Увеличение ответственности за нарушение законодательства о персональных данных

С 1 июля 2017 года вступают в силу изменения, касающиеся увеличения ответственности за нарушение законодательства о персональных данных, принятые Федеральным законом от 02.02.2017 года № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

Принятые изменения касаются только повышения размера административной ответственности, несмотря на то, что нарушение установленного порядка обработки персональных данных может повлечь за собой привлечение не только к административной, но также к дисциплинарной, материальной, гражданско-правовой и уголовной ответственности.

Инициатором внесения таких изменений стал Минэкономразвития РФ, представивший соответствующий проект федерального закона еще в 2012 году, где предлагалось сформулировать общий состав для всех возможных нарушений законодательства о персональных данных и установить к нему тринадцать специальных составов.

На настоящий момент Кодексом об административных правонарушениях (далее – КоАП РФ) предусмотрен только один состав административного правонарушения в области персональных данных. Так, в соответствии с положениями ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.

С вступлением в силу новых положений указанный состав будет заменен и разделен на семь более специальных составов, предусматривающих административную ответственность за:

  • обработку персональных данных в случаях, не предусмотренных законодательством о персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных;
  • обработку персональных данных без согласия в письменной форме субъекта персональных данных на такую обработку либо обработку персональных данных с нарушением установленных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных;
  • невыполнение оператором персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных;
  • невыполнение оператором персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных;
  • невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных;
  • невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных.

При этом размер ответственности, к которой могут быть привлечены лица, нарушившие законодательство в области персональных данных, увеличится в несколько раз, и максимальный возможный размер штрафа для юридических лиц составит 75 000 рублей, тогда как сейчас такой размер равен 10 000 рублей. Такое увеличение штрафов представляется целесообразным и компромиссным вариантом, поскольку согласно положениям законопроекта, предложенного Минэкономразвития, такие штрафы должны были достигать 700 000 рублей (где максимальный штраф устанавливался бы за нарушение порядка обработки специальных категорий персональных данных, включая информацию о национальной и расовой принадлежности, политических и религиозных убеждениях, состоянии здоровья, интимной жизни и т.д.).

Не были приняты также предложения Минэкономразвития по установлению отдельной ответственности за совершение повторного нарушения законодательства в области персональных данных и по взиманию с юридических лиц штрафов в размере выручки от реализации товаров (услуг) с использованием персональных данных, обработка которых осуществлялась без согласия субъекта персональных данных.

Дополнительно к перечисленным выше изменениям поправки были внесены также в порядок привлечения лиц, нарушивших законодательство о персональных данных к ответственности. Так, с 1 июля 2017 года полномочия по составлению протоколов об административных правонарушениях, предусмотренных ст. 13.11 КоАП РФ перейдут от прокурора к Роскомнадзору, который в соответствии с действующим законодательством является уполномоченным органом по защите прав субъектов персональных данных и осуществляет государственный контроль (надзор) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных.

См.: Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»