Согласие на обработку данных, разрешенных к распространению
Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя.
Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.
Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.
Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).
В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.
Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.
Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Персональные данные − это прямо или косвенно относящаяся к физическому лицу информация, с помощью которой он может быть идентифицирован. К персональным данным относятся ФИО, паспортные данные, ИНН, СНИЛС, дата рождения, адрес (регион, город, улица, дом, квартира), образование, место работы, семейное и социальное положение, сведения о здоровье, уровень дохода и т.д., то есть, любые сведения, по которым можно идентифицировать человека. При этом, чтобы считать данные персональными, их необходимо использовать в совокупности, так как только лишь по фамилии или по данным об образовании идентифицировать личность невозможно.
Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.
Другой комментарий к Ст. 13.11 Кодекса Российской Федерации об Административных Правонарушениях
1. Объектом правонарушения, предусмотренного данной статьей, является порядок сбора, хранения, использования или распространения информации о гражданах (персональных данных).
2. Объективная сторона данного правонарушения состоит в действии или бездействии, нарушающем установленный законом порядок сбора, хранения, использования или распространения информации о гражданах (персональных данных). В соответствии с Федеральным законом от 20 февраля 1995 г. «Об информации, информатизации и защите информации» информация о гражданах (персональные данные) представляют собой сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.
В соответствии со ст.14 указанного Закона не допускается сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.
Кроме того, сбор персональных данных не может быть использован в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено.
Вопросы сбора, хранения, использования и распространения персональных данных конкретного (определенного) характера регулируются также отраслевым законодательством. Так, вопросы сбора, хранения, использования и распространения персональных данных работника подробно регулируются Трудовым кодексом РФ.
3. Субъектами административного правонарушения, предусмотренного данной статьей, могут быть граждане, а также должностные лица и юридические лица.
4
Вина в совершении данного правонарушения может быть как умышленной, так и неосторожной
Уголовный кодекс РФ
Уголовный кодекс РФ предусматривает наказание по ст. 137, 140 и 272.
По ст. 137 наступает ответственность за нарушение неприкосновенности частной жизни, выражающееся в незаконном собирании или распространении сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространении этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. По статье предусмотрен штраф в размере до 200 тысяч рублей или лишение свободы на срок до 2 лет. Те же деяния, совершенные лицом с использованием своего служебного положения, предусматривают штраф в размере от 100 тысяч до лишения свободы на срок до 4 лет. Как следует из диспозиции статьи, правоприменимость статьи не зависит от наличия средств защиты персональных данных.
Статья 24 закона № 152-ФЗ «О персональных данных» прямо определяет виды ответственности за нарушение требований федерального закона. Лица, виновные в нарушении требований закона «О персональных данных», несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
По ст. 140 ответственность наступает при неправомерном отказе должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан. По статье предусмотрено наказание: штраф в размере до 200 тысяч рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет.
По ст. 272 Уголовного кодекса РФ наступает ответственность за неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. По статье предусмотрен штраф в размере от 200 тысяч рублей или лишение свободы на срок до 2 лет. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, предусматривает штраф в размере от 100 тысяч или лишение свободы на срок до 5 лет.
Как следует из диспозиции статьи, правоприменимость статьи зависит от наличия средств защиты персональных данных как признака охраняемой информации. Но статья относится к лицу, совершившему неправомерный доступ, а не к оператору персональных данных. Кроме того, данная норма содержит условие, которое позволяет отнести данное правонарушение к разряду уголовно наказуемых деяний, «если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети».
Увеличили штрафы за нарушения законодательства о персональных данных
Опубликован Федеральный закон от 12.12.2023 № 589-ФЗ, который внес изменения в КоАП РФ. Все операторы, которые обрабатывают персональные данные своих сотрудников и клиентов, должны проверить свои документы. О том, как поправки повлияют на бизнес и к каким изменениям готовиться, рассказываем в материале.
Как изменились штрафы
Возросли штрафы за нарушения в случаях, когда оператор обрабатывает персональные данные:
- Без письменного согласия субъекта персданных на их обработку, если наличие такого согласия обязательно. При этом в таких действиях нет признаков уголовно наказуемого деяния (ч. 2 ст. 13.11 КоАП РФ).
- С таким согласием, но без обязательных сведений, которые должны быть в него включены (ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ, далее — Закон о персональных данных).
Операторами персональных данных могут быть:
- Российские юридические и физические лица, а также государственные и муниципальные органы.
- Иностранные юридические и физические лица, если они заключили договор или соглашение с гражданином РФ либо получили его согласие на обработку (ч. 1.1 ст. 1 Закона о персональных данных).
Каким другим критериям нужно соответствовать, чтобы считаться оператором? Что такое обработка персданных? Ответы на эти и другие вопросы — в материале «Кто обрабатывает персональные данные».
Как изменились размеры штрафов:
|
На кого наложат штраф |
Старые размеры штрафов, ₽ |
Новые размеры штрафов, ₽ |
||
|
Первичное правонарушение |
Повторное правонарушение |
Первичное правонарушение |
Повторное правонарушение |
|
|
Гражданин |
От 6 000 до 10 000 |
От 10 000 до 20 000 |
От 10 000 до 15 000 |
От 15 000 до 30 000 |
|
ИП |
От 20 000 до 40 000 |
От 100 000 до 300 000 |
От 100 000 до 300 000 |
От 500 000 до 1 000 000 |
|
Должностное лицо |
От 40 000 до 100 000 |
От 300 000 до 500 000 |
||
|
Юрлицо |
От 30 000 до 150 000 |
От 300 000 до 500 000 |
От 300 000 до 700 000 |
От 1 000 000 до 1 500 000 |
Оператор может обрабатывать персданные, если получил на это согласие субъекта (п. 1 ч. 1 ст. 6, п. 1 ч. 2 ст. 10, ч. 1 ст. 11 Закона о персональных данных). Но в ряде случаев оно не требуется.
Чтобы избежать претензий контролирующих органов, всем операторам нужно:
- Проверить, в каких случаях обязательно получать письменное согласие субъекта на обработку персданных, и оформить согласия, если это необходимо. Перечень случаев — в статье .
- Привести формы согласия на обработку персданных в соответствие с требованиями Закона о персональных данных. Перечень сведений, которые должны быть включены в согласие, — в материале .
Смотрите образец согласия на обработку персональных данных →
Также Федеральный закон от 12.12.2023 № 589-ФЗ дополнительно предусмотрел штрафы за нарушения в области размещения биометрических персональных данных в ЕБС. Штраф для юрлиц — до 1 000 000 ₽.
К каким изменениям готовиться
В Госдуме РФ находятся на рассмотрении два законопроекта, которые ужесточат ответственность за нарушения законодательства о персональных данных. Так, планируют:
- Предусмотреть новые составы в КоАП РФ — например, установить административную ответственность за то, что оператор не уведомил Роскомнадзор о намерении осуществлять обработку персданных, а также об утечке таких данных (законопроект № 502104-8).
- Увеличить административные штрафы за обработку избыточных по содержанию и объему персданных, а также их обработку в случаях, которые не предусмотрены законодательством (законопроект № 502104-8).
- Ввести уголовную ответственность за незаконные использование, передачу, сбор и хранение компьютерной информации, которая содержит персданные. Также к ответственности смогут привлечь за создание или обеспечение функционирования ресурсов, на которых такие данные хранят и через которые распространяют (законопроект № 502113-8).
| Персональные данные | |
| Как организовать процесс обработки персданных, чтобы избежать штрафов? Как правильно уведомить Роскомнадзор об обработке и утечке персданных и обеспечить их надлежащую защиту? Ответы на эти и другие вопросы, а также формы и образцы заполнения необходимых документов — в нашей инструкции. | |
Елизавета Аришак, эксперт по юридическим вопросам
Екатерина Дорохова, редактор
Этот состав не распространяется на правонарушения, которые связаны с обработкой персданных в условиях незаконного распространения сведений о защищаемых лицах ( КоАП РФ).
Кодекс об административных правонарушениях
Кодекс об административных правонарушениях включает наказание по ст. 5.39 (отказ в предоставлении информации), 13.11 (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)), 13.12 (нарушение правил защиты информации), 13.13 (незаконная деятельность в области защиты информации) и 13.14 (разглашение информации с ограниченным доступом).
Отказ в предоставлении информации (ст. 5.39) наиболее часто встречается в правоприменительной практике. Это связано не только с малыми сроками предоставления информации, но и прежде всего с отсутствием у оператора регламентов предоставления информации.
Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации влекут наложение административного штрафа на должностных лиц в размере от 1 до 3 тысяч рублей.
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11) напрямую указывает на необходимость соблюдения ФЗ-152 «О персональных данных». Санкциями за данные нарушения являются предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1 тысячи рублей; на юридических лиц – от 5 до 10 тысяч рублей.
Ст. 13.12 «Нарушение правил защиты информации» содержит три обязательных признака, только при их наличии наступает ответственность по ст. 13.12:
- Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну). Это указывает на обязательность лицензирования деятельности по защите информации. Если лицензии отсутствуют, то отсутствуют и объективные признаки нарушения. Санкции по статье – это наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1 тысячи рублей; на юридических лиц – от 5 до 10 тысяч рублей.
- Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации. Санкции в этом случае – наложение административного штрафа на граждан в размере от 500 до 1 тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц – от 1 до 2 тысяч рублей; на юридических лиц – от 10 до 20 тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой. То есть, если при проверке окажется, что в системе защиты используются несерти-фицированные средства, они могут быть конфискованы.
- Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну).
Это условие рассмотрим более подробно во второй части статьи, которая будет опубликована в журнале «Информационная безопасность» № 4.
Ответственность, предусмотренная за обработку персональных данных без получения согласия
Административная ответственность за совершённое правонарушение при работе с персональными данными, в том числе за сбор и обработку персональных данных без получения согласия, а также за получение согласия по неверно составленной форме, предусмотрена частью 2 статьи 13.11 Кодекса об административных правонарушениях.
Роскомнадзор должен отреагировать на поступившее обращение (жалобу) в течение 30 дней. Срок проведения проверки сотрудниками ведомства может быть продлен ещё на 30 дней. За это время сотрудниками Роскомнадзора направляется в организацию, на которую составлена жалоба, официальный запрос с целью выяснения обстоятельств дела. В случае отсутствия ответа от компании, регулятор может назначить внеплановую проверку по выявленному случаю.
Кроме того, Роскомнадзор проводит и плановые проверки компаний, в период которых сотрудники ведомства проверяют наличие, корректность составления, а также хранение в компании согласий на обработку персональных данных.
По данной теме также необходимо отметить, что согласно Постановлению Правительства РФ от 10.03.2022 №336 до конца 2022 года действует мораторий на проведение плановых проверок.
В таблице ниже описаны возможные нарушения и ответственность за них:
| Нарушение | Ответственность |
| Обработка персональных данных без согласия либо согласие оформлено некорректно | Штраф по ч. 2 ст. 13.11 КоАП:
Штрафы за повторное нарушение в два раза больше. |
| Нарушение порядка передачи персональных данных как внутри организации, так и за её пределами | Штраф по ч. 1 ст. 13.11 КоАП:
|
| Несоблюдение порядка хранения и уничтожения персональных данных | Штраф по ч. 6 ст. 13.11 КоАП:
|
| Организация не уведомляет Роскомнадзор о начале обработки персональных данных при постановке на учёт | Предупреждение или штраф по ст. 19.7 КоАП:
|
| Нет локальных нормативных актов, которые регулируют обработку персональных данных в организации | Штраф по ч. 1 ст. 13.11 КоАП:
|
| В организации не назначили лицо, которое несёт ответственность за обработку персональных данных в компании | Штраф по ч. 1 ст. 13.11 КоАП:
|
| Не определён порядок доступа для лиц, которые обрабатывают персональные данные | Штраф по ч. 1 ст. 13.11 КоАП:
|
| Не разработана политика оператора в отношении обработки персональных данных, она не размещена в открытом доступе | Штраф по ч. 3 ст. 13.11 КоАП:
|
Гражданский кодекс РФ
Гражданский кодекс РФ в ст. 946 вводит ответственность за нарушение «тайны страхования». Страховщик не вправе разглашать полученные им в результате своей профессиональной деятельности сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц. За нарушение тайны страхования страховщик в зависимости от рода нарушенных прав и характера нарушения несет ответственность в соответствии с кодексом и другими законами в случаях и в порядке, ими предусмотренных, а также в тех случаях и тех пределах, в каких использование способов защиты гражданских прав (компенсация морального вреда, возмещение убытков) вытекает из существа нарушенного нематериального права и характера последствий этого нарушения. Прецедент правоприменения данной статьи автору пока не известен.
Комментарий к Статье 13.11 КоАП РФ
Объективная сторона рассматриваемого правонарушения заключается в нарушении установленного законом порядка сбора, хранения, использования или распространения персональных данных. В соответствии со ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц. Определения сбора и хранения персональных данных Закон не содержит, однако устанавливает, что под обработкой персональных данных следует понимать действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Субъектом рассматриваемых правонарушений могут являться граждане, должностные лица и юридические лица, при этом ответственность дифференцируется в зависимости от субъекта.
С субъективной стороны правонарушение может быть совершено как умышленно, так и по неосторожности
