Последствия не соблюдения 152-фз

Ответственность работодателя за нарушения закона «О персональных данных»


Вступившие в силу с лета 2017 года поправки к статье 13.11 Кодекса об административных правонарушениях РФ ужесточили контроль за деятельностью организаций, занимающихся сбором, обработкой и хранением персональных данных.

Сейчас работа компаний с персональными данными жестко регламентируется, а санкции за нарушения для физических и юридических лиц стали значительней. Все это направлено на более качественную защиту субъекта персональных данных.

Если еще три года назад за любое нарушение в работе с персональными данными физические лица подвергались штрафу в 1 тыс. рублей, а юридические — в 10 тыс. рублей, то с введением поправок в ст. 13.11. КоАП РФ размер штрафов возрос в 5-10 раз.

При этом, нарушения при работе по сбору, обработке и хранению персональных данных получили четкий состав. Это позволяет определять различный размер штрафов физическим и юридическим лицам за неисполнение того или иного пункта ст. 13.11. КоАП РФ, а также суммировать штрафы в случае нескольких правонарушений операторами персональных данных.

Статьей 11.13 КоАП РФ предусмотрены шесть основных видов нарушений в работе с персональными данными, которые влекут за собой различные санкции для граждан, должностных и физических лиц, а в отдельных случаях — для индивидуальных предпринимателей.

  1. Основание для привлечения к ответственности: обработка персональных данных, несовместимых с целями их сбора.

Возможный штраф: на граждан — от 1 до 3 тысяч рублей, на должностных лиц — от 5 до 10 тысяч рублей, на юридических лиц — от 30 до 50 тысяч рублей.

Как избежать: получая персональные данные, работодатель обязан иметь четко сформулированную цель обработки по каждой их составляющей. При сборе тех или иных персональных данных необходимо четко следовать отраслевым нормам, профессиональным стандартам, а также должностными инструкциями и иными локальными актами.

  1. Основание для привлечения к ответственности: обработка персональных данных без согласия в письменной форме субъекта этих персональных данных на их обработку, либо обработка персональных данных с нарушением требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на их обработку

Возможный штраф: на граждан — от 3 до 5 тысяч рублей, на должностных лиц — от 10 до 20 тысяч рублей, на юридических лиц — от 15 до 75 тысяч рублей.

Как избежать: работодатель должен получить согласие на обработку персональных данных от работника, соискателя (за исключением соискателей, чьи данные предоставлены кадровыми агентствами, с которыми у соискателя был заключен договор) или наследника (в случае смерти субъекта персональных данных). Содержание письменного согласия на обработку персональных данных регламентируется ч.4 ст. 9 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных». 3. Основание для привлечения к ответственности: неисполнение требования по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных.

Возможный штраф: на граждан — от 700 до 1500 рублей, на должностных лиц — от 3 до 6 тысяч рублей, на индивидуальных предпринимателей — от 5 до 10 тысяч рублей, на юридических лиц — от 15 до 30 тысяч рублей.

Как избежать: работодатель обязан разместить на сайте положение о персональных данных. В случае, если компания не имеет собственного сайта, подобная информация может быть размещена на сайте, принадлежащем третьему лицу, при этом само положение должно содержать информацию об адресе такого сайта в сети Интернет. Если работодатель не использует сеть Интернет, допустимо размещение положения в общедоступном месте в офисе/на производстве по аналогии с размещением информации о защите прав потребителей в торговых точках. 4. Основание для привлечения к ответственности: невыполнение обязанности по предоставлению субъекту персональных данных информации, касающейся их обработки.

Возможный штраф: на граждан — от 1 до 2 тысяч рублей, на должностных лиц — от 4 до 6 тысяч рублей, на индивидуальных предпринимателей — от 10 до 15 тысяч рублей, на юридических лиц — от 20 до 40 тысяч рублей.

Как избежать: работодатель, в случае прямого обращения работника, обязан предоставить ему полную информацию об имеющихся персональных данных. Доверенные лица работника имеют право получить доступ к его персональным данным в случае получения работодателем письменной доверенности от сотрудника с указанием конкретного лица.

  1. Основание для привлечения к ответственности: невыполнение оператором в регламентированные сроки требования об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Возможный штраф: на граждан — от 1 до 2 тысяч рублей, на должностных лиц — от 4 до 10 тысяч рублей, на индивидуальных предпринимателей — от 10 до 20 тысяч рублей, на юридических лиц — от 25 до 45 тысяч рублей.

Как избежать: при получении требования от субъекта персональных данных, его представителя или уполномоченного органа по защите прав субъектов персональных данных заявления об уточнении персональных данных, их блокировании или уничтожении, работодатель обязан исполнить требование в соответствии со сроками, установленными ст. 21 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных».

  1. Основание для привлечения к ответственности: невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий сохранности персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных.

Возможный штраф: на граждан — от 700 до 2000 рублей, на должностных лиц — от 4 до 10 тысяч рублей, на индивидуальных предпринимателей — от 10 до 20 тысяч рублей, на юридических лиц — от 25 до 50 тысяч рублей. .

Как избежать: этим пунктом установлена ответственность за необеспечение сохранности персональных данных (при отсутствии их автоматизированной обработки) в случаях, когда было допущено их разглашение, не повлекшее совершение преступления. Уголовное законодательство предусматривает ответственность за незаконное использование персональных данных для регистрации юридических лиц, ведения реестра владельцев ценных бумаг, фальсификации собраний акционеров, уклонения от исполнения обязанности военной службы и иных ситуаций, связанных с использованием подложных документов.