Мудрый Экономист

Ответственность за нарушения при работе с персональными данными усилена

"Руководитель бюджетной организации", 2017, N 4

Перечень составов правонарушений при работе с персональными данными расширен, размеры штрафов увеличены. Закон N 13-ФЗ <1> внес изменения в ст. 13.11 КоАП РФ. Нововведения вступают в силу с 01.07.2017.

<1> Федеральный закон от 07.02.2017 N 13-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях".

Напомним, что персональные данные (ПД) - это не только Ф.И.О., адрес, дата рождения, а любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) <2>.

<2> Пункт 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных).

Понятие "обработка персональных данных" тоже требует уточнения. Некоторые ошибочно полагают, что указанное действие предполагает лишь внесение информации в базу и ее систематизацию. Однако согласно п. 3 Закона о персональных данных обработка персональных данных - это любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными (сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение).

Статья 13.11 КоАП РФ определяет общий состав нарушения порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). За указанное деяние предусмотрено предупреждение или наложение на граждан штрафа в размере от 300 до 500 руб.; на должностных лиц - от 500 до 1 тыс. руб.; на юридических лиц - от 5 тыс. до 10 тыс. руб.

Обработка ПД незаконная или несовместимая с целями их сбора

Согласно дополнениям, внесенным Законом N 13-ФЗ, за обработку ПД в случаях, не предусмотренных законодательством РФ в области персональных данных, либо за обработку ПД, несовместимую с целями их сбора (если эти действия не содержат уголовно наказуемого деяния), с 01.07.2017 граждане могут получить предупреждение или быть оштрафованы на сумму от 1 тыс. до 3 тыс. руб.; штраф для должностных лиц составит от 5 тыс. до 10 тыс. руб.; для юридических лиц - от 30 тыс. до 50 тыс. руб.

И здесь имеются так называемые подводные камни. С одной стороны, оператор не имеет права требовать предоставления избыточных сведений при обработке ПД. С другой - он должен учитывать все установленные законодательством требования.

Допустим: нужно ли указывать паспортные данные при возврате товара в магазин или достаточно только кассового чека? На первый взгляд кажется, что чека достаточно - ведь именно он подтверждает факт покупки. Но на деле оказывается все не так просто. Рассмотрим Постановление ВС РФ от 15.06.2015 N 25-АД15-3. Потребителю при возврате товара продавцу при наличии чека было предложено заполнить в обязательном порядке заявление, указав в нем персональные данные. Посчитав это требование избыточным, потребитель обратился в прокуратуру. По жалобе была проведена проверка, результаты которой стали основанием для привлечения торговой организации мировым судьей к административной ответственности за совершение правонарушения, предусмотренного ст. 13.11 КоАП РФ. Вышестоящие судебные инстанции согласились с выводами мирового судьи о наличии в действиях организации состава данного правонарушения.

Однако Верховный суд указал, что вынесенные по делу судебные постановления законными признать нельзя по определенным основаниям. Как следовало из положений п. 2 Указания ЦБ РФ N 1843-У <3> (действовавшего на момент вмененного административного правонарушения), организация розничной торговли вправе возвратить покупателям деньги за возвращаемые товары, оплаченные ранее наличными, из денег, поступивших в их кассы за проданные ими товары. Кассовые операции осуществлялись в соответствии с Положением о кассовых операциях <4>, гл. 4 которого были установлены правила выдачи наличных денег, в частности: под отчет на расходы, связанные с осуществлением деятельности юридического лица, по расходным кассовым ордерам (ф. 0310002). В силу п. 4.2 Положения кассир должен был выдавать наличные деньги непосредственно получателю, указанному в расходном кассовом ордере (ф. 0310002), при предъявлении им паспорта или другого документа, удостоверяющего личность.

<3> Указание ЦБ РФ от 20.06.2007 N 1843-У "О предельном размере расчетов наличными деньгами и расходовании наличных денег, поступивших в кассу юридического лица или кассу индивидуального предпринимателя", утратило силу в связи с изданием Указания ЦБ РФ от 16.10.2013 N 3076-У.
<4> Положение о порядке ведения кассовых операций с банкнотами и монетой ЦБ РФ на территории РФ, утв. ЦБ РФ от 12.10.2011 N 373-П (утратило силу с 01.06.2014 в связи с изданием Указания ЦБ РФ от 11.03.2014 N 3210-У).

Согласно Порядку составления и оформления расходного кассового ордера <5> (унифицированная форма КО-2) расходный кассовый ордер применяется для оформления выдачи наличных денег из кассы организации, его форма предусматривает обязательное указание фамилии, имени, отчества получателя и данных документа, удостоверяющего личность. Как следовало из положений названных норм, возврат денег покупателю из кассы торговой организации на основании письменного заявления покупателя с указанием фамилии, имени, отчества и данных паспорта не противоречил нормам законодательства, истребование обозначенных персональных данных избыточным не являлось. Производство по делу об административном правонарушении было прекращено.

<5> Утвержден Постановлением Государственного комитета РФ по статистике от 18.08.1998 N 88.

Нет согласия субъекта ПД на их обработку или имеются нарушения при получении согласия

В силу Закона N 13-ФЗ обработка ПД без соответствующего согласия или с нарушениями требований к составу сведений, включаемых в согласие <6>, повлечет наложение административного штрафа: на граждан - от 3 тыс. до 5 тыс. руб.; на должностных лиц - от 10 тыс. до 20 тыс. руб.; на юридических лиц - от 15 тыс. до 75 тыс. руб.

<6> Перечень сведений, включаемых в согласие в письменной форме субъекта ПД на обработку его персональных данных, приведен в п. 4 ст. 9 Закона о персональных данных. Перечень является открытым.

Согласие субъекта ПД на обработку персональных данных обязательно <7>, за исключением случаев, оговоренных в законодательстве о персональных данных. Однако не всегда оператор соблюдает это требование. Распространенный пример - "бескорыстное" приглашение на спа-процедуры по телефону. Звонящий, представляясь сотрудником некоего косметического кабинета, обращается к абоненту по имени-отчеству и сообщает, что известная косметическая компания дарит бонус - поход в спа-салон. Многие люди, имеющие накопительные бонусные карты "Ив Роше", "Л'Ореаль" и других популярных торговых брендов, охотно такому верят. На самом деле обзвон - эффективный способ заманивания клиентов. Люди радуются подарку, не подозревая, что, во-первых, их персональные данные откуда-то украли и ими пользуются, а во-вторых, что "подарок" впоследствии может обернуться серьезными финансовыми проблемами.

<7> Подпункт 1 п. 1 ст. 6 Закона о персональных данных.

К сведению. Следует обратить внимание, что согласие на обработку ПД должно быть получено в письменной форме. В законодательстве РФ не удалось найти определения понятию "письменная форма". Приравнивается ли к ней электронный документ? Если да, то обязательна ли электронная подпись или достаточно галочки в графе "Даю согласие на обработку персональных данных"? Ответ на эти вопросы есть в п. 4 ст. 9 Закона о персональных данных: равнозначным содержащему собственноручную подпись субъекта ПД согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.

Если субъект отзывает свое согласие на обработку персональных данных, то обработку следует прекратить. Рассмотрим Апелляционное определение Новосибирского областного суда от 27.09.2016 N 33-9626/2016. Абонент при регистрации в рамках сервиса электронной почты указал свои ПД. Впоследствии он направил оператору требование прекратить обработку ПД. Оператор посчитал, что требование не может быть выполнено, поскольку поля "Фамилия" и "Имя" при регистрации заполняются пользователем самостоятельно, не проверяются оператором, а потому могут не соответствовать действительности. Такую информацию пользователь может изменить по своему усмотрению. А значит, по мнению оператора, неподтвержденные сведения не могут быть персональными данными. Суд указал на ошибочность этого мнения. Пользователь лично предоставил требуемые данные, они позволяют его идентифицировать, следовательно, являются персональными.

Однако суды не всегда так категоричны. Они встают на сторону оператора, когда обрабатываются данные, не позволяющие определить конкретный субъект. Это может быть сбор обезличенных адресов электронной почты или телефонных номеров. То есть если на почту приходит обезличенная реклама или на телефон поступает звонок без конкретного обращения к получателю, то именно Закон о персональных данных не нарушается. Рассмотрим в качестве примера Постановление Девятого арбитражного апелляционного суда от 08.06.2016 N 09АП-20280/2016 по делу N А40-15242/2016. Организация, предоставляющая услуги связи, заключила договор с рекламным агентством. Целью договора было получение агентством тематической информации, необходимой для оказания рекламных услуг, с предоставлением обезличенных данных о принадлежности IP-адресов абонентов. На основе поисковых запросов пользователя, адресов веб-страниц, посещаемых пользователем, АПК должна была формировать рекламный профиль, достаточный для предоставления пользователю рекламной информации. После проверки деятельности организации ФАС сочла указанные действия нарушением требований законодательства о персональных данных, поскольку согласие на обработку не было получено.

Однако суд счел действия ФАС ошибочными, поскольку получаемые заказчиком данные содержали обезличенную статистику по запросам пользователей и не позволяли прямо или косвенно идентифицировать пользователя как определенное физическое лицо. Все данные, поступавшие на оборудование заказчика, обрабатывались в автоматическом режиме без вмешательства персонала заказчика, без возможности перлюстрации. Помимо того, в договоре было предусмотрено, что извлечение заказчиком или третьими лицами информации, обрабатываемой АПК в рамках договора, будет невозможно, кроме как в виде обобщенных статистических данных в автоматизированном режиме. А само функционирование АПК не позволяло идентифицировать конкретного пользователя на основании полученной информации. Таким образом, информация носила обезличенный характер, законодательство о персональных данных нарушено не было.

Неопубликование документов, определяющих политику оператора при обработке ПД

Оператор, являющийся юридическим лицом, обязан опубликовать документы, которые определяют его политику в отношении обработки ПД, локальные акты по вопросам обработки ПД, а также локальные акты, устанавливающие порядок защиты ПД. Если опубликовать документы затруднительно, то оператору необходимо иным образом обеспечить неограниченный доступ к ним. Невыполнение этой обязанности с 01.07.2017 грозит предупреждением или наложением штрафа: на граждан - от 700 до 1,5 тыс. руб.; на должностных лиц - от 3 тыс. до 6 тыс. руб.; на юридических лиц - от 15 тыс. до 30 тыс. руб.

Примеры документов, определяющих политику в отношении обработки и защиты ПД, можно легко найти в Интернете, набрав в поисковой строке соответствующий запрос (например, "политика в отношении обработки и защиты персональных данных МФО").

Анализ судебной практики показывает: некоторые работодатели полагают, что Закон о персональных данных и ТК РФ не обязывают работодателя издавать какие-либо локальные НПА, регулирующие порядок обработки персональных данных. Но это не так: п. 2 ч. 1 ст. 18.1 Закона о персональных данных, п. 8 ст. 86 ТК РФ устанавливают оговоренную обязанность юридического лица. В качестве примера можно назвать Постановление Московского городского суда от 29.08.2011 по делу N 4а-1742/11: должностное лицо, не издавшее соответствующие акты, было оштрафовано.

Непредоставление субъекту информации об обработке его ПД

Обязанность по предоставлению субъекту ПД информации, касающейся обработки его персональных данных, закреплена Законом о персональных данных. За невыполнение этой обязанности гражданам будет грозить предупреждение или на них будет налагаться штраф в размере от 1 тыс. до 2 тыс. руб.; на должностных лиц - от 4 тыс. до 6 тыс. руб.; на юридических лиц - от 20 тыс. до 40 тыс. руб.

Иногда оператор отказывается предоставить такую информацию, полагая, что работает с обезличенными сведениями (например, производит массовые рассылки). Однако на деле не всегда все оказывается так. Даже если при рассылке программа сама проставляет адресные обращения, это уже считается обработкой персональных данных. Пример - Апелляционное определение Новосибирского областного суда от 27.09.2016 N 33-9626/2016. Оператор был оштрафован за рассылку персонифицированной рекламы своим абонентам, несмотря на то что персонификация осуществлялась автоматически. Абонент создал на "Рамблере" почтовый ящик, на который вскоре стали приходить рекламные рассылки от самого оператора, хотя ранее абонентом было отозвано согласие на обработку его персональных данных для целей направления ему рекламной информации. Абонент направил оператору претензию с требованиями представить ему как субъекту ПД сведения в подтверждение факта обработки персональных данных оператором; сведения о лицах, которые имеют доступ к данным или которым могут быть раскрыты данные на основании договора с оператором или на основании федерального закона; обрабатываемые персональные данные, относящиеся к нему, источник их получения; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению оператора (если обработка поручена или будет поручена этому лицу); а также требование прекратить незаконную обработку его ПД путем их уничтожения, не направлять рекламные сообщения, возместить убытки и компенсировать моральный вред.

Ответ на претензию оператор не направил - клиент обратился в суд с иском. В суде оператор указал, что рассылка осуществлялась без соотнесения конкретного получателя сообщения с содержимым сообщения - то есть персональные данные клиента использованы не были, а значит, установить конкретное физическое лицо на основании электронного адреса было невозможно. Поэтому требования абонента не были удовлетворены. Однако суд указал, что адрес электронной почты абонента привязан к его телефонному номеру, что относится к категории персональных данных, и следовательно, использование адреса электронной почты является обработкой ПД согласно п. 2, 3 ст. 3 Закона о персональных данных. Кроме того, в рекламной рассылке было конкретное обращение именно к абоненту - указаны его имя и фамилия. Таким образом, суд установил, что ответчик обрабатывал в совокупности персональные данные - имя, фамилию, адрес электронной почты, телефонный номер в целях направления спорного рекламного сообщения. При этом доказательств наличия согласия субъекта на обработку его персональных данных суду представлено не было, как и доказательств наличия иных условий законности обработки персональных данных, указанных в ст. 6 Закона о персональных данных.

Требование абонента о представлении сведений в подтверждение факта обработки персональных данных оператором было законным. Но в нарушение предусмотренного ст. 20 Закона о персональных данных 30-дневного срока ответчик не направил истцу информацию или отказ в ее предоставлении, доказательств подготовки и направления такого ответа. Иск абонента был удовлетворен.

Даже если договор, по которому обрабатывались персональные данные, расторгнут, все равно эти данные надо представлять по требованию клиента. Пример - Апелляционное определение Верховного суда Республики Башкортостан от 17.11.2015 по делу N 33-20272/2015. Клиент подал в суд на страховщика из-за того, что тот не представил по письменному заявлению в пятидневный срок сведения о страховании по договору ОСАГО с истекшим сроком действия. Страховая компания посчитала, что не обязана предоставлять информацию клиенту, так как договор с ним прекращен, а продления не было.

Суд указал, что непредставление требуемых сведений противоречит и Закону об ОСАГО <8>, и Закону о персональных данных. Страховая компания была признана оператором, обрабатывающим ПД, страхователь - субъектом ПД. По мнению суда, необходимым и достаточным условием для исполнения обязанности по представлению сведений о страховании было поступление от страхователя соответствующего письменного обращения. Поскольку законных оснований для ограничения права субъекта ПД на доступ к его персональным данным <9> не установлено, суд обоснованно счел требования страхователя законными.

<8> Федеральный закон от 25.04.2002 N 40-ФЗ "Об обязательном страховании гражданской ответственности владельцев транспортных средств".
<9> Предусмотрены п. 8 ст. 14 Закона о персональных данных.

Удаление или исправление ПД по требованию их субъекта

Если оператор не выполнит в сроки, установленные законодательством РФ о персональных данных, требования субъекта ПД (его представителя, уполномоченного органа по защите прав субъектов ПД) об уточнении персональных данных, их блокировании или уничтожении в случае, когда ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, то к нему также будут применены санкции, введенные Законом N 13-ФЗ. Граждане могут получить предупреждение или быть оштрафованы на сумму от 1 тыс. до 2 тыс. руб.; должностные лица - от 4 тыс. до 10 тыс. руб.; юридические лица - от 25 тыс. до 45 тыс. руб.

Кроме того, субъект ПД может потребовать с оператора компенсацию морального вреда. Рассмотрим Апелляционное определение Московского городского суда от 30.03.2016 по делу N 33-11169. Правозащитный сайт разместил информацию об одном из адвокатов, профессионализм которого посчитал низким. Помимо авторского текста в материале были приведены фотографии самого адвоката и документов о его образовании. Поскольку документы ранее размещались на другом общедоступном сайте с согласия их обладателя, то суд счел их использование законным. А вот подтверждения, что "герой" публикации давал согласие на размещение своего изображения или что фотографии размещены в общественных либо иных публичных интересах или были сделаны на публичных мероприятиях, владелец сайта не представил. Поэтому суд обязал оператора удалить фотографии и выплатить истцу компенсацию за моральный ущерб.

Несоблюдение сохранности ПД

Если оператор обрабатывает ПД без использования средств автоматизации, то он должен соблюдать условия, обеспечивающие сохранность персональных данных при хранении материальных носителей ПД и исключающие несанкционированный к ним доступ <10>. С началом действия Закона N 13-ФЗ, если из-за несоблюдения условий, обеспечивающих сохранность ПД, случится неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, это грозит штрафом: для граждан - от 700 до 2 тыс. руб.; для должностных лиц - от 4 тыс. до 10 тыс. руб.; для юридических лиц - от 25 тыс. до 50 тыс. руб.

<10> Статьи 19, 21, 23 и 24 Закона о персональных данных закрепляют меры, направленные на обеспечение безопасности персональных данных при их обработке.
Обратите внимание: на операторе лежит ответственность за соблюдение условий, обеспечивающих сохранность, а не за сохранность как таковую. Иными словами, если оператор докажет, что неукоснительно соблюдал все оговоренные условия, но персональные данные, допустим, похитили, то он не понесет ответственности. Но даже если документы, содержащие персональные данные, оператор просто оставит без присмотра, этот факт будет считаться нарушением, поскольку оператору будет трудно доказать, что несанкционированного доступа к ПД не было. Рассмотрим в качестве примера Апелляционное определение Челябинского областного суда от 14.03.2016 по делу N 11-1913/2016. Работница подала иск, требуя снять с нее выговор, который был объявлен работодателем по факту пропажи трудовой книжки и военного билета одного из сотрудников. Истица пояснила, что впоследствии документы нашлись и негативных последствий для их владельца происшествие не вызвало, поэтому дисциплинарного проступка она не совершала.

Суд счел действия работодателя правильными, указав, что сам по себе факт необеспечения сохранности документов, содержащих персональные данные, свидетельствует о грубом нарушении действующего законодательства. Причем суд указал, что достоверно установить факт отсутствия негативных последствий не представляется возможным: зачастую они наступают через определенное время.

Несоблюдение требований по обезличиванию ПД

Усиление штрафов коснулось и ситуации, когда государственный или муниципальный орган, выступающий в качестве оператора, не выполняет обязанность по обезличиванию персональных данных либо не соблюдает требования или методы по обезличиванию персональных данных (например, при обработке персональных данных в статистических или иных исследовательских целях, при закупке лекарственных препаратов для назначения пациенту при наличии медицинских показаний (индивидуальная непереносимость, по жизненным показаниям) по решению врачебной комиссии). Нарушение, связанное с обезличиванием ПД, влечет предупреждение или наложение на должностных лиц административного штрафа в размере от 3 тыс. до 6 тыс. руб.

Напомним, что обезличиванием персональных данных считаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту (п. 9 ст. 3 Закона о персональных данных).

Таблица штрафов:

Нарушение

Санкции

КоАП РФ

Субъект

Размер

Обработка ПД в случаях, не предусмотренных законодательством РФ, либо обработка ПД, несовместимая с целями сбора ПД

Гр <*>

Предупреждение или штраф от 1 тыс. до 3 тыс. руб.

Пункт 1 ст. 13.11

ДЛ <**>

Штраф от 5 тыс. до 10 тыс. руб.

ЮЛ <***>

Штраф от 30 тыс. до 50 тыс. руб.

Обработка ПД без согласия субъекта ПД либо с нарушением требований к составу сведений, включаемых в согласие субъекта ПД

Гр

Штраф от 3 тыс. до 5 тыс. руб.

Пункт 2 ст. 13.11

ДЛ

Штраф от 10 тыс. до 20 тыс. руб.

ЮЛ

Штраф от 15 тыс. до 75 тыс. руб.

Невыполнение обязанности по опубликованию или обеспечению неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПД, или сведениям о реализуемых требованиях по защите ПД

Гр

Предупреждение или штраф от 700 до 1,5 тыс. руб.

Пункт 3 ст. 13.11

ДЛ

Штраф от 3 тыс. до 6 тыс. руб.

ЮЛ

Штраф от 15 тыс. до 30 тыс. руб.

Невыполнение оператором обязанности по предоставлению субъекту ПД информации, касающейся обработки его ПД

Гр

Предупреждение или штраф от 1 тыс. до 2 тыс. руб.

Пункт 4 ст. 13.11

ДЛ

Штраф от 4 тыс. до 6 тыс. руб.

ЮЛ

Штраф от 20 тыс. до 40 тыс. руб.

Невыполнение оператором требования субъекта ПД об уточнении ПД, их блокировании или уничтожении, если ПД неполные, устаревшие, неточные, незаконно полученные или излишние для заявленной цели обработки

Гр

Штраф от 1 тыс. до 2 тыс. руб.

Пункт 5 ст. 13.11

ДЛ

Штраф от 4 тыс. до 10 тыс. руб.

ЮЛ

Штраф от 25 тыс. до 45 тыс. руб.

Несоблюдение при обработке ПД без использования средств автоматизации условий, обеспечивающих сохранность ПД при хранении материальных носителей ПД и исключающих несанкционированный к ним доступ, если это повлекло неправомерные действия в отношении ПД (при отсутствии признаков уголовно наказуемого деяния)

Гр

Штраф от 700

до 2 тыс. руб.

Пункт 6 ст. 13.11

ДЛ

Штраф от 4 тыс. до 10 тыс. руб.

ЮЛ

Штраф от 25 тыс. до 50 тыс. руб.



Невыполнение государственным или муниципальным органом обязанности по обезличиванию ПД либо несоблюдение установленных требований или методов по обезличиванию ПД

ДЛ

Предупреждение или штраф от 3 тыс. до 6 тыс. руб.

Пункт 7 ст. 13.11

<*> Гр - граждане.
<**> ДЛ - должностные лица.
<***> ЮЛ - юридические лица.

С.Н. Степанов

Эксперт журнала

"Руководитель бюджетной организации"