Для эффективной защиты прав и интересов субъектов персональных данных уточнена ответственность за нарушение законодательства о персональных данных: дифференцированы составы административных правонарушений, увеличены штрафы.
С 1 июля 2017 года изменена редакция статьи 13.11 Кодекса об административных правонарушениях (далее — Кодекс), которой установлена административная ответственность за нарушение законодательства в области персональных данных1. Фактически статья переписана заново. Если ранее в ней был описан один состав правонарушения, а именно: нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), предусматривающий максимальный штраф 10 000 рублей, то теперь норма включает семь частей, каждая из которых представляет собой самостоятельный состав административного правонарушения. Значительно увеличены и размеры штрафных санкций.
Кроме того, дела об административных правонарушениях по данной статье с 1 июля 2017 года будут возбуждать не прокуроры, а должностные лица Роскомнадзора2, что существенно упрощает саму процедуру привлечения виновных лиц к административной ответственности.
Что такое персональные данные?
Под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). То есть персональные данные — это не всякая информация, а лишь та, которая позволяет идентифицировать конкретного человека. Например, фамилия, имя и отчество гражданина не во всех случаях обладают такими свойствами. Однако в совокупности с паспортными данными, номером телефона, должностью и другими сведениями могут указывать на определенное лицо. Соответственно, эти данные подпадают под режим конфиденциальности. В связи с чем на оператора персональных данных возлагается обязанность не раскрывать персональные данные третьим лицам и не распространять их без согласия субъекта персональных данных, за исключением случаев, предусмотренных федеральным законом.
Особую категорию составляют специальные персональные данные (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) и биометрические (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных). Обработка таких данных без согласия субъекта запрещена. Ограниченный круг исключений установлен федеральным законом. Так, например, не будут считаться биометрическими персональными данными материалы видеосъемки в общественных местах или на охраняемой территории, если при этом не преследуется цель установления личности снятого человека. Фотография работника в личном деле также не относится к категории биометрических персональных данных, поскольку она не используется работодателем для установления личности работника. То есть во всех случаях значение имеет именно цель обработки персональных данных: связана она с идентификацией субъекта или нет.
Кто является оператором персональных данных?
Оператором персональных данных является лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. При этом лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений и т. п., в силу самого факта осуществления им деятельности по обработке персональных данных
Не считается оператором физическое лицо, обрабатывающее персональные данные исключительно для личных и семейных нужд. Например, кто-либо записывает координаты, включая фотографии, своего знакомого, родственника в память телефона, записную книжку и т. п. без наме рения передавать эти сведения третьим лицам или распространять иным способом. Такие действия не подпадают под действие законодательства о персональных данных.
Из документа
Федеральный закон от 27 июля
2006 г. № 152-ФЗ
Статья 3
<...>
любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
<...>
1 ст. 2 Федерального закона от 07.02.2017 № 13-ФЗ
2 п. 58 ч. 2 ст. 28.3 КоАП РФ
Правонарушения и ответственность
Рассмотрим подробнее, за какие правонарушения оператора персональных данных могут привлечь к ответственности с 1 июля 2017 года.
1. Незаконная и нецелевая обработка персональных данных. Часть 1 статьи 13.11 Кодекса устанавливает ответственность за обработку персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния. В приведенной норме описано два самостоятельных состава административного правонарушения.
В первом случае в вину оператору вменяется обработка персональных данных, когда такая обработка законодательством не предусмотрена. Случаи, при которых обработка персональных данных допускается, перечислены в Законе о персональных данных3. При этом оператор должен неукоснительно соблюдать принципы обработки персональных данных4. Зачастую операторы обрабатывают избыточную (не являющуюся необходимой) информацию по отношению к заявленным целям обработки персональных данных.
Во втором — незаконна обработка персональных данных, несовместимая с целями сбора персональных данных. В Законе о персональных данных прямо указано, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей5. Цели обработки персональных данных формулируются оператором и закрепляются в положении об обработке и защите персональных данных, с текстом которого должен быть ознакомлен каждый субъект (работник, клиент, посетитель интернет-сайта и т. п.), чьи персональные данные попадают в распоряжение оператора. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях — и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
Санкция части 1 статьи 13.11 Кодекса предусматривает предупреждение или наложение административного штрафа на граждан в размере от 1000 до 3000 рублей, на должностных лиц — от 5000 до 10 000 рублей, на юридических лиц — от 30 000 до 50 000 рублей.
2. Отсутствие письменного согласия субъекта персональных данных. В части 2 статьи 13.11 Кодекса в качестве самостоятельного правонарушения (изъятого законодателем из ч. 1 ст. 13.11 КоАП РФ) выделена обработка персональных данных без согласия в письменной форме субъекта персональных данных.
По общему правилу6 обработка персональных данных возможна только с согласия субъектов персональных данных за некоторым исключением7. Отметим, что данный перечень сформулирован исчерпывающим образом и расширительному толкованию не подлежит.
Согласие на обработку может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом8.
Также в Законе о персональных данных9 указано, что в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных, а также перечислены сведения, которые в обязательном порядке должно содержать согласие субъекта персональных данных на их обработку.
Таким образом, оператор должен получить письменное согласие субъекта персональных данных на их обработку (включающее сведения, предусмотренные ч. 4 ст. 9 Закона о персональных данных) только в случаях, когда федеральный закон прямо указывает на необходимость получения согласия именно в такой форме. К примеру, согласие в письменной форме требуется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, биометрических персональных данных, на трансграничную передачу персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных. При иных обстоятельствах согласие на обработку персональных данных может быть дано в любой форме.
В качестве формы получения письменного согласия на обработку персональных данных можно рассматривать включение соответствующего пункта в договор или иной документ, если при этом его содержание отвечает установленным законом требованиям к содержанию письменного согласия10. Так, ФАС Северо-Западного округа11 применительно к рассмотренной им ситуации указал, что отправив свои данные по алгоритму заполнения анкеты-запроса на получение ипотечного кредита, форма которой была размещена на веб-ресурсе, физические лица — потенциальные клиенты фактически выразили свое согласие на обработку своих персональных данных для определенных в анкете целей.
Отсутствие письменного согласия субъекта персональных данных в случаях, когда это необходимо, влечет наложение административного штрафа на граждан в размере от 3000 до 5000 рублей, на должностных лиц — от 10 000 до 20 000 рублей, на юридических лиц — от 15 000 до 75 000 рублей.
3 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных)
4 ст. 5 Закона о персональных данных
5 ч. 2 ст. 5 Закона о персональных данных
6 ст. 6 Закона о персональных данных
7 пп. 2—11 ч. 1 ст. 6 Закона о персональных данных
8 ч. 1 ст. 9 Закона о персональных данных
9 ч. 4 ст. 9 Закона о персональных данных
10 разъяснения Роскомнадзора от 14.12.2012
11 пост. ФАС СЗО от 13.12.2010 № Ф07-13220/2010
3. Ограничение доступа к документу, определяющему политику оператора в области защиты персональных данных. Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных влечет предупреждение или наложение административного штрафа на граждан в размере от 700 до 1500 рублей, на должностных лиц — от 3000 до 6000 рублей, на индивидуальных предпринимателей — от 5000 до 10 000 рублей, на юридических лиц — от 15 000 до 30 000 рублей12.
Обязанность издания оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений, предписана Законом о персональных данных13. Также на оператора возложена обязанность опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных14. При этом способы доведения до сведения субъектов политики оператора в отношении обработки персональных данных законодатель не уточняет. Оператор должен сам решить, каким образом это предписание закона будет исполнено (размещение на стенде, ознакомление под подпись и т. п.).
В отношении операторов, осуществляющих сбор персональных данных с использованием информационно-телекоммуникационных сетей, законодатель возлагает дополнительную обязанность: опубликовать перечисленные документы в соответствующей информационно-телекоммуникационной сети и обеспечить возможность доступа к ним с использованием средств соответствующей информационно-телекоммуникационной сети. Иными словами, владельцы интернет-сайтов обязаны опубликовать документы, определяющие политику в отношении обработки персональных данных посетителей, на своем сайте и обеспечить доступ к таким документам неограниченного круга лиц.
Статья 14 Закона о персональных данных закрепляет право субъекта на получение такой информации. Данному праву корреспондирует обязанность оператора предоставить субъекту персональных данных информацию о наличии персональных данных, относящихся к соответствующему субъекту, а также предоставить возможность ознакомления с этими персональными данными при обращении к нему субъекта или его представителя в течение 30 дней с даты получения запроса15.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено исключительно федеральными законами16. Подобные изъятия связаны, как правило, с интересами безопасности, охраны правопорядка, правосудия, с нарушением конституционных прав и свобод других лиц
5. Нарушение порядка уточнения, блокирования или уничтожения персональных данных. Невыполнение оператором требования субъекта персональных данных (его представителя) либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении грозит наказанием в виде предупреждения или наложения административного штрафа на граждан в размере от 1000 до 2000 рублей, на должностных лиц — от 4000 до 10 000 рублей, на индивидуальных предпринимателей — от 10 000 до 20 000 рублей, на юридических лиц — от 25 000 до 45 000 рублей17
Субъект вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав18.
Необходимость уточнения персональных данных может возникнуть по разным причинам. Например, работник имеет право дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения19. Блокирование персональных данных самим субъектом означает для оператора временное прекращение накопления, использования, распространения персональных данных. Уничтожение персональных данных предполагает уничтожение материальных носителей персональных данных или стирание сведений в информационной системе.
В статье 21 Закона о персональных данных установлены сроки совершения перечисленных действий оператором. Так, в случае выявления неправомерной обработки персональных данных, выявления неточных персональных данных оператор обязан осуществить блокирование персональных данных (обеспечить блокирование) с момента обращения субъекта или его представителя, получения запроса от уполномоченного органа. При отзыве субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки в срок, не превышающий 30 дней с даты поступления указанного отзыва. Иное может быть предусмотрено соглашением сторон или законом. Такой же срок установлен для ситуаций, когда цели обработки персональных данных достигнуты. Неисполнение оператором предписанной обязанности об уточнении персональных данных, их блокировании или уничтожении является наиболее распространенным правонарушением, о чем свидетельствует многочисленная судебная практика20.
12 ч. 3 ст. 13.11 КоАП РФ
13 п. 2 ч. 1 ст. 18.1 Закона о персональных данных
14 ч. 2 ст. 18.1 Закона о персональных данных
15 ч. 1 ст. 20 Закона о персональных данных
16 ч. 8 ст. 14 Закона о персональных данных
17 ч. 5 ст. 13.11 КоАП РФ
18 ч. 1 ст. 14 Закона о персональных данных
19 ст. 89 ТК РФ
20 пост. Семнадцатого ААС от 08.08.2016 № 17АП-18157/15; апелляционное определение СК по гражданским делам Оренбургского областного суда от 31.03.2015 по делу № 33-2076/2015
6. Несанкционированный доступ к персональным данным. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомер ный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния влечет наложение административного штрафа на граждан в размере от 700 до 2000 рублей; на должностных лиц — от 4000 до 10 000 рублей, на индивидуальных предпринимателей — от 10 000 до 20 000 рублей, на юриди- ческих лиц — от 25 000 до 50 000 рублей21. Согласно Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации22, неавтоматизированной считается обработка персональных данных, если она осуществляется при непосредственном участии человека. При этом обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
Неавтоматизированная обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанав ливаются оператором. Кроме того, операторы персональных данных должны выполнять обязанности и принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, предусмотренные главой 4 Закона о персональных данных.
Обратим внимание, что к ответственности по части 6 статьи 13.11 Кодекса с 1 июля 2017 года оператор может быть привлечен только в том случае если несоблюдение им режима конфиденциальности персональных данных повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных. То есть если наступили вредные последствия. Одного факта неисполнения требований законодательства в данном случае недостаточно.
7. Непринятие мер по обезличиванию персональных данных. Наконец, часть 7 статьи 13.11 Кодекса устанавливает административную ответственность для государственных или муниципальных органов (специальный субъект) за неисполнение ими обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных, что влечет предупреждение или наложение административного штрафа на должностных лиц в размере от 3000 до 6000 рублей.
Под обезличиванием понимается действие, в результате которого становится невозможным определить принадлежность персональных данных конкретному субъекту персональных данных. Например, в Федеральном законе «Об обеспечении доступа к информации о деятельности судов в Российской Федерации» закреплено23, что при размещении в интернете текстов судебных актов в целях обеспечения безопасности участников судебного процесса из указанных актов исключаются персональные данные, кроме фамилий и инициалов истца, ответчика, третьего лица, гражданского истца, гражданского ответчика, осужденного, оправданного, лица, в отношении которого ведется производство по делу об административном правонарушении, секретаря судебного заседания, рассматривавших (рассматривавшего) дело судей (судьи), а также прокурора, адвоката и представителя, если они участвовали в судебном разбирательстве. Вместо исключенных персональных данных используются инициалы, псевдонимы или другие обозначения, не позволяющие идентифицировать участников судебного процесса.
Однако какие-либо нормативно-правовые акты, содержащие подобные требования в отношении операторов, являющихся государственными или муниципальными органами, отсутствуют. Поэтому уже сейчас специалисты называют эту норму «мертворожденной».
Ответственность за несколько нарушений. Если в ходе одной проверки Роскомнадзор выявит несколько нарушений, будет ли оператор нести ответственность по всем сразу или по каждому в отдельности?
В случае совершения лицом двух и более административных правонарушений за каждое из них назначается наказание, предусмотренное санкцией соответствующей статьи Кодекса, даже если дела об этих правонарушениях рассматриваются одновременно24. Если Роскомнадзор в ходе проверки выявит правонарушения, предусмотренные разными частями статьи 13.11 Кодекса, то административное наказание будет назначено за каждое. Иными словами, протокол будет составлен по каждому административному правонарушению.
Если же, например, правонарушение состоит в том, что персональные данные нескольких лиц обрабатываются оператором в отсутствие письменного согласия субъектов, когда оно необходимо, то это будет рассматриваться как одно правонарушение25 и протокол, соответственно, будет один.
21 ч. 6 ст. 13.11 КоАП РФ
22 утв. пост. Правительства РФ от 15.09.2008 № 687
23 ч. 3 ст. 15 Федерального закона от 22.12.2008 № 262-ФЗ
24 ч. 1 ст. 4.4 КоАП РФ
25 ч. 2 ст. 13.11 КоАП РФ