Персональные данные — одна из наиболее востребованных тем в последнее время. Интерес к ней вызван предстоящими с июля текущего года изменениями административной ответственности. Сейчас максимальный размер штрафа составляет десять тысяч рублей на юридическое лицо и одна тысяча рублей на должностное лицо - за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных.
Вышла долгожданная новая редакция статьи 13.11 Кодекса РФ об административных нарушениях.
За что накажут? Во-первых, отмечу, что новая редакция статьи разрослась до 7 частей — с указанием специального состава. То есть наказывать будут за конкретные, а не за общие правонарушения.
Проверку надлежащей обработки персональных данных будет проводить Роскомнадзор.
Порядок проведения проверок определен приказом Министерства связи и массовых коммуникаций Российской Федерации от 14 ноября 2011 г. N312 «Об утверждении административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных».
Самым «дорогим» будет штраф за обработку персональных данных без письменного согласия субъекта (если такое требование предусмотрено законом), а также за неуказание в согласии обязательных условий, которые в нем должны быть в соответствии со статьей 9 федерального закона «О персональных данных» от 27.07.2006 года.
Наличие письменной формы согласия работника на обработку персональных данных обязательно, например, при обработке биометрических персональных данных и спецкатегорий персональных данных о расовой, национальной принадлежности, политических и религиозных убеждениях.
Размер административного штрафа после вступления в силу изменений будет составлять: на должностных лиц — от 10 000 до 20 000 рублей, на юридических лиц — от 15 000 до 75 000 рублей.
Предполагаю, что применение ответственности будет аналогично процессу с трудовыми договорами в соответствии со статьей 5.27 Кодекса РФ об административных нарушениях — за каждый неправильно оформленный документ. Покажет это первый срез инспекционной практики во второй половине 2017 года.
Административной ответственности точно не избежать, если локальный нормативный акт по работе с персональными данными не будет размещен на сайте компании либо к нему не будет обеспечен неограниченный доступ (речь о положениях, регламентах и других локальных актах по персональным данным, оформленным в организации).
В такой ситуации размер штрафа за нарушение статьи 18.1 федерального закона №152-Ф для должностных лиц составит от 3000 до 6000 рублей, на юридических лиц — 15000—30000 рублей.
В соответствии с законом, субъект персональных данных, будь то работник или другое лицо, вправе запросить у работодателя, как осуществляется обработка его персональных данных, и работодатель обязан предоставить эту информацию.
При невыполнении данной обязанности работодателю грозит предупреждение или наложение административного штрафа: на должностное лицо — от 4000 до 6000 рублей, на юридическое лицо — от 20000 до 40000 рублей. При этом работник может направить работодателю запрос или обратиться устно: требования к содержанию запроса установлены законодательно.
В случае, если субъект требует уточнить персональные данные, блокировать или уничтожить их, или в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными, не являются необходимыми для обработки, работодатель обязан прекратить обработку или уничтожить персональные данные. Неисполнение требования влечет предупреждение или наложение административного штрафа: на должностных лиц — от 4000 до 10000 рублей, на юридических лиц — от 25000 до 45000 рублей.
Это далеко не все нарушения, за которые предусмотрена административная ответственность. Минимизировать наказание можно, если:
· иметь письменные согласия работников, соискателей, третьих лиц;
· принять локальный нормативный акт или локальные нормативные акты по обеспечению защиты персональных данных;
· опубликовать его на сайте или обеспечить к нему/ним неограниченный доступ для ознакомления;
· зарегистрироваться в качестве оператора персональных данных;
· иметь уполномоченного по организации обработки персональных данных;
· обеспечить законную обработку персональных данных в информационных системах;
· в организации должны приниматься меры по защите персональных данных при обработке.
Мария Финатова, партнер юридической компании «Митрофанова и партнеры»