни лица без его согласия. Это может быть семейная тайна, личная. А распространение — любые действия, в том числе в публичном выступлении, произведении или СМИ. Ответственность — штраф до 200 000 руб., либо обязательные работы (до 360 часов), принудительные работы (до 2 лет) с лишением права занимать определенные должности (до 3 лет), арест до 4 месяцев. Либо лишение свободы на срок до 2 лет с лишением права занимать определенные должности (до 3 лет).
Если сведения стали нарушителю доступны в связи с определенной службой, то наказание ужесточается. Равно как и публичное распространение сведений о лице, не достигшем 16 лет. Но не просто персональных данных о несовершеннолетнем, но описание полученных им в связи с преступлением физических или нравственных страданий, а также данных, указывающих на его личность по уголовному делу.
Сколько согласий запрашивать?
В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.
Это согласие работодатели уже давно должны были запросить у работников.
К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).
В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.
Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.
Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.
Ответственность за нарушение законодательства
Согласно ч. 1 ст. 6 закона № 152 для обработки личных сведений необходимо получить согласие лица, которому они принадлежат. Использование персональных данных без согласия по общему правилу является нарушением закона и влечет за собой привлечение ответственного за их обработку к дисциплинарной, административной и даже уголовной ответственности (ч. 1 ст. 24 закона № 152).
Так, работодатель может объявить должностному лицу — работнику организации выговор за ненадлежащее исполнение им своих должностных обязанностей или уменьшить размер стимулирующей выплаты (премии), при условии что такой вид наказания предусмотрен действующим на предприятии коллективным договором или иным локальным документом.
Административная ответственность за обработку данных без согласия лица, которому они принадлежат, предусматривает наложение на нарушителя штрафа в размере (ч. 2 ст. 13.11 КоАП РФ):
- 6–10 тыс. руб. — на граждан;
- 20–40 тыс. руб. — на должностных лиц;
- 30–150 тыс. руб. — на юридических лиц.
ВНИМАНИЕ! С 27.03.2021 года выросли штрафы за нарушения при работе с персональными данными. Подробности см. здесь.
Уголовная ответственность наступает за незаконный сбор сведений о частной жизни человека (в том числе о личной или семейной тайне), а также за неправомерный доступ к компьютерной информации, содержащей такие сведения (ст. 137, 272 УК РФ).
Кроме того, субъект персональных данных может потребовать от нарушителя возмещения причиненного ему морального вреда (ч. 2 ст. 24 закона № 152).
Часть 3 отличается от предыдущих частей более конкретной диспозицией. В соответствии с ней преступлением является разглашение данных о личности несовершеннолетнего (младше 16 лет) потерпевшего по уголовному делу либо о его травмах и нравственных страданиях, причинённых в результате преступления.
При этом разглашение должно иметь публичный характер:
Знаете ли ВыУголовная ответственность за разглашение коммерческой тайны подразумевает штрафы в пределах 500 000 — 1 500 000 рублей,
исправительные или принудительные работы или лишение свободы на срок от 3 до 7 лет.
Уголовная ответственность
Уголовная ответственность наступает в том случае, если были разглашены личные данные человека, создавшие угрозу его частной жизни, затронули его безопасность или предоставили для общего доступа сведения, которые не подлежат огласке и охраняются законами РФ. За подобные деяния отвечает статья 137 Уголовного Кодекса, именуемая «нарушение неприкосновенности частной жизни», которая включает в себя три пункта:
Часть первая статьи 137 УК РФ. Рассматривает незаконный сбор сведений о личной жизни гражданина, распространение этой информации, а так же распространение личных и семейных тайн гражданина посредством выступлений либо произведений для массовой демонстрации. Наказывается:
- Штрафом до 200 000 рублей;
- Штрафом в размере дохода виновного за полтора года;
- Обязательными работами до 360 часов;
- Исправительными работами сроком до года;
- Принудительными работами на 2 года;
- Четырьмя месяцами ареста;
- Двумя годами лишения свободы.
Часть вторая статьи 137 УК РФ. Рассматривает все то же преступление но с той оговоркой, что информация была получена или распространена с помощью служебного положения виновного. Наказывается следующими способами:
- 100 000 – 300 000 рублей штрафа;
- 4 года принудительных работ;
- 6 месяцев ареста;
- До 4 лет лишения свободы;
- Лишение права заниматься определенным видом деятельности, дающим полномочия, на срок до 5 лет.
Часть третья статьи 137 УК РФ. Она так же рассматривает распространение сведений публичным путем, но затрагивает только те данные, которые касаются преступлений, совершенных по отношению к несовершеннолетнему. А также совершенных путем причинения значительных физических или моральных страданий. То есть эта часть рассматривает распространение любых сведений, касающихся значительных преступлений и их влияния на личность потерпевшего. Наказанием будут выступать:
- Штраф от 150 000 до 300 000 рублей;
- Штраф в размере заработка виновного за период до 3х лет;
- До 5 лет принудительных работ;
- До 6 месяцев ареста;
- До 5 лет лишения свободы;
- Запрет на ведение деятельности, дающей определенные полномочия, на срок до 6 лет.
Ответственность за нарушение закона о персональных данных
Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.
Таблица 1. «Виды ответственности за нарушение закона о персональных данных»
Вид ответственности
Нарушение
Санкция
Норма
Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации
Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.
Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных
Предупреждение или административный штраф:
- на граждан – от 1 тыс. до 3 тыс. руб.;
- на должностных лиц – от 5 тыс. до 10 тыс. руб.;
- на юридических лиц – от 30 тыс. до 50 тыс. руб.
Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие
- на граждан – от 3 тыс. до 5 тыс. руб.;
- на должностных лиц – от 10 тыс. до 20 тыс. руб.;
- на юридических лиц – от 15 тыс. до 75 тыс. руб.
Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных
Предупреждение или административный штраф:
- на граждан – от 700 до 1 тыс. руб.;
- на должностных лиц – от 3 тыс. до 6 тыс. руб.;
- на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.;
- на юридических лиц – от 15 тыс. до 30 тыс. руб.
Ситуации из практики: что изменится с 1 июля
Пример 1. Должностное лицо без согласия человека разгласил зарплату, премию, вознаграждение по договору, передал данные должников в юридическую фирму, чтобы составить исковые заявления или разместил копию заявления человека в качестве образца на стенде с образцами других заявлений. С 1 июля 2021 г. инспекторы Роскомнадзора квалифицируют такое нарушение как разглашение персональных данных без письменного согласия от человека или по письменному согласию, которое оформлено с нарушениями и выдадут постановление об административном правонарушении и назначат штраф: на учреждение – от 15 000 до 75 000 руб., на должностное лицо – от 10 000 до 20 000 руб. (ч. 2 ст. 13.11 КоАП РФ).
Пример 2. Бухгалтер не предоставил сотруднику расчетный листок, справку, сведения о страховом стаже и другие документы, в которых есть персонифицированные сведения о человеке. С 1 июля 2021 г. инспекторы Роскомнадзора квалифицируют такое нарушение как сокрытие от человека его персональных данных и назначат штраф: на учреждение – от 20 000 до 40 000 руб., на бухгалтера – от 4000 до 6000 руб. (ч. 4 ст. 13.11 КоАП РФ).
Пример 3. Должностное лицо отказался принять к обработке новые паспортные данные человека, банковские реквизиты или другую изменяющую информацию – за такое нарушение инспекторы могут назначить штраф на учреждение – от 25 000 до 45 000 руб, а на должностное лицо – от 4000 до 10 000 руб.
Пример 4. Должностное лицо небрежно работает с документами, персональные сведения о сотруднике стали известны другим лицам из-за того, что он оставил на столе без присмотра или вынес с рабочего места справки, расчетные листки, другие документы с персональными данными или потерял эти документы. С 1 июля 2021 г. инспекторы Роскомнадзора квалифицируют такое нарушение как невыполнение требования человека уточнить, блокировать или уничтожить его персональные данные и назначат штраф: на учреждение – от 25 000 до 50 000 руб., а на бухгалтера – от 4000 до 10 000 руб. (ч. 6 ст. 13.11 КоАП РФ).
Пример 5. Должностное лицо передает имена, адреса, телефоны и другие данные сотрудников организациям, действующим в рекламных целях коллекторским агентствам или другим третьим лицам. С 1 июля 2021 г. инспекторы Роскомнадзора квалифицируют такое нарушение как обработку персональных данных, когда это не предусмотрено законами и не соответствуют целям сбора персональных данных и назначат штраф на учреждение – от 30 000 до 50 000 руб., а на бухгалтера – от 5000 до 10 000 руб. (ч. 1 ст. 13.11 КоАП РФ).
Персональные данные — это любые сведения о физическом лице
На первый взгляд так и есть.
«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (ч.1 ст.3 ФЗ «О персональных данных»).
Однако если переложить данную норму на обычный язык, персональными данными являются только те сведения, на основе которых можно установить личность человека или которые относятся к человеку, личность которого бесспорно известна.
Проверим тезис на информации о номере телефона или адресе электронной почты. У вас нет легального доступа к абонентской базе или базе пользователей почтового сервиса. Следовательно, сами по себе данные сведения не позволяют установить личность человека, который ими пользуется.
Персональные данные: что грозит за нарушение закона
Работодатель, принимая сотрудника на работу, запрашивает у него определенные сведения. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и какая ответственность за их несоблюдение ждет нарушителей.
Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
К персональным данным могут быть отнесены:
- фамилия, имя, отчество;
- пол, возраст;
- образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
- место жительства;
- семейное положение, наличие детей, родственные связи;
- факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
Кстати, сведения о заработной плате относятся к персональным данным.
Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».