С 1 июля 2017 г. вступил в силу закон, предусматривающий увеличение штрафов за нарушения в области обработки персональных данных для их операторов по ст. 13.11 КоАП РФ.
Вместо одного общего состава (ст. 13.11 КоАП РФ) за нарушение порядка сбора, хранения, использования или распространения персональных данных — будет новых семь составов. По сравнению с действующими ранее положениями они теперь предусматривают более строгие санкции, в частности, для юридических лиц.
Самый высокий штраф грозит нарушителю за обработку персональных данных без письменного согласия их субъекта, когда оно обязательно по Закону о персональных данных. Для организаций сумма максимального штрафа составит 75 тыс. руб.
На такую же сумму смогут оштрафовать, если при обработке персональных данных, оператор-юрлицо нарушит требования к составу сведений, которые включаются в письменное согласие. Состав сведений установлен в ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Ранее, по данной статье, за нарушения в области работы с персональными данными наказывали по общему составу и максимальный штраф для юридических лиц составлял всего лишь 10 тыс. руб.
Также не стоит забывать про еще одну действующую статью в КоАП РФ в области персональных данных. Ст. 19.7. КоАП предусматривает ответственность за непредставление в уполномоченный орган оператором уведомления об обработке персональных данных, его несвоевременное представление (т.е. уже после начала обработки персональных данных), либо представление уведомления, содержащего неполные или недостоверные сведения.
Ответственность по данной статье установлена в виде предупреждения или штрафа для юридических лиц в размере от 3 000 до 5 000 рублей.
В соответствии с пп. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
В соответствии с ч. 1 ст. 22 ФЗ «О персональных данных», оператор до начала обработки персональных данных обязан уведомить Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) о своем намерении осуществлять обработку персональных данных, за исключением случая, когда обрабатываются данные в соответствии с трудовым законодательством. Уведомление рекомендуется направлять в территориальный орган Роскомнадзора – управление Роскомнадзора по субъекту РФ по месту регистрации оператора в налоговом органе. Уведомление об обработке персональных данных должно быть составлено по форме, приведенной в Приложении № 2 к Приказу Минкомсвязи России от 21.12.2011 г. № 346 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных».
В соответствии с пп. 4 ст. 86 ТК РФ, работодатель не имеет права получать и обрабатывать сведения о работнике, которые, в соответствии с ФЗ «О защите персональных данных», относятся к специальным категориям персональных данных. К данной категории, в соответствии с пп. 8 ч. 2 ст. 10 ФЗ «О персональных данных», относятся, в том числе, данные, обработка которых осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
Исходя из вышесказанного, в случае передачи персональных данных работников страховой компании для оформления полиса ДМС, либо банку для оформления зарплатной карточки, организация (работодатель) наделяется статусом оператора в соответствии с определением ФЗ «О персональных данных», и будет обязана уведомить Роскомнадзор о намерении осуществить обработку персональных данных.
Рассматривая вопрос ответственности за нарушения в области персональных данных, надо, помимо административной, помнить и про иные виды ответственности.
Так, субъект персональных данных, права которого, по его мнению, нарушены, вправе претендовать в суде на возмещение убытков и (или) компенсацию морального вреда. Иными словами, оператор находится под риском гражданско-правовой ответственности, которая может повлечь определенные последствия, связанные с денежными потерями.
Не следует забывать и о том, что нарушения в области персональных данных могут, в некоторых случаях, быть признаны составом преступления: нарушением неприкосновенности частной жизни (ст. 137 УК РФ) и/или неправомерным доступом к компьютерной информации (ст. 272 УК РФ).