Меню

Актуально









Публикация

3 Мая 2017Административная ответственность за нарушения в области персональных данных


А. Гусев

к. п. н., эксперт журнала «Силовые министерства и ведомства: бухгалтерский учет и налогообложение»

01.07.2017 вступит в силу Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее – Федеральный закон № 13-ФЗ), направленный на повышение эффективности реализации мер административной ответственности в области персональных данных, обеспечение защиты прав субъектов персональных данных. Об этих изменениях мы и расскажем в статье.

Что поднимется под персональными данными?

Напомним, что под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Закона о персональных данных[1]).

К персональным данным можно отнести любую информацию, которая получена от работника, или информацию о работнике, которая позволяет идентифицировать именно его.

К такой информации, в частности, можно отнести следующие сведения:

– ФИО, в том числе прежние;

– дату и место рождения;

– гражданство;

– адрес места жительства (места регистрации);

– семейное, социальное и имущественное положение;

– образование, специальность, профессию;

– номера контактных телефонов;

– сведения о доходах, имуществе и имущественных обязательствах.

Заметим, что перечень персональных данных, обрабатываемых в учреждении в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций, должен быть утвержден приказом органа государственной власти (п. 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных, утвержденного Постановлением Правительства РФ от 21.03.2012 № 211). Например, перечень персональных данных, обрабатываемых МВД, утвержден Приказом МВД РФ от 29.12.2016 № 925 «О некоторых вопросах обработки персональных данных в МВД России».

За что предусмотрена ответственность?

В соответствии со ст. 90 ТК РФ лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом и иными федеральными законами, а также к гражданско-правовой, административной и уголовной ответственности в порядке, предусмотренном федеральными законами.

Административная ответственность за совершение правонарушения в области персональных данных определена в ст. 13.11 КоАП РФ.

Напомним, что административным правонарушением признается противоправное, виновное действие (бездействие) физического или юридического лица, за которое КоАП РФ установлена административная ответственность (ч. 1 ст. 2.1 КоАП РФ). Юридические лица подлежат административной ответственности за совершение административных правонарушений в случаях, предусмотренных статьями разд. II КоАП РФ или законами субъектов РФ об административных правонарушениях (ч. 1 ст. 2.10 КоАП РФ). Юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него была возможность соблюдения правил и норм, за нарушение которых КоАП РФ или законами субъекта РФ предусмотрена административная ответственность, но оно не приняло все зависящие от него меры по их соблюдению (ч. 2 ст. 2.1 КоАП РФ).

Согласно ст. 2.4 КоАП РФ административной ответственности подлежит должностное лицо в случае совершения им административного правонарушения в связи с неисполнением либо ненадлежащим исполнением своих служебных обязанностей. Под должностным лицом понимается лицо, постоянно, временно или в соответствии со специальными полномочиями осуществляющее функции представителя власти, то есть наделенное в установленном законом порядке распорядительными полномочиями в отношении лиц, не находящихся в служебной зависимости от него, а равно лицо, выполняющее организационно-распорядительные или административно-хозяйственные функции в государственных органах, органах местного самоуправления, государственных и муниципальных организациях, а также в Вооруженных Силах РФ, других войсках и воинских формированиях РФ.

Необходимо отметить, что до вступления в силу изменений, внесенных в КоАП РФ Федеральным законом № 13-ФЗ, максимальный размер штрафа за нарушение требований законодательства РФ о персональных данных для юридических лиц составлял 10 000 руб. При этом данная редакция ст. 13.11 КоАП РФ не позволяла в полной мере обеспечить эффективную защиту прав и интересов субъектов персональных данных, соблюдение принципа неотвратимости наказания за совершенное правонарушение в области персональных данных. Кроме того, состав данной статьи не учитывал тяжесть негативных последствий совершенных правонарушений.

В целях повышения эффективности реализации мер административной ответственности в области персональных данных Федеральным законом № 13-ФЗ дифференцированы составы административных правонарушений в области персональных данных с учетом ущерба, причиненного нарушением, путем изменения действующей редакции ст. 13.11 КоАП РФ и установлены дополнительные составы административных правонарушений в области персональных данных.

Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо их обработка, несовместимая с целями сбора персональных данных. Согласно ст. 3 Закона о персональных данных под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (их распространение, предоставление, доступ к ним), обезличивание, блокирование, удаление и уничтожение.

Заметим, что государственный орган обязан утвердить правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований. Так, порядок обработки персональных данных в центральном аппарате Минобороны утвержден Приказом Минобороны РФ от 16.06.2012 № 1500.

На основании ч. 1 ст. 13.11 КоАП РФ (в редакции, вступающей в силу 01.07.2017) обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями их сбора, за исключением случаев, определенных ч. 2 данной статьи, если эти действия не содержат уголовно наказуемого деяния, влечет предупреждение или наложение административного штрафа:

– на граждан – в размере от 1 000 до 3 000 руб.;

– на должностных лиц – от 5 000 до 10 000 руб.;

– на юридических лиц – от 30 000 до 50 000 руб.

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на их обработку. Статьей 9 Закона о персональных данных предусмотрено, что субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.

Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт получения такого согласия форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта проверяются оператором.

В соответствии со ст. 7 Закона о персональных данных операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта, если иное не предусмотрено данным законом.

Согласно ч. 8 ст. 9 Закона о персональных данных персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в п. 2 – 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных.

Исходя из ч. 2 ст. 13.11 КоАП РФ (в редакции, которая вступит в силу 01.07.2017) обработка персональных данных без согласия в письменной форме субъекта персональных данных на их обработку в случае, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта на обработку его персональных данных, влечет наложение административного штрафа:

– на граждан – в размере от 3 000 до 5 000 руб.;

– на должностных лиц – от 10 000 до 20 000 руб.;

– на юридических лиц – от 15 000 до 75 000 руб.

Невыполнение обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику учреждения силовых ведомств в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных. Напомним, что в силу ст. 3 Закона о персональных данных оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В соответствии с ч. 2 ст. 18.1 Закона о персональных данных оператор обязан опубликовать документ, определяющий его политику в отношении обработки персональных данных, сведения о реализуемых требованиях о защите персональных данных или иным образом обеспечить неограниченный доступ к ним. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Невыполнение оператором обязанности по опубликованию документа, определяющего политику оператора в отношении обработки персональных данных, или сведений о реализуемых требованиях к защите персональных данных или обеспечению иным образом неограниченного доступа к ним влечет предупреждение или наложение административного штрафа (ч. 3 ст. 13.11 КоАП РФ (вступает в силу 01.07.2017)):

– на граждан – в размере от 700 до 1 000 руб.;

– на должностных лиц – от 3 000 до 6 000 руб.;

– на юридических лиц – от 15 000 до 30 000 руб.

Невыполнение обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных. Согласно ч. 7 ст. 14 Закона о персональных данных субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

– подтверждение факта обработки персональных данных оператором;

– правовые основания и цели обработки персональных данных;

– цели и применяемые оператором способы обработки персональных данных;

– наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или федерального закона;

– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

– сроки обработки персональных данных, в том числе сроки их хранения;

– порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;

– информацию об осуществленной или предполагаемой трансграничной передаче данных;

– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если их обработка поручена или будет поручена такому лицу;

– иные сведения.

При этом ч. 8 ст. 14 Закона о персональных данных предусмотрены случаи, когда право субъекта персональных данных на доступ к его персональным данным может быть ограничено.

В соответствии со ст. 20 Закона о персональных данных оператор обязан сообщить в порядке, предусмотренном ст. 14 закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта или его представителя либо в течение 30 дней с даты получения запроса субъекта или его представителя.

Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, влечет предупреждение или наложение административного штрафа (ч. 4 ст. 13.11 КоАП РФ):

– на граждан – в размере от 1 000 до 2 000 руб.;

– на должностных лиц – от 4 000 до 6 000 руб.;

– на индивидуальных предпринимателей – от 10 000 до 15 000 руб.;

– на юридических лиц – от 20 000 до 40 000 руб.

Несоблюдение сроков выполнения требований по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных установлены в ст. 21 Закона о персональных данных. Так, в силу ч. 1 этой статьи в случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан заблокировать персональные данные, относящиеся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

При этом в случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

Невыполнение оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, приведет к предупреждению или наложению административного штрафа (ч. 5 ст. 13.11 КоАП РФ, которая начнет действовать 01.07.2017):

– на граждан – в размере от 1 000 до 2 000 руб.;

– на должностных лиц – от 4 000 до 10 000 руб.;

– на юридических лиц – от 25 000 до 45 000 руб.

Невыполнение требований о сохранности персональных данных при их обработке без использования средств автоматизации. Напомним, что особенности обработки персональных данных, осуществляемой без использования средств автоматизации, установлены Положением, утвержденным Постановлением Правительства РФ от 15.09.2008 № 687. В силу п. 13 указанного положения обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

В соответствии с ч. 6 ст. 13.11 КоАП РФ (вступает в силу 01.07.2017) невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный доступ к ним, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния влечет наложение административного штрафа:

– на граждан – в размере от 700 до 2 000 руб.;

– на должностных лиц – от 4 000 до 10 000 руб.;

– на юридических лиц – от 25 000 до 50 000 руб.

Невыполнение государственным органом обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по их обезличиванию. Совершение данного деяния чревато предупреждением или наложением на должностных лиц административного штрафа в размере от 3 000 до 6 000 руб. (ч. 7 ст. 13.11 КоАП РФ, вступает в силу 01.07.2017).

В соответствии со ст. 3 Закона о персональных данных под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. При этом обезличивание персональных данных должно обеспечивать не только их защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.

Требования и методы по обезличиванию персональных данных приведены в Приказе Роскомнадзора от 05.09.2013 № 996.

* * *

Итак, мы смогли убедиться, что в соответствии с изменениями, внесенными в КоАП РФ Федеральным законом № 13-ФЗ, с 01.07.2017 в целях повышения эффективности реализации мер административной ответственности в области персональных данных дифференцируются составы административных правонарушений в области персональных данных с учетом ущерба, причиненного нарушением, путем изменения действующей редакции ст. 13.11 КоАП РФ и устанавливаются дополнительные составы административных правонарушений в области персональных данных.


[1] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

Источник: Журнал "Силовые министерства и ведомства: бухгалтерский учет и налогообложение"



Последние публикации

23 Ноября 2017

Обзор нарушений, допускаемых учреждениями при заполнении форм бюджетной отчетности

Правильность составления получателями бюджетных средств форм бюджетной отчетности проверяется органом исполнительной власти, выполняющим функции учредителя (далее – учредитель) в рамках проводимой им камеральной проверки отчетных форм; ревизорами при осуществлении выездных проверок финансово-хозяйственной деятельности учреждения. О том, на что следует обратить внимание при заполнении отчетных форм по итогам 2017 года, мы поговорим в этой статье.

Минфин: при однодневных командировках страховые взносы начислять не нужно

В письме от 02.10.2017 № 03-15-06/63950 Минфин России дал разъяснения о том, почему с однодневных командировок не требуется удерживать страховые взносы, начисленные на выплаты сотрудникам.

В документы, используемые при расчетах по НДС, следует добавлять свободные поля для указания новых реквизитов

Налоговики разъяснили, что при составлении документов, применяемых при расчетах по НДС в электронной форме, налогоплательщикам необходимо использовать свободные информационные поля для отражения в них новых реквизитов.

22 Ноября 2017

Уменьшение стоимости работ, аванс и НДС

В Письме от 03.10.2017 № 03‑07‑11/64367 Минфин указал: сумму переплаты, возникшую у продавца после уменьшения стоимости выполненных работ (оказанных услуг), в счет которой будет осуществлено выполнение других работ (оказание других услуг), следует признавать суммой частичной оплаты, полученной в счет предстоящего выполнения работ (оказания услуг). В связи с этим данная сумма переплаты включается продавцом в налоговую базу по налогу на добавленную стоимость в налоговом периоде, в котором договором, соглашением, иным первичным документом подтверждено согласие (факт уведомления) покупателя на уменьшение стоимости выполненных работ (оказанных услуг). Операции по реализации выполненных работ и оказанных услуг совершаются постоянно. Разберемся, что имел в виду Минфин.

Перевод на другую должность в связи с сокращением: как проверить соответствие сотрудника ее требованиям?

Согласно положениям статей 81 и 180 ТК РФ, если в компании грядет сокращение в обязанности работодателя входит представление работнику, попавшему под сокращение, права на другую имеющуюся вакантную должность. При этом, работодатель вправе предложить как равнозначную сокращаемой, так и нижестоящую должность, либо работу с более низкой оплатой труда.

Вечерние курсы повышения квалификации юристов (2- 5 мес.)

Ноябрь 2017

26 - 30 Ноября Договоры, используемые в строительной деятельности. Правовые и финансовые аспекты Санкт-Петербург, ЦНТИ Прогресс

26 - 30 Ноября Юрист по сопровождению строительства Санкт-Петербург, ЦНТИ Прогресс

27 Ноября - 01 Декабря Изменения Гражданского законодательства РФ (ГК РФ). Практика применения измененных норм Санкт-Петербург, ЦНТИ Прогресс

27 - 29 Ноября Особенности учета материально-производственных запасов в строительстве Санкт-Петербург, ЦНТИ Прогресс

27 Ноября - 01 Декабря Опека и попечительство в отношении недееспособных и не полностью дееспособных совершеннолетних граждан с учетом последних изменений законодательства Санкт-Петербург, ЦНТИ Прогресс

27 - 30 Ноября Юрист в сфере ЖКХ: актуальные вопросы правового обеспечения деятельности организаций, управляющих многоквартирными домами Санкт-Петербург, ЦНТИ Прогресс

27 - 29 Ноября Бухгалтерский учет, отчетность, налогообложение: особенности ведения в государственных (муниципальных) учреждениях в 2017 году Санкт-Петербург, ЦНТИ Прогресс

27 Ноября - 01 Декабря Административно-хозяйственное обеспечение предприятия Санкт-Петербург, ЦНТИ Прогресс



ТОП статьи

Учетная политика предприятия на 2017 год

Сдача электронной декларации по НДС 2017 онлайн через интернет

Бухгалтерия онлайн позволяет вести тестирование и подготовку отчетности бесплатно

1с электронная отчетность

 



Налоговые новости

24 Ноября 2017

Минздрав России предлагает с 1 января 2019 года запретить использование кальянов в ресторанах, кафе и барах

В Расчете по страховым взносам следует проставлять прочерки при отсутствии у физлица ИНН

Госдума приняла закон об оказании госуслуг по экстерриториальному принципу

Работодатель не обязан хранить копии трудовых книжек уволенных работников для ФСС

Проект о новых правилах подачи 2-НДФЛ и 6-НДФЛ при реорганизации прошел третье чтение

Правила расчета сомнительного долга планируют уточнить

По экспорту и связанным с ним услугам, работам планируют дать право отказываться от ставки НДС 0%

23 Ноября 2017

Утвержден формат представления уведомления о льготных объектах налогообложения по налогу на имущество физлиц

При отказе работодателя от взыскания недостачи с работника, сумма возмещения ущерба не облагается страховыми взносами

Порядок представления сведений о доходах физлиц и сообщения о невозможности удержать НДФЛ хотят скорректировать

Придется уступить место: разрешено переводить основного работника на должность совместителя

Нужно будет вести раздельный учет по НДС, даже если соблюдается правило 5 процентов

22 Ноября 2017

ИП, занимающийся грузоперевозками, может подтвердить право на применение ЕНВД документами хозяйственной деятельности

ФСС не вправе требовать от работодателя предоставления расчетных листков при проверке

С 2018 года у налоговиков может появиться больше причин не принять расчет по взносам

читать все Новости