Чем грозит организации и ее работникам нарушение требований по обработке и защите персональных данных? Помимо административного штрафа, одно из серьезных последствий — приостановление (прекращение) обработки персональных данных в информационном ресурсе (системе). Разберемся на примерах из практики, в том числе судебной.
1. Что может сделать НЦЗПД по результатам проверки
НЦЗПД осуществляет контроль за обработкой персональных данных операторами и уполномоченными лицами (абз. 2 п. 7 Положения о НЦЗПД, утв. Указом от 28.10.2021 N 422). Реализует это право путем проведения следующих видов проверок (ч. 1 п. 13 Положения о НЦЗПД):
1) плановых. Планы на следующий год публикуются на официальном сайте НЦЗПД не позднее 30 декабря;
2) внеплановых. Такие проверки назначаются, если есть информация о нарушении требований законодательства о персональных данных (ч. 4 п. 13 Положения о НЦЗПД). Например, поводом для внеплановой проверки НЦЗПД может стать:
— жалоба;
— утечка персональных данных из-за нарушений систем их защиты;
— невыполнение рекомендаций НЦЗПД после камеральной проверки (см. отчет о деятельности НЦЗПД за 2022 г.);
3) камеральных. Они проводятся по месту нахождения НЦЗПД (без выезда в проверяемую организацию) и предусматривают изучение, анализ и оценку (ч. 1 п. 26 Положения о НЦЗПД):
— размещенной в СМИ, интернете информации о деятельности организации;
— документов и иной информации, в том числе полученной от организации по запросу НЦЗПД.
В большинстве случаев камеральные проверки проводятся по жалобам субъектов персональных данных. Иногда такие проверки инициирует НЦЗПД по результатам анализа и оценки информации, размещенной в интернете (см. отчет о деятельности НЦЗПД за 2022 г.).
К проверкам, проводимым НЦЗПД, не применяются правила Указа N 510 о контрольной (надзорной) деятельности (абз. 27 п. 23 Указа N 510).
Обратите внимание!
Организации, которые получили положительное заключение НЦЗПД по итогам добровольного аудита в сфере персональных данных, не попадут в план проверок в течение пяти лет (ч. 3 п. 13 Положения о НЦЗПД).
По итогам проверок НЦЗПД вправе:
1) вынести требование (предписание) об устранении выявленных нарушений. Срок для устранения, не превышающий шести месяцев, определяет НЦЗПД (ч. 1 п. 23 Положения о НЦЗПД);
2) вынести требование (предписание) о приостановлении (прекращении) обработки персональных данных в информационном ресурсе (системе) (ч. 1 п. 23 Положения о НЦЗПД). Такое требование выносится при наличии нарушений, когда невозможно обеспечить защиту прав субъектов персональных данных иными способами (абз. 7 п. 8 Положения о НЦЗПД). Пример — утечка персональных данных, обрабатываемых в информационном ресурсе (системе), или несанкционированный доступ к ним.
В требовании (предписании) указываются:
— конкретные действия, которые следует приостановить (прекратить);
— срок приостановления (прекращения), не превышающий шести месяцев (ч. 1 п. 23 Положения о НЦЗПД).
Например, если организация, которая принимает заказы на услуги через сайт (интернет-ресурс), получила такое требование (предписание), она не сможет обрабатывать полученные с его помощью персональные данные.
После устранения нарушений и уведомления об этом НЦЗПД его директор разрешит возобновить обработку персональных данных в информационном ресурсе (системе) (ч. 5 п. 23 Положения о НЦЗПД);
3) вынести рекомендации об устранении нарушений по результатам камеральной проверки (ч. 2 п. 26 Положения о НЦЗПД);
4) направить материалы в правоохранительные органы для привлечения виновных к ответственности. НЦЗПД не составляет протоколы об административной ответственности и не накладывает административные взыскания (ст. 3.1, 3.30 ПИКоАП).
Основные критерии для направления указанных материалов:
— нарушения затрагивают интересы не только лица, обратившегося с жалобой, но и интересы иных лиц, в том числе социально уязвимых категорий субъектов персональных данных (несовершеннолетние, пенсионеры), участников программы лояльности и т.д.;
— нарушения произошли при трансграничной передаче персональных данных в государства, которые не обеспечивают надлежащего уровня защиты;
— оператор не выполнил рекомендаций НЦЗПД по итогам камеральной проверки (см. отчет о деятельности НЦЗПД за 2022 г.).
Справочно
За 2022 г. НЦЗПД провел 50 проверок и вынес 50 требований (предписаний, рекомендаций) об устранении выявленных нарушений. В 10 случаях направил материалы о привлечении оператора к административной ответственности (см. отчет о деятельности НЦЗПД за 2022 г.).
2. За что штрафуют организации и должностных лиц. Примеры из судебной практики
Административную ответственность за нарушение законодательства о защите персональных данных предусматривает ст. 23.7 КоАП. За несоблюдение мер по обеспечению защиты персональных данных отвечает должностное лицо организации. Это может быть, например, руководитель организации, ответственный за внутренний контроль за обработкой персональных данных.
Судебная практика
Суд рассмотрел дело об ответственности директора организации по ч. 4 ст. 23.7 КоАП. Согласно результатам внеплановой проверки директор не принял мер:
— по ознакомлению работников, непосредственно обрабатывающих персональные данные, с законодательством о таких данных и с внутренними документами;
— обучению работников и иных лиц в порядке, установленном законодательством;
— определению порядка доступа к персональным данным, в том числе к обрабатываемым в информационном ресурсе;
— технической и криптографической защите персональных данных.
Организация выполнила требование НЦЗПД об устранении нарушений, а директор признал свою вину. Суд освободил его от административной ответственности с вынесением предупреждения (дело от 06.02.2023 N 26АП231/Н).
Судебная практика
Директор организации не принял мер по ознакомлению работников, непосредственно осуществляющих обработку персональных данных, с требованиями по защите таких данных; с документами, определяющими политику организации в отношении их обработки; а также мер по обучению сотрудников и иных лиц работе с персональными данными; по установлению порядка доступа к персональным данным, в том числе к обрабатываемым в информационном ресурсе; мер по их технической и криптографической защите. Директор признал вину и указал на частичное устранение выявленных нарушений. Суд оштрафовал его по ч. 4 ст. 23.7 КоАП на 4 БВ (дело от 30.09.2022 N 101АП222657/Н).
Судебная практика
Заместитель начальника юридического отдела не принял мер по ознакомлению работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по их защите, а также мер по обучению указанных работников и иных лиц; установлению порядка доступа к персональным данным, в том числе к обрабатываемым в информационном ресурсе (системе); по их технической и криптографической защите. Вину в совершении правонарушения признал частично.
Суд признал деяние малозначительным, а смягчающим обстоятельством — наличие на иждивении у физического лица малолетнего ребенка. По характеру, продолжительности и общественной вредности деяние не причинило существенного вреда. Виновный принимал меры по выполнению требований Закона о защите персональных данных. Ввиду указанного суд прекратил дело об административном правонарушении по ч. 4 ст. 23.7 КоАП (дело от 17.03.2023 N 101АП2387/Н).
Штраф могут наложить не только на должностное лицо организации, но и на саму организацию.
Судебная практика
Организация допустила несоблюдение предусмотренных абз. 3 — 5 п. 3 ст. 17 Закона о защите персональных данных мер по их защите. В частности, работников, осуществлявших обработку персональных данных, не ознакомили с положениями законодательства о персональных данных, не был определен порядок доступа к таким данным, в том числе к обрабатываемым в информационном ресурсе. Уровень технической и криптографической защиты персональных данных был ненадлежащим, что повлекло их утечку.
Представитель организации признал вину в правонарушения, суд наложил на организацию штраф по ч. 4 ст. 23.7 КоАП в размере 20 БВ (дело от 15.06.2023 N 99АП231555/Н).
Несообщение об утечке персональных данных или о несанкционированном доступе к ним тоже влечет штраф по ст. 24.11 КоАП.
Судебная практика
Начальник удостоверяющего центра РУП был должностным лицом, в обязанности которого входило:
— обеспечение соблюдения требований политики информационной безопасности;
— соблюдение конфиденциальности коммерческой и прочей информации, разглашение которой могло повлечь коммерческий ущерб;
— своевременное уведомление о распространении сведений, составлявших коммерческую и иную охраняемую законом тайну.
Узнав 31.03.2022, что неустановленные лица взломали базу данных организации и получили несанкционированный доступ к персональным данным, начальник сообщил об этом в НЦЗПД лишь на 10-й день, чем нарушил установленный срок.
Обстоятельством, смягчающим административную ответственность, суд признал чистосердечное раскаяние физического лица, наличие на иждивении малолетних детей и оштрафовал должностное лицо по ст. 24.11 КоАП на 2 БВ (дело от 04.11.2022 N 97АП223181/Н/Н).
Кроме того, возможна административная ответственность по ст. 24.1 КоАП за неисполнение требования (предписания) НЦЗПД об устранении выявленных в ходе проверки нарушений или о приостановлении обработки персональных данных. Штраф для должностного лица составит до 20 БВ.
3. Какую административную ответственность несет лицо, которое обрабатывает персональные данные. Примеры из судебной практики
Умышленные незаконные сбор, обработка, хранение и предоставление персональных данных либо нарушение прав физического лица, связанных с обработкой персональных данных, влечет штраф до 50 БВ (ч. 1 ст. 23.7 КоАП).
Судебная практика
Б. умышленно незаконно с личной электронной почты предоставил Департаменту финансовых расследований персональные данные Ш. Суд оштрафовал Б. на 10 БВ по ч. 1 ст. 23.7 КоАП за незаконное предоставление персональных данных физического лица (дело от 13.10.2022 N 17АП221974/Н).
Если персональные данные известны лицу в связи с его работой или службой, штраф может быть больше: от 4 до 100 БВ (ч. 2 ст. 23.7 КоАП).
Судебная практика
Н. работал следователем по особо важным делам. Умышленно из личной заинтересованности, не имея письменного согласия Ш. на обработку его персональных данных, а также при отсутствии служебной необходимости использовал предоставленный ему логин и пароль и вошел в АИС «ГАИ-Центр», незаконно извлек (собрал) и обработал информацию о персональных данных Ш. Суд оштрафовал Н. на 10 БВ по ч. 2 ст. 23.7 КоАП (дело 17АП212391/Н от 20.01.2022).
Если лицо, которое обрабатывает персональные данные, умышленно незаконно распространило их, штраф составит до 200 БВ (ч. 3 ст. 23.7 КоАП).
Судебная практика
Я. разместила в группе жильцов дома в мессенджере фото- и видеоизображения Ж., зафиксированные камерами видеонаблюдения. Цель — предупредить жильцов дома, что Ж. собирает какую-то информацию, подписи жильцов, проводит какие-то опросы. Суд признал Я. виновной в распространении персональных данных и оштрафовал на 1 БВ (дело от 07.08.2023 N 49АП23862).
4. В каких случаях возможна уголовная ответственность
Уголовную ответственность за несоблюдение мер по защите персональных данных предусматривает ст. 203-2 УК. Такая ответственность возможна, если лицо совершило действия, которые по неосторожности повлекли:
— распространение персональных данных неопределенному кругу лиц;
— наступление тяжких последствий, среди которых потеря работы, ухудшение состояния здоровья, распад семьи и т.д.
По ст. 203-2 УК к уголовной ответственности привлекается лицо, которое обрабатывает персональные данные.
За умышленные преступления ответственность виновного лица, которое умышленно нарушило закон, наступает по ч. 1 — 3 ст. 203-1 УК. Наказываются умышленные незаконные сбор, предоставление, распространение персональных данных без согласия лица. В этом случае необходимо доказать:
— умысел на сбор и предоставление (одному лицу или определенному кругу лиц) или распространение (неограниченному кругу лиц) персональных данных;
— последствия в виде существенного вреда правам, свободам и законным интересам гражданина.
Уголовная ответственность по ч. 1 ст. 203-1 УК возможна только по требованию пострадавшего лица (п. 19 ч. 1 ст. 33 УК).
Обратите внимание!
Помимо административной и уголовной ответственности за нарушение требований о защите персональных данных, возможна дисциплинарная и гражданско-правовая ответственность (п. 1 ст. 19 Закона о защите персональных данных).
Читайте этот материал в ilex >>*
*по ссылке Вы попадете в платный контент сервиса ilex
