С 1 июля 2017 года вступает в силу Федеральный закон от 07.02.2017 N 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который ужесточает ответственность, а также увеличивает штрафы за нарушения при взаимодействии с персональными данными физических лиц.
Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников. Из положений закона можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего с персональными данными.
Расширяется перечень оснований для привлечения к административной ответственности в области защиты персональных данных, вместо единственного вида административной ответственности, который описан в статье 13.11 КоАП РФ, появляется семь:
1. Обработка персональных данных в «иных» целях
С 1 июля 2017 года обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями сбора персональных данных – самостоятельные виды административного нарушения (ч. 1 ст. 13.11 КоАП РФ). Ответственность по этой статье может быть предупреждение или административные штрафы:
- на граждан – от 1000 до 3000 руб.;
- на должностных лиц – 5000 до 10 000 руб.;
- на юридических лиц – от 30 000 до 50 000 руб.
2. Обработка персональных данных без согласия
Обработка персональных данных работодателем, по общему правилу, возможна только с письменного согласия работников.
С 1 июля 2017 года обработка персональных данных без согласия работника в письменной форме, либо если письменное согласие не содержит обозначенных выше сведений – это самостоятельное административное нарушение, предусмотренное в части 2 статьи 13.11 КоАП РФ. За него возможны штрафы:
- на граждан – от 3000 до 5000 руб.;
- на должностных лиц – от 10 000 до 20 000 руб.;
- на организации - от 15 000 до 75 000 руб.
3. Доступ к политике по обработке персональных данных
Оператор персональных данных (например, работодатель или интернет-сайт) обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
С 1 июля 2017 года в части 3 статьи 13.11 КоАП РФ выделен самостоятельный состав правонарушения – невыполнение оператором обязанности по публикации или предоставлению неограниченного доступа к документу с политикой по обработке персональных данных или сведениями по их защите. Ответственность по этой статье может быть предупреждение или штрафы:
- на граждан – от 700 до 1500 руб.;
- на должностных лиц – от 3000 до 6000 руб.;
- на индивидуальных предпринимателей – от 5000 до 10 000 руб.;
- на организации – от 15 000 до 30 000 руб.
4. Сокрытие информации
Субъект персональных данных (то есть, физическое лицо, кому принадлежат эти данные) имеет право на получение информации, касающейся обработки его персональных данных.
С 1 июля 2017 года невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, является самостоятельным административным нарушением. Ответственность по этой статье может быть предупреждение или штрафы:
- на граждан – от 1000 до 2000 руб.;
- на должностных лиц – от 4000 до 6000 руб.;
- на индивидуальных предпринимателей – 10 000 до 15 000 руб.;
- на юридических лиц – от 20 000 до 40 000 руб.
5. Уточнение или блокировка
Статья 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» предусматривает, что в ряде случаев оператор обязан уточнять, блокировать или уничтожать персональные данные физических лиц.
С 1 июля 2017 года введен новый вид административного нарушения – невыполнение оператором требования субъекта персональных данных или его представителя об уточнении, блокировке, уничтожении данных (если данные неполные, устаревшие, неточные, незаконно получены или не являются необходимыми для заявленной цели обработки). Такие действия с 1 июля 2017 года влекут предупреждение или наложение штрафов:
- на граждан – от 1000 до 2000 руб.;
- на должностных лиц – от 4000 до 10 000 рублей;
- на ИП – от 10 000 до 20 000 рублей;
- на юридических лиц – 25 000 до 45 000 руб.
6. Сохранность персональных данных
Многие работодатели собирают персональные данные работников только «на бумаге» и не ведут никакой автоматизированной обработки, не имеют специальных программ для обработки и за данных. С 1 июля 2017 года законодатели выделили для таких операторов (в частности, работодателей) новый вид правонарушения за необеспечение оператором при обработке персональных данных без использования средств автоматизации обязанности по сохранности персональных данных при хранении их материальных носителей, если это привело к неправомерному или случайному доступу к персональным данным. А это, в свою очередь, послужило причиной их уничтожения, изменения, блокирования, копирования, предоставления, распространения либо иного неправомерного действия. Если это произошло, то административная ответственность может наступить в виде штрафа:
- на граждан – 700 до 2000 руб.;
- на должностных лиц – от 4000 до 10 000 руб;
- на индивидуальных предпринимателей – от 10 000 до 20 000 руб;
- на организации – от 25 000 до 50 000 руб.
7. Обезличивание
Под обезличиванием персональных данных можно понимать процесс, в результате которого становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному человеку (ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).
С 1 июля 2017 года невыполнение должностными лицами государственного или муниципального органа – оператора персональных данных обязанностей по обезличиванию персональных данных либо за нарушение требований к этому процессу – административное нарушение. Возможна ответственность в виде предупреждения или наложения штрафа на должностных лиц в размере от 3000 до 6000 рублей.
Таким образом, за различные нарушения в сфере персональных данных можно будет применять разные штрафы. Если нарушение по разным составам выявят несколько, то количество штрафов может увеличиваться.
Привлекать к ответственности и возбуждать дела по административным правонарушениям, связанных с персональными данными до 1 июля 2017 года был вправе исключительно прокурор. Это предусмотрено частью 1 ст. 28.4 КоАП РФ. С 1 июля 2017 года участие прокурора будет необязательным. С указанной даты дела по статье 13.11 КоАП будут вправе возбуждать должностные лица Роскомнадзора. Следовательно, процедура привлечения к ответственности по делам о персональных данных становится проще.