Ответственность генерального директора за нарушения по персональным данным

24 ноября 2017

Еще одной большой зоной риска для руководителя организации являются персональные данные. При нарушении законодательства по персональным данным могут быть применены несколько видов ответственности, начиная с административной и заканчивая уголовной.

С 01.07.2017 года резко возрос размер административного штрафа за незаконный порядок обработки персональных данных. Ответственность предусмотрена статьей 13.11 Кодекса РФ об административных правонарушениях. Введена она 13-ФЗ от 07.02.2017 года.

Самым дорогим является осуществление обработки персональных данных без письменных согласий на обработку персональных данных. Это касается согласий с работниками, соискателями, родственниками работников, и иными третьими лицами, персональные данных которых обрабатываются. Согласия должны быть получены в письменной форме и их содержание должно соответствовать требованиям законодательства, в частности оно должно содержать в соответствии с требованиями п.4 статьи 9 152-ФЗ «О персональных данных» от 27.07.2006:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Размер административного штрафа за данное нарушение составляет на должностное лицо – от 10 000 до 20 000 рублей; на юридическое лицо – от 15 000 до 75 000 рублей.

РЕКОМЕНДАЦИЯ: Необходимо произвести проверку всех согласий, полученных от работников и при необходимости при отсутствии необходимых данных или обязательных условий, переподписать их с работниками

Вторым по значимости нарушений является непостановка на учет юридического лица в органах Роскомнадзора в качестве оператора персональных данных. Для этого существует определенная процедура, предусмотренная статьей 22 152-ФЗ «О персональных данных» от 27.07.2006 и Приказом Минкомсвязи России от 21.12.2011 N 346 “Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги “Ведение реестра операторов, осуществляющих обработку персональных данных”. За отсутствие в реестре работодателя в качестве официального оператора в реестре персональных данных предусмотрена ответственность в виде предупреждение или наложение административного штрафа на должностное лицо – от 5 000 до 10 000 рублей; на юридическое лицо – от 30 000 до 50 000 рублей.

РЕКОМЕНДАЦИЯ: Необходимо зарегистрироваться в качестве официального оператора на сайте Роскомнадзора https://rkn.gov.ru/

Третьим нарушением является несоответствие локального нормативного акта по персональным данным требованиям действующего законодательства.

В локальном нормативном акте должны быть прописаны:

  • общие принципы обработки персональных данных;
  • порядок обработки персональных данных на бумажных носителях;
  • порядок обработки персональных данных в информационных системах;
  • порядок хранения персональных данных;
  • порядок передачи персональных данных;
  • порядок обработки персональных данных должностными лицами, непосредственно осуществляющими обработку;
  • порядок обработки персональных данных при нахождении на территории работодателя третьих лиц.

Важно, что были быть описаны меры, необходимые и достаточные для обеспечения выполнения обязанностей по соблюдению требований к конфиденциальности персональных данных. Все работники должны быть ознакомлены с локальным нормативным актом под роспись. При несоответствии документа нормам действующего законодательства предусмотрена административная ответственность в виде предупреждение или наложение административного штрафа на должностное лицо – от 5 000 до 10 000 рублей; на юридическое лицо – от 30 000 до 50 000 рублей.

РЕКОМЕНДАЦИЯ: Проверить локальный нормативный акт, скорректировать его при необходимости, переутвердить и ознакомить под роспись все работников.

Отдельно можно выделить зону риска по необеспечению неограниченного доступа к локальному нормативному акту, определяющему политику работодателя в отношении обработки персональных данных, как того требует п. 2 статьи 18.1 152-ФЗ «О персональных данных» от 27.07.2006. Это отдельное нарушение, которое выделено в виде спецсостава. Административной ответственности не избежать на должностное лицо – от 3 000 до 6 000 рублей, на юридическое лицо – от 15 000 до 30 000 рублей.

РЕКОМЕНДАЦИЯ: Необходимо разместить на сайте компании локальные нормативные акты в области персональных данных. Если сайт отсутствует, то акт можно разместить перед входом в организацию на доске объявлений, или просто повесить рядом с входом, чтобы документ был виден всем.

Любой субъект персональных данных, будь то работник или любое другое лицо вправе направить запрос работодателю в отношении обработки его персональных данных, и работодатель обязан предоставить ему эту информацию. Исходя из самого определения «обработки персональных данных» обработка – это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, соответственно в зависимости от запроса субъекта нужно будет предоставить ему интересующую его информацию. При невыполнении данной обязанности руководителю организации грозит предупреждение или наложение административного штрафа от 4 000 до 6 000 рублей; а на юридическое лицо от 20 000 до 40 000 рублей.

РЕКОМЕНДАЦИЯ: Необходимо при получении подобных запросов предоставлять на них работнику ответы.

При размещении вакансий, содержащих ограничения дискриминационного характера по полу, возрасту и другим показателям статьей 13.11.1 Кодекса РФ об административных правонарушениях предусмотрена ответственность наложение административного штрафа на должностное лицо – от 3 000 до 5 000 рублей; на юридическое лицо – от 10 000 до 15 000 рублей.

РЕКОМЕНДАЦИЯ: Необходимо проверить все размещенные вакансии на сайте организации или поданные в кадровые агентства по подбору персонала и при выявлении дискриминации скорректировать данные в них.

Не исключена административная ответственность в соответствии со статьей 13.12 Кодекса РФ об административных правонарушениях если в организации используются несертифицированные информационные систем, базы и банки данных, а также несертифицированные средства защиты информации, подлежащие обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну). Такое нарушение оценивается в размере административного штрафа на должностных лиц – от 2 500 до 3 000 рублей; на юридических лиц – 20 000 до 25 000 рублей с конфискацией несертифицированных средств защиты информации или без таковой.

РЕКОМЕНДАЦИЯ: Необходимо проверить все используемые в организации информационные системы, базы и банки данных. Если данные базы подлежат сертификации, необходимо их привести в соответствие (пройти сертификацию или заменить системы на новые, соответствующие требованиям)

Помимо административной ответственности руководитель организации может быть привлечен и к уголовной ответственности, которая установлена статьей 137 Уголовного кодекса Российской Федерации. Данная ответственность может быть применена в случае незаконного сбора или распространения сведений о частной жизни работников составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации в размере от 100 000 до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

РЕКОМЕНДАЦИЯ: Необходимо проверить все размещенные вакансии на сайте организации или поданные в агентства по подбору персонала и при выявлении дискриминации скорректировать данные в них.

В данной статье указаны самые дорогие риски для руководителя организации в области персональных данных. Несмотря на то, что штрафы не сильно велики по сравнению с административными штрафами при нарушении норм трудового законодательства и норм охраны труда, стоит помнить, что при проведении проверок и назначении штрафа за выявленные нарушения работодатель обязан устранить нарушения в установленные в предписании сроки, а это приведение в соответствие законодательству документов и процедур в любом случае. Так зачем же ждать штрафов, когда все можно устранить до появления на пороге Роскомнадзора.

Автор:

Финатова Мария

Юрист-партнер